文/张东亮

数据中心虚拟化是指采用虚拟化技术构建基础设施资源池，主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路，而是将整个数据中心的计算、存储、网络等基础设施看作可按需分割的资源集中调配。安全产品作为网络侧的不可或缺的业务，为了适应数据中心虚拟化的发展，同样需要进行虚拟化，形成数据中心安全资源池。

目前业界很多厂商都推出了虚拟化的安全产品，在数据中心网络进行虚拟化整合的基础上进行安全虚拟化，将部署的安全业务系统进行逻辑的分割，即将一台安全设备分割成若干台逻辑安全设备，分割后的逻辑网络内部有独立的数据通道，对数据中心网络安全资源进行更加细致的划分，可以根据业务特征在逻辑网络内进行灵活的安全策略的部署和匹配，解决数据中心服务器虚拟化和网络虚拟化所带来的安全策略部署的问题。在部署时，网络设备和安全设备都需要支持虚拟化技术，通过多虚一的方式整合网络，然后在其基础上通过安全设备一虚多技术，最终实现虚拟环境下动态的安全策略部署。

因此，构建全虚拟化的安全架构需要从多个角度逐步完善。

一、 N:1虚拟化，让多台安全设备有机融合

独立安全设备的虚拟化

对于独立的安全设备，如果希望实现多台设备的有机融合，传统的方式难以满足。因为VRRP+双机热备的模式，仅能解决两台设备之间互为备份的问题，本质上，两台设备之间仍然相互独立，存在部署管理复杂、扩展性差的问题。而通过IRF横向虚拟化技术可以实现多台设备逻辑上的统一：管理平面呈现统一的配置界面、对外体现统一的监控节点；控制平面进行统一的协议报文处理、维护统一的转发表项；组网上多台设备虚拟化后对上下游设备体现为单一的业务处理节点，可以消除二层环路、简化路由配置；同时虚拟化后可以极大地扩展系统性能及端口密度（如图1所示）。

http://www.h3c.com.cn/res/201408/06/20140806_1913545_image001_837248_30008_0.jpg

图1 N:1安全虚拟化前后对比

安全设备实现横向虚拟化后，在可维护性、高可靠性和切换时间方面会有了质的提升，可以做到各种情况下的毫秒级切换，相比传统的基于VRRP或路由的双机部署有明显改进。

“交换机+多安全插卡”的虚拟化

目前还有一些安全产品的形态是“交换机+多安全插卡”。其中主控引擎负责配置管理、路由学习，安全插卡负责对引流上来的流量进行安全业务处理，接口板负责根据静态或动态生成的引流策略进行数据流量分发，需要保证同流同宿。分布式架构从根本上解决了“交换机（路由器）+插卡”管理离散、引流复杂的弊端。

在“交换机+多插卡”设备中，安全插卡作为具体业务处理单元，由主控板统一管理，所以多插卡设备的横向虚拟化技术实现与网络设备横向虚拟化本质相同，配置管理及组网部署一致。在备份方案上，与独立安全设备不同，“交换机+多插卡”横向虚拟化的备份是通过安全插卡的一对一备份来实现的。

ž 在横向虚拟化IRF系统中，同时存在多个安全插卡，管理员可以根据业务进行安全插卡功能划分，将处理相同业务的多个安全插卡加入同一个逻辑引擎组；使当前离散的安全插卡逻辑归一化。同时，“交换机+多插卡”设备由于备份是在内部安全插卡之间，所以外部互联聚合口成员都处于活动状态。内部安全插卡切换时，外部互联聚合口状态不变，外部无感知。

二、 1:N虚拟化，满足多租户安全隔离

1:N的安全虚拟化技术，可以把一台物理防火墙虚拟成多台虚拟防火墙，多台虚拟防火墙共享物理防火墙的接口、CPU、内存、存储及硬件引擎等资源。多台虚拟防火墙相互独立，每个虚拟防火墙实例对外呈现为一个完整的防火墙系统，即独立的管理员、独立的日志系统、独立的安全策略和独立的组网策略等（如图2所示）。

http://www.h3c.com.cn/res/201408/06/20140806_1913546_image002_837248_30008_0.jpg

图2 1:N安全虚拟化

MDC-Like安全虚拟化

MDC-Like是1:N的安全虚拟化技术，该技术采用基于容器的虚拟化方案。基于容器的虚拟化方案是一种轻量级的虚拟化技术，在一个安全引擎内，通过唯一的OS内核对系统硬件资源进行管理，每个虚拟防火墙作为一个容器实例运行在同一个内核之上（如图3所示）。

http://www.h3c.com.cn/res/201408/06/20140806_1913547_image003_837248_30008_0.jpg

图3. MDC-Like安全虚拟化示意图

通过统一的OS内核，可以细粒度的控制每个虚拟防火墙容器对CPU、内存、存储等硬件资源的利用率，也可以管理每个vFW使用的物理接口、VLAN等资源，有完善的虚拟化资源管理能力。通过统一的调度接口，每个容器所能使用的资源支持动态的调整，比如，可以根据业务情况，在不中断vFW业务的情况下，在线动态增加某个vFW的内存资源。

虚拟防火墙容器有自己独立的进程上下文运行空间，容器与容器之间的运行空间完全隔离，天然具备了虚拟化特性。容器中，运行的防火墙业务系统（包括管理平面、控制平面、数据平面）具备独立完整的业务功能。因此，从功能的角度看，虚拟化后的系统和非虚拟化的系统功能一致。

由于每个虚拟防火墙并不需要运行完整的操作系统，减少了由于完全虚拟化带来的内存开销。从性能的角度，每个vFW可以直接通过内核和物理硬件交互，避免了和虚拟设备交互代理的性能损耗。

但防火墙通常部署在网络出口的位置，需要多个虚拟防火墙共用一条出口物理链路。为了实现这个需求，往往需要把物理接口通过VLAN划分成多个子接口，在每个子接口上规划不同的网段，这就导致网络规划非常复杂。同时，在新增虚拟防火墙时，不得不配合调整上下游网络设备的配置，造成安全虚拟化业务部署难度加大。这就需要考虑接口资源虚拟化设计。

接口资源虚拟化设计

接口的虚拟化是指物理防火墙中的一个物理口（GE、10GE接口）或者逻辑口（聚合口、子接口）允许被多个虚拟防火墙使用。物理设备的一个接口同时分配给多个虚拟防火墙，该接口形式上被这些虚拟防火墙共享使用。这种方式中，被共享的接口在每个虚拟防火墙中分别形成一个独立的逻辑接口实例，可以由虚拟防火墙级管理员各自配置接口的IP地址、路由协议、安全业务等。因此，这种接口虚拟化也称作接口的共享分配。支持虚拟化的接口类型包括三层物理口、二层物理口、聚合口、子接口、VLAN逻辑口等。

系统级管理员根据虚拟防火墙业务的需要，采用接口虚拟化技术为虚拟防火墙分配所需的接口，从而组成了一台完整的虚拟防火墙设备。接口虚拟化可以很好的解决多个虚拟防火墙共享物理链路的组网需求，大大简化了部署难度（如图4所示）。

http://www.h3c.com.cn/res/201408/06/20140806_1913548_image004_837248_30008_0.jpg

图4 接口资源虚拟化前后对比示意图

三、 N:1与1:N安全虚拟化的结合

在单台物理防火墙满配置所支持的虚拟防火墙数量不能满足需要时，通过IRF横向虚拟化可以进一步扩展系统支持的虚拟防火墙实例容量。

http://www.h3c.com.cn/res/201408/06/20140806_1913549_image005_837248_30008_0.jpg

图5 安全虚拟化架构和IRF集成示意图

如图5所示，多台分布式的防火墙单元通过横向虚拟化技术组成防火墙集群，由IRF的全局主控单元进行统一管理，全局主控单元可以统一管理虚拟化集群内的所有防火墙插卡的CPU、内存、接口等硬件资源，以及分别响应的虚拟防火墙实例。

四、 虚拟化安全管理

物理防火墙虚拟化后分为一个缺省防火墙和多个虚拟防火墙，缺省防火墙无需创建，默认拥有物理防火墙的全部资源，包括CPU、内存、物理接口等。虚拟防火墙实例则可以根据业务需要可以动态创建、删除和迁移。

针对缺省防火墙和虚拟防火墙实例的管理需要，弹性虚拟化安全架构设计了基于分级的多角色虚拟化管理方法，每个管理设备的用户都会被分配特定的级别和角色，从而确定了该用户能够执行的操作权限。所谓分级别是指权限管理分为系统级和虚拟防火墙级。所谓多角色是指，通过基于角色的访问控制(Role-Based Access Control, RBAC)特性，可以定义管理员、操作员、审计员等不同角色，从而限定用户的管理能力范围。

概况来说，用户的级别限定了用户所能管理的资源、策略的范围，保证了不同虚拟防火墙实例之间的管理相互隔离；用户的角色限定了在自己的级别范围内能够执行的操作，可以满足虚拟防火墙内部实现了灵活、分权的管理策略。

除此之外，虚拟化管理也支持配置文件的虚拟化：虚拟防火墙的各种网络配置、安全策略以及用户信息独立保存在配置文件中。虚拟防火墙级管理员级的管理员有权限管理本虚拟防火墙的配置文件，包括配置文件的导入导出等。通过配置文件的虚拟化，管理员可以很容易的实现虚拟防火墙级别的灵活迁移和快速部署。

五、 结束语

从数据中心虚拟化发展的过程来看，服务器的虚拟化催熟了网络虚拟化技术，而网络的虚拟化技术又对安全产品虚拟化提出了新的要求，应该说安全产品的虚拟化和服务器及网络相比，存在一定的滞后性，业界很多安全产品还无法做到全面的虚拟化，达不到安全资源池化的要求，因此安全产品需要提升虚拟化的进度，以适应数据中心基础设施虚拟化的发展，为新一代数据中心提供更好的安全服务。