云安全 | 云安全防护：虚拟化分布式防火墙彰显实力！

Gartner在2016年的安全与风险管理峰会上发布了十大信息安全技术，其中一项就是微分段和流量可视化（Microsegmentation and Flow Visibility）。由于云计算中心虚拟环境是内部相联的，一旦攻击者在虚拟环境系统中有了立足之地，他们通常会横向(“东/西”)畅通无阻地移动到其他系统，导致整个云计算中心都处于该威胁范围内。目前微分段主要用于云计算环境下的安全，尤其是针对云中东西向流量的安全保护。

天融信虚拟安全防护系统TopVSP中的虚拟化分布式防火墙vDFW组件基于零信任的安全理念，采用微分段安全防护技术，将天融信下一代安全防火墙以虚拟化的形式直接部署在物理机上，为虚拟机和云计算中心提供通过水平扩展部署在Hypervisor的方式来扩充东西向防火墙的处理能力，提供更加精细颗粒度的访问控制。

虚拟化分布式防火墙可以通过快速灵活统一的部署，为用户提供全方位、多层次、可扩展，智能化的安全隔离和防护，下面我们将详细介绍基于微分段安全防护的vDFW的具体优势：

最贴身：与传统的基于物理架构和设备实施的安全模式不同，在云计算中心中分布式系统安全，VM（虚拟机）是安全保护的最小单元，VM启动后，与之相应的vDFW也就开始发挥作用，每个VM的进出流量都需要经过防火墙。VM移动到之处，安全策略都发挥作用。

最弹性：传统硬件形态的安全设备都有性能的上限，而且虚拟化安全设备虽然在性能上具备了一定弹性，但随着业务量的增长，在安全防护策略上调整和改动还是不够及时和敏捷。vDFW是以VM为单位，服务对应的物理服务器，当VM的数据进出时，就完成了对数据过滤工作，而不用像物理防火墙/虚拟化防火墙那样要集中对内部流量进行过滤，从而消除了性能瓶颈，实现分布式水平性能扩展。在业务量的增长和网络环境的调整方面，只需要在管理端完善新增业务对应的安全策略并下发即可，敏捷响应业务变化的需求。

最智能：传统的安全硬件设备的访问控制通常都是基于五元组的配置模式，即源IP、源端口、目的IP、目的端口、传输协议。基于微分段技术的vDFW可以通过虚拟化平台开放的管理接口，获取不同的虚拟环境属性或直接利用安全组的方式来设定防护机制。vDFW可以使用灵活的参数来定义安全策略，例如虚拟机名称、工作负载类型和客户操作系统类型，做到真正与业务应用逻辑匹配，也不必受拓扑或晦涩难解的防火墙命名规范限制。即使虚拟机的基本信息（IP/名称/工作负载）发生变化，vDFW也可以根据管理接口反馈的信息，智能匹配上新的安全策略，并不需要手工调整。

最全面：vDFW集成了入侵防御、病毒防御、URL分类过滤、上网行为管理、流量管理、DoS/DDoS防护、反垃圾邮件等功能组件，具备天融信下一代防火墙的安全防护能力优势，同时还可以扩展支持僵尸网络阻断、APT防御等高级威胁安全功能模块。

最透明：利用虚拟化平台提供的API接口，vDFW以虚拟机的形式完全透明的部署在物理服务器上，实现对该服务器上所有虚拟机的安全防护。对整个虚拟机的网络拓扑不产生任何改变。

最可视： vDFW部署在虚拟机前端，清楚完整的获取每台虚拟机的进出流量。通过集中管理平台或云管理平台能够提供丰富的网络及安全可视化展示方式，从应用和用户视角多层面的将云计算中心虚拟机之间的应用及安全状态展现出来，包括对当前状态的实时监控、历史信息的精确还原和对各种数据的智能统计分析，例如系统状态实时跟踪、网络流量趋势分析、会话状态快速定位、网络应用与安全事件分类统计分析等等，使管理者能够清晰、准确的认知网络运行状况与安全态势，能够更好地设置对应的安全策略并协助纠偏。

最便捷：vDFW提供了更好的自动化部署方式，整个云计算数据中心只需集中化统一管理一个（分布式）防火墙。通过位于内核的分布式防火墙，用户可以实现数据中心的微分段，将安全策略及防护部署在数据中心内部的各个角落。因为安全是通过软件层面部署的，安全策略可以在几分钟内创建和实施，消除传统网络部署的滞后时间，如安装更多安全硬件或重新配置网络系统相关操作。

天融信虚拟化分布式防火墙TopVSP-vDFW可以通过高效可靠全面的安全防护与访问控制在应用/租户之间实现真正的隔离，进而实现软件定义数据中心的安全策略部署。

热点推荐

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!