在數(shù)據(jù)中心中�,安全策略的部署一直是一個(gè)有挑戰(zhàn)的任務(wù)����,需要根據(jù)具體服務(wù)器的應(yīng)用特點(diǎn)對不同類型的應(yīng)用系統(tǒng)制定不同級別的防護(hù)策略。在傳統(tǒng)的數(shù)據(jù)中心中����,由于應(yīng)用系統(tǒng)和服務(wù)器區(qū)域基本都是固定不變的,所以安全策略僅在規(guī)劃初期工作量較大�����,后期更多的是進(jìn)行策略的更新和細(xì)微的調(diào)整�。然而在虛擬化環(huán)境下則完全不同,應(yīng)用系統(tǒng)和服務(wù)器是自由匹配和隨需遷移的關(guān)系�,每一次虛擬機(jī)的遷移對應(yīng)安全策略的改變和調(diào)整,如果不能實(shí)現(xiàn)動(dòng)態(tài)的配置調(diào)整���,對于虛擬環(huán)境下安全策略的部署將不具備可實(shí)施性�。
在數(shù)據(jù)中心網(wǎng)絡(luò)進(jìn)行虛擬化整合的基礎(chǔ)上進(jìn)行安全虛擬化��,將部署的安全業(yè)務(wù)系統(tǒng)進(jìn)行邏輯的分割��,即將一臺安全設(shè)備/模塊分割成若干臺邏輯安全設(shè)備,分割后的邏輯網(wǎng)絡(luò)內(nèi)部有獨(dú)立的數(shù)據(jù)通道���,對數(shù)據(jù)中心網(wǎng)絡(luò)安全資源進(jìn)行更加細(xì)致的劃分��,可以根據(jù)業(yè)務(wù)特征在邏輯網(wǎng)絡(luò)內(nèi)進(jìn)行靈活的安全策略的部署和匹配�����,實(shí)現(xiàn)虛擬機(jī)遷移后對應(yīng)的安全策略也隨之動(dòng)態(tài)遷移,掃清數(shù)據(jù)中心服務(wù)器虛擬化實(shí)施所帶來的安全策略部署的困難��。在部署時(shí)�����,網(wǎng)絡(luò)設(shè)備和安全設(shè)備都需要支持虛擬化技術(shù)����,網(wǎng)絡(luò)設(shè)備通過多虛一的方式整合網(wǎng)絡(luò),然后在其基礎(chǔ)上部署支持虛擬化技術(shù)(一虛多的方式,例如:虛擬防火墻技術(shù))的安全設(shè)備/模塊��,最終實(shí)現(xiàn)虛擬環(huán)境下動(dòng)態(tài)的安全策略部署����。
當(dāng)前在交換網(wǎng)絡(luò)上通過VLAN來區(qū)分不同業(yè)務(wù)網(wǎng)段��、配合防火墻等安全產(chǎn)品劃分安全區(qū)域����,是數(shù)據(jù)中心基本設(shè)計(jì)內(nèi)容之一��。出于將多個(gè)邏輯網(wǎng)絡(luò)隔離����、整合的需要,MPLS-VPN�、Multi-VRF技術(shù)在路由環(huán)境下實(shí)現(xiàn)了網(wǎng)絡(luò)訪問的隔離。而針對終端準(zhǔn)入的控制方式��,如GSN����,則實(shí)現(xiàn)了合法用戶對網(wǎng)絡(luò)資源的授權(quán)訪問,并通過認(rèn)證的手段可實(shí)現(xiàn)在不同邏輯網(wǎng)絡(luò)之間實(shí)現(xiàn)切換�����,或稱為網(wǎng)間切換��,如圖所示端到端隔離虛擬化的數(shù)據(jù)中心訪問方式: 端到端虛擬化中,各層次網(wǎng)絡(luò)的作用:
用戶接入隔離:利用GSN方案保證接入用戶的合法性�,并能夠識別用戶的訪問權(quán)限,可將用戶通過認(rèn)證授權(quán)方式分配置不同的邏輯網(wǎng)絡(luò)(VLAN�、VPN),屏蔽用戶終端類別�,實(shí)現(xiàn)統(tǒng)一接入。
中間網(wǎng)絡(luò)隔離:利用MPLS VPN/Multi-VRF保證接入用戶能夠正確訪問相應(yīng)的資源��,以及業(yè)務(wù)數(shù)據(jù)交換的隔離�����。
數(shù)據(jù)中心虛擬化:通過集中策略管理����、安全劃分����,保證數(shù)據(jù)中心、服務(wù)器能為相應(yīng)的合法用戶提供服務(wù)���,保證存儲資源訪問的隔離��。
網(wǎng)絡(luò) 1:N 虛擬化的應(yīng)用方案—數(shù)據(jù)中心橫向整合����;
數(shù)據(jù)中心的很多應(yīng)用都基于B/S多級架構(gòu),Web/App/DB����;
Web與App,App與DB間要部署FW和LB設(shè)備�����;
通過網(wǎng)絡(luò)虛擬化����,可以簡化網(wǎng)絡(luò)架構(gòu),減少設(shè)備量��,降低運(yùn)營成本��。
網(wǎng)絡(luò)設(shè)備1:N虛擬化的傳統(tǒng)實(shí)現(xiàn)方式: Mutil-VRF�����、多實(shí)例防火墻����,一個(gè)操作系統(tǒng)上的多個(gè)轉(zhuǎn)發(fā)表項(xiàng);RG-S12000、RG-S6200系列均支持以上模式����,操作系統(tǒng)中可獨(dú)立出多個(gè)轉(zhuǎn)發(fā)表項(xiàng),實(shí)現(xiàn)網(wǎng)絡(luò)1:N虛擬化�。
