是否建议在虚拟机上运行防火墙/路由器?
Answers:
如果安全是最重要的考虑因素,那么正确的做事方式与您的工作方式正好相反。您想要在裸机上运行路由器/防火墙,并在其中托管VM以用于标准台式机或服务器。
原谅我cr脚的MS Paint插图。
如果您桥接VM的NIC和LAN NIC(从裸机OS),则它们可以显示为相同的“ LAN”接口,以进行防火墙或路由。
大多数安全问题是,如果有人在运行时进入控制台并禁用您的路由器/防火墙VM或禁用与VM桥接/取消绑定NIC-或者有人要远程进入系统并执行此操作。与往常一样,恶意软件有可能做一些古怪的事情。
您可以这样做,并且可以根据需要使用任何VM软件,但是缺点是,如果使用ESX之类的东西,则需要RDP到桌面VM中,而不是通过控制台直接访问。
有诸如Check Point以前的“ VSX”系统之类的商业产品,它们在给定的硬件基础上提供“虚拟防火墙”。如果我们谈论VMWare或更好的基于云的防火墙。您在“云”中设置了防火墙,以分割“内部”云“网络”,而不是云与另一个网络之间的通信。
性能非常有限,并且共享云中的性能。基于asic的防火墙可以执行> 500GBps的速度。基于VMware的防火墙或交换机的速度<20GBps。声明LAN NIC可能会感冒。您还可以指出,任何中间设备(如交换机,路由器,ips)也可能会被公交流量所利用。
我们在“格式错误”的数据包(又名帧,片段,分段等)中看到了这一点,因此使用“中间”设备进行状态声明是不安全的。同样,几年前,德国国家标准技术研究院(NIST)称BSI表示虚拟路由器(如VDC(虚拟设备上下文-Cisco Nexus))和VRF(虚拟路由转发)是不安全的。从观点来看,共享资源始终是一种风险。用户可以利用资源并降低其他所有用户的服务质量。全球范围内哪些问题会涉及整个VLAN和覆盖技术(例如VPN和MPLS)。
如果您对安全性有很高的要求,那么我会使用专用硬件和专用网络(包括专用线路!)如果您问虚拟机管理程序(尤其是裸机)在常见情况下是否是特殊的安全问题...我会说不。
通常,虚拟机通过桥接连接连接到网络(即,网络通过其运行的物理计算机进行)。将VM用作防火墙意味着所有流量都可以进入物理计算机,然后将数据包发送到VM,进行过滤,然后再发送回物理计算机。由于物理计算机可以接收未过滤的数据包并负责将数据包分发到网络的其余部分,因此可以利用它在网络周围发送未过滤的数据包。