卜天然

摘要：采用SOP架构是基于容器轻量级的虚拟化技术，在一个安全引擎内，通过唯一的OS内核对系统硬件资源进行管理，每个虚拟防火墙作为一个容器实例运行在同一个内核之上。隔离了租户之间的故障影响，能够更好地满足云计算时代的多租户运营模型。

关键词：SOP；虚拟化技术；防火墙；容器实例

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）21-0020-02

Abstract： SOP architecture is a lightweight container-based virtualization technology， a security engine， through a unique system of OS kernel manages hardware resources， each virtual firewall as a container instance runs on the same core. Fault isolation impact between tenants， better able to meet the multi-tenant cloud computing era operating model.

Key words： SOP； virtualization technology； firewall；container

1 传统虚拟化防火墙的分析

公有云及私有云等云计算业务的开展，均存在将一台物理设备进行1：N虚拟化之后提供给不同租户使用的需求。要求虚拟防火墙之间业务数据相互隔离，能够提供独立管理、独立审计、独立安全策略，同时能够给每个虚拟防火墙分配独立的处理能力。

传统防火墙产品在解决虚拟化问题通常有两种技术：基于虚拟路由和基于虚拟机。

基于虚拟路由的安全虚拟化方案在数据平面，围绕转发表，通过VRF或类似技术将转发相关的表项（如路由表、ARP表）分割成多个逻辑的表，实现报文转发的隔离；在管理平面，为不同虚拟防火墙关联不同的管理员，实现管理的隔离；在控制平面，需要针对每种业务逐一考虑虚拟化的改造，使其支持虚拟化。这种虚拟化方案，本质上是一种多实例技术，是在已有非虚拟化的系统架构上，对一些主要安全业务进行多实例的改造，只能对个别安全业务实现部分虚拟化，系统可扩展性差。

基于虚拟机的安全虚拟化方案中CPU、内存和I/O资源由底层的Hypervisor或Emulator实现模拟。虚拟防火墙作为一个GuestOS运行在虚拟化的硬件环境中，因此，基于虚拟机的虚拟化从安全业务的角度来说，是一种完全的虚拟化方案，更容易部署和迁移，也避免了虚拟化后导致的部分功能缺失的问题。但是，基于虚拟机的虚拟化通过Hypervisor或Emulator作为中间层，给上层构造了一个完全独立的虚拟硬件空间，每个GuestOS需要独立构造完整的操作系统和业务环境，由此也带来了一些问题。比如，单台物理设备/服务器上运行的虚拟防火墙数量很少，报文转发时延加大等。使得这种方案更适合部署在虚拟防火墙数量要求不多、业务性能不高的场景。

2 SOP虚拟化防火墙的架构

SOP架构采用基于容器的虚拟化技术，是一种轻量级的虚拟化技术，在一个安全引擎内，通过唯一的OS内核对系统硬件资源进行管理，每个虚拟防火墙作为一个容器实例运行在同一个内核之上。图1为SOP虚拟化防火墙构架示意图。

采用容器化技术，虚拟防火墙有独立的进程上下文运行空间，容器与容器之间的运行空间完全隔离，天然具备了虚拟化特性。攻击者无法从一个虚拟墙进入另一个虚拟墙或者获取另一个虚拟墙的数据。相比传统的VRF隔离，具有更好的数据安全性。在一个容器中，运行了完整的防火墙业务系统（包括管理平面、控制平面、数据平面），从功能角度看虚拟化后的系统和非虚拟化系统的功能是一致的（整机重启、存储格式化、集群配置等全局系统配置只能由系统管理执行）。同时进程空间的隔离实现了虚拟墙的故障隔离。

由于多个虚拟墙共享统一的OS内核，可以从调度入口灵活分配每个虚拟墙的处理能力比如吞吐、并发、新建等，也可以在线动态地增加资源。同时，基于容器的虚拟化实现在容器中并不需要运行完整的操作系统，减少了由于完全虚拟化带来的内存开销，每个VFW可以直接通过内核和物理硬件交互，避免了和虚拟设备交互代理的性能损耗，所以可以支持更多的虚拟防火墙实例，而不会对系统性能造成实质影响。上面三种虚拟化方案实现的主要特点对比如表1所示。

3 SOP虚拟化架构资源分配策略

SOP虚拟化架构的资源分配策略主要包括以下两种方法：按照接口、vlan分配和系统处理能力分配策略。

（1）按照接口、VLAN分配

在虚拟化过程中，接口（逻辑接口）、VLAN作为防火墙转发的必须要素是首先要分配的。传统的基于VRF的虚拟防火墙这些信息都是全局维护的，在这种实现方式下，管理员在给虚拟墙分配接口、VLAN时，需要对该虚拟墙对应的业务VLAN预先了解清楚，而且虚拟墙的业务VLAN发生变化时，需要管理员重新创建和分配给虚拟墙，这在一些权限划分比较明确的场景是不可行的。

SOP架构由于业务数据的完全隔离，允许当一个物理接口属于某一虚拟墙时，该虚拟墙可以基于该物理接口创建独立的逻辑接口或VLAN。可以是一个接口唯一地属于一个虚拟防火墙，也可以一个接口被多个虚拟防火墙共同拥有。

（2）按照系统处理能力进行分配

基于同一硬件平台上的多个虚拟防火墙共享相同的硬件资源和系统处理能力。为了保证这些虚拟防火墙之间的相互独立性，满足可运营的要求，势必要涉及这些资源的合理分配。从目前主流公有云安全服务的申请模式来看，租户不关心安全设备的具体形态，在实际的业务申请过程中会以带宽、并发会话、新建、策略数等指标对虚墙的能力进行量化。SOP安全架构基于统一的OS内核对所有虚拟防火墙的流量进行调度，可以从流量入口根据虚墙的能力分配进行调度，从而实现更加精准的控制。