传统的防火墙一般都是放在数据中心的出口处,控制数据中心对外的网络通信。边界防火墙(Perimeter Firewall)虽然能够很好地控制来自于外部的攻击风险,但是对于数据中心内部的黑客攻击却没有任何的防范措施。就像我们一般都只在小区门口配有保安,但是不能防止小区内部的住客作案。恶意软件往往专挑企业内部不重要的系统下手,因为这类系统优先等级低,安全防护措施弱,相对容易被攻破,得手后再从数据中心内部攻击其他系统就方便多了。
防火墙位于数据中心边界
在数据安全方面,很多企业都采用零信任(Zero Trust)机制,假设安全威协无处不在,即使是在数据中心内部;企业自己的员工也是不可信任的,要尽量限制每个人需要访问的系统和数据。所以理想情况是在数据中心内部也部署防火墙,从而有效保护每一个系统和应用。要达到这个效果,需要为每个系统都配上防火墙,但是这样做成本很高。就像要求小区物业为每一位业主都配备一位专职保安,你愿意承担多出来的那部分成本吗?所以实际上不可能这么做。但是采用软件就可以较低的成本实现分布式防火墙,这种软件防火墙存在于每一台物理服务器的 Hypervisor 内核中,能够对每一台虚机的网络通讯进行控制,对虚机实现全面的安全保护。
在数据中心内部部署基于软件的分布式 防火墙
分布式防火墙也有助于提高东西向流量的网络通讯效率。传统的边界防火墙能够比较好地监控南北向流量,虽然也可以用于监控东西向流量,但是会降低数据中心内部的网络通信效率。在下图的例子中,即使是位于同一台物理服务器上的两个虚机,它们之间通信时,网络数据包需要走出机柜,去边界防火墙上绕一圈以后才能到达另一台虚机,经过的网络路由多达 6 跳。物理服务器之间的通信也是如此,在右边图中,虽然这两台服务器连接在同一个交换机上,但是它们之间的网络通信还是要通过机柜外部的边界防火墙,网络路由也有 6 跳。
解决方案就是采用 NSX 网络虚拟化方案,通过分布式防火墙来管理东西向流量。因为是完全基于软件的虚拟防火墙,可以做到每一台虚机都配备一台防火墙。而且虽然防火墙是分布式的,但是它们的管理是集中的,通过统一的管理界面来管理所有的虚拟防火墙,集中配置所有防火墙的安全规则,所以管理上也很简便。
分布式防火墙对于东西向流量的管理更为高效,同样的例子,同一台物理服务器上的两台虚机,它们之间的网络通信就可以就近由虚拟防火墙来处理,网络数据包甚至都不需要出物理服务器,就可以直接通过虚拟交换机传送到目的地。位于不同服务器的虚机之间,网络数据包也可以通过机柜内部的交换机和内部的虚拟防火墙来传输,网络路由从 6 跳降低到了 2 跳,网络传输效率大大提高,也有效降低了边界防火墙的工作负载。
