幾年前，許多從事于安全和網絡的管理員對于缺乏像樣的云防火墻技術表示失望。在當時大多數公有云防火墻充其量算是初級產品，它們在管理或合理的安全配置方面只能提供極少的控制權。如今值得慶幸的是，通過在云基礎設施中添加可用于創建、運行基于網絡和基于主機的云防火墻的新方案，上述情況已經發生了變化。

    對于大多數企業來說，如今更大的挑戰可能是對這些系統實施遠程管理和監控，以及盡可能地將此過程自動化。幸運的是，一些云服務商正致力于將云防火墻管理變得比以往更簡單，大量自動化框架及平臺也常常能夠對規則管理和監控予以幫助。如何實現？我們將在下文中展開討論。

    基于主機的云防火墻管理

    對于那些尋求基于主機的云防火墻管理的企業而言，有大量的可選方案。在基礎設施即服務（IaaS）環境下，企業可以直接安裝廠商代理的任何產品，這些產品可能是企業正在使用的，包括邁克菲公司、賽門鐵克公司及其他公司的產品。像這樣的廠商中許多也有能力支撐起云管理后臺。這些產品一經安裝到IaaS實例中，現有的或虛擬的設備管理平臺即可對其進行監控。

    在這個領域中，新方案不斷涌現，正被諸如CloudPassage和Dome9 Security這樣的廠商推向市場，兩家公司都以軟件即服務（SaaS）的方式提供IaaS云防火墻管理服務。這些服務可以提高云系統在實施、控制以及資源利用率方面的效率。在某些情況下，基于網絡的云防火墻可能無法在公有云環境中使用，這就將安全交給了可以通過云后臺控制面板進行配置和管理的基于主機的云防火墻來控制。然而，這些服務可能無法在網絡環境中提供目前使用的所有功能，并且遷移至一種云服務模型可能需要額外的規劃和配置變更。

    基于網絡的云防火墻方案

    盡管基于主機的云防火墻管理看起來似乎成熟了，但大部分企業依舊掙扎在開發和維護基于網絡的云防火墻規則庫的泥潭里。部分問題是由于云服務商自有防火墻缺乏足夠的管理粒度和性能，但其他的挑戰往往產生于在IaaS環境中制定一項可以很容易緊跟線速防火墻及其復雜規則庫的自動化策略。

    企業可選的一種方案是簡單且易于管理的亞馬遜彈性計算云（EC2）內置網絡防火墻，它可以通過命令行和應用程序接口（API）的訪問來實現管理控制和自動化控制。EC2的防火墻規則是通過一種稱為安全組（Security Groups）的方式來創建。該組支持協議、端口、因特網控制消息協議的類型和代碼、源地址、目標地址以及安全組名稱/標識符，這些將用于方便地訪問和修改EC2中的個別安全組以及規則。雖然標準的安全組僅支持入站流量過濾規則，但是亞馬遜虛擬私有云（VPC）服務還支持出站規則。

    許多命令和API調用可用于EC2的安全組中，它們可以靈活作用于新的安全組和規則的創建以及規則的刪除，同時也靈活作用于與EC2實例關聯的安全組及規則 的變更。關于這些命令的舉例如下：

    · ec2-create-group:創建一個新的安全組（相當于API調用CreateSecurityGroup）

    · ec2-authorize:添加規則到安全組（相當于API調用包括AuthorizeSecurityGroupIngress和AuthorizeSecurityGroupEgress作為VPC規則）

    · ec2-describe-group:列出安全組及其屬性（相當于API調用DescribeSecurityGroups）

    · ec2-modify-instance-attribute:對于VPC服務，此命令可以修改一個實例將其與一個或多個安全組相關聯（相當于API調用ModifyInstanceAttribute）

    · ec2-revoke:從安全組中刪除規則（相當于API調用RevokeSecurityGroupIngress）

    · ec2-delete-group:刪除一個安全組（相當于API調用DeleteSecurityGroup）

 管理員能夠輕松地編寫簡單腳本，定期調用“ec2-describe-group”命令并將輸出的數據導入到一個文件用于分析和報告。腳本每小時或每天運行一次以驗證結果，觀察安全組狀態是否發生了變化。此文件的輸出包含安全組名稱和ID、亞馬遜賬戶ID（即安全組的所有者）、安全組描述、安全組關聯的規則，在適當的時候還會顯示VPC組的名稱。如果一個新的規則獲得批準，“ec2-authorize”命令可用于編寫在指定窗口切換中自動執行的腳本。而“ec2-revoke”命令也可以用來自動刪除規則，只需要指定組ID及規則屬性。API自動化可以借助廠商提供的業務流程編排工具（orchestration tools）來簡化這一過程，比如RightScale,或者諸如Eucalyptus以及OpenStack這樣的云管理框架。

    來自于其他云廠商的更加自動化的防火墻正在以他們的方式進入市場。以Rackspace公司為例，目前為客戶提供來自Vyatta的防火墻設備，這些設備允許命令行訪問和腳本功能。一些傳統的防火墻廠商也已經采用了亞馬遜的虛擬設備模型，例如，當前客戶正使用Check Point軟件科技公司的SmartConsole,通過在已有的管理面板中添加AWS設備作為另一個節點來管理防火墻及規則。

    云防火墻自動化

    為了實現更加靈活和可腳本化的API訪問，越來越多的企業利用諸如Puppet和Chef這樣的自動化工具包。Dome9在AWS上提供SecOps服務，它是一種允許客戶從SaaS后臺監視和管理所有的EC2安全組的完整產品，為企業使用的所有亞馬遜區域和賬戶提供統一的報告。

    一個試圖在其云防火墻平臺中實現更多自動化的企業應當考慮一些注意事項，包括但不限于以下內容：

    · 什么防火墻可用于云廠商環境中？這些廠商是否擁有傳統防火墻設備用于云防火墻實現？通常在私有云中，諸如Juniper vGW或者思科ASA 1000V防火墻設備為實現云防火墻可能需要支付額外的費用。大多數公有云廠商的客戶將被降級到廠商的傳統防火墻產品。

    · 當前的防火墻是否提供命令行和/或API訪問？如果是，這預示著具備了腳本支持，以及自動化與業務流程編排工具的集成支持。

    · 你的云管理工具（如OpenStack）是否提供與你的云廠商的原生API相集成的功能？對于許多工具來說，AWS集成是廣受歡迎的集成方案，但是該方案對其他云廠商的產品只有微弱的支持。

    · 你能否實現和使用諸如Puppet and Chef這樣的自動化工具包來自動化防火墻管理工作？這些工具是經過專門的設計以滿足此類功能，并且在實現上是靈活的。請記住實現此類工具需要額外的策略和流程以保證任何腳本的變更均經過已批準的變更控制及審查流程。

    · 使用新的基于云的防火墻產品來增強甚至取代當前防火墻策略和流程是否有意義？比如尤其是當需要諸如文件完整性監控和配置管理等額外的終端安全功能時，一個基于主機的云防火墻產品可以使一些企業變得更加有意義。像那些來自Dome9的工具還可以通過以SaaS形式提供一個基于云的管理面板和控制中心來簡化管理工具的安裝。

    未來更多的云防火墻方案

    除了新的SaaS產品，未來云防火墻管理和自動化所面臨的最大變數將出現在變更控制和遠程腳本訪問防火墻規則庫和數據等領域。管理員和運營團隊將需要優化他們的流程以確保進行更加頻繁的規則驗證，規則的變更很可能需要引入新的方法，即便其可能無法與現有的內部防火墻工具很好地集成。隨著時間的推移，可能會出現與領導廠商的更高水平的集成案例，但是在今天企業試圖為所有的內部防火墻和云防火墻的控制和數據創建單一的管理架構仍有尚待填補的空白。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：云環境中如何管理及自動化防火墻？

本文網址：http://www.guhuozai8.cn/html/consultation/10839713303.html