焦点:安全设备SOP虚拟化技术详解

摘要:SOP架构采用基于容器的虚拟化方案,是一种轻量级的虚拟化技术,在一个安全引擎内,通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上。

                                           /韩小平

公有云及私有云等云计算业务的开展,均存在将一台物理设备进行1N虚拟化之后提供给不同租户使用的需求。要求虚拟防火墙之间业务数据相互隔离,能够提供独立管理、独立审计、独立安全策略,同时能够给每个虚拟防火墙分配独立的处理能力。

传统防火墙产品在解决虚拟化问题通常有两种方案:基于虚拟路由或者基于虚拟机。

基于虚拟路由的安全虚拟化方案在数据平面,围绕转发表,通过VRF或类似技术将转发相关的表项(如路由表、ARP表)分割成多个逻辑的表,实现报文转发的隔离;在管理平面,为不同虚拟防火墙关联不同的管理员,实现管理的隔离;在控制平面,需要针对每种业务逐一考虑虚拟化的改造,使其支持虚拟化。这种虚拟化方案,本质上是一种多实例技术,是在已有非虚拟化的系统架构上,对一些主要安全业务进行多实例的改造,只能对个别安全业务实现部分虚拟化,系统可扩展性差。

基于虚拟机的安全虚拟化方案中CPU、内存和I/O资源由底层的HypervisorEmulator实现模拟。虚拟防火墙作为一个GuestOS运行在虚拟化的硬件环境中,因此,基于虚拟机的虚拟化从安全业务的角度来说,是一种完全的虚拟化方案,更容易部署和迁移,也避免了虚拟化后导致的部分功能缺失的问题。但是,基于虚拟机的虚拟化通过HypervisorEmulator作为中间层,给上层构造了一个完全独立的虚拟硬件空间,每个GuestOS需要独立构造完整的操作系统和业务环境,由此也带来了一些问题。比如,单台物理设备/服务器上运行的虚拟防火墙数量很少,报文转发时延加大等。使得这种方案更适合部署在虚拟防火墙数量要求不多、业务性能不高的场景[c01] 

    SOP虚拟化架构分析

SOP架构采用基于容器的虚拟化方案,是一种轻量级的虚拟化技术,在一个安全引擎内,通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上。

1 SOP架构示意图

采用容器化技术,虚拟防火墙有独立的进程上下文运行空间,容器与容器之间的运行空间完全隔离,天然具备了虚拟化特性。攻击者无法从一个虚拟墙进入另一个虚拟墙或者获取另一个虚拟墙的数据。相比传统的VRF隔离,具有更好的数据安全性。在一个容器中,运行了完整的防火墙业务系统(包括管理平面、控制平面、数据平面),从功能角度看虚拟化后的系统和非虚拟化系统的功能是一致的(整机重启、存储格式化、集群配置等全局系统配置只能由系统管理执行)。同时进程空间的隔离实现了虚拟墙的故障隔离。

另外,由于多个虚拟墙共享统一的OS内核,可以从调度入口灵活分配每个虚拟墙的处理能力比如吞吐、并发、新建等,也可以在线动态地增加资源。最后,基于容器的虚拟化实现在容器中并不需要运行完整的操作系统,减少了由于完全虚拟化带来的内存开销,每个VFW可以直接通过内核和物理硬件交互,避免了和虚拟设备交互代理的性能损耗,所以可以支持更多的虚拟防火墙实例,而不会对系统性能造成实质影响。上面三种虚拟化方案实现的主要特点对比如表1所示。

1 几种虚拟化方案实现的主要特点对比表

SOP虚拟化架构的资源分配策略主要包括以下两种方法:按照接口、vlan分配和系统处理能力分配

l  按照接口、VLAN分配

在虚拟化过程中,接口(逻辑接口)、VLAN作为防火墙转发的必须要素是首先要分配的。传统的基于VRF的虚拟防火墙这些信息都是全局维护的,在这种实现方式下,管理员在给虚拟墙分配接口、VLAN时,需要对该虚拟墙对应的业务VLAN预先了解清楚,而且虚拟墙的业务VLAN发生变化时,需要管理员重新创建和分配给虚拟墙,这在一些权限划分比较明确的场景是不可行的。

H3C SOP架构由于业务数据的完全隔离,允许当一个物理接口属于某一虚拟墙时,该虚拟墙可以基于该物理接口创建独立的逻辑接口或VLAN。可以是一个接口唯一地属于一个虚拟防火墙,也可以一个接口被多个虚拟防火墙共同拥有。

 

l  按照系统处理能力进行分配

基于同一硬件平台上的多个虚拟防火墙共享相同的硬件资源和系统处理能力。为了保证这些虚拟防火墙之间的相互独立性,满足可运营的要求,势必要涉及到这些资源的合理分配。从目前主流公有云安全服务的申请模式来看,租户不关心安全设备的具体形态,在实际的业务申请过程中会以带宽、并发会话、新建、策略数等指标对虚墙的能力进行量化。SOP安全架构基于统一的OS内核对所有虚拟防火墙的流量进行调度,可以从流量入口根据虚墙的能力分配进行调度,从而实现更加精准的控制。

二 、SOP虚拟化架构-横向及纵向扩展性

传统的虚拟防火墙技术受限于物理设备自身的CPU处理能力、内存容量、端口数量等多方面的限制,部署中缺乏扩展性,很难满足业务发展的需求。H3C SOP虚拟化架构的另一个创新——分布式虚拟化架构,可以有效提升系统的虚拟化容量。在分布式虚拟化架构中,系统的安全处理引擎可以按需配置,以支持虚拟化能力的线性扩展。虚拟化能力扩展有如下两种方式:横向扩展和纵向扩展。其中横向扩展是指单虚拟墙的处理能力增加,系统整体可支持虚拟墙的总数不变。而纵向扩展则是指单虚拟墙的处理能力不变,系统整体可支持的虚拟墙的总数增加。

2虚拟防火墙扩展示意图

同时,SOP架构可以和H3CSCF架构无缝集成,在N:1基础上进行1:N虚拟化,实现N:1:M。在单台物理防火墙所支持的虚拟防火墙数量、性能不能满足需要时,通过SCF,进一步扩展虚拟化能力。

三、SOP虚拟化架构-1:N:M虚拟化

在一个虚拟防火墙实例内,虚拟防火墙管理员还可以继续创建本虚拟防火墙内独立的VPN多实例(VRF),不同虚拟墙内的VRF实例完全独立,名字可以相同。同一个虚拟墙内多个VRF共享该虚拟防火墙的资源,通过抢占进行分配。通过这种1:N:M虚拟化方式可以满足一个租户内部的进一步业务隔离需求,同时进一步扩大系统虚拟化能力。上述功能尤其适用于部分变更频繁且有实时性要求的业务系统,可以开通独立的虚拟防火墙并且将该虚拟防火墙授权给业务系统管理员,并且限定业务系统管理员的权限,比如仅能操作该虚拟防火墙内的安全安全策略。对于其他的业务系统,可以在缺省虚拟防火墙内通过VRF隔离,由管理员统一维护管理。此方案实现了业务快速响应、虚拟化业务能力扩展及安全权限控制的多方平衡。

四、SOP虚拟化架构-接口共享虚拟化

l  共享Internet出口场景

如果多部门共享NAT出口或者是VPC应用场景中对外的internet互联链路只有一条,那么对应的对外物理互联接口就只有一个。待解决的问题就是如何实现多虚拟防火墙共享该物理接口。划分子接口并将不同的子接口分配给不同虚墙的方式不可行,因为internet返回的流量不会携带任何VLAN TAG。传统的解决方案可以前置出口路由器,通过出口路由器上配置复杂的NAT转换策略,并通过多个子接口和防火墙互联以区分虚拟防火墙数据,但是这种方式存在配置复杂,增删虚拟防火墙需要同步修改上层路由器配置的问题,管理维护都很麻烦。

针对该应用场景,H3C SOP架构创新性地推出接口共享虚拟化特性。物理设备的一个接口(可以是物理接口也可以是逻辑接口)同时分配给多个虚拟防火墙,该接口形式上被这些虚拟防火墙共享使用。这种方式中,被共享的接口在每个虚拟防火墙中,分别形成一个独立的逻辑接口实例,可以由虚拟防火墙级管理员各自配置IP地址、路由协议、安全业务等。该接口在不同的虚拟防火墙实例中会自动生成不同的MAC地址(虚拟防火墙管理员也可以手工修改MAC),系统根据数据报文携带的MAC地址可以区分所属的虚拟防火墙。

3虚拟防火墙共享Internet出口部署

l  级联防火墙

在实际应用中两个虚墙之间会有互通的需求,一种方法为将两个虚墙各自物理端口外部互联(直连或通过外部设备),显然这种方式会占用额外的端口资源。H3C SOP架构的接口共享虚拟化能够更简洁地满足此类需求。共享接口在每一个虚拟防火墙内都是一个独立的实例、可以配置相同网段的IP,相当于在虚拟防火墙之间架设了一个软件交换机,从而实现互通需求,虚拟墙之间通过定义针对该接口的安全策略实现虚拟墙之间的安全访问控制。

通过该特性可以实现全局策略及分级管理需求,可以由系统管理员定义针对全局的策略如审计、监控、全局NAT策略等,各虚拟墙管理员定义各自业务的防护策略(如图4所示)。

4虚拟防火墙级联部署

结论

华三通信基于容器的SOP虚拟化架构,保证虚拟墙和物理墙业务的一致性,是真正的虚拟化。虚拟墙之间数据完全隔离,通过分配设备的处理能力,保证租户性能的同时,隔离了租户之间的故障影响,同时可以根据租户业务需求在业务零中断情况在线调整虚拟墙的能力。全分布式架构提供了良好的横向及纵向虚拟化扩展能力,能够更好地满足云计算时代的多租户运营模型。

感谢您对本刊物的关注,如果您在阅读时有何感想,请点击反馈。
联系我们