Answers:
人们通常反对的论点是虚拟机管理程序本身的安全性,历史已经证明了这一点并不重要。这总是可以改变的,但是还没有发生任何真正重大的重复出现的虚拟机管理程序安全性问题。有些人无缘无故拒绝信任它。如果有人拥有防火墙,这并不是要攻击其他主机,在那种情况下,防火墙的运行位置并不重要,在所有可能受到威胁的事物中,除非您采取开放之类的愚蠢措施,否则防火墙就不在列表之列。使用默认密码集对整个Internet进行管理。那些人有些非理性的恐惧,那就是将会有一些神奇的“根ESX”数据包通过其桥接接口之一从互联网发送出去,将以某种方式对虚拟机监控程序进行操作。这是极不可能的,您的网络将受到数百万种可能的危害。
许多生产数据中心在ESX中运行pfSense,仅我自己一个人就已经设置了超过100个。我们的防火墙在ESX中运行。从所有这些经验来看,虚拟化防火墙的仅有的一些小缺点是:1)如果您的虚拟化基础架构出现故障,如果您不在物理位置,则将无法对其进行故障排除适用于colo数据中心)。这应该很少见,尤其是如果您在CARP上为每个物理主机部署了一个防火墙。我确实看到了偶尔发生这种情况的场景,并且有人必须亲自前往该位置以查看其虚拟机管理程序出了什么问题,因为其虚拟防火墙以及唯一的进入路径也已关闭。2)更容易出现配置错误,可能引起安全问题。当您有一个未经过滤的Internet流量的vswitch,以及一个或多个私有网络流量时,有几种可能会将未经过滤的Internet流量丢入您的私有网络(其潜在影响因一个环境而异于另一个环境)。它们是不太可能发生的情况,但是比在完全不受信任的流量不以任何方式连接到内部主机的环境中进行同类破坏的可能性更大。
这些都不能阻止您执行此操作-请小心避免方案1中断,尤其是当它位于数据中心中时,如果您丢失了防火墙,该数据中心您将无法进行物理访问。
任何与互联网时期挂钩的事物都有危险。
引用不朽的怪异Al:
关闭计算机,确保其电源已关闭。将
其放入地面的43英尺深的孔中,将
其完全埋葬;岩石和巨石应该没事,
然后在上网时将所有可能穿的衣服烧掉!
您暴露给外界的任何东西都有可能遭到攻击。如果您在专用硬件上运行pfSense,并且它已经受到威胁,那么您的攻击者现在将拥有一个跳板,可以在内部攻击一切。如果您的pfSense虚拟机受到攻击,攻击者的确会有一个额外的攻击媒介-虚拟机监控程序工具(假设您已经安装了这些工具)可以使用,但是此时,您的网络已经受到攻击,您将身处世界反正受伤。
那么,使用虚拟化的pfSense实例是否较不安全?是的,有点。我有什么好担心的吗?没有。
编辑: 经过进一步考虑-如果pfSense中存在特定错误,而我不知道该错误,其中虚拟NIC存在以某种方式造成安全漏洞的问题,则以上内容无效。但是,我没有意识到这样的漏洞。
无论您使用哪种服务器,在虚拟环境中运行任何东西都存在固有的危险。我最近回答了类似的问题。由于您的路由器/防火墙已经可以访问您的内部网络,因此没有真正的理由来攻击虚拟机监控程序级别-已经有了更好的攻击媒介。
我真正看到管理程序之后的唯一原因是您的虚拟机是否位于DMZ中。从那里,您可以跟踪管理程序并进入内部网络中的计算机。那不是您要描述的用例。
就个人而言,出于灾难恢复的目的,我保留了防火墙的虚拟副本。使用它并不理想,但这是一个选择。