当前位置:文档之家› Hillstone虚拟防火墙技术解决方案白皮书

Hillstone虚拟防火墙技术解决方案白皮书

图1 使用虚拟防火墙进行业务灵活扩展
在传统数据中心方案中,业务服务器与防火墙基本上是一对一配比。

因此,当业务增加时,用户需要购置新的防火墙;而当业务减少时,对应的防火墙就闲置下来,导致投资浪费。

虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙。

同时,通过使用虚拟防火墙的CPU资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M吞吐量的虚拟防火墙,而向另一些客户出租100M吞吐量的虚拟防火墙。

Hillstone 的虚拟防火墙功能简称为VSYS ,能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的大部分功能。

每个虚拟防火墙系统之间相互独立,不可直接相互通信。

不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同,支持License 控制的VSYS 个数的扩展。

数据中心业务类型多种多样,需要使用的防火墙策略也不同。

例如,DNS 服务器需要进行DNS Query Flood 攻击防护,而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。

虚拟防火墙的划分能够实现不同业务的专属防护策略配置。

同时,CPU 资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。

图2
使用虚拟防火墙进行业务隔离
Hillstone 虚拟防火墙功能包含以下特性:
■ 每个VSYS 拥有独立的管理员
■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■
每个VSYS 拥有独立的日志
1.2 业务隔离,互不影响
3.2 专有对象与共享对象
系统在没有配置任何虚拟防火墙时,只有一个逻辑的防火墙系统,称为根虚拟系统(根VSYS ),所有的系统资源都被根VSYS 所使用(不只是硬件资源)。

从根VSYS 中划分出来的逻辑防火墙,称为非根VSYS 。

非根VSYS 根据事先配置的虚拟防火墙资源配额配置,从根VSYS 中划分系统资源。

虚拟防火墙系统资源分配原则将在3.3
节进
行详细讲解。

图4 专有对象与共享对象原理
图3 根VSYS 与非根VSYS 的关系
上图为Hillstone 虚拟防火墙系统资源虚拟化计算原则,各项中的参数max-num1和max-num2都需要按照图中表格下方公式单独计算,公式中的capacity 参数为系统当前各项指标支持的最大规格,max-vsys-num 参数为系统当前支持VSYS 的最大个数(License 控制)。

针对CPU 资源虚拟化技术,Hillstone 提出了HSCS (HS CPU Score )的概念,即CPU 能够处理1M 小包的能力。

例如,某款产品CPU 处理能力为100M 的小包,那么该款产品CPU 的处理能力是100HSCS 。

虚拟防火墙系统资源配额配置举例,假设Hillstone 某型号防火墙当前系统各项指标大规格(Capacity )如下表所示,且系统当前支持的最大VSYS 数为5:
3.3 虚拟防火墙系统资源虚拟化计算原则
VSYS 中的安全域和接口对象具有专有和共享属性。

具有专有属性的对象称为专有对象;将具有共享属性的对象经过相关配置后即成为共享对象。

专有对象和共享对象有如下特征:

专有对象:
专有对象专属于某个VSYS ,不可以被其它VSYS 引用。

根VSYS 和非根VSYS 中均可包含专有对象。


共享对象:
共享对象可被多个VSYS 共享。

共享对象只能属于根VSYS ,并且只能在根VSYS 中配置;非根VSYS 只能引用共享对象,不能对其进行配置。

共享对象的名称必须全局唯一,任何一个VSYS 中的对象都不可以与同类共享对象重名。

图5 虚拟防火墙系统资源虚拟化计算原则
4.1 内外网物理接口都专有。

Hillstone 虚拟防火墙典型组网场景
图6 内外网物理接口都专有的组网场景
图7 内网物理接口专有、外网物理接口共享的组网场景
传统数据中心业务服务器与防火墙采用一对一的配比,这种方案通常使用内外网物理接口都专有的组网方案进行过渡,即使用支持虚拟防火墙的高性能单台设备替换原有多台分散的物理防火墙设备。

互联网出口较少或者单一时,比较适合使用的是内网物理接口专有、外网物理接口共享的组网方案,各非根VSYS 专有自己的内网物理接口,防火墙在部署过程中不影响交换机的原有配置。

4.2 内外物理接口专有、外网物理接口共享
图8 内外网物理接口都共享的组网场景
内网接口和互联网出口都单一的组网也是一些用户可能遇到的场景。

虽然防火墙在部署过程中内外网物理接口都公用,但实际上只有外网接口及其所属的安全域是共享对象。

内网接口需要先配置子接口,再将各子接口划分给各非根VSYS 专有。

由于防火墙子接口只能处理带VLAN 标记的报文,这就需要更改交换机与防火墙相连的接口为Trunk 口,同时更改交换机与各服务器相连的接口为Access 口。

这样就相当于通过VLAN 将各业务系统进行隔离,各业务系统又都拥有自己独立的虚拟防火墙系统。

4.3
内外网物理接口都共享。

相关主题

相关文档推荐: