前段时间对国内外多款防火墙设备进行了测试，总体来讲各有千秋，但是始终无法满足天津城建学院机房网络环境的安全需要。因为防火墙设备很难针对每一台应用服务器进行设置，同时随着现实的需要7层防火墙在处理大机房传输安全时对硬件的要求很高，造价昂贵。

传统的防火墙工作流程1 如上图

用户从互联网访问应用服务器，透过防火墙访问三级自建DNS服务器，DNS域名解析地址首先指向防火墙，然后由通过防火墙访问内网服务器。

优点：对所有的访问数据包进行了过滤。

缺点：DNS地址需要重新编写，原有网络结构需要改变。

     对防火墙压力大，大量数据需要由防火墙来处理，高峰时容易造成信息堵塞.且多数防火墙只有一个千兆输出端口，严重影响带宽。对硬件要求高。

     无法针对每台应用服务器的要求制定相应的安全计划。

     

传统防火墙工作流程2 如上图

用户通过DNS服务器解析到应用服务器的真实公网地址，然后通过防火墙访问服务器。用户通过桥接的方式访问服务器。防火墙此时起到的是透明代理的作用。

优点：无须改变网络结构，属于即插即用型/

缺点：启用桥模式，那么所有流经桥接口的网络流量就没有防地址欺骗防护，因为在防火墙看来流量是从一个三层接口进来又出去，不存在地址欺骗；
     防火墙现在都是状态检测/过滤机制，桥接口可能会影响部分防火墙产品的状态检测功能；
      二层的桥在网络拓扑连接方式上可能会引入关于二层的因素，诸如ARP转发、VLANTrunk、STP等。

 

基于虚拟操作系统的防火墙：如上图（作者：于翔）

 

首先防火墙系统是安装虚拟操作系统vmwareesx3.0上，在虚拟机上克隆出多个防火墙系统，每个防火墙系统对应一台应用服务器，用户通过互联网访问应用服务器首先穿过对应的防火墙系统，大大提高了安全性和运行效率。

 

其优点：有针对性的对受保护的应用服务器进行个性化安全设置；

       可以根据应用服务器的数量和访问量快速调整防火墙配置；

       带宽平均分配和扩容简单。例如：我们利用IBMx335硬件平台搭建了一个虚拟化防火墙，充分利用服务器自带的双千兆网卡以及加装的双千兆网卡对两台应用服务器实现了双千兆进，双千兆出。同理对于多台应用服务器，我们可以采用双光纤网卡+千兆交换机实现带宽扩容。如有必要可增添同样设备即可。

       灵活多变的应用，在虚拟机上可建立多套防火墙系统同时对应用服务器进行保护。

       网络结构不需要大变化，DNS服务器地址无需更改，虚拟机上的防火墙进行透明桥接方式访问应用服务器，或分配给应用服务器一个内网地址，以路由方式访问。

       安全稳定，合理分配资源。这是虚拟操作系统的优点，不多说了。

 

通过我们的实际应用确实感觉很好，很强大。