随着云计算和虚拟化应用的普及和深入，软件定义正在成为行业企业和技术厂商追逐的热点。软件定义的本质是通过虚拟化将软件和硬件分离出来，将服务器、存储和网络三大计算资源池化，最终实现将这些池化的虚拟资源进行按需分割和重新组合，常见的包括软件定义网络（SDN）、软件定义存储（SDS）、软件定义数据中心（SDDC）、软件定义广域网（SD-WAN）、软件定义安全（SDSec）等。

在安全领域，各安全厂商围绕软件定义安全进行了多种尝试，并且推出了各自的产品，安全虚拟化就是其中的技术之一。下面分别对四种安全虚拟化技术（MDC、vSystem、NFV、安全容器化等）进行介绍。

1．MDC（Multitenant Device Context，多租户设备环境）

MDC技术可以将一台物理设备虚拟成N台互相独立的虚拟设备。MDC虚拟出来的每台设备拥有独立的硬件资源和管理权限、独立的转发表项及配置界面。使用MDC技术，一方面可以充分利用物理设备的能力，达到隔离、复用的效果；另一方面可满足多业务客户共享核心网络设备的需求，降低用户对网络设施的投资成本。

MDC基于OpenVZ实现，是操作系统级虚拟化，但OpenVZ不需要运行多个完整的OS内核，因此与其他的虚拟化技术相比，它提供了明显更好的性能。以F5010为例，一台设备可以创建16个虚拟防火墙。

图1 MDC（多租户设备环境）示意图

2．vSystem

vSystem是一种轻量级的虚拟化技术，可以将一台物理设备虚拟成N台相互独立的虚拟设备。每个vSystem相当于一台真实的设备对外服务。利用vSystem技术可以实现大中型企业或云场景下的多租户网络隔离和专有安全防护。

相对于MDC，vSystem基于VRF实现，vSystem系统开销较小，设备支持大规模虚拟设备划分，以满足云场景的大规格需求。同样以F5010为例，一台设备可以创建1000个VRF，可以实现大量租户划分需求。

图2 vSystem示意图

3．NFV（Network Functions Virtualization，网络功能虚拟化）

NFV是运营商为了解决电信网络硬件繁多、部署运维复杂、业务创新困难等问题而提出的。借助NFV，服务提供商可以在标准硬件设备（如x86服务器）上运行网络功能。另外，由于网络功能已虚拟化，因此可以在单个服务器上运行多个功能。这就意味着所需的物理硬件得以减少，故而可以进行资源整合，以降低物理空间占用、功耗和总体成本。随着NFV的不断推广，各安全厂商也随之推出了NFV产品，如H3C的vFW、vLB、vWAF等等。

4．安全容器化

随着容器技术推广与云原生技术的普及，企业越来越依赖于容器技术来开发和部署云原生应用程序。由于业务系统在容器化环境中运行，为之提供安全保障的安全产品也进行了容器化适配。容器化的安全产品占用空间更少，启动速度更快、支持在秒级部署容器化安全产品，结合容器编排功能，可以提供支持更多复杂场景的安全能力。如图3所示，容器防火墙具有下一代防火墙的能力，也能够防护容器间的流量。

图3 容器防火墙具有下一代防火墙的能力

结束语

安全虚拟化技术为软件定义安全提供核心能力支持，通过专用设备虚拟化、网络功能虚拟化以及安全产品容器化等众多虚拟化技术，实现了在不同场景下安全需求、保障了业务系统的正常运行。