本月中旬,品高云与山石网科虚拟化下一代防火墙云·界完成兼容性测试,发布官方认证报告。通过云·界与品高云的结合,可以对云网络的边界安全提供有效的防护,该联合解决方案可支持防火墙网卡的热拔插,实现业务不中断情况下增加安全防护区域。

测试内容

本次测试包含两个层面:一是云界的单臂模式、多网卡模式在品高云上部署实践,并且验证热拔插网卡的可行性,旨在满足不同场景下的多样化部署模式需求;二是云界安全功能在品高云上的演练,内容包含网络地址转换,AV 病毒防护和 VPN 三个功能,验证云界在品高云上的经典安全功能实现情况。

CloudEdge 云界简介

CloudEdge 即山石云·界,下面统称云·界,云·界是专门为云计算环境设计的虚拟化网络安全产品,以虚拟主机形态,All In One 的理念继承了山石网科下一代防火墙产品的精髓,适用于 KVM、VMware、hyper-V、XEN 的虚拟化或云平台下的各种网络部署场景,为用户提供虚拟化应用网络之间的安全隔离和安全防护。

山石云·界产品支持精细化应用识别、虚拟专用网 (VPN)、入侵防御 (IPS)、病毒过滤 (AV)、负载均衡等功能,具备快速部署和迁移能力,即可为公有云、私有云、混合云租户提供高性价比的防护方案,降低客户初始采购和管理维护成本。 借助虚拟化的优势特性,山石云·界可按需部署和扩展安全服务资源,并可与现有的云计算管理平台进行紧密集成,将管理和安全防护能力直接深入到虚拟化架构中,可伴随着客户或虚拟业务资源的需求增长和缩减。

山石云·界共享山石网科下一代防火墙核心技术,同享久负盛誉、NSSLab 推荐级最佳下一代防火墙的 IPS 功能,为客户提供最顶尖技术的入侵防御功能。 安全功能 All In One 设计,提供高性价比的云安全部署方案,为客户提供了下一代防火墙、虚拟专用网 (VPN)、高可用性 (HA)、入侵防御 (IPS)、病毒过滤 (AV)、服务质量保证 (QoS)、负载均衡、AAA 认证授权等丰富功能,灵活应对公有云 / 私有云等场景下不同的客户需求外,同时也有利于客户控制运营和采购成本。 丰富的上架部署经验,对云平台不挑剔,适应强,系统资源占用率低,处理性能高。

部署架构

拓扑 1

拓扑 2

拓扑说明: 拓扑 1 是云·界在品高云环境下采用单臂模式部署为用户提供远程访问,网络代理的拓扑图;拓扑 2 是云·界在品高云环境下配置多网卡,为 EC2 实例提供精细化的安全网划分。

软件版本

BingoCloudOS   V7.0

CloudEdge     5.5R4P1 VM02

BingoSDN    V3.1.8

用例一:云界在品高云上的正常部署和运行(兼容性测试)

测试目的: 验证云界防火墙与品高云是否兼容(以下云界简称 vfw)

测试条件:

  1. 品高云节点上资源充足
  2. 已上传云界 vfw 镜像

预期结果:

  1. 明确支持上传的镜像格式
  2. 明确 IP 地址是否支持 DHCP
  3. 明确最大可支持的网卡数量

测试过程:

  1. 登录品高云测试云平台;
  2. 在【基础服务】【网络与安全】【云网络】里创建一个网关在外的云网络 vpc-basic,网段是 10.202.0.0/16,创建其子网网段为 10.202.80.0/24;
  3. 按照如上步骤创建网关在内的私有云网络 192.168.0.0/16,完成后如下图;
  4. 在品高云平台上创建云界虚机 (镜像已经提前导入);
  5. 网络配置选择已规划完成的私有网络,绑定一个弹性 IP;
  6. 在存储选项中选择默认大小;
  7. 选择 2 核 2G 的实例规模,并做相应的命名;
  8. 虚拟机创建完成后, 远程连接进入云·界控制台进行登录操作,登录正常;
  9. 使用 HTTPS 登录云·界 web 界面,登录成功;

测试结果:

  1. 品高云支持 QOCW2 的镜像格式
  2. 品高云 IP 地址支持 DHCP
  3. 品高云最大可支持的网卡数量为 10
  4. 山石网科云界在品高云中部署成功

用例二: 单臂模式下 DNAT 功能的验证

测试目的:VFW 在单臂模式下是否可做虚拟机的网关,进行 DNAT 映射

测试条件:

  1. VFW 系统已经安装完成,且已完成授权;
  2. 按拓扑要求连接好链路;

预期结果:

  1. 访问应用系统实例与云界 IP 效果相同(请注意策略放行)
  2. 其他 EC2 可以通过 VFW 访问互联网(请在子网关联路由,让 EC2 实例流量走云·界的网卡)

测试过程:

  1. 在品高云控制中心,在云界所在的云网络中,配置自定义路由指向云·界网卡,路由与与子网做绑定,关联路由表;
  2. 在山石防火墙为用户提供了多维的策略控制,这里为了方便测试,放行了所有安全域,方便用户的测试。在真实环境中,用户一定要精细策略的放行;
  3. 配置 DNAT,目的地址是云·界公网出口接口地址,映射地址选择用户要映射的 EC2 实例。这里用户要注意只映射开放的服务,不要映射全部服务,这会导致无法远程管理云·界;
  4. 直接访问已部署了应用系统的虚拟机 IP:10.202.80.49;
  5. 访问防火墙绑定的弹性 IP, 页面相同,证明云界 DNAT 功能正常,单臂模式部署成功;

用例三: 多网卡模式下功能验证

测试目的:VFW 在单臂模式下是否可做虚拟机的网关,进行 DNAT 映射

测试条件:

  1. VFW 已经安装完成,且已完成授权;
  2. VFW 配置多个网卡在不同的子网,独立子网的网卡绑定弹性 IP
  3. 按拓扑要求连接好链路;

预期结果:

  1. 可以给每个子网配置策略路由
  2. 可以通过弹性 IP 访问 HTTPS 来访问 VFW 管理界面
  3. 可通过访问弹性 IP 的 SSH 来访问对应 EC2
  4. EC2 可以通过防火墙访问外网

测试过程:

  1. 在用例二测试的基础上为云·界添加网卡,位于云控制平台【计算】【实例】【详情】中添加网卡;
  2. 在云平台上把应用系统的 EC2 实例所在的子网流量引入到相对应的云·界网卡上;
  3. 进入该实例内部尝试 ping 云界的网卡成功,并且可以通过云界作为网关出外网(已将该实例的所有流量引入云界网卡), 多网卡模式部署成功;

用例四: 多网卡模式下功能验证

测试目的: 验证在品高云中云界网卡是否能热插拔

测试条件:

  1. VFW 部署完成,导入授权;配置多个网卡,全部在不同子网下。

预期结果:

  1. 品高云 BCC 云管控中心添加/删除网卡数量,云·界可以同步网卡数量

测试过程:

  1. 按照用用例一安装云·界(热插拔版),并启动;
  2. 在品高界面为云·界添加网卡;
  3. 在品高云添加网卡的同时,进入云·界主机可观察到网卡数量发生了改变,实现了网卡的热插拔,测试成功;

用例五: 云·界的 AV 病毒防护验证

测试目的: 验证在品高云中云界能否为用户提供病毒过滤和入侵防御功能

测试条件:

  1. 在用例一的基础上,在品高云中提供一台靶机,云·界配置 AV 病毒防护策略
  2. 按照拓扑图配置网络

预期结果:

  1. 山石云·界为品高云的租户提供病毒过滤, 平台有警告信息

测试过程:

  1. 在用例一的云界中配置病毒过滤 Profile;
  2. 配置入侵防御 Profile;
  3. 在安全域或者安全策略绑定 AV 的 Profile;
  4. 对云平台在上传病毒文件,在威胁日志可以看到,测试成功;

用例六: 云·界的 SSL VPN 功能验证

测试目的: 验证在品高云中云界能否为用户提供安全可靠地虚拟专用网

测试条件:

  1. 在用例一的基础上,配置 SSL VPN。
  2. 按照拓扑图配置网络

预期结果:

  1. 山石云·界为能为用户提供访问控制和便捷接入内部网络

测试过程:

  1. 在山石云界中创建 VPN 用户;
  2. 在用例一的云界中创建 SSL VPN;填入用例 1 中云界的隧道路由配置;
  3. 配置 SSL VPN 时,出接口要写公网口,隧道接口 IP 要和地址池在同一网段;
  4. 填入用例 1 中云界的隧道路由配置;
  5. 进行隧道创建成功后,访问在品高云上创建的山石云·界出接口地址;
  6. 登录成功后下载山石网科 SSL VPN 客户端(安装如报错请关闭防火墙);
  7. 安装完成后,输入山石云·界公网地址,配置正确的端口,输入用户名和密码,即可以成功登录,访问内部;
  8. VPN 登录成功后可以使用公网的实例直接访问私网地址;

效果分析

本次测试总体效果优良,通过在品高云上部署山石网科下一代防火墙云界,可以实现 DNAT 转换、AV 病毒防护、VPN 等功能,并且在部署上可以实现单臂与多网卡的模式,支持网卡的热拔插。通过多种部署模式与功能在品高云上实践,可以为品高云 VPC 边界安全防护提供一个有效的解决方案。

亮点介绍

1、云界可在品高云上实现单臂与多网卡部署模式,多网卡部署可以实现云界防护云中的多个子网,满足用户对于自身网络的精细划分;

2、热拔插功能的验证,在品高云上增加云界虚拟机的网卡,云界可以迅速读取,则可以用户不中断业务的情况下向云界防火墙增加被保护的业务实例及防护区域;

3、虚拟化防火墙的自身优势,云界在品高云平台上可按需部署和扩展安全服务资源,可与现有的云计算管理平台进行紧密集成,提高转资率;

视频演示