虚拟化技术伴随云计算的快速发展已被广泛的应用于大型数据中心网络。近年来,几乎在各个行业的信息化建设过程中也开始呈现出对网络虚拟化、存储虚拟化、计算(主机)虚拟化等等一系列虚拟化技术的刚性需求。出于对虚拟化解决方案的完善,如何利用虚拟化技术解决安全性问题一直以来是业界普遍关注的焦点话题,而网关虚拟化技术作为这场技术变革过程中的重要产物之一,已经在部分行业的信息化建设中成为整体解决方案的重要组成部分。
背景
某电力企业作为国内规模较大的发电集团之一,随着企业规模的持续壮大,集团总部及下属十余个“专业公司”总部将统一迁入新址以满足业务快速发展的需要。根据该电力企业组织机构庞大、应用类型繁多以及网络结构复杂等特点,在新办公大楼的信息化建设中将对网络进行全新的规划与设计,而技术的“先进性、可靠性”成为此次项目建设的重要目标。
天融信NGFW猎豹防火墙根据设计要求将部署在整套网络最为关键的互联网边界位置,在满足网络层面对高可用性的严格要求基础上,实现对集团局域网、集团总部DMZ区与互联网区之间的边界安全防护。除此以外,由于各个专业公司对外业务不同并采用独立运营的业务模式,使各公司拥有独立的系统运维团队,而在DMZ区也拥有各自的应用系统服务器群。因此,在共享物理边界的情况下,将通过天融信NGFW猎豹防火墙的网关虚拟化技术为不同专业公司DMZ区实现流量的逻辑划分,最终实现构建虚拟化边界安全防护体系的建设目标。
详细需求如下:
1.实现集团局域网、集团总部DMZ区与互联网区之间的边界安全防护;
2.为各个专业公司分配虚拟防火墙系统,实现专业公司DMZ区的虚拟安全域划分;
3.各专业公司运维人员对各自的虚拟防火墙系统进行独立运维;
4.防火墙与内网交换机之间通过ICMP报文探测实现内网冗余链路的故障动态切换;
5.防火墙采用热备模式,通过非对称双机Metric设计实现灵活的双机切换判断机制;
相关网络示意图如下:部署
上文提到,由于各个专业公司对外业务的独立性,通过在专业公司DMZ区部署虚拟防火墙系统来实现虚拟安全域划分与防火墙配置的独立运维。那么,实现该需求的前提是确定在该网络环境下如何部署虚拟防火墙系统,而部署虚拟防火墙系统的关键在于采用何种网络接口类型进行虚拟用户的流量划分。天融信NGFW猎豹防火墙的网关虚拟化技术可以支持多种虚拟防火墙系统的接口分配方案,包括物理接口、SVI接口以及路由子接口。本案中,由于需要为十余个专业公司分别部署虚拟防火墙系统,采用将物理接口划分至不同虚拟系的方案将造成端口资源的浪费并且扩展性较差,因此,SVI虚接口的接口分配方案无疑是本案的首选。
NGFW猎豹防火墙与上联交换机之间的两条物理链路(黄色)分别为整个专业公司DMZ区的上、下联链路。防火墙的两个物理接口配置为Trunk模式,并根据专业公司数量分别划分出相应(三层)VLAN。两个接口Trunk模式下的各个VLAN成对分配给各个虚拟防火墙系统分别作为上联与下联接口,最终形成十余组基于SVI虚接口的虚拟防火墙系统,且各虚拟防火墙为路由模式。这样一来,各专业公司运维人员可通过各自虚拟防火墙系统的SVI虚接口IP对系统进行独立运维与管理,并且不同虚系统之间的配置互不干涉。
示意图如下:收益
利用网关虚拟化技术能够实现一台物理设备上的虚拟安全域划分,相比部署多套物理设备的解决方案,减少了企业的成本投入。从网络管理的角度来说,网关虚拟化能够为不同的租户或业务部门提供独立的系统登陆界面、对象管理及安全策略体系,使配置思路更加清晰,权限界定更加明确。另外,网关虚拟化技术能够在用户业务划分发生变化或者产生新的业务部门时,只针对逻辑设备进行增加与调整,提升工作效率的同时,增强了安全策略部署的灵活性。