虚拟防火墙在企业网络中的应用
王志红 成飚 网络
1虚拟防火墙概述

虚拟防火墙通过在同一台物理防火墙上划分多个逻辑的虚拟防火墙,来实现对多个部门的独立安全策略部署。每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。物理防火墙上所有的系统资源都按比例被分配到各个独立的虚拟防火墙中。

1.1传统防火墙与虚拟防火墙相比存在的缺陷

①现今企业越来越趋向于多元化,部门划分越加细致。较多的部门划分,导致企业需要部署和管理多台独立防火墙。这样,企业对于投资和维护网络安全设备的成本也就相应的提高。②集中放置的多台独立防火墙将占用较多的机架空间,并且给企业综合布线带来额外的复杂度。③当公司部门变动时,虚拟防火墙只需要改动配置即可。而传统防火墙需要发生物理上的变动,对企业后期管理配置造成不便。④物理防火墙的增加意味着网络中需要管理的设备相应增加。那么,势必会加大网络管理的复杂度与网络管理员的工作量。

1.2虚拟防火墙的部署原则

随着企业规模的不断扩大,各个部门的职能和权限划分得越来越清晰。同时,企业对网络安全的重视程度也在不断增加,企业的各部门也初步形成了的相应的不同安全级别的安全区域。虚拟防火墙按照部门的安全级别作为部署原则。

1.3虚拟防火墙在企业网络中的部署

按照虚拟防火墙部署的原则,将虚拟防火墙应用在如图1的企业网络中。在该企业网络中,服务器群网络作为高安全级别的区域,在其网络出入口处需要部署虚拟防火墙,保证这个重点区域的网络安全。同样的,涉密部门、财务部门是公司的重要部门,与网络速度相比,网络安全更为重要,因此企业需要,也有必要将虚拟防火墙部署在这些部门的网络出入口。而企业中的其他普通部门,为了避免增加网络时延,降低网络速度,不需要在那些部门网络外增加虚拟防火墙。

1.4虚拟防火墙在企业网络中的应用特点

①当有攻击发生时,各个虚拟防火墙将抵挡各自的攻击:既便某个虚拟防火墙系统资源被网络攻击耗尽,也不会影响其他的虚拟防火墙系统。②从硬件成本上大大降低了企业的资金投入,用一台防火墙就可以起到多台防火墙的防护水平。③从管理维护的角度来说,网络管理员通过对一台防火墙的管理,起到了对多台设备统一管理的目的,大大降低了管理难度,减少了维护的复杂度。

另外,面对企业的网络安全资金投入有限,在仅能购买一台防火墙,但却又有对内部财务网络、服务器群、机密部门单独防护的需求的这种情况。防火墙的虚拟防火墙功能,将这些网络从内网中剥离出来,单独划分到虚拟防火墙系统中进行单独的防护。这样不仅有效的避免由于内网的病毒爆发导致对这些网络的危害,更能保证这些重要网络的正常运行。

2虚拟防火墙技术

如图1所示,防火墙是从逻辑上划分出来多台虚拟防火墙对各个重要部门的网络进行防护。

2.1防火墙接口

①专有接口:防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。②共享接口:防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口③公共接口:特指区别于专有接口和共享接口的其他接口。

 

 
图1防火墙的逻辑划分

2.2防火墙的流量分类处理

2.2.1将一个接口划分到一个虚拟防火墙中(基于接口)如果一个接口唯一的只属于一个虚拟防火墙,那么所有从这个接口进入的流,都应该只属于这一个防火墙。

 
2基于接口的流量分类处理

2.2.2基于MAC地址 当防火墙划分了多个虚拟防火墙,如果一个接口同时属于多个虚拟防火墙(即共享接口),那么可以使用基于MAC地址来对流量进行分类。这时候就要求在每个虚拟防火墙上,为该共享接口指定一个不同的MAC地址,该MAC地址可以自动产生,也可以手工指定。

2.2.3基于NAT 除了基于接口以及MAC地址分类以外,还可以基于NAT来对流量进行分类。分类器会截取流量,并执行一个目的地址查找,所有其他信息都被忽略,只有目的地址被使用。为了使用目的地址对流t进行分类,那么分类器就必须知道每个虚拟防火墙后面的子网。分类器根据NAT的配置,来决定每个虚拟防火墙后面的子网。分类器将目的地址和static命令或global做匹配。

3结束语

本文根据防火墙的虚拟防火墙功能,重点研究了虚拟防火墙在企业网络中的应用。虚拟防火墙最直接的优点就是帮助企业提高安全防护能力,简化对防火墙的管理,有效降低网络安全防护所需的投资,满足一些特殊部署要求,并大大降低管理维护成本。一台具有虚拟,防火墙功能的防火墙可以同时为多个部门的网络安全做坚强的后盾。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢