应用驱动发展 防火墙虚拟化

防火墙作为企业网络安全体系架构中最核心的环节，近来在高端领域的发展可以说是春风得意。困扰UTM（统一威胁管理）的性能问题，在防火墙产品中不复存在。不过也正是这个原因，防火墙面临的发展问题恰恰是UTM的长处，就是怎样更贴近企业需求。

为应用而生

对于目前的IT虚拟化大潮来说，虚拟化安全问题不得不引起企业足够的重视。由于同一硬件平台上的虚拟机之间能够直接对话，从而使得外部防火墙和IPS(入侵防御系统)没有机会检查甚至监视这些通信。虽然将虚拟服务器之间的通信透过物理平台发送到外部的防火墙进行检测是可能的，但是这样做效率很低。Gartner表示，市场明显需要能隔离开这些虚拟机的防火墙。

在IDC机房中，并不是所有的服务器都会同时遭受黑客的攻击。通常，遭受攻击的只是其中的某台服务器，例如WEB服务器、邮件服务器等，一旦受用户托管的某台服务器遭受到攻击的时候，防火墙会耗费大量系统资源来抗击黑客的攻击，由于防火墙处在网络出口节点的位置，系统资源的大量消耗会严重影响其他服务器的正常应用，正所谓城门失火殃及池鱼，势必导致电信IDC的服务质量大大降低。

而如果把一台防火墙逻辑上划分为多台防火墙，所有的系统资源都按比例被分配到各个独立的虚拟防火墙中，当有攻击发生时，各个虚拟防火墙将抵挡各自的攻击，即便某个虚拟防火墙系统资源被网络攻击耗尽，也不会影响其他的虚拟防火墙系统，也就是说其他的服务器仍然可以正常运行，这大大提高了电信IDC的服务质量。这就是虚拟防火墙的最初应用。

赛迪顾问软件与服务产业研究中心副总经理贾娟在接受《中国电子报》记者采访时谈到：“虚拟防火墙有一些厂商在提，应用应该还不是主流。虚拟防火墙对企业更大的影响应该是在业务上，虚拟防火墙的设计理念就是‘分而治之’，即如果这一个部分出了问题，其他部分还照常发挥作用，而不是整个防火墙都受影响，有降低风险的作用。目前虚拟化在IDC数据中心可能会用得多一些，对IDC数据中心来说，运用防火墙虚拟化可以降低成本；对企业来说，在边界、入口上可能还是传统意义上的防火墙应用的更多，而在边界内部可能会有些虚拟防火墙的应用。虚拟防火墙的影响还主要是针对业务需求，会和传统的防火墙并存，由于他们各自发挥的作用不一样，因此不会出现谁替代谁的现象。”

模块化、多核解决难题

在一次企业信息化经验交流会上，佐丹奴集团的CIO侯彤曾表示：现在的防火墙集成了很多安全功能，比如防病毒模块。但开启后会造成防火墙其他性能大幅度下降，得不偿失。从中可以看出，防火墙的发展道路是充满矛盾的，一方面是对性能的要求，另一方面是对功能的要求。

其实现在这对矛盾体并非无法解决。要想兼顾性能与效率，首先可以使用性能更高的硬件和架构，比如NP和ASIC等。而模块化设备和单独的处理单元也可以保障防火墙的性能。思科就是在其防火墙产品中采用了模块化架构，设备的每个单独功能都采用单独的处理单元，以此解决性能和功能矛盾的问题。思科将这种防火墙产品称作“下一代防火墙”。这也是思科为了区别于UTM，为多功能防火墙起的一个特殊的名字。下一代防火墙和UTM在架构设计上就体现了差别。毕竟，UTM发展到目前为止，还是缺乏标准。Juniper的做法也是将防火墙和IPS以不同模块的形式集成在一个设备内，同时二者保持配置的相对独立性。简单来说，现在的UTM是彻底的集成；而下一代防火墙是集成又独立，依靠模块化保持功能独立。

虚拟化是过渡 自动化是最终目标

从系统基础架构软件到存储，从服务器到处理器……虚拟化技术的应用逐步从软件延展到了硬件，计算领域中几乎所有的软硬件环境都能找到虚拟化技术的影子。然而，目前虚拟化技术只能做到硬件和系统基础架构的虚拟化，现有的应用不管是服务器虚拟化，还是存储虚拟化，甚至网络虚拟化、数据虚拟化、软件或融合的虚拟化等，统统都只是部件级的局部虚拟化。

2008年，应用程序的虚拟化将会是虚拟化技术未来发展的趋势之一。同时，虚拟化技术还会将整个数据中心虚拟化，使用户能够获得一个随需应变的数据中心。此外，未来虚拟化的安全问题会逐步成为业界关注的焦点。

目前，有些防火墙厂商，如Astaro、Blue Lane、Catbird和Enterasys解决了部分问题，其他一些厂商如Stonesoft和StillSecure也提出了改善计划。而思科和Juniper由于着重于开发基于硬件的防火墙，因此可能缺乏适合于虚拟环境的软件类防火墙。

思科公司卢佐华接受《中国电子报》记者采访时谈到：“思科的下一代防火墙技术不只是功能的增强，而是与思科完整的虚拟化框架相配合的。防火墙通过虚拟化使其在管理和灵活性方面都得到了提升，从而使整个IT网络架构的利用率和使用率都得到了提升和变革。未来，整个IT信息基础架构都将在统一的体系上完成，也就是面向服务的网络体系架构(SONA)。”

记者认为，要实现SONA必须靠虚拟化支撑，从集中化实现虚拟化最后再到自动化是一个发展过程。思科已经在进行这样一种设计，实现集成化和虚拟化，有了智能基础平台的支撑，最后实现自动化。所以，思科的虚拟防火墙完全集成融合在思科整个虚拟化架构里。这个虚拟化架构又是整个思科SONA架构的一部分，未来网络非常理想的一种状态就是用户不用关心网络的物理状况，只须提出他需要的服务要求，就可以得到资源的支撑。