防火墻是位于內部網和外部網之間的屏障,按照系統管理員預先定義好的規則來控制資料包的進出,是系統的第一道防線,其作用是防止非法用戶的進入。虛擬防火墻就是可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻,每個虛擬防火墻系統都可以被看成是一臺完全獨立的防火墻設備,可擁有獨立的系統資源、管理員、安全策略、用戶認證資料庫等。
以上描述的防火墻一般用于資料中心內部網路和外部網路之間,而云宏君接下來描述的虛擬防火墻則有所不同,它用于資料中心內部網路中虛擬機與虛擬機、虛擬機與物理機之間的網路通信,是一種虛擬網路的網路流量控制防火墻解決方案。
傳統虛擬防火墻解決方案大體是參考物理機的防火墻實作
傳統虛擬防火墻解決方案大體是參考物理機的防火墻實作,在虛擬機內運行虛擬機防火墻軟體,算是更完整地貫徹虛擬的方針。
為了便于調控虛擬防火墻的策略和配置,每臺物理機上都需要部署一個防火墻模塊,以接收來自防火墻控制器發送的配置資訊和防火墻策略進行網路流量的檢測。在主機集群的控制節點上部署防火墻控制器,用于對整個集群環境中所有的防火墻模塊進行統一管理和策略配置。用戶或云計算管理節點的防火墻策略資訊發送給防火墻控制器,實作對虛擬防火墻的調控。
換言之,防火墻控制器需要建立連接,用戶配置的防火墻策略資訊必須通過防火墻控制器的可實施性預分析,才能將用戶配置的防火墻策略資訊發送給防火墻模塊。一旦連接斷開,就需要用戶根據控制器反饋資訊進行修改。除此之外,采用虛擬防火墻軟體方式安裝防火墻,通常需要安裝其他不相干的模塊,哪怕實際上只用得上防火墻模塊。而且有的防火墻軟體過濾規則要逐條過濾網路流量,性能較差。
云宏CNware虛擬防火墻采用了基于OpenvSwitch(簡稱OVS)的openflow流表
為了有效地解決傳統方案的弊端,云宏CNware虛擬防火墻采用了基于OpenvSwitch(簡稱OVS)的openflow流表,配置網路流量過濾規則實作虛擬防火墻功能。CNware虛擬化主機默認采用OVS作為網路管理堆疊。物理主機下面的虛擬機網路通信都會經過OVS下面的bridge,bridge的作用就是虛擬交換機。在bridge上設定openflow流表規則,就可以控制網路流量的通過,實作虛擬防火墻的功能。
云宏CNware虛擬防火墻通程序式下發用戶自定義規則到openflow,能使網路流量交由openflow進行過濾,下發的規則資訊包括防火墻規則所屬物理主機、源型別、源物件值、協議、埠號、目標型別、目標物件值、單雙向等資訊。資料包符合規則的就可以通過虛擬交換機(列入白名單),反之則不能通過(列入黑名單)。
與傳統方案相比,云宏CNware虛擬防火墻不需要防火墻控制器模塊,避免防火墻控制的連接問題,而且層次結構更加簡潔,性能更高效。另外,解決方案使用IP、IP段、MAC等多種配置規則,配置策略更豐富、更靈活。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/42602.html
標籤:虛擬化
下一篇:本地local運行Spark程式報錯 ERROR SparkContext:91 - Error initializing SparkContext