Якщо припустити, що програмне забезпечення те саме (зазвичай це не так), віртуальні брандмауери можуть бути кращими, ніж фізичні брандмауери, оскільки у вас є кращі надмірності. Брандмауер - це лише сервер з адаптерами процесора, оперативної пам’яті та висхідної лінії зв'язку. Це той самий аргумент, що і фізичний веб-сервер віршує віртуальний. Якщо обладнання не працює, віртуальний сервер може бути перенесений на інший хост автоматично. Єдиний час простою - це кількість часу, необхідне для переміщення віртуальної брандмауера на інший хост, і, можливо, час, необхідний для завантаження ОС.
Фізичний брандмауер пов'язаний з наявними у нього ресурсами. Віртуальний брандмауер обмежений ресурсами всередині хоста. Зазвичай апаратне забезпечення x86 набагато дешевше, ніж у фізичного корпоративного брандмауера. Що ви повинні врахувати - це вартість обладнання, плюс вартість програмного забезпечення (якщо не використовується відкритий код), плюс вартість вашого часу (що буде залежати від постачальника програмного забезпечення, з яким ви збираєтеся). Після порівняння вартості, які функції ви отримуєте з обох сторін?
Якщо порівнювати міжмережеві екрани, віртуальні чи фізичні, це дійсно залежить від набору функцій. Брандмауери Cisco мають функцію під назвою HSRP, яка дозволяє запускати два брандмауери як один (головний і ведений) для відмови. Брандмауери Non-Cisco мають подібну технологію під назвою VRRP. Є також CARP.
Порівнюючи фізичний брандмауер з віртуальним, переконайтеся, що ви робите порівняння яблук з яблуками. Які особливості для вас важливі? Що таке конфігурація? Чи використовується це програмне забезпечення іншими підприємствами?
Якщо вам потрібна потужна маршрутизація, Вятта - це гарна ставка. Він має можливості брандмауера. У нього дуже консоль конфігурації Ciso. Вони мають безкоштовне видання для спільноти на vyatta.org та підтримувану версію (з деякими додатковими вмістками) на vyatta.com. Документація дуже чиста та зрозуміла.
Якщо вам потрібен потужний брандмауер, погляньте на pfSense. Він також може робити маршрутизацію.
Ми вирішили запустити два екземпляри Вятти з VRRP на наших хостах ESXi. Щоб отримати резервування, яке нам знадобилося для Cisco (два джерела живлення на брандмауер, два брандмауери), це коштувало б 15-30 доларів. Для нас видання Вяттської громади було хорошим варіантом. Він має лише інтерфейс командного рядка, але з документацією його було легко налаштувати.