虛擬化是近幾年最熱門的科技名詞之一,特別是在系統、伺服器或儲存領域的運用。然而,網路安全虛擬化的功能,目前卻仍僅有少數廠商有能力提供。新一代的整合式網路安全設備,勢必得擁有安全虛擬化的功能,才能因應客戶的需求,並兼俱節能、效率與安全的要求。
網路安全的虛擬化(Virtualization),已成為新一代整合式網路安全設備(UTM)在功能上重要的分水嶺。整合式網路安全設備發展至今,根據IDC的預測,其市場規模為傳統防火牆與VPN的兩倍。未來可望因是否具備虛擬化功能,造就市場不同的面貌與成長的動能。
完善的整合式網路安全設備,須具備的功能包括防火牆、防毒、入侵預防偵測、防垃圾郵件、網頁過濾和動態路由選擇等等。所謂的網路安全虛擬化,能讓整合這些功能的單一設備,被切分為多個虛擬化設備,每個虛擬化設備卻仍保有所有的安全功能,並兼具節能、效率與安全的要求。
例如,一部UTM設備可以被切分為數個能獨立管理與監控的單元,分別管理各自的虛擬網域(Virtual Domain,VDOM)。目前最高階的UTM,甚至可以切分達4,000個虛擬的UTM防火牆;最小型的UTM現在也都有此項功能。
除了所有的UTM功能皆能虛擬化之外,目前連靜態與動態路由選擇也能虛擬化。此外,業界最先進的UTM設備亦提供VDOM交互路由(inter-VDOM routing)功能,讓多個內部的虛擬防火牆能相互通溝。意即封包能在同一部設備 ,多個虛擬防火牆之間傳遞通訊,這不僅能節省實體網路介面,同時也能增加效能。
事實上,網路安全虛擬化並非一個全新的議題。許多年來,電信業者、ISP、主機代管與安全管理服務業者,便已虛擬化他們的防火牆來服務客戶。主要作法是採用多部非常大型,並且相互備援、叢集的防火牆,虛擬化分享供數個客戶使用。每個客戶都擁有專屬的虛擬防火牆,並且能個別管理和設定所需的功能。不論在硬體與軟體授權上,都能精省成本,服務業者也因此能提供客戶更具成本效益的各種服務。
如今,不僅防火牆功能,UTM設備上的所有功能都能被虛擬化,執行模式也能混合應用。例如,第一部虛擬設備能執行NAT/route模式,第二部虛擬設備則可執行透通transparent模式;一部虛擬設備可執行防火牆、防毒與IPS功能,另一部則可選擇執行單純的網頁過濾。
現今愈來愈複雜的網路環境,部署各種虛擬化功能的需求,勢必會逐漸增加,受到更多企業的青睞。在網路安全市場,擁有虛擬化與完整UTM功能的網安設備,將兼具節能、效率與安全的要求,同時能為企業帶來因應複雜網路所須具備的應用彈性。