基于SOP架构一种轻量级虚拟化防火墙实现.docVIP

基于SOP架构一种轻量级虚拟化防火墙实现 　　摘要：采用SOP架构是基于容器轻量级的虚拟化技术，在一个安全引擎内，通过唯一的OS内核对系统硬件资源进行管理，每个虚拟防火墙作为一个容器实例运行在同一个内核之上。隔离了租户之间的故障影响，能够更好地满足云计算时代的多租户运营模型。 　　关键词：SOP；虚拟化技术；防火墙；容器实例 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）21-0020-02 　　Abstract： SOP architecture is a lightweight container-based virtualization technology， a security engine， through a unique system of OS kernel manages hardware resources， each virtual firewall as a container instance runs on the same core. Fault isolation impact between tenants， better able to meet the multi-tenant cloud computing era operating model. 　　Key words： SOP； virtualization technology； firewall；container 　　1 传统虚拟化防火墙的分析 　　公有云及私有云等云计算业务的开展，均存在将一台物理设备进行1：N虚拟化之后提供给不同租户使用的需求。要求虚拟防火墙之间业务数据相互隔离，能够提供独立管理、独立审计、独立安全策略，同时能够给每个虚拟防火墙分配独立的处理能力。 　　传统防火墙产品在解决虚拟化问题通常有两种技术：基于虚拟路由和基于虚拟机。 　　基于虚拟路由的安全虚拟化方案在数据平面，围绕转发表，通过VRF或类似技术将转发相关的表项（如路由表、ARP表）分割成多个逻辑的表，实现报文转发的隔离；在管理平面，为不同虚拟防火墙关联不同的管理员，实现管理的隔离；在控制平面，需要针对每种业务逐一考虑虚拟化的改造，使其支持虚拟化。这种虚拟化方案，本质上是一种多实例技术，是在已有非虚拟化的系统架构上，对一些主要安全业务进行多实例的改造，只能对个别安全业务实现部分虚拟化，系统可扩展性差。 　　基于虚拟机的安全虚拟化方案中CPU、内存和I/O资源由底层的Hypervisor或Emulator实现模拟。虚拟防火墙作为一个GuestOS运行在虚拟化的硬件环境中，因此，基于虚拟机的虚拟化从安全业务的角度来说，是一种完全的虚拟化方案，更容易部署和迁移，也避免了虚拟化后导致的部分功能缺失的问题。但是，基于虚拟机的虚拟化通过Hypervisor或Emulator作为中间层，给上层构造了一个完全独立的虚拟硬件空间，每个GuestOS需要独立构造完整的操作系统和业务环境，由此也带来了一些问题。比如，单台物理设备/服务器上运行的虚拟防火墙数量很少，报文转发时延加大等。使得这种方案更适合部署在虚拟防火墙数量要求不多、业务性能不高的场景。 　　2 SOP虚拟化防火墙的架构 　　SOP架构采用基于容器的虚拟化技术，是一种轻量级的虚拟化技术，在一个安全引擎内，通过唯一的OS内核对系统硬件资源进行管理，每个虚拟防火墙作为一个容器实例运行在同一个内核之上。图1为SOP虚拟化防火墙构架示意图。 　　采用容器化技术，虚拟防火墙有独立的进程上下文运行空间，容器与容器之间的运行空间完全隔离，天然具备了虚拟化特性。攻击者无法从一个虚拟墙进入另一个虚拟墙或者获取另一个虚拟墙的数据。相比传统的VRF隔离，具有更好的数据安全性。在一个容器中，运行了完整的防火墙业务系统（包括管理平面、控制平面、数据平面），从功能角度看虚拟化后的系统和非虚拟化系统的功能是一致的（整机重启、存储格式化、集群配置等全局系统配置只能由系统管理执行）。同时进程空间的隔离实现了虚拟墙的故障隔离。 　　由于多个虚拟墙共享统一的OS内核，可以从调度入口灵活分配每个虚拟墙的处理能力比如吞吐、并发、新建等，也可以在线动态地增加资源。同时，基于容器的虚拟化实现在容器中并不需要运行完整的操作系统，减少了由于完全虚拟化带来的内存开销，每个VFW可以直接通过内核和物理硬件交互，避免了和虚拟设备交互代理的性能损耗，所以可以支持更多的虚拟防火墙实例，而不会对系统性能造成实质影响。上面三种虚拟化方案实现的主要特点对比如表1所示。 　　3 SOP虚拟化架构资源分配策略 　　SOP虚拟化架构的资源分配策略主要包括以下两种方法：按照接口、vlan分配和系统处理能力分配策