虚拟化技术成就USG6000-下一代防火墙

　　虚拟化是一项日久弥新的技术，通过虚拟化，组件或系统可以获得隔离、解耦以及资源的最大化利用。从虚拟操作系统平台、VMM、VLAN、VPN到当前的Hipervisor、OpenFlow、SDN，虚拟化技术一直没有停止创新和发展。当前蓬勃发展的云计算及其相关产业，最重要的一项基础技术便是虚拟化。虚拟化能够为用户带来节省投入、快速整合、降低运维成本等利益，越发体现其强大的生命力。Gartner《服务器虚拟化的未来》显示“截止2008年，不能充分利用虚拟化技术的企业将会多支出40%的采购成本和20%左右的管理成本。

　　那么，我们来看看华为新一代防火墙USG6000有哪些地方可以匹配下一代虚拟化防火墙呢？它拥有哪些特点呢？

　　那我们先来看看，什么是虚拟化？

　　虚拟化（Virtualization）是资源的逻辑表示，而不受物理限制的约束。虚拟化技术的实现形式是在系统中加入一个虚拟化层，将下层的资源抽象成另一形式的资源，提供给上层使用。

　　快速变化的客户业务需要一个灵活的、易构建、易维护的网络设施。这种灵活性通常体现在不变更网络的物理拓扑而仅变更逻辑即可达成目标。网络虚拟化便是这样一种架构，它在物理设施上构建一系列逻辑上相互独立的网络环境给不同需求的用户使用，在用户看来，他使用的是一个独立的物理网络环境。通过虚拟化，物理和逻辑实现了解耦，不管是物理网络升级还是逻辑网络变更，仅仅需要改动一部分而不动全部。 

　　1.设备管理虚拟化技术

　　虚拟防火墙在逻辑上是一个独立的网元，除了某些功能外，管理员操作虚拟防火墙和物理防火墙没有什么两样

　　2.资源分配与回收技术 

　　新建虚拟防火墙以后，虚拟防火墙缺省共享整机全部资源。共享资源机制可能会导致某些虚拟防火墙占用过量系统资源，使得其他虚拟防火墙不能及时申请到可用的资源。因而需要制定一种策略来保证每个虚拟防火墙都可以申请到一定的资源，同时也需要保证在部分虚拟防火墙空闲时，资源不至于过量浪费。资源包括CPU资源、内存资源和接口资源，为了对资源进行合理分配利用，防止某些虚拟防火墙占用过量资源，某些虚拟防火墙在特定时段占用的资源全部浪费，必须制定一种资源限制策略，保证虚拟防火墙申请资源进行合理处理。对虚拟防火墙进行资源限额，可以通过对各项资源配置保证数量和最大数量来对资源进行限制。若只配置了保证数量，未配置最大数量，缺省最大数量和保证数量相同。 对安全策略数量、地址，本地用户/用户组、NAT地址/地址池数量、SSL VPN隧道数、仅配置一个保证数量（由命令行设计保证），因为该类资源一旦配置，相对比较稳定，用户很少需要改动，也避免系统过于复杂。 

　　3.特征扫描引擎虚拟化技术 

　　内容安全功能（IPS、DLP、AV等）的核心是基于状态机的特征扫描引擎。报文攻击、病毒、威胁文件等均体现为一个或者多个特征串，这些特征串由安全专家分析得出，也可以由用户自己定义。这些特征串编译成状态机后便可以匹配报文内容中的威胁片段。 内容安全功能虚拟化后，各个管理员可以配置自己的规则，这些规则是放在一个状态机中，还是分开存放是一个需要解决的技术问题。如果放在一起，状态机可能会变得很大会影响性能，并且需要归并完全一致的规则；如果分开放，状态机的数量将与虚拟防火墙的规格数一致变得很大也会影响性能，并且报文需要多次送入引擎扫描。 综合了各种利弊，目前采用不同虚拟防火墙的规则放在一个状态机的方案。 

　　4.多业务转发 

不同的虚拟防火墙分别占有一个独立的物理入口，共享一个物理出口。这种场景在部门数并不多，而且防火墙物理接口数又较为充足的情况下比较适用。实现分流较为简单，将独立的接口绑定在虚拟防火墙上，处理流量时根据入接口的索引即可导向不同的虚拟防火墙。 

　　5.跨虚拟防火墙转发技术 

　　不同虚拟防火墙属于不同的机构，如果不同机构之间需要互相访问，则需要跨虚拟防火墙部门1和2，需要跨虚拟防火墙的方式，把流量导向根虚拟防火墙。根虚拟防火墙建立和远程之间的隧道。

　　部门1和2的数据包可以通过根虚拟防火墙这个共享的隧道进行数据安全传递。

　　跨虚拟防火墙转发是虚拟防火墙常用的功能，其主要技术难点在于流量在物理墙内就需要完成转发，而不能将流量送出物理防火墙再收回来进行处理。通过虚拟接口技术可以实现数据包跨虚拟防火墙转发。其主要特点是虚拟防火墙通信像一般防火墙之间通信一样， 华为USG6000凭借以上几个特点，引导着下一代防火墙的技术前端，由云计算等新技术掀起的信息产业变革已不可阻挡，为适应正在发生的革命性变化与融合，华为做出面向客户的战略调整，华为的创新也从电信运营商网络向企业业务、消费者领域延伸，协同发展“云-管-端”业务。在此业务转型的大背景下，防火墙产品也需要转变传统观念，以全新的视角来实现虚拟化并融合入大平台。