理想情况下，服务器应该足够稳定，能够抗御互联网的所有攻击，网络提供最优的端到端传输。但现实情况是，数据中心网络总是通过嵌入的防火墙实现主要的安全保护来减少暴力攻击造成的拒绝服务，对入站流量极少执行TCP端口过滤。

　　使用防火墙来保护数据中心网络的物理服务器已经很难了，把它用于保护虚拟服务器，或者私有云环境，那么难度会更大。毕竟，虚拟服务器会经常迁移，所以防火墙不需要必须位于服务器物理边界内。有几种策略可以为虚拟环境提供防火墙保护。

　　虚拟网络安全

　　传统数据中心架构的网络安全设计众所周知：如果服务器的物理边界属于同一个安全域，那么防火墙通常位于聚合层。当你开始实现服务器虚拟化，使用 VMware的vMotion和分布式资源调度（Distributed Resource Scheduler）部署虚拟机移动和自动负载分发时，物理定界的方式就失去作用。在这种情况下，服务器与剩余的网络之间的流量仍然必须通过防火墙，这样就会造成严重的流量长号，并且会增加数据中心的内部负载。

　　虚拟网络设备能够让你在网络中任何地方快速部署防火墙、路由器或负载均衡器。但当你开始部署这样的虚拟网络设备时，上述问题会越来越严重。这些虚拟化设备可以在物理服务器之间任意移动，其结果就是造成更加复杂的流量流。VMware的vCloud Director就遇到这样的设计问题。

　　使用DVFilter和虚拟防火墙

　　几年前，VMware开发了一个虚拟机管理程序DVFilter API，它允许第三方软件检查网络和存储并列虚拟机的流量。有一些防火墙和入侵检测系统 （IDS）供应商很快意识到它的潜在市场，开始发布不会出现过度行为的虚拟防火墙。VMware去年发布了vShield Zones和vShield App，也成为这类供应商的一员。

　　基于DVFilter的网络安全设备的工作方式与典型的防火墙不同。它不强迫流量必须通过基于IP路由规则的设备，而是明确地将防火墙插入到虚拟机的网卡（vNIC）和虚拟交换机（vSwitch）之间。这样，不需要在虚拟机、虚拟交换机或物理网络上进行任何配置，防火墙就能够检测所有进出vNIC 的流量。vShield通过一个特别的配置层进一步扩充这个概念：你可以在数据中心、集群和端口组（安全域）等不同级别上配置防火墙规则，在创建每个 vNIC的策略时防火墙会应用相应的规则。

　　并列防火墙自动保护虚拟机的概念似乎是完美的，但是由于DVFilter API的构架原因，它只能运行在虚拟机管理程序中，所以它也有一些潜在的缺点。

　　虚拟机防火墙的缺点：

　　每一个物理服务器都必须运行一个防火墙VM。防火墙设备只能保护运行在同一台物理服
第三十四届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。