隨著我們的數據過渡到虛擬數據中心和云中，我們如何保持原來的一切以及過渡之后又會有哪些變化呢?在本周專欄里，筆者解決了選擇物理防火墻還是虛擬防火墻的問題以及如何根據環境確定理想的形成要素。許多為虛擬化環境和云環境尋找安全方案的企業會自然而然地認為選擇的范圍只有一兩個。筆者認為其實答案要根據架構的實際情況來定。

對虛擬防火墻的需求

讓我們首先從虛擬防火墻的使用案例開始。在下面的圖一中，請看一下A和B中描述的情境。假設在虛擬化的數據中心環境中，你通過不同的應用層級——應用，Web和數據庫，為數據中心分層。在A中，你在相同服務器上保留了相同的應用信任級別。在B中，你將應用信任級別進行了混合。在C中一個服務器上應用的信任級別不同。

在A中，流量是從應用走向數據庫，例如，微軟SharePoint到SQL服務器，而且每個應用層級都位于自己的VLAN中。流量可通過虛擬交換機通向外部交換網絡和外部防火墻。

同樣的選擇可以應用到B中，但是卻并不是這一情境最理想的選擇。大多數B情境的流量都是橫向的，迫使流量縱向通過物理防火墻是低效且昂貴的，因為這樣操作會增加為虛擬機流量提供服務的物理端口數量。虛擬服務器中的每個應用都需要在自己的VLAN中保護從應用VM到數據庫VM的數據。因此，一個虛擬的防火墻應該比物理防火墻更適合用于內部托管檢測，如C情境所示。

盡管如此，對于虛擬防火墻的一些考量也很重要。一個虛擬防火墻如果不能夠從硬件加速中獲益，就不能與物理防火墻媲美的性能。但是，軟件架構是差異所在，所以對于配備了軟件架構可優化性能和減少延時的虛擬化防火墻要認真考慮。

還需要了解在自己的環境中虛擬防火墻支持的性能有哪些。在過去兩年里，虛擬化的網絡安全產品激增。許多供應商都努力要與“虛擬化和云”沾上邊，但卻只是給物理防火墻加點虛擬要素的包裝而已，卻忽略了而對虛擬化環境中實際情況的考量。特別是安全策略應該對虛擬機的創建或動向進行跟蹤，而且應該將目前需要手動執行的策略更改變成自動化操作。

你的虛擬平臺供應商有虛擬安全裝置，可以了解環境的動態屬性，但是不能提供合適的安全功能。對于網絡的安全威脅不會因為你改用虛擬化的環境就消失。攻擊者正在使用新型，定向的，復雜的技巧，如漏洞挖掘，惡意軟件和間諜軟件，侵犯你的網絡。你的應用程序員正在部署應用，并利用防火墻上的開放端口繞過安全策略。合作伙伴，承包商和移動用戶需要隨時隨地訪問你的應用。所以虛擬防火墻更需要了解端口，協議之外的應用，支持基于用戶的策略，并將完整的威脅架構納入策略中對抗現在的安全威脅。

如何對兩者同時進行優化呢?你需要對下一代防火墻進行虛擬化操作，下一代防火墻已經解決了安全應用的挑戰，而且可以動態了解虛擬機的動向，還可以與管理編排軟件進行融合。#p#

虛擬防火墻會取代物理防火墻嗎?

就數據中心而言，虛擬防火墻會取代物理防火墻的地位嗎?答案是否定的。因為數據中心的性能要求很苛刻，所以物理防火墻不會消失。在某些環境中，他們或許是唯一的選擇。而在其他環境中，則可能因傳輸量的需求而被用于邊緣數據中心過濾。在大多數混合的環境中，則是將物理防火墻與虛擬防火墻結合使用。物理防火墻與虛擬服務器交錯，所以用戶正開始訪問虛擬服務器。同時，虛擬化的防火墻還在服務器中提供了分區，如圖二所示。

這種架構的另一優點是物理防火墻既可以保護虛擬服務器又可以防御hypervisor漏洞。防御hypervisor攻擊需要虛擬供應商保障hypervisor的完整性和軟件加固。但是，對hypervisor提供合適訪問以及檢測虛擬平臺漏洞的補充性安全策略也很重要。這些無法在服務器里通過防火墻實現。畢竟，如果你已經通過一次攻擊訪問過Hypervisor，你就可以控制整個服務器。

結語

數據中心環境正走向自動化的，動態的，按需服務。安全架構必須與這些要求并駕齊驅，但是也還要解決安全保護和安全應用的實際問題。簡而言之，虛擬數據中心和云環境的網絡安全應該：

◆提供應有的安全特性(安全應用啟用，威脅保護，靈活的網絡整合)

◆動態化：安全策略必須追蹤VM示例和動向;安全策略應經過精心安排。

◆為數據中心的所有安全裝置提供持續的，集中的管理。