我们的办公室在辩论是否需要在我们的VMWare群集上安装硬件防火墙或设置虚拟防火墙。
我们的环境由3个服务器节点(每个16个核,每个带64 GB RAM)和2个1 GB的交换器,带iSCSI共享存储阵列组成。
假设我们将资源专用于VMWare设备,那么选择虚拟防火墙而不是虚拟防火墙有什么好处?
如果我们选择使用硬件防火墙,带有ClearOS之类的专用服务器防火墙与Cisco防火墙相比将如何?
Answers:
出于以下两个原因,我一直不愿在虚拟机中托管防火墙:
使用虚拟机监控程序时,攻击面更广。硬件防火墙通常具有加固的OS(只读fs,无构建工具),这将减少潜在的系统危害的影响。防火墙应该保护主机,而不是相反。
我们已经看到在细节有什么不好的网卡可以做(或不能),这就是你想要的东西,以避免。尽管相同的错误会影响设备,但已选择了硬件,并且已知可以与已安装的软件一起使用。不用说,如果驱动程序或他们不建议的任何硬件配置有问题,软件供应商的支持可能无法为您提供帮助。
编辑:
我想补充一下,就像@Luke所说的那样,许多硬件防火墙供应商都提供了高可用性解决方案,其状态连接状态从活动单元传递到备用单元。我个人对带有Checkpoint的设备感到满意(在旧的诺基亚IP710平台上)。思科具有ASA和PIX故障转移/冗余,pfsense具有CARP,IPCop具有插件。Vyatta 可以做更多的工作(pdf),但是它不仅仅具有防火墙的功能。
假设软件相同(通常不是),则虚拟防火墙可以比物理防火墙更好,因为您的冗余性更好。防火墙只是具有CPU,RAM和上行链路适配器的服务器。这与物理Web服务器与虚拟Web服务器的论点相同。如果硬件出现故障,可以将虚拟服务器自动迁移到另一台主机。唯一的停机时间是将虚拟防火墙迁移到另一台主机所花费的时间,以及操作系统启动所花费的时间。
物理防火墙与其所拥有的资源绑定在一起。虚拟防火墙仅限于主机内部的资源。通常,x86硬件比物理企业防火墙便宜得多。你要考虑什么是成本的硬件,加上成本的软件(如果不使用开源的),加上你的时间成本(这将依赖于软件供应商你去)。比较成本之后,您将获得哪些功能?
在比较虚拟或物理防火墙时,它实际上取决于功能集。思科防火墙具有一项称为HSRP的功能,该功能允许您将两个防火墙作为主服务器和从属服务器运行,以进行故障转移。非Cisco防火墙具有类似的技术,称为VRRP。也有鲤鱼。
将物理防火墙与虚拟防火墙进行比较时,请确保您进行的是苹果对苹果的比较。哪些功能对您很重要?配置是什么样的?该软件是否被其他企业使用?
如果您需要强大的路由,Vyatta是一个不错的选择。它具有防火墙功能。它具有一个非常类似于Ciso的配置控制台。他们在vyatta.org上有免费的社区版本,在vyatta.com上有受支持的版本(带有一些额外的功能)。该文档非常简洁明了。
如果您需要功能强大的防火墙,请查看pfSense。它也可以做路由。
我们决定在ESXi主机上使用VRRP运行两个Vyatta实例。要获得我们需要的思科冗余(每个防火墙两个电源,两个防火墙),它的成本为15.3万美元。对我们来说,Vyatta社区版是一个不错的选择。它具有仅命令行界面,但是有了文档,它很容易配置。