企业业务的快速发展让效率低、灵活性不足的传统IT系统越发显得捉襟见肘，虚拟化技术给企业带来福音，与此同时，云服务凭借其弹性扩展、按需付费的模式越发受到企业欢迎，而数据中心入云也将成为企业IT部署的优先选项。

特别是如果你亲历上周刚结束的OpenStack Days China，就会深深感受到这个以开源为基因的平台及基于其优化后的各种商用云平台的受欢迎程度，在可见的未来内其必将迎来大规模部署。

然而安全是大前提。硬币有两面性，云计算在带来弹性的同时，也冲撞着原有的网络边界，而对于云数据中心的安全来说，用户面临了些许新的安全问题，例如，当云租户的计算资源发生弹性扩展时，相应的安全防护如何同步扩展？云计算数据中心约80%的流量为东西向流量，如何在东西向流量间部署访问控制？以上问题传统网关技术已无能为力，急需一套专门为云数据中心打造的安全方案。这也是为什么云提供商会积极联合安全厂商共建云安全生态圈的原因，在为用户带来弹性计算资源的同时，亦需解决安全如何随着用户计算资源的增加而弹性扩展的问题。

基于此，东软NetEye推出基于OpenStack平台的云数据中心FWaaS安全解决方案，从根本上保障用户流量部署的安全控制与云计算资源的安全弹性扩展。

软硬并行：FWaaS为云数据中心量身定做

针对OpenStack多租户环境，东软打造了面向公有云、私有云的FWaaS安全方案，该方案在OpenStack虚拟网络技术的基础上，集成东软下一代防火墙，构建完整的FWaaS服务。具体来看，可以从硬件和软件两个方案来理解该服务。

硬件方案

在硬件解决方案中，硬件防火墙替换了OpenStack网络中的虚拟路由器和防火墙功能，当租户在OpenStack 的界面上操作虚拟路由器和防火墙时，OpenStack控制台会连接物理防火墙为用户创建虚拟系统并做相应的配置。不同的租户通过Vsys防火墙实现隔离，共享物理防火墙的外网接口。

软件方案

在软件解决方案中，软件防火墙替换了OpenStack网络中的虚拟路由器和防火墙功能，当租户在OpenStack的界面上操作虚拟路由器和防火墙时，OpenStack会在创建防火墙虚拟机实例，并对防火墙做对应的网络和访问策略配置。不同的租户通过虚拟防火墙实例实现隔离。

相对来说，采用专用硬件设备的性能会更高，更能满足用户3~4层的防御需求；而针对多租户、数据流流向多的大型云用户更适合采用软件方案，也更能解决应用层的防御需求。

支持定制化：满足大型行业企业数据中心特殊需求

专为云数据中心打造的FWaaS具有几个明显特征。首先是租户隔离，FWaaS可为云数据中心的不同租户提供独立的虚拟防火墙，实现租户间的安全隔离和保护；其次是易于管理，所有网络设备通过OpenStack统一界面进行配置和管理，并以图形化显示网络拓扑，便于管理完成业务迁移、设备配置、故障排查等，提升管理效率；最后是弹性扩展，租户可根据业务需要动态创建和删除虚拟防火墙，提高云数据中心的资源利用率，也能更好地降低成本。

据东软集团网络安全事业部云业务总监崔进介绍，全新的FWaaS方案支持定制化，可为电信、互联网、政府、高校等多种云环境提供网络安全防护，作为专为云数据中心打造的方案，FWaaS具备更强的性能和灵活性。

除FWaaS云安全解决方案外，东软网络安全也提供虚拟安全网关产品。且背靠软件实力雄厚的东软集团，东软网络安全将继续提升安全产品的功能和性能，为用户带来更可靠、更安全的产品及服务。