理想情況下，服務器應該足夠穩定，能夠抗御互聯網的所有攻擊，網絡提供最優的端到端傳輸。但現實情況是，數據中心網絡總是通過嵌入的防火墻實現主要的安全保護來減少暴力攻擊造成的拒絕服務，對入站流量極少執行TCP端口過濾。

　　使用防火墻來保護數據中心網絡的物理服務器已經很難了，把它用于保護虛擬服務器，或者私有云環境，那么難度會更大。畢竟，虛擬服務器會經常遷移，所以防火墻不需要必須位于服務器物理邊界內。有幾種策略可以為虛擬環境提供防火墻保護。

　　虛擬網絡安全

　　傳統數據中心架構的網絡安全設計眾所周知：如果服務器的物理邊界屬于同一個安全域，那么防火墻通常位于聚合層。當你開始實現服務器虛擬化，使用VMware的vMotion和分布式資源調度（Distributed Resource Scheduler）部署虛擬機移動和自動負載分發時，物理定界的方式就失去作用。在這種情況下，服務器與剩余的網絡之間的流量仍然必須通過防火墻，這樣就會造成嚴重的流量長號，并且會增加數據中心的內部負載。

　　虛擬網絡設備能夠讓你在網絡中任何地方快速部署防火墻、路由器或負載均衡器。但當你開始部署這樣的虛擬網絡設備時，上述問題會越來越嚴重。這些虛擬化設備可以在物理服務器之間任意移動，其結果就是造成更加復雜的流量流。VMware的vCloud Director就遇到這樣的設計問題。

　　使用DVFilter和虛擬防火墻

　　幾年前，VMware開發了一個虛擬機管理程序DVFilter API，它允許第三方軟件檢查網絡和存儲并列虛擬機的流量。有一些防火墻和入侵檢測系統 （IDS）供應商很快意識到它的潛在市場，開始發布不會出現過度行為的虛擬防火墻。VMware去年發布了vShield Zones和vShield App，也成為這類供應商的一員。

　　基于DVFilter的網絡安全設備的工作方式與典型的防火墻不同。它不強迫流量必須通過基于IP路由規則的設備，而是明確地將防火墻插入到虛擬機的網卡（vNIC）和虛擬交換機（vSwitch）之間。這樣，不需要在虛擬機、虛擬交換機或物理網絡上進行任何配置，防火墻就能夠檢測所有進出vNIC的流量。vShield通過一個特別的配置層進一步擴充這個概念：你可以在數據中心、集群和端口組（安全域）等不同級別上配置防火墻規則，在創建每個vNIC的策略時防火墻會應用相應的規則。

　　并列防火墻自動保護虛擬機的概念似乎是完美的，但是由于DVFilter API的構架原因，它只能運行在虛擬機管理程序中，所以它也有一些潛在的缺點。

　　虛擬機防火墻的缺點：

　　每一個物理服務器都必須運行一個防火墻VM。防火墻設備只能保護運行在同一臺物理服務器上的虛擬機。如果希望保護所有物理位置的虛擬機，那么你必須在每一臺物理服務器上部署防火墻VM。

　　所有流量都會被檢測。你可能將DVFilter API只應用到特定的vNIC上，只保護其中一些虛擬機，但是vShield產品并不支持這個功能。部署這些產品之后，所有通過虛擬機管理程序的流量都會被檢測到，這增加了CPU使用率，降低了網絡性能。

　　防火墻崩潰會影響到VM。防火墻VM的另一個問題是它會影響DVFilter API。受到影響的物理服務器上所有虛擬機網絡都會中斷。然而，物理服務器仍然可以運行，并且連到網絡；因此，高可用特性無法將受影響的VM遷移到其他物理服務器上。

　　相同流量流會執行多次檢測。DVFilter API在vNIC上檢測流量。因此，即使虛擬機之間傳輸的流量屬于同一個安全域，它們也會被檢測兩次，而傳統防火墻則不會出現這種情況。

　　虛擬交換機在虛擬化安全中的作用

　　虛擬化安全設備制造商也可以選擇vPath API，它可用于實現自定義虛擬交換機。思科系統最近發布了虛擬安全網關（Virtual Security Gateway ，VSG)產品，該產品可能整合傳統（非DVFilter）虛擬防火墻方法和流量流優化技術。思科宣布VSG只進行初始流量檢測，并將卸載流量轉發到虛擬以太網模塊（Virtual Ethernet Modules，VEM：虛擬機管理程序中改良的虛擬交換機），從而防止出現流量長號和性能問題。如果這一切是真的，那么VSG可能是工程師部署安全云服務的最理想工具。

原文鏈接：http://www.searchnetworking.com.cn/showcontent_51306.htm