卜天然

摘要：采用SOP架構(gòu)是基于容器輕量級的虛擬化技術(shù)，在一個安全引擎內(nèi)，通過唯一的OS內(nèi)核對系統(tǒng)硬件資源進(jìn)行管理，每個虛擬防火墻作為一個容器實(shí)例運(yùn)行在同一個內(nèi)核之上。隔離了租戶之間的故障影響，能夠更好地滿足云計算時代的多租戶運(yùn)營模型。

關(guān)鍵詞：SOP；虛擬化技術(shù)；防火墻；容器實(shí)例

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）21-0020-02

Abstract： SOP architecture is a lightweight container-based virtualization technology， a security engine， through a unique system of OS kernel manages hardware resources， each virtual firewall as a container instance runs on the same core. Fault isolation impact between tenants， better able to meet the multi-tenant cloud computing era operating model.

Key words： SOP； virtualization technology； firewall；container

1 傳統(tǒng)虛擬化防火墻的分析

公有云及私有云等云計算業(yè)務(wù)的開展，均存在將一臺物理設(shè)備進(jìn)行1：N虛擬化之后提供給不同租戶使用的需求。要求虛擬防火墻之間業(yè)務(wù)數(shù)據(jù)相互隔離，能夠提供獨(dú)立管理、獨(dú)立審計、獨(dú)立安全策略，同時能夠給每個虛擬防火墻分配獨(dú)立的處理能力。

傳統(tǒng)防火墻產(chǎn)品在解決虛擬化問題通常有兩種技術(shù)：基于虛擬路由和基于虛擬機(jī)。

基于虛擬路由的安全虛擬化方案在數(shù)據(jù)平面，圍繞轉(zhuǎn)發(fā)表，通過VRF或類似技術(shù)將轉(zhuǎn)發(fā)相關(guān)的表項(xiàng)（如路由表、ARP表）分割成多個邏輯的表，實(shí)現(xiàn)報文轉(zhuǎn)發(fā)的隔離；在管理平面，為不同虛擬防火墻關(guān)聯(lián)不同的管理員，實(shí)現(xiàn)管理的隔離；在控制平面，需要針對每種業(yè)務(wù)逐一考慮虛擬化的改造，使其支持虛擬化。這種虛擬化方案，本質(zhì)上是一種多實(shí)例技術(shù)，是在已有非虛擬化的系統(tǒng)架構(gòu)上，對一些主要安全業(yè)務(wù)進(jìn)行多實(shí)例的改造，只能對個別安全業(yè)務(wù)實(shí)現(xiàn)部分虛擬化，系統(tǒng)可擴(kuò)展性差。

基于虛擬機(jī)的安全虛擬化方案中CPU、內(nèi)存和I/O資源由底層的Hypervisor或Emulator實(shí)現(xiàn)模擬。虛擬防火墻作為一個GuestOS運(yùn)行在虛擬化的硬件環(huán)境中，因此，基于虛擬機(jī)的虛擬化從安全業(yè)務(wù)的角度來說，是一種完全的虛擬化方案，更容易部署和遷移，也避免了虛擬化后導(dǎo)致的部分功能缺失的問題。但是，基于虛擬機(jī)的虛擬化通過Hypervisor或Emulator作為中間層，給上層構(gòu)造了一個完全獨(dú)立的虛擬硬件空間，每個GuestOS需要獨(dú)立構(gòu)造完整的操作系統(tǒng)和業(yè)務(wù)環(huán)境，由此也帶來了一些問題。比如，單臺物理設(shè)備/服務(wù)器上運(yùn)行的虛擬防火墻數(shù)量很少，報文轉(zhuǎn)發(fā)時延加大等。使得這種方案更適合部署在虛擬防火墻數(shù)量要求不多、業(yè)務(wù)性能不高的場景。

2 SOP虛擬化防火墻的架構(gòu)

SOP架構(gòu)采用基于容器的虛擬化技術(shù)，是一種輕量級的虛擬化技術(shù)，在一個安全引擎內(nèi)，通過唯一的OS內(nèi)核對系統(tǒng)硬件資源進(jìn)行管理，每個虛擬防火墻作為一個容器實(shí)例運(yùn)行在同一個內(nèi)核之上。圖1為SOP虛擬化防火墻構(gòu)架示意圖。

采用容器化技術(shù)，虛擬防火墻有獨(dú)立的進(jìn)程上下文運(yùn)行空間，容器與容器之間的運(yùn)行空間完全隔離，天然具備了虛擬化特性。攻擊者無法從一個虛擬墻進(jìn)入另一個虛擬墻或者獲取另一個虛擬墻的數(shù)據(jù)。相比傳統(tǒng)的VRF隔離，具有更好的數(shù)據(jù)安全性。在一個容器中，運(yùn)行了完整的防火墻業(yè)務(wù)系統(tǒng)（包括管理平面、控制平面、數(shù)據(jù)平面），從功能角度看虛擬化后的系統(tǒng)和非虛擬化系統(tǒng)的功能是一致的（整機(jī)重啟、存儲格式化、集群配置等全局系統(tǒng)配置只能由系統(tǒng)管理執(zhí)行）。同時進(jìn)程空間的隔離實(shí)現(xiàn)了虛擬墻的故障隔離。

由于多個虛擬墻共享統(tǒng)一的OS內(nèi)核，可以從調(diào)度入口靈活分配每個虛擬墻的處理能力比如吞吐、并發(fā)、新建等，也可以在線動態(tài)地增加資源。同時，基于容器的虛擬化實(shí)現(xiàn)在容器中并不需要運(yùn)行完整的操作系統(tǒng)，減少了由于完全虛擬化帶來的內(nèi)存開銷，每個VFW可以直接通過內(nèi)核和物理硬件交互，避免了和虛擬設(shè)備交互代理的性能損耗，所以可以支持更多的虛擬防火墻實(shí)例，而不會對系統(tǒng)性能造成實(shí)質(zhì)影響。上面三種虛擬化方案實(shí)現(xiàn)的主要特點(diǎn)對比如表1所示。

3 SOP虛擬化架構(gòu)資源分配策略

SOP虛擬化架構(gòu)的資源分配策略主要包括以下兩種方法：按照接口、vlan分配和系統(tǒng)處理能力分配策略。

（1）按照接口、VLAN分配

在虛擬化過程中，接口（邏輯接口）、VLAN作為防火墻轉(zhuǎn)發(fā)的必須要素是首先要分配的。傳統(tǒng)的基于VRF的虛擬防火墻這些信息都是全局維護(hù)的，在這種實(shí)現(xiàn)方式下，管理員在給虛擬墻分配接口、VLAN時，需要對該虛擬墻對應(yīng)的業(yè)務(wù)VLAN預(yù)先了解清楚，而且虛擬墻的業(yè)務(wù)VLAN發(fā)生變化時，需要管理員重新創(chuàng)建和分配給虛擬墻，這在一些權(quán)限劃分比較明確的場景是不可行的。

SOP架構(gòu)由于業(yè)務(wù)數(shù)據(jù)的完全隔離，允許當(dāng)一個物理接口屬于某一虛擬墻時，該虛擬墻可以基于該物理接口創(chuàng)建獨(dú)立的邏輯接口或VLAN。可以是一個接口唯一地屬于一個虛擬防火墻，也可以一個接口被多個虛擬防火墻共同擁有。

（2）按照系統(tǒng)處理能力進(jìn)行分配

基于同一硬件平臺上的多個虛擬防火墻共享相同的硬件資源和系統(tǒng)處理能力。為了保證這些虛擬防火墻之間的相互獨(dú)立性，滿足可運(yùn)營的要求，勢必要涉及這些資源的合理分配。從目前主流公有云安全服務(wù)的申請模式來看，租戶不關(guān)心安全設(shè)備的具體形態(tài)，在實(shí)際的業(yè)務(wù)申請過程中會以帶寬、并發(fā)會話、新建、策略數(shù)等指標(biāo)對虛墻的能力進(jìn)行量化。SOP安全架構(gòu)基于統(tǒng)一的OS內(nèi)核對所有虛擬防火墻的流量進(jìn)行調(diào)度，可以從流量入口根據(jù)虛墻的能力分配進(jìn)行調(diào)度，從而實(shí)現(xiàn)更加精準(zhǔn)的控制。