日前，网络安全领导厂商山石网科发布了基于Openstack的FWaaS（Firewall as a Service）安全服务解决方案，为Openstack平台构建的公有云、私有云提供安全防护，以及为云环境中的独立租户提供专属的安全隔离和策略保护。本方案非常适用于电信运营商、互联网服务商、产业园区等需要部署云计算服务的网络。

数据中心在云化过程中给传统的安全防护带来了很多挑战。早前，山石网科发布的云数据中心安全解决方案，通过支持虚拟防火墙、安全资源动态分配、安全设备弹性扩展等特点，实现跨平台支持多种虚拟主机。此次基于Openstack平台发布的FWaaS安全服务解决方案，通过Openstack控制台统一管理虚拟防火墙，资源简化管理流程，保护了云平台的安全性与虚拟业务系统的连续性。

边界消失 如何守护安全

传统的数据中心一般提供的是物理主机托管服务，有清晰的物理边界，如果用户需要对自己的物理主机进行安全防护，可以自行在自己的服务器前部署防火墙等网络安全设备。而云计算数据中心提供的是虚拟主机租赁服务，物理边界消失，租户已经不是物理设备的拥有者，无法再部署物理网络安全设备。因此，像虚拟主机租赁服务一样，云计算数据中心也需要为租户提供FWaaS等网络安全解决方案。 

图1 传统网络安全方案无法适应数据中心虚拟化

Openstack 作为公有云、私有云管理平台，帮助云数据中心构建和管理IaaS。Openstack通过Neutron组件提供虚拟网络功能。在虚拟网络功能的帮助，物理安全设备可以通过Openstack平台为租户提供虚拟化的FWaaS服务。

构建面向Openstack平台的FWaaS服务

山石网科基于Openstack平台的Neutron虚拟网络技术，整合山石网科 X系列数据中心防火墙产品，提供FWaaS安全解决方案，帮助Openstack平台用户构建FWaaS服务。解决方案组件安装在Openstack控制节点中，代替了Neutron网络中的虚拟路由器功能，当租户在Openstack的界面上操作创建虚拟路由器时，Openstack控制台会自动连接山石网科物理防火墙为用户创建虚拟防火墙以及做相应的配置。每个租户可以拥有一个或多个VLAN，不同的租户通过不同的虚拟防火墙隔离开来，租户的虚拟防火墙可以共享物理防火墙的外网接口，然后通过主机路由的方式进入租户的虚拟防火墙，租户可以对自己的虚拟防火墙进行业务管理。

山石网科的Vsys虚拟防火墙支持源地址转换、目的地址转换、服务器负载均衡、IPSec VPN、基于应用的访问控制、拒绝服务攻击防护、会话限制等网络安全功能。

四大提升值得关注

本次发布的FWaaS解决方案在管理、安全、成本、使用率等方向做了多项改进，将有助于用户的部署和管理。如，所有虚拟防火墙可以由Openstack平台统一配置和管理，与传统数据中心每台安全设备的单独维护相比，管理上更加简便。图形化呈现云数据中心的网络拓扑，管理员轻松掌握全网安全设备的运行状态；Vsys虚拟防火墙技术，将一台物理防火墙在逻辑上划分成多个虚拟防火墙，能够实现不用租户不同业务的专属防护策略配置。

再有，虚拟化技术隔离虚拟防火墙之间的故障，保证了租户业务系统的可用性和连续性。硬件安全设备单独部署，不占用虚拟环境的计算资源，保证了每个虚拟防火墙都有高性能表现。对比传统的安全方案，实际部署安全硬件的数量大幅减少；通过帮助云数据中心组建虚拟防火墙资源池，利用灵活可扩展的特性，租户可以根据业务单元的增减，动态创建和移除相应的虚拟防火墙，不需要添置更多的硬件安全设备，全面实现按需部署、动态分配、弹性扩展，提高了云数据中心的资源利用率，保护投资。