數(shù)據(jù)中心防火墻是數(shù)據(jù)中心用來(lái)最大限度地提高安全性的軟件或硬件設(shè)備。它是一個(gè) 5 元組網(wǎng)絡(luò)層，用作多租戶(hù)軟件設(shè)計(jì)網(wǎng)絡(luò) (SDN)設(shè)備。防火墻的目的是監(jiān)控進(jìn)出組織網(wǎng)絡(luò)的流量。在行業(yè)術(shù)語(yǔ)中，該網(wǎng)絡(luò)稱(chēng)為邊界。對(duì)于支離破碎的網(wǎng)絡(luò)邊界，防火墻可以在隨后更小的級(jí)別上工作，一直到工作負(fù)載級(jí)別，過(guò)濾掉外部威脅。

為什么要部署數(shù)據(jù)中心防火墻？

多年來(lái)，數(shù)據(jù)中心已經(jīng)發(fā)展成為許多企業(yè)和企業(yè)的關(guān)鍵解決方案，盡管基于云的資源非?？捎?。了解托管關(guān)鍵任務(wù)應(yīng)用程序和基本業(yè)務(wù)運(yùn)營(yíng)所帶來(lái)的利益后，數(shù)據(jù)中心在設(shè)計(jì)和地理位置方面都變得更加復(fù)雜。

然而，它們的設(shè)計(jì)演變和地理分布并不能使它們不受外部威脅的影響。網(wǎng)絡(luò)犯罪和未經(jīng)授權(quán)訪(fǎng)問(wèn)的激增促使 IT 人員引入防火墻等解決方案，以抵御這些威脅并保護(hù)需要獨(dú)占訪(fǎng)問(wèn)的數(shù)據(jù)。全球網(wǎng)絡(luò)安全防火墻市場(chǎng)預(yù)計(jì) 2021 年為 43.7 億美元，預(yù)計(jì)到 2026 年將達(dá)到 86 億美元，復(fù)合年增長(zhǎng)率為 14.9%。

數(shù)據(jù)中心防火墻的主要原則是物理和數(shù)字系統(tǒng)，其工作是保護(hù)數(shù)據(jù)和應(yīng)用程序免受惡意攻擊。這些數(shù)字和物理系統(tǒng)結(jié)合了網(wǎng)絡(luò)、存儲(chǔ)和計(jì)算能力，為數(shù)據(jù)中心運(yùn)營(yíng)商和客戶(hù)提供對(duì)關(guān)鍵任務(wù)應(yīng)用程序的遠(yuǎn)程訪(fǎng)問(wèn)。

數(shù)據(jù)中心防火墻旨在檢測(cè)入侵攻擊，并將不需要的流量從其網(wǎng)絡(luò)以及網(wǎng)站等公共網(wǎng)絡(luò)中排除。使用防火墻，即使您的網(wǎng)絡(luò)遭到黑客攻擊，您仍可以繼續(xù)保護(hù)您的位置。

數(shù)據(jù)中心防火墻如何工作？

數(shù)據(jù)中心管理員通過(guò)創(chuàng)建應(yīng)用于網(wǎng)絡(luò)接口或子網(wǎng)的訪(fǎng)問(wèn)控制列表 (ACL) 來(lái)安裝和配置防火墻。他們?cè)诿總€(gè)租戶(hù) VM（虛擬機(jī)）的交換機(jī)端口實(shí)施防火墻策略，網(wǎng)絡(luò)控制器通過(guò)門(mén)戶(hù)推送這些策略，以便在所有適用的主機(jī)之間分發(fā)。這樣，租戶(hù)管理員可以啟用和配置防火墻，以轉(zhuǎn)移來(lái)自互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的不需要的流量，從而保護(hù)自己的流量。

防火墻可以根據(jù)其設(shè)計(jì)以多種方式控制流量。傳統(tǒng)架構(gòu)通常提供靜態(tài)數(shù)據(jù)包過(guò)濾、狀態(tài)檢查和代理服務(wù)?，F(xiàn)代防火墻通過(guò)高級(jí)威脅分析、入侵檢測(cè) (IDS/IPS) 和應(yīng)用程序上下文對(duì)該架構(gòu)進(jìn)行了補(bǔ)充。這些現(xiàn)代分析使評(píng)估傳入流量的內(nèi)容變得更加容易。

數(shù)據(jù)中心防火墻類(lèi)型

數(shù)據(jù)中心防火墻可以有兩種類(lèi)型：分布式或基于邊界。傳統(tǒng)上，數(shù)據(jù)中心使用邊界防火墻作為安全層（或虛擬防御墻）來(lái)保護(hù)其內(nèi)部資產(chǎn)免受南北向流量中的惡意行為者的侵害。一旦分布式網(wǎng)絡(luò)與其他現(xiàn)代應(yīng)用程序一起流行起來(lái)，網(wǎng)絡(luò)邊界日益增加的滲透性就需要進(jìn)行分鐘監(jiān)控。這導(dǎo)致引入了更精細(xì)的分布式防火墻，可以監(jiān)控和保護(hù)內(nèi)部（東西）流量。

無(wú)論哪種情況，他們的工作都是繼續(xù)監(jiān)控指定網(wǎng)絡(luò)區(qū)域中的流量。他們識(shí)別并阻止任何可疑活動(dòng)，同時(shí)提醒安全團(tuán)隊(duì)注意可能的威脅。分布式防火墻通過(guò)過(guò)濾東西向流量來(lái)保護(hù)工作負(fù)載級(jí)別。通過(guò)部署防火墻，數(shù)據(jù)中心可以保護(hù)跨越一層虛擬和傳統(tǒng) VLAN 網(wǎng)絡(luò)的東西向和南北向流量。

數(shù)據(jù)中心防火墻的好處

可靠而強(qiáng)大的防火墻設(shè)計(jì)充分利用了分布式防火墻和外圍防火墻，為南北向和東西向流量提供一流的保護(hù)。以下是服務(wù)提供商和租戶(hù)通過(guò)安裝防火墻享受的各種好處的快速概述。

云服務(wù)提供商的優(yōu)勢(shì)

以下是數(shù)據(jù)中心防火墻如何專(zhuān)門(mén)使服務(wù)提供商受益的快速細(xì)分。防火墻價(jià)格實(shí)惠、可診斷且可擴(kuò)展。該解決方案允許提供商將租戶(hù) VM 移動(dòng)到不同的主機(jī)，而不會(huì)損害獨(dú)有的防火墻策略；租戶(hù)虛擬機(jī)可以配置他們的策略；這些規(guī)則是為獨(dú)立于 VM 主機(jī)的每個(gè)交換機(jī)端口單獨(dú)配置的。強(qiáng)制性租戶(hù)保護(hù)，與來(lái)賓操作系統(tǒng)無(wú)關(guān)。

租戶(hù)的優(yōu)勢(shì)

數(shù)據(jù)中心租戶(hù)可以通過(guò)防火墻享受以下好處；

• 租戶(hù)可以定義他們特定的防火墻規(guī)則；這有助于他們保護(hù)面向互聯(lián)網(wǎng)的工作負(fù)載和內(nèi)部工作負(fù)載。也可以將防火墻策略應(yīng)用于傳統(tǒng) VLAN 和基于覆蓋的網(wǎng)絡(luò)。
• 規(guī)定防火墻規(guī)則的能力還使租戶(hù)能夠保護(hù)同一第 2 層子網(wǎng)以及不同子網(wǎng)上的 VM 之間的流量。
• 您還可以定義規(guī)則來(lái)保護(hù)租戶(hù)的本地網(wǎng)絡(luò)與服務(wù)商提供的虛擬網(wǎng)絡(luò)之間的流量。
• 防火墻還允許您管理帶寬分配。
• 數(shù)據(jù)中心防火墻可以以不同的方式為服務(wù)提供商和客戶(hù)優(yōu)化運(yùn)營(yíng)效率，但也有一些所有利益相關(guān)者都可以享受的共同利益。

例如，無(wú)論您是服務(wù)提供商還是客戶(hù)，您都可以享受全面的安全機(jī)制，確保獨(dú)占訪(fǎng)問(wèn)和免受威脅。您可以享受一致的應(yīng)用程序和數(shù)據(jù)性能以及不間斷的服務(wù)和產(chǎn)品供應(yīng)，從而造福于客戶(hù)和員工。最后，數(shù)據(jù)中心防火墻使現(xiàn)代和分散的勞動(dòng)力能夠在沒(méi)有停機(jī)和成功攻擊造成損害的情況下提供服務(wù)。