不支持Flash

虚拟防火墙能否承担多业务安全支撑?

http://www.sina.com.cn 2007年10月16日 09:27  天极yesky
 

  在各行各业越来越重视网络安全的今天,面对层出不穷的网络安全事件,为业务系统提供安全保障迫在眉睫。应用安全是对网络应用的安全保障,这些应用包括:信用卡号码、机密资料、用户档案、财务等信息。那么什么是保护这些应用不受恶意攻击的困难所在呢?什么样防火墙可以对这些攻击进行发现及封阻?

  过去,每个业务需要一台硬件防火墙来做业务支撑,为了更好适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务的独立安全策略部署,来实现多台防火墙的功能。

  什么是虚拟防火墙功能呢?虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。

  从定义来看一台防火墙可以逻辑上划分为多台防火墙,所有的系统资源都按比例被分配到各个独立的虚拟防火墙中,当有攻击发生时,各个虚拟防火墙将抵挡各自的攻击,既使某个虚拟防火墙系统资源被网络攻击耗尽,其它虚拟防火墙的资源却不受任何影响,从而有效保证网络其它应用的正常运行,也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后,对用户来说其部署模式:

  

虚拟防火墙能否承担多业务安全支撑?  

  利用逻辑划分的多个防火墙实例来部署多个业务的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展,当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,在一定程度上极大的降低了网络安全部署的复杂度。另一方面,由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管理维护的网络设备。简化了网络管理的复杂度,减少了误操作的可能性。

  虚拟防火墙是一个逻辑上的概念,每个虚拟防火墙都是VPN实例和安全实例的综合体,能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN子接口和二层Trunk接口+VLAN。默认情况下,所有的接口都属于根防火墙实例(Root),如果希望将部分接口划分到不同的虚拟防火墙,必须创建虚拟防火墙实例,并且将接口加入虚拟防火墙中。根虚拟防火墙不需要创建,默认存在。


VPN与虚拟防火墙

  VPN实例与虚拟防火墙是一一对应的,它为虚拟防火墙提供相互隔离的VPN路由,与虚拟防火墙相关的信息主要包括:VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。安全实例为虚拟防火墙提供相互隔离的安全服务,同样与虚拟防火墙一一对应。安全实例具备私有的ACL规则组和NAT地址池;安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。

  虚拟防火墙的引入一方面是为了解决业务多实例的问题,更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略,同时默认情况下,不同的虚拟防火墙之间是默认隔离的。对于防火墙系统接收到的数据流,系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。在各个虚拟防火墙系统中,数据流将根据各自系统的路由完成转发。

  对于有多业务需求大中型的企业来说,该如何部署组建一张MPLS VPN专网?我们将一台具有这种功能的防火墙产品放在中、高端交换机上进行部署。可以根据大中型企业业务功能,那种业务有可能受到网络安全的危害,可以充分地利用交换机的高密度端口和可以动态增减的虚拟防火墙保证企业对今后业务发展的适应能力。充分利用基础网络平台,实现网络和安全的融合。可以有效的简化拓扑,方便管理。  

虚拟防火墙能否承担多业务安全支撑?

                                                           

  业务的稳定性是至关重要的,尤其对于服务器托管服务更是重中之重,因为,这项业务关系着企业经济利益。面对企业的安全资金投入有限,仅能购买一台防火墙,但却又有对内部财务网络单独防护的需求的这种情况。防火墙的虚拟防火墙功能,将a网络从内网中剥离出来,单独划分到防火墙的虚拟防火墙系统中进行单独的防护。

  这样不仅有效的避免由于内网的蠕虫爆发导致对财务系统的危害,更能保证a系统的正常运行。如何能够在安全方面投入最低,但却能够获得最高的安全回报呢?结合企业网络结构及网络应用情况,来选择具有虚拟防火墙功能产品。


      虚拟防火墙的配置和使用应该坚持四个基本原则

  一、对防火墙环境设计来讲,首要的就是越简单越好。设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。

  二、单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙环境中,深层防御战略体现有二:

  1)多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御。

  2)将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层面安全体系。

  三、防火墙的一个特点是防外不防内,对内部威胁要采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。安全制度和安全管理是防止内部威胁的最主要手段。

  可见,虚拟防火墙功能是一个贴近用户需求,切实为用户带来很高的投入产出比而设计的安全功能。虚拟防火墙最直接的好处是帮助用户提高的安全防护能力,简化对防火墙的管理,有效降低网络安全防护所需的投资,满足一些特殊部署要求,并大大降低管理维护成本。一台的虚拟防火墙可以为多业务安全支撑做好坚强的后盾。

 

爱问(iAsk.com)
不支持Flash
·城市营销百家谈>> ·城市发现之旅有奖活动 ·企业管理利器 ·新浪邮箱畅通无阻
不支持Flash