在云网融合的安全建设过程中，要想满足租户的网络安全隔离且独立管理的需求，高性能、高可靠、可扩展、虚拟化、统一管理的安全资源池建设是关键。通过部署在汇聚层的安全多业务资源池，多租户可以向运营商自助式申请安全服务。在这个过程中，多租户之间的业务安全隔离和安全设备资源的保证完全依赖于虚拟化技术的实现；而高可靠则是云计算租户和云计算服务商之间签署SLA协议的关键性指标。

1. 安全资源池的虚拟化技术

虚拟化技术是实现基于多租户业务隔离的关键步骤。和传统厂商的虚拟化实现方式不同，H3C的安全虚拟化是一种基于容器的完全虚拟化技术。每个安全引擎通过唯一的OS内核对系统硬件资源进行管理，每个虚拟防火墙作为一个容器实例运行在同一个内核之上，虚拟防火墙之间相互独立，每个虚拟防火墙都具备精细化的资源限制能力（如图1所示）。

http://www.h3c.com.cn/res/201408/28/20140828_1928719_image004_839592_30008_0.jpg

图1 安全资源池

2. 安全资源池的高可靠性技术

可靠性是安全资源池最为重要的指标之一，也是云计算租户和服务商之间SLA协议的关键性指标，它关系到租户业务对外提供的持续性和健壮性。H3C高性能安全资源池提供了多种可靠性保证技术，可在设备故障、单板故障、链路故障、主控故障等多种情况下完成用户业务的快速切换，其主要的技术特点如图2所示。

http://www.h3c.com.cn/res/201408/28/20140828_1928720_image005_839592_30008_0.jpg

图2 安全资源池高可靠性技术

在通过分布式安全机框来建设高性能安全资源池时，安全资源完全可以统一调度和分配，管理员可以选择框内多安全模块或者是跨框的安全模块形成一个逻辑引擎组，同时在引擎组内可以定义安全模块之间的备份关系，另外通过在机框I/O入口的策略引流机制，可以实现将不同业务流量引入到不同的安全资源备份组，形成框内流量备份或者框间流量可靠性备份。