Embed Size (px)
Citation preview
Palo Alto Networks | 面向 KVM 的 VM-Series | 数据表 1
KVM 上的 VM-Series 用例
Palo Alto Networks® VM-Series 防火墙使得公
司可以在基于 KVM 的私有云、公共云和混合
云计算环境中灵活地部署新一代安全和高级威
胁防护。
• 确定和控制流入以及在基于 KVM 的云计算
环境中的流量;基于用户限制应用程序访
问;阻止已知和未知威胁。
• 执行自动化安全策略更新,确保其与您的私
有云、公共云和混合云更改保持同步。
• 使用 Panorama 管理虚拟和物理形式的设备
并通过一组丰富的 RESTful API 自动实现安
全性。
组织秉承将安全性放在首位的同时,致力于以各种方式扩展其虚拟化和
云计划。随着应用日益广泛,意味着需要投入精力构建更简化的安全工
作流,并将工作重点着眼于可扩展和弹性的以云为中心的架构。
• 如今,前所未有大量的工作负载在本地(私有云)进行虚拟化,随
着公共云的使用急剧增加,产生多供应商(私有和公共)环境,以
及对容量需求的增长。其他计划示例包括作为 NFV 组件部署的安
全性,用于为分支机构和数据中心/私有云工作负载提供更具成本
效益的替代方案,以及增加虚拟化,以满足在多租户环境中实现
(更)完善的租户隔离需求。
• 云安全自动化工作流已简化了部署,但仍相当复杂,且涉及许多谨
慎设计的步骤。
• 一直以来,安全性被视为延缓部署的瓶颈,因此必须更注重于提供
有力支持,以促进向以云为中心架构的转变。
KVM(基于内核的虚拟机)是一套领先的开源管理程序,服
务提供商和企业偏好使用它来构建和部署云计算环境。Linux® KVM 与 OpenStack® 的联合使用带来了完善的基于开源的解决
方案,让您可以将高效率云计算带来的成本削减优势,与开源解
决方案的优点相结合。
面向 KVM 的 VM-SERIES
Palo Alto Networks | 面向 KVM 的 VM-Series | 数据表 2
面向 KVM 的 VM-Series 采用同样的新一代防火墙和高级威
胁防护功能解决了这些关键挑战,这些功能在我们的物理设
备上均有提供。所有流量以单通方式在本地分析,用于确定
应用程序的身份、其中的内容及其用户。然后,应用程序、
内容及用户身份作为安全策略中不可缺少的一部分予以利
用,使您可以严格控制对云计算资源的访问并隔离关键任务
应用程序,保护它们免受已知和未知威胁的侵害。
利用 Palo Alto Networks 面向 KVM 的 VM-Series,可通过
我们的新一代防火墙安全和高级威胁防护功能,保护驻留在
基于 OpenStack 和 KVM 的虚拟化环境中的数据免受网络威
胁。Panorama™ 网络安全管理与本机自动化功能相结合,
当虚拟机被添加、删除或移动时,能尽量减少可能发生的策
略时间间隙,从而实现对策略管理进行简化。
配备高性能的大规模虚拟化新一代安全性
VM-Series 虚拟化新一代防火墙已经过优化和扩展,可提供
启用 App-ID™ 的吞吐量,范围为 200Mbps 到 16Gbps,涵盖
五个型号,两个指标均为行业领先。VM-Series 型号包括:
• VM-50 已经过优化,可消耗最少的资源,并支持 CPU 超
额订阅,同时提供高达 200Mbps 的启用 App-ID 的防火
墙性能,适用于从虚拟分支机构/用户端设备 (CPE) 到高
密度、多租户的环境。
• VM-100 和 VM-300 已经过优化,可提供 2Gbps 和 4Gbps 的启用 App-ID 的防火墙性能,适用于混合云、分段和
互联网网关用例。
• VM-500 和 VM-700 分别提供业界领先的 10Gbps 至 16Gbps 的启用 App-ID 的防火墙性能,并可在完全虚
拟化的数据中心和服务提供商环境中部署为 NFV 安全
组件。
英特尔® 数据平面开发套件 (DPDK) 已与面向 KVM 的 VM-Series 集成,可提高 x86 基础架构上的数据包处理性能。支
持网络 I/O 选项,例如 PCI 直通和单根 I/O 虚拟化 (SR-IOV),可实现更强性能。
将新一代安全应用到虚拟化环境
VM-Series 虚拟化防火墙基于与物理形态防火墙中相同的全
栈流量分类引擎。VM-Series 对所有流量(包括应用程序、
威胁和内容)进行本地分类,然后将该流量绑定到用户。随
后,将应用程序、内容和用户(即运行业务的要素)用作虚
拟化安全策略的基础,由此实现改善的安全状况,并缩短事
件响应时间。
按照零信任准则隔离关键任务应用程序和数据
安全最佳实践表明,您的任务关键型应用程序和数据应使用
零信任(从不信任,始终验证)原则,在每个分段点中,将
应用程序和数据隔离在安全分段中。VM-Series 可部署在整
个虚拟化环境中,在虚拟网络中或在不同层中运行的 VM 之间作为网关驻留,从而通过基于应用程序和用户身份实施控
制,达到保护东西向流量之目的。
阻止网络威胁的横向移动
当今的网络威胁通常会入侵单个工作站或用户,然后跨网络
移动,伺机寻找目标。在您的虚拟网络中,网络威胁将以横
贯东西方向的方式,横向且快速地在 VM 之间移动,使您的
关键任务应用程序和数据面临风险。当应用策略阻止已知和
未知威胁时,在 VM 之间使用零信任原则执行应用程序级控
制可减少威胁暴露面积。
自动化透明部署和配置
丰富的 API 集可用于与外部编排和管理工具集成,从而收集
与工作负载更改相关的信息,随后可通过 VM 监控和动态地
址组对策略更新进行动态推动。
• RESTful API:利用灵活的基于 REST 的 API,您可实现与
第三方或定制云编排解决方案的集成。这使得 VM-Series 可以根据虚拟工作负载部署和配置的情况同步部署。
• 虚拟机监控:安全策略必须能够监控和跟踪虚拟化环境中
的更改,包括 VM 属性以及添加或删除 VM。虚拟机监控
(VM 监控)将自动轮询您的虚拟化环境以获取虚拟机清
单和更改,从而以标签的形式收集此数据,然后可在动态
地址组中使用这些数据,确保策略保持在最新状态。
• 动态地址组:当虚拟机更改功能或在服务器之间进行移动
时,基于静态数据(例如 IP 地址)构建安全策略只能提
供有限价值,并可能包含过时信息。使用动态地址组可以
将标签(来自 VM 监控)用作虚拟机的标识符,而不是静
态的对象定义。表示 IP 地址和操作系统等虚拟机属性的
多重标签可以在动态地址组中解析,使您可以轻松地在
创建虚拟机时或者虚拟机在网络中移动时将策略应用到其
上,而无需进行管理干预。
• 引导:除了适用于 KVM 型虚拟环境的基于 XML 模板的引
导之外,OpenStack 环境中的 VM-Series 防火墙还支持用
于共享元数据的“配置-驱动”。利用这些引导方法,可
在部署时对 VM-Series 进行修改,从而在初始配置过程中
有效地提供定制防火墙。
Palo Alto Networks | 面向 KVM 的 VM-Series | 数据表 3
集中管理虚拟化和物理形态防火墙
利用 Panorama,您可协同物理安全设备对 VM-Series 部署
进行管理,从而确保策略的一致性和内聚性。丰富的集中日
志记录和报告功能提供了对虚拟应用程序、用户和内容的监
控能力。
面向 KVM 的 VM-Series 用例:边界网关
对于已经开始自行构建云计算环境的企业而言,面向 KVM 的 VM-Series 使其可以针对流经云计算边界的流量,应用 Palo Alto Networks 新一代防火墙和高级威胁防护的所有
功能。
在这种使用案例中,面向 KVM 的 VM-Series 可以作为网关
防火墙部署,您可以启用所需的应用程序并在任何端口上检
测已知和未知威胁。对虚拟化工作负载的访问基于用户身份
进行控制,这带来了额外的防护级别。在添加或更改新工作
负载时,VM-Series 自动化功能、API 和可选的 OpenStack 插件使您可以动态更新安全策略,确保与相应云计算环境中
的变化保持协调。
面向 KVM 的 VM-Series 用例:服务提供商的客户产品
服务提供商通常使用 KVM 和 OpenStack 来经济且高效地扩
展为客户提供的云计算服务。解决方案产品的开源性质使其
更适合于提供高度定制化和差异化的服务,例如虚拟化 CPE (vCPE) 部署、SD-WAN 解决方案,并能为大型企业客户提
供基于高容量虚拟化网络的安全服务。在集合了 VM-Series 中的新一代防火墙和自动化功能之后,服务提供商可以打造
具有高收益的云计算服务产品。
性能和容量概要
以下安全性能表,是使用 PAN-OS® 8.0,在受控实验室条件
下测试得出的结果。在虚拟化和云环境中,许多因素(如 CPU 类型、虚拟机管理程序版本、分配的内核数、内存和网
络 I/O 选项)可能会对性能造成影响。我们建议在您的环境
中进行其他测试,以确保满足您的性能和容量要求。
性能和容量 VM-50 (0.4 内核)
VM-100 (2 内核)
VM-300 (4 内核)
VM-500 (8 内核)
VM-700 (16 内核)
使用单根 I/O 虚拟化 (SR-IOV)/启用 I/O 的 PCI 直通
防火墙吞吐量(启用 App-ID) 200 Mbps 2 Gbps 4 Gbps 8 Gbps 16 Gbps
威胁防护吞吐量 50 Mbps 600 Mbps 1.2 Gbps 2.5 Gbps 5 Gbps
IPsec VPN 吞吐量 25 Mbps 250 Mbps 500 Mbps 1 Gbps 2 Gbps
使用开放式虚拟交换机 (OVS)
防火墙吞吐量(启用 App-ID) 50 Mbps 1 Gbps 2 Gbps 4 Gbps 8 Gbps威胁防护吞吐量 25 Mbps 600 Mbps 1.2 Gbps 2.5 Gbps 5 Gbps
IPsec VPN 吞吐量 10 Mbps 250 Mbps 500 Mbps 1 Gbps 2 Gbps容量
每秒新会话数 100,000 250,000 250,000 500,000 1,000,000最大会话数 4,000 8,000 12,000 16,000 32,000
上述性能和容量结果在以下条件下测试得出:
• 防火墙和 IPsec VPN 吞吐量在启用 App-ID 和 User-ID 功能的情况下进行测量。
• 威胁防护吞吐量在启用 App-ID、User-ID、IPS、防病毒和防间谍软件功能的情况下进行测量。
• 吞吐量使用 64Kb HTTP 事务进行测量。
• 每秒连接数使用 4Kb HTTP 事务进行测量。
4401 Great America ParkwaySanta Clara, CA 95054
总机: +1.408.753.4000销售: +1.866.320.4788支持: +1.866.898.9087
www.paloaltonetworks.com
© 2017 Palo Alto Networks, Inc. Palo Alto Networks 是 Palo Alto Networks 的注册商标。本公司的商标列表可在以下网址找到:http://www.paloaltonetworks.com/company/trademarks.html。此文档中提及的所有其他商标可能是各相应公
司的商标。vm-series-for-KVM-ds-011117
虚拟化规格
支持的图像格式 QCOW2
支持的管理程序CentOS 上的 KVMRed Hat Enterprise Linux® (RHEL) Ubuntu® 上的 KVM
网络 I/O 选项
• Virtio • 半虚拟化驱动程序 (Intel e1000)• PCI 直通• 单根 I/O 虚拟化 (SR-IOV)
引导支持• KVM 环境中基于 XML 模板的引导• 在 OpenStack 中使用 nova boot 进行“配置-驱动”
支持的 OpenStack 分发• OpenStack.org• Mirantis OpenStack• Red Hat OpenStack
系统要求VM-50
(0.4 内核)VM-100
(2 内核)VM-300
(4 内核)VM-500
(8 内核)VM-700
(16 内核)
支持的 CPU 配置 2¹ 2 2、4 2、4 和 8 2、4、8 和 16
内存(最低) 4.5GB 6.5GB 9GB 16GB 48GB
磁盘驱动器容量(最小/最大) 32GB/2TB 60GB/2TB 60GB/2TB 60GB/2TB 60GB/2TB
1.支持 CPU 超额订阅,在 2 个 CPU 内核配置上可运行多达五个实例
网络特性
接口模式: VLAN
• L2、L3、旁接和虚拟线路(透明模式): • 每个设备/接口最大的 802.1q VLAN 标签数量:4,094/4,094 • 最大接口数: • 4096 (VM-500/VM-700)• 2048 (VM-100/VM-300)• 512 (VM-50)
路由 网络地址转换 (NAT)
• 模式:OSPF、RIP、BGP、静态• 基于策略的转发• 多播:PIM-SM,PIM-SSM,IGMP v1、v2 和 v3
• NAT 模式 (IPv4):静态 IP、动态 IP、动态 IP 和端口(端口地址转换)
• NAT64• 其他 NAT 功能:动态 IP 保留、动态 IP 和端口超额订阅
高可用性 IPv6
• 模式:主动/被动(有会话同步)• 故障检测:路径监视、接口监视
• L2、L3、旁接、虚拟线路(透明模式)• 特性:App-ID、User-ID、Content-ID、WildFire 和 SSL 解密
概要
面向 KVM 的 VM-Series 使得服务提供商和企业客户可以采用全面的新一代防火墙和威胁防护服务来保护其云计算环境。在
其中根据应用程序识别流入基于 KVM 的云的流量,然后检测已知和未知的网络威胁。采用 Panorama 的自动化功能和集中
管理确保了安全策略可以适应云计算环境中的任何上下文变化。
如需查看 VM-Series 安全功能及相关容量的更多信息,请访问 www.paloaltonetworks.com/products。
VM-Series 规格和功能
下表列出了面向 VMware® NSX™ 的 VM-Series 上所有支持的规格、资源要求和网络功能。
