Апаратний брандмауер проти брандмауера VMware

У нас в офісі триває дискусія щодо того, чи потрібно отримати апаратний брандмауер або налаштувати віртуальний на нашому кластері VMWare.

Наше середовище складається з 3-х вузлів сервера (16 ядер з 64 ГБ оперативної пам’яті) на 2х 1 Гб комутаторів з масивом спільного зберігання iSCSI.

Якщо припустити, що ми будемо виділяти ресурси для приладів VMWare, чи не матимемо ми користі від вибору апаратного брандмауера над віртуальним?

Якщо ми вирішимо використовувати апаратний брандмауер, то як спеціалізований брандмауер сервера з чимось на зразок ClearOS порівнятись із брандмауером Cisco?

Я завжди неохоче розміщував брандмауер у віртуальній машині з кількох причин:

• Безпека .

При гіпервізорі поверхня нападу ширша. Зазвичай апаратні брандмауери мають загартовану ОС (лише для читання, без інструментів збирання), що зменшить вплив потенційного компромісу в системі. Брандмауери повинні захищати господарів, а не навпаки.

• Продуктивність та доступність мережі .

Ми вже бачили в деталях , що погані мережеві адаптери можуть зробити (або не може), і це те , що ви хочете уникнути. Незважаючи на те, що одні й ті ж помилки можуть впливати на прилади, було обрано обладнання, яке, як відомо, працює з встановленим програмним забезпеченням. Само собою зрозуміло, що підтримка постачальника програмного забезпечення може не допомогти вам, якщо у вас є проблеми з драйверами або з будь-якою конфігурацією обладнання, яке вони не рекомендують.

Редагувати:

Я хотів додати, як сказав @Luke, що велика кількість постачальників апаратного брандмауера має рішення високої доступності, коли стан активного з'єднання передається з активного блоку в режим очікування. Мене особисто влаштовує контрольна точка (на старих платформах nokia IP710). Cisco має відмову / надмірність ASA та PIX , у pfsense є CARP, а у IPCop - плагін . Вятта може зробити більше (pdf) , але це більше, ніж брандмауер.

Якщо припустити, що програмне забезпечення те саме (зазвичай це не так), віртуальні брандмауери можуть бути кращими, ніж фізичні брандмауери, оскільки у вас є кращі надмірності. Брандмауер - це лише сервер з адаптерами процесора, оперативної пам’яті та висхідної лінії зв'язку. Це той самий аргумент, що і фізичний веб-сервер віршує віртуальний. Якщо обладнання не працює, віртуальний сервер може бути перенесений на інший хост автоматично. Єдиний час простою - це кількість часу, необхідне для переміщення віртуальної брандмауера на інший хост, і, можливо, час, необхідний для завантаження ОС.

Фізичний брандмауер пов'язаний з наявними у нього ресурсами. Віртуальний брандмауер обмежений ресурсами всередині хоста. Зазвичай апаратне забезпечення x86 набагато дешевше, ніж у фізичного корпоративного брандмауера. Що ви повинні врахувати - це вартість обладнання, плюс вартість програмного забезпечення (якщо не використовується відкритий код), плюс вартість вашого часу (що буде залежати від постачальника програмного забезпечення, з яким ви збираєтеся). Після порівняння вартості, які функції ви отримуєте з обох сторін?

Якщо порівнювати міжмережеві екрани, віртуальні чи фізичні, це дійсно залежить від набору функцій. Брандмауери Cisco мають функцію під назвою HSRP, яка дозволяє запускати два брандмауери як один (головний і ведений) для відмови. Брандмауери Non-Cisco мають подібну технологію під назвою VRRP. Є також CARP.

Порівнюючи фізичний брандмауер з віртуальним, переконайтеся, що ви робите порівняння яблук з яблуками. Які особливості для вас важливі? Що таке конфігурація? Чи використовується це програмне забезпечення іншими підприємствами?

Якщо вам потрібна потужна маршрутизація, Вятта - це гарна ставка. Він має можливості брандмауера. У нього дуже консоль конфігурації Ciso. Вони мають безкоштовне видання для спільноти на vyatta.org та підтримувану версію (з деякими додатковими вмістками) на vyatta.com. Документація дуже чиста та зрозуміла.

Якщо вам потрібен потужний брандмауер, погляньте на pfSense. Він також може робити маршрутизацію.

Ми вирішили запустити два екземпляри Вятти з VRRP на наших хостах ESXi. Щоб отримати резервування, яке нам знадобилося для Cisco (два джерела живлення на брандмауер, два брандмауери), це коштувало б 15-30 доларів. Для нас видання Вяттської громади було хорошим варіантом. Він має лише інтерфейс командного рядка, але з документацією його було легко налаштувати.

Я працюю з спеціальним обладнанням, тому що це вбудовано у цілі. У цьому плані зручно мати пристрій, особливо якщо це кінцева точка VPN або якийсь інший шлюз. Це звільняє ваш кластер VMWare від цієї відповідальності. Що стосується апаратних / оперативної пам'яті / ресурсів процесора, запуск програмного рішення, безумовно, чудово. Але це насправді не хвилює.

Звичайно, це не обов'язково, і для більшості людей це виконає робота. Просто задумайтеся про те, що ваш трафік може тромбовуватись по всій віртуальній комутації, якщо ви не виділите NIC для VM брандмауера. (Вам доведеться зробити це у кожному вікні, в яке ви хочете мати змогу vMotion).

Особисто? Я віддаю перевагу виділеному апаратному забезпеченню, оскільки це дійсно не так дорого. Ви можете отримати номери продуктивності на спеціальному обладнанні від виробника, але продуктивність вашого брандмауера VM повністю залежить від того, наскільки зайняті ваші хости.

Я кажу, спробуйте програмне забезпечення, подивіться, як воно йде. Якщо вниз по дорозі вам потрібно встановити апаратне обладнання, зробіть це.