中国石油大学:防火墙虚拟化应用于虚拟网

2015-08-21田爱宝

中国教育网络 2015年1期

文/田爱宝

随着网络的发展，越来越多的应用系统需要网络承载。很多情况下，出于安全等方面的原因，应用系统并不适合接入Internet，需用使用专网的方式提供服务，而有些应用系统的用户并不在相对集中的地方，甚至相隔几千公里，使用租用专线的方式成本高昂，线路利用率不高，这时，虚拟专用网（Virtual Private Network，简称VPN）应运而生。虚拟专用网是利用公共线路建立的专用网络，无需租用高昂的专用线路，低成本的利用公共网络提供专网服务。

虚拟专用网具有低成本、数据传输安全可靠、接入灵活等优点，得到了广泛的使用。根据虚拟专用网使用的技术，分为IPsec VPN、SSL VPN、PPTP VPN等多种类型，其中根据安全级别、网络结构、接入端类型可以选择不同类型的VPN，以满足应用系统安全、方便用户接入等需求。

防火墙是由硬件和软件组成的一套安全系统，在专用网络与公共网络件形成一道安全屏障，保护专用网络安全。防火墙能提供完整的安全保护机制和手段，同时作为安全产品，有些防火墙还提供了VPN功能。

多专网并行面临的问题

中国石油大学（华东）目前有两个校区、一个办事处、一个产业基地，两两相距20到1000公里不等，师生因教学生活等原因会在不同的地点流动，均希望能享受与主校区相同的校园信息化服务。校园信息化系统中最基础的校园一卡通系统、学校财务综合管理系统、学校医疗医保系统需要根据各分支点的情况一个或多个延伸到不同的分支机构，由于安全等问题，各自专网必须相互隔离。

按照传统模式，主校区与各分支机构需要建立一个或多个并行的虚拟网络，将其各自专网进行互联互通，如校园一卡通系统需要使用多台VPN设备将不同分支机构的一卡通专网进行互联，与此同时，学校财务综合管理系统和学校医疗医保系统均需要购买多台独立的VPN设备进行各自专网的互联互通，这就导致同一地点VPN设备重复购买多台，前期购买成本增加，而且存在有些VPN设备数据流量不大，浪费设备资源。

图1 传统虚拟专网结构

防火墙虚拟化提供多个虚拟专网

中国石油大学（华东）目前跨校区跨分支机构的基础专用网络主要有三个，即校园一卡通专网、学校财务管理专网、学校医疗医保专网三个，不同校区和分支机构有不同的专网接入需求，如图1所示。根据各自专网的用途，不同的虚拟专网有各自的特点：

校园一卡通专网分布最广，几乎遍布所有校区、所有分支机构。由于提供消费、门禁、设备管理、教学管理等各方面服务，校园一卡通专网具有终端节点特别分散且分布不均衡，业务持续时间长，网络数据量大等特点，而且存在金融类消费数据传输，数据传输中的安全性、完整性、稳定性要求较高，故一般经过广域网传输的数据均必须加密。

学校财务管理专网主要为学校财务预概算、报销业务办理、住房公积金管理等业务提供服务保障，一般只能向分校区和具有财务管理权限的分支机构提供接入服务。财务管理人员一般集中在一个或几个地方，办公地点比较固定，偶尔有出差外地访问的需求。由于财务管理系统一般子系统比较多，各子系统数据传输采用明文或密文的方式，安全性无法完全保证，从较高的安全界别考虑，跨区域不可控网络必须对数据进行加密。

学校医疗医保专网主要用于两校区校医院内部医疗管理系统，存在金融数据传输，并同时两校区均需要访问地方医保专网进行医保报销等业务办理，数据传输安全性较高。

综合以上特点，三个专网均对数据传输的安全性要求较高，稳定性较高，同时部分专网有对移动接入需求，故可以采用IPSec VPN模式，实现网络对网络的连接和网络到终端的连接。

防火墙虚拟化是将一台物理防火墙划分成多个逻辑防火墙，多个逻辑防火墙共享物理防火墙硬件资源，各个逻辑防火墙间网络相互隔离，每个逻辑防火墙有独立的资源、管理、策略、认证信息等。当前，防火墙作为一款安全设备，基本上集成了如IPSec VPN、PPTP VPN、SSL VPN等常见类型的VPN，完全能满足常用专网对VPN的需要。

中国石油大学（华东）主校区和分校区有校园一卡通、学校财务、医疗医保三个专网，办事处只需要接入校园网一卡通专网，产业基地需要接入校园网一卡通和财务管理专网，根据上述情况，将有多个专网接入需求的地点采用共享的方式，使用防火墙虚拟化技术，解决各专网使用虚拟网方式进行互联，如图2所示。

防火墙虚拟化后，根防火墙只负责设备的管理及虚拟防火墙的维护，保障物理就虚拟防火墙的网络安全，一般由学校信息化或校园网管理部门管理；各逻辑防火墙接入到各自专网，并与其他防火墙上相应的逻辑防火墙建立虚拟网链路，组成虚拟专用网，并根据安全需要配置相适应的网络安全策略，也可以配置移动用户账号以满足移动用户的接入需要，对于虚拟防火墙的管理员和用户是完全透明的。

使用防火墙虚拟化的方式组建VPN网络后，原有的VPN设备基本上被淘汰，取而代之的是几台防火墙设备。虚拟网设备采购成本更低，硬件资源在不同虚拟网之间动态调整，设备利用率得到较大提升，同时，由于物理防火墙可以在资源足够的情况下建立更多的虚拟网，设备扩展空间很大。除此之外，由于使用虚拟化技术，省去了采购时间，虚拟网搭建速度大大提高，甚至可以作为一种服务来提供给用户。