防火墙是位于内部网和外部网之间的屏障,按照系统管理员预先定义好的规则来控制数据包的进出,是系统的第一道防线,其作用是防止非法用户的进入。虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。

以上描述的防火墙一般用于数据中心内部网络和外部网络之间,而云宏君接下来描述的虚拟防火墙则有所不同,它用于数据中心内部网络中虚拟机与虚拟机、虚拟机与物理机之间的网络通信,是一种虚拟网络的网络流量控制防火墙解决方案。

传统虚拟防火墙解决方案大体是参考物理机的防火墙实现

传统虚拟防火墙解决方案大体是参考物理机的防火墙实现,在虚拟机内运行虚拟机防火墙软件,算是更完整地贯彻虚拟的方针。

为了便于调控虚拟防火墙的策略和配置,每台物理机上都需要部署一个防火墙模块,以接收来自防火墙控制器发送的配置信息和防火墙策略进行网络流量的检测。在主机集群的控制节点上部署防火墙控制器,用于对整个集群环境中所有的防火墙模块进行统一管理和策略配置。用户或云计算管理节点的防火墙策略信息发送给防火墙控制器,实现对虚拟防火墙的调控。

换言之,防火墙控制器需要建立连接,用户配置的防火墙策略信息必须通过防火墙控制器的可实施性预分析,才能将用户配置的防火墙策略信息发送给防火墙模块。一旦连接断开,就需要用户根据控制器反馈信息进行修改。除此之外,采用虚拟防火墙软件方式安装防火墙,通常需要安装其他不相干的模块,哪怕实际上只用得上防火墙模块。而且有的防火墙软件过滤规则要逐条过滤网络流量,性能较差。

云宏CNware虚拟防火墙采用了基于OpenvSwitch(简称OVS)的openflow流表

为了有效地解决传统方案的弊端,云宏CNware虚拟防火墙采用了基于OpenvSwitch(简称OVS)的openflow流表,配置网络流量过滤规则实现虚拟防火墙功能。CNware虚拟化主机默认采用OVS作为网络管理堆栈。物理主机下面的虚拟机网络通信都会经过OVS下面的bridge,bridge的作用就是虚拟交换机。在bridge上设置openflow流表规则,就可以控制网络流量的通过,实现虚拟防火墙的功能。

云宏CNware虚拟防火墙通过程序下发用户自定义规则到openflow,能使网络流量交由openflow进行过滤,下发的规则信息包括防火墙规则所属物理主机、源类型、源对象值、协议、端口号、目标类型、目标对象值、单双向等信息。数据包符合规则的就可以通过虚拟交换机(列入白名单),反之则不能通过(列入黑名单)。

与传统方案相比,云宏CNware虚拟防火墙不需要防火墙控制器模块,避免防火墙控制的连接问题,而且层次结构更加简洁,性能更高效。另外,解决方案使用IP、IP段、MAC等多种配置规则,配置策略更丰富、更灵活。

转载于:https://blog.51cto.com/13923196/2348465

云宏大讲坛 | 灵活轻便的云宏CNware虚拟防火墙相关推荐

  1. 云宏大讲坛 | 容器的前世今生

    容器是什么? 专业地讲,容器是实现操作系统虚拟化的一种途径,可以让用户在资源受到隔离的进程中运行应用程序及其依赖关系:简单地讲,容器就是基于linux内核技术的一种隔离手段. 很多人认为容器就是另外一 ...

  2. 【云宏大讲坛】关键应用在超融合环境下的实践

    (传统承载关键应用的机器架构正在加速瓦解,越来越多核心应用迁移到虚拟化平台.超融合系统的成熟和普及,更让关键应用得到新型的实践.) 关键应用,是指对业务连续性和性能都要求非常高的应用,如ERP.CRM ...

  3. 【云宏大讲坛】超融合,融合的不仅是基础架构

    Gartner的技术成熟度曲线表明,当前超融合开始进入快速成长期,随着数字化转型和业务全面云化的推进,超融合的势力范围不断扩张.而据IDC数据显示,2017年中国超融合市场同比增长115.3%,整体市 ...

  4. 云宏大讲坛 | 饭局排桌子,排出了分布式资源调度高级规则

    春节的时候,云宏君与小伙伴们在网红店门口探讨了一番DRS分布式资源调度. 春节一顿饭,吃懂了分布式资源调度 道理我们都懂,具体怎么操作? 我们继续拿饭桌来打个比方--如果把数据中心比作一场宴席,那么服 ...

  5. 云宏大讲坛 | Ceph分布式存储高性能设计

    随着数据量的不断增长,如何以高效的方式存储数据量成为IT界的一个挑战.许多传统存储解决方案不能满足日益增长的需求,业界迫切需要一种新的方法来管理现今的数据,为用户控制访问时间,缩减管理成本. 软件定义 ...

  6. 云宏大讲坛 | SDN、NV在云数据中心的应用场景

    随着云计算技术的高速发展,IT基础架构也处于快速变化中,以适应新技术层出不穷的要求.以云数据中心网络设备而言,IT基础架构的变化对网络运维带来了一些新挑战: 应用架构的转变 业务的转型导致基于服务和W ...

  7. 博时基金云原生架构下的统一云管平台

    博时基金管理有限公司(以下简称为"博时基金")成立于1998年,是中国内地首批成立的五家基金管理公司之一.博时基金总部位于深圳,在北京.上海等地设有分公司,同时拥有博时基金(国际) ...

  8. 物联网课程论文:《基于云原生的物联网端管云系统方案综述与演进设想》

    这篇论文八千多字,主题是 云原生+物联网平台.花了几天心思,查了很多篇论文,因为自己对物联网通信的硬件方面不太会,所以还是选择写综述类的论文了,这篇论文感觉技术深度和广度比我上一篇计算机网络论文要更加 ...

  9. 【阿里云Grafana】数据可观测云监控大盘服务

    新手友好系列之云产品免费试用:https://click.aliyun.com/m/1000370363/ 在监控系统体系里,grafana相信大家都是听说过的,grafana将我们的监控数据以大屏的 ...

  10. 云服务优缺点_什么是云服务器,云服务器的优缺点

    建网站,存储代码的空间有虚拟主机,也有云服务器,还有更高级的物理服务器,性能递增,如果你已经入门了,对于如何建站有了一定了解,那么建议大家入手一台属于自己的云服务器,这在以前是不可思议的,但是随着时间 ...

最新文章

  1. 转载:原生JavaScript实现Ajax
  2. Spring5源码 - 13 Spring事件监听机制_@EventListener源码解析
  3. Windows 7 文件夹共享
  4. 微信小程序开发 | 官方问答精选
  5. B树 B+树 B*树
  6. Object.create()和new object()和{}的区别
  7. vb与数据库(二)之迟到的学生信息管理系统总结
  8. python运维书籍推荐_python运维书籍
  9. android WPS如何绘图
  10. 【企业架构】什么是第一?架构还是流程?
  11. 基于衰减因子和动态学习的改进樽海鞘群算法
  12. WEB服务器安全设置,有效防护网站攻击70%
  13. 电脑PC微信头像和图片不能显示出来?
  14. 执行SOA ——SOA实践指南
  15. ssm人力资源考勤系统
  16. 2021年自动化预推免面试经历记录与总结--持续更新
  17. 周周周报报报(药店管理系统)
  18. (kaggle)Video Game Sales电子游戏销售分析
  19. bootloader与uboot之间有什么联系?
  20. iOS开发之视频播放时出现播放不了的情况

热门文章

  1. Valine-1.4.4新版本尝鲜+个性制定(表情包、qq头像、UI样式)
  2. 基本知识 100136
  3. 如何更改电脑开机密码
  4. 第10周项目1 二叉树算法库
  5. [论文笔记]JED:Towards Real-Time Multi-Object Tracking
  6. 查看计算机屏幕颜色软件是什么,显示器颜色校正软件,详细教您显示器颜色校正软件...
  7. 蓝桥杯 C语言 试题 历届试题 高僧斗法
  8. 如何翻滚截屏_怎么进行滚动截屏
  9. 光纤基础知识(2)-光纤接头(尾纤)ST,SC,LC,FC
  10. 基于RF框架的接口测试之代码分层管理