直觉 — 虚拟化,硬件防火墙生死

作者 | 2013-07-12 15:33 | 类型 网络安全, 行业动感 | 15条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




虚拟化是趋势,规模越大,虚拟化越能获得收益。将来大部分应用应该是虚拟化的。虚拟化带来了网络的虚拟化,网路流量被封装虚拟网络(VN)之内。这些流量是通过Host之间的Tunnel进行封装的,并且带有VN-ID以区分不同的网络。于是VN-ID + IP将成为网络上VM的标识。
硬件防火墙死就死在VN-ID之上,这个VN-ID是虚拟网络管理软件动态分配的,完全由虚拟化厂商控制,硬件防火墙无法标识网路VM实体。
这里有几种可能,第一,虚拟化厂商和硬件防火墙厂商合作,防火墙开放可以由虚拟化管理软件配置的接口,配合虚拟化厂商完成相关功能。第二,虚拟化厂商自己在Host软件上实现分布式防火墙。第三,防火墙自己实现虚拟Tunnel以及VN-ID分析。第四,硬件防火墙退守网络出口,负责南北向流量的安全。
第二种可能性最大,硬件防火墙只能退守网路出口,处理经过虚拟网关解开VN封装的PN网络数据包。但是,既然虚拟网关都做了这么多,不差做些Policy取代硬件防火墙了,也不需要考虑性能。
最佳的出路是第一种方案,但是即使可以,防火墙厂商也是成为虚拟化厂商的下游打工者。
想为虚拟化网络内部VM做硬件防火墙产品,死路一条。

换个思路,硬件防火墙厂商可以做什么?两种产品,
1. 物理主机和网络的防火墙
2. 性能强大的网络负载均衡设备。

(4个打分, 平均:3.00 / 5)

工具箱
本文链接 | | 打印此页 | 15条用户评论 »

雁过留声

“直觉 — 虚拟化,硬件防火墙生死”有15个回复

  1. mpc8240 于 2013-07-12 4:35 下午

    为什么防火墙不可以做到Data Center Top-of-Rack Switch上去?还是硬件防火墙。当然,部分advanced service可以放在比如云端。
    Host-based的防火墙的缺点:
    1)管理节点太多
    2)对VM的一致性有要求。用户更可能run不同种类的VM/Hypervisor等。

  2. 老韩 于 2013-07-13 7:17 上午

    说了半天也没说到DP的目标嘛,明明是让switch有池化的安全能力:D

  3. DP 于 2013-07-14 6:48 上午

    硬件防火墙要和虚拟化结合,将来必须让虚拟化管理软件管理,但是不知道人家是否愿意带你玩,总的来说防火墙硬件厂商处于被动的环境。虚拟化肯定会先推软件方案,硬件必须等到管理接口开放后才有机会。如果软件方案很成功,那就没有机会了。

  4. zeroflag 于 2013-07-14 7:48 下午

    看到作者的ID不由自主的一哆嗦,仔细看了看内容,觉得此DP非吾理解之DP,心下释然。几点想法与大家共享。

    1、SDN的羊头下面卖的是不同的狗肉
    不严格的说,“vSwtich + 隧道”是BigSwitch,nicira(vmware)等革命者的技术路线。如C、J、HP等反革命走的不是这个技术路线,而是把OF当路由和网管协议,最起码也要流量进了物理交换机以后再进隧道。革命和反革命最终谁会胜利目前还不能下定论。因此,作者讨论的大前提其实并不是那么确定的。

    2、两条技术路线无论哪条,我都不认为把防火墙塞到接入层是个好主意。因为防火墙是要做访问控制策略,随着虚机的迁移,这个策略也要跟着迁移,无论是否自动化,这么做都绝对是一个噩梦。真正合理的方法是用防火墙做网关,这样策略就不用迁来迁去,策略部署也简单。

    3、即使走隧道路线,只要防火墙能够对接隧道协议进行组网,成为虚拟网络的一部分就行了。只要是公开协议标准,这并不是一件非常复杂的事情。而防火墙的访问控制策略一定不能通过SDN的控制器自动调度,会乱的。

  5. agan 于 2013-07-14 11:08 下午

    我对这个话题很感兴趣,但确实了解不多,说说自己的疑惑与粗浅想法:

    先弱弱的问一下:什么是硬件防火墙?因为所有的防火墙都有自己的硬件载体,正如所有的虚拟化软件都运行在硬件平台上一样。我想,也许楼主是指所有的非虚拟化软件商生产的防火墙。

    关于VN-ID,它在Ethernet Frame中的位置应该是固定的,不固定的是它的值。在VN上,虚拟化软件提供商不会唯一,虚拟化管理软件也不会唯一,所以,我认为VN-ID的取值总得符合一定的规则,也许会形成完全公开的标准。

  6. CF 于 2013-07-15 6:49 上午

    各位可以搜搜“what is distributed firewall”,了解一下虚拟化厂商的思路,再想想下一步该如何整合

  7. aaa 于 2013-07-22 1:44 上午

    我的观点可能比较极端,我觉得虚拟化让防火墙这个已经比较夕阳的行业雪上加霜。

    首先,vmware不爱带别人玩.安全这里,vmware自己做,是可以自己收钱的。干吗送别人?

    再则,虽然开源的还能参与一下,但是硬件防火墙对虚拟机迁移之类的问题不好搞定(此外,从目前国内的情况来看,搞防火墙的对虚拟机这块,了解得人也很少,不管怎么做,都不容易做好,做到虚拟机里面去,也不容易做太好)

    至于国内的各个厂商肯定是喜欢推硬件防火墙的,因为国人给软件掏钱的时候会想很多,只有买回大铁盒子才觉得物有所值。
    厂商也很难接受要冒风险投很多钱预研这方面的东西,大多会是浅尝则止,也只能利用现有的接口做点简单的事情。

    现在大家都只能靠直觉说话,不过如果很多人的直觉都觉得硬件防火墙在新的环境下会被淘汰,那么这个直觉就可能产生直接的后果。

    it技术产业受科技进步影响是最大的,如果硬件防火墙像录音带和软盘那样逐渐消失,或者像消费级数码相机那样逐渐被手机取代,我并不会觉得奇怪,各个厂商现在应该做的并不是去想这玩艺我做软件不赚钱,应该怎么说服客户去买硬件盒子放到虚拟环境,而是应该看看,是不是能跟上虚拟化这趟车,研发出真正有创新性的虚拟化产品,要知道,这里现在还什么都没有呢,要么这里没有任何机会,要么,就是一个大大的机会。

  8. gchen 于 2013-07-23 2:05 上午

    To 楼上:
    虚拟防火墙的商业模式不一定要跟硬件防火墙一样。
    可能的模式是无硬件成本的免费使用,从而成为网络边界的出入口,是所有应用流量的必经之地。只要能在网络中的部署数量达到一定程度,一如如QQ/微信/360拥有相当的用户,就不愁找不到盈利模式……

  9. willchen 于 2013-07-25 6:19 下午

    如果说国内,只要公安部不给发销售许可证,虚拟防火墙就占不了政府市场。
    关于虚拟化后的安全隔离,个人认为应该区分一下层级。虚拟化软件的防火墙应该侧重虚机之间的隔离,可以类比以前的主机防火墙。而虚机总是要按照业务类型分群组的,一般每个业务还是要通过VLAN隔离的,这时候传统的防火墙就可以上了。

  10. aaa 于 2013-07-30 8:57 下午

    我觉得willchen这种想法,是典型的厂商想法,总在给传统盒子找怎么上的可能,但是这绝对不是用户的想法,用户的想法是怎么能让高价格的硬件设备不上。
    云,虚拟化等的核心是计算能力出租,防火墙同样也可以成为计算能力的承租者,哪有守着大河还要另打井找水的道理?

    传统防火墙应该尽快完成软件化,服务虚拟化,同时探索新的赢利模式。

  11. 外行 于 2013-07-31 2:46 上午

    虚拟化环境下VM迁移时,除非安全功能build-in(与VM一体),否则或者调整策略部署,或者调度网络流量,至少都要依据拓扑,更细粒度还要考虑resource-aware和traffic-aware,如何可以与SDN控制器不相关(解耦)?

  12. Colin 于 2013-09-23 8:16 上午

    首先我在感觉这个虚拟化防火墙的意义何在。网络的安全与否重在规划上。
    同一批VM,如果存在不同的安全域就不必放在一起。完全可以通过真实的交换机来做物理隔离,这样一来学是物理防火墙在起作用。
    不能因一项技术好,能解决什么什么问题,能带来什么好处,而脱离了真正的需求。
    目前一般是这样理解,防火墙的虚拟化,是指一台防火墙虚拟成多台防火墙,针对不同的服务器分配不同的安全策略。

  13. snail 于 2013-09-29 6:37 下午

    我认为云安全应该是免费的。我在云提供商那租了一个服务,那么云提供商就需要提供安全保障,否则谁还去买他的服务啊。
    至于云安全是如何提供的,应该是云提供商决定的。
    传统安全厂商需要转变思路了。

  14. limbo 于 2013-10-02 6:14 下午

    看了这个总的来说比较糊涂。我就想弄清一个问题,所谓硬件防火墙的优势在于其性能。虚拟化软件厂商VMW之类,当然可以作一些policy,但是他如何保证可靠的相应时间和可接受的延迟?

  15. ccc 于 2013-10-27 8:35 下午

    目前虚拟化厂商很多都在自己作安全。