《新一代防火墙技术及应用》课件第12章 虚拟防火墙.pptx

12.1虚拟防火墙概述12.2深信服vNGAF简介12.3深信服vNGAF部署与管理12.4本章小结新一代防火墙技术及应用学习目标了解虚拟防火墙的产生了解虚拟防火墙定义及优势掌握虚拟防火墙技术原理掌握深信服虚拟防火墙的部署和配置本章重点防火墙定义及优势虚拟防火墙技术深信服虚拟防火墙的部署和配置本章难点虚拟防火墙技术深信服虚拟防火墙的部署和配置新一代防火墙技术及应用12.1虚拟防火墙概述新一代防火墙技术及应用12.1虚拟防火墙概述随着互联网的飞速发展，企业和机构的业务规模和管理复杂度都在急剧的增加，安全问题也日益凸显，尤其是来自web应用的攻击，传统防火墙在部署、防护、投资、运维等各个方面捉襟见肘，各个信息安全厂商开始研发虚拟防火墙产品。如深信服下一代虚拟防火墙vNGAF产品是专为虚拟化云计算网络安全而设计，可以无缝集成到虚拟化或云计算平台上，满足用户随需选配和灵活扩展的安全需求，实现对hypervisor上二层到七层流量深度检测和清洗，有效解决虚拟网络中的区域隔离、访问控制、风险识别、威胁防护、漏洞检测、应用控制等安全需求。新一代防火墙技术及应用12.1.1虚拟防火墙的产生和定义我们以MPLSVPN(多协议标签交换虚拟专网技术)组网为例，介绍在新的业务模型下传统防火墙是如何实现对各相互独立的业务部门进行各自独立的安全策略部署的。业界通行的做法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部署，实现对部门网络的访问控制。传统的防火墙的一般部署模式如图所示。新一代防火墙技术及应用12.1.1虚拟防火墙的产生和定义然而，由于企业VPN数量众多，而且企业业务发展迅速，显而易见，这种传统的防火墙部署模式会导致防火墙数量增多，管理不方便，已经不太适应现有的应用环境，存在着如下的不足：·为数较多的部门划分，导致企业要部署管理多台独立防火墙，从而致使拥有和维护成本较高；·集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度；·物理防火墙的增加意味着网络中需要管理的网元设备的增多，势必增加网络管理的复杂度。新一代防火墙技术及应用12.1.1虚拟防火墙的产生和定义由于传统防火墙部署缺陷和应用的不足，以及虚拟化技术的普遍性发展，为了更加适应新业务模式的需要，虚拟防火墙技术应运而生。虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。虚拟防火墙可以分为软件虚拟防火墙和硬件虚拟防火墙。新一代防火墙技术及应用12.1.1虚拟防火墙的产生和定义虚拟防火墙诞生以后，对用户来说其部署模式变为如图所示形式。在MPLS网络环境中，在PE与CE之间部署一台物理防火墙。利用逻辑划分的多个防火墙实例来部署多个业务VPN的不同安全策略。这样的组网模式极大地减少了用户拥有成本。随着业务的发展，当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活地解决后续网络扩展问题，在一定程度上极大地降低了网络安全部署的复杂度。另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙，极大地减少了企业运维中需要管理维护的网络设备，简化了网络管理的复杂度，减少了误操作的可能性。新一代防火墙技术及应用12.1.2虚拟防火墙的优势和安全隐患通过上述对虚拟防火墙的介绍，可以看出虚拟防火墙与传统的防火墙相比，存在着如下优势：(1)通过一台防火墙虚拟多个逻辑防火墙，降低了投资成本；(2)通过逻辑管理虚拟防火墙设备，体现了灵活性和扩展性；(3)通过虚拟化统一管理平台，管理员只需对一台防火墙进行管理，大大减轻了工作量，减少了故障点；(4)虚拟防火墙作为产品和服务供应是MSSP(管理安全服务供应商)服务模式的体现。新一代防火墙技术及应用12.1.2虚拟防火墙的优势和安全隐患虚拟防火墙虽然有很多优势，但同时也存在着一些安全隐患：(1)虚拟化产品本身的安全性不足则会带来黑客使用隐患；(2)虚拟化安全产品的可控性是产品使用的关键点，尤其是关键基础设施信息系统中的应用；(3)虚拟化产品的管理需要较为严格的应用管理规范，从而为虚拟化产品的使用提供管理保障。新一代防火墙技术及应用12.1.3虚拟防火墙技术原理虚拟化技术的实现形式是在系统中加入一个虚拟化层，将下层的资源抽象成另一形式的资源，提供给上层使用。防火墙虚拟化就是使软件和硬件相互分离，把软件从主要安装硬件中分离出来，使得上层虚拟应用防火墙系统可以直接运行在虚拟环境上，可允许多个应用防火墙系统同时运行在一个物理防火墙主机上。虚拟防火墙技术原理如图所示。虚拟化平台上物理C