Апаратний брандмауер проти брандмауера VMware


16

У нас в офісі триває дискусія щодо того, чи потрібно отримати апаратний брандмауер або налаштувати віртуальний на нашому кластері VMWare.

Наше середовище складається з 3-х вузлів сервера (16 ядер з 64 ГБ оперативної пам’яті) на 2х 1 Гб комутаторів з масивом спільного зберігання iSCSI.

Якщо припустити, що ми будемо виділяти ресурси для приладів VMWare, чи не матимемо ми користі від вибору апаратного брандмауера над віртуальним?

Якщо ми вирішимо використовувати апаратний брандмауер, то як спеціалізований брандмауер сервера з чимось на зразок ClearOS порівнятись із брандмауером Cisco?


1
Майже копія апаратного брандмауера Vs. Брандмауер програмного забезпечення (IP-таблиці, RHEL) . Це також, ймовірно, вимагає дискусій, аргументів без поваги та групового роздуму. Будьте надзвичайно обережні, щоб не стати жертвою підтвердження ухилу , де ви знайдете відповідь, яка проста відповідає тому, що ви думаєте, але де немає логічного аргументу, факту чи іншої основи.
Chris S

Відповіді:


11

Я завжди неохоче розміщував брандмауер у віртуальній машині з кількох причин:

  • Безпека .

При гіпервізорі поверхня нападу ширша. Зазвичай апаратні брандмауери мають загартовану ОС (лише для читання, без інструментів збирання), що зменшить вплив потенційного компромісу в системі. Брандмауери повинні захищати господарів, а не навпаки.

  • Продуктивність та доступність мережі .

Ми вже бачили в деталях , що погані мережеві адаптери можуть зробити (або не може), і це те , що ви хочете уникнути. Незважаючи на те, що одні й ті ж помилки можуть впливати на прилади, було обрано обладнання, яке, як відомо, працює з встановленим програмним забезпеченням. Само собою зрозуміло, що підтримка постачальника програмного забезпечення може не допомогти вам, якщо у вас є проблеми з драйверами або з будь-якою конфігурацією обладнання, яке вони не рекомендують.

Редагувати:

Я хотів додати, як сказав @Luke, що велика кількість постачальників апаратного брандмауера має рішення високої доступності, коли стан активного з'єднання передається з активного блоку в режим очікування. Мене особисто влаштовує контрольна точка (на старих платформах nokia IP710). Cisco має відмову / надмірність ASA та PIX , у pfsense є CARP, а у IPCop - плагін . Вятта може зробити більше (pdf) , але це більше, ніж брандмауер.


1
+1 до "Брандмауери повинні захищати хостів, а не навпаки."
ewwhite

Якщо ви поставите гіпервізора перед вашим брандмауером, то переконайтесь, що ви піддаєтесь впливу. Але це проблема захисту мережі (помилка адміністратора), а не недолік віртуалізації. Вибір постачальника, безумовно, хвилює питання безпеки. Майте на увазі, що Cisco також пропонує віртуальну техніку. Вибір правильного обладнання дуже важливий. Але, сподіваємось, ви вже робите це для своїх серверів. Також пам’ятайте, що «хост» - це лише обладнання. Віртуальні сервери все ще залишаються позаду брандмауера (практично). Це не якось назад.
Лука

@ Лайк, ваш брандмауер знаходиться на розсуді гіпервізора; ось в чому різниця.
gravyface

1
@Luke: Ні. Щоб дістатись до віртуалізованого fw, пакети повинні проходити через фізичну нитку хоста. Навіть якщо IP-адреса гіпервізора / хоста недоступна за межами брандмауера, погані пакети все одно будуть оброблятися драйверами та кодом гіпервізора (отже, збільшується кількість векторів атаки).
петрус

1
Цікаво відзначити, що ці машини Cisco також використовують Broadcom nics ( cisco.com/en/US/prod/collateral/ps10265/ps10493/… ). Я думаю, що всі ми знаємо, що «апаратні» брандмауери - це не що інше, як оснащення мікросхем на полиці з налаштованими операційними системами * nix. В обох є водії; Обидва піддаються однаковій можливій вразливості. Я був би радий вивчити будь-які недоліки в безпеці, характерні лише для віртуалізації. Я не думаю, що ти можеш робити чіткі судження про те, що краще. Швидше за все, ваше рішення було проаналізовано в кожному конкретному випадку.
Лука

9

Якщо припустити, що програмне забезпечення те саме (зазвичай це не так), віртуальні брандмауери можуть бути кращими, ніж фізичні брандмауери, оскільки у вас є кращі надмірності. Брандмауер - це лише сервер з адаптерами процесора, оперативної пам’яті та висхідної лінії зв'язку. Це той самий аргумент, що і фізичний веб-сервер віршує віртуальний. Якщо обладнання не працює, віртуальний сервер може бути перенесений на інший хост автоматично. Єдиний час простою - це кількість часу, необхідне для переміщення віртуальної брандмауера на інший хост, і, можливо, час, необхідний для завантаження ОС.

Фізичний брандмауер пов'язаний з наявними у нього ресурсами. Віртуальний брандмауер обмежений ресурсами всередині хоста. Зазвичай апаратне забезпечення x86 набагато дешевше, ніж у фізичного корпоративного брандмауера. Що ви повинні врахувати - це вартість обладнання, плюс вартість програмного забезпечення (якщо не використовується відкритий код), плюс вартість вашого часу (що буде залежати від постачальника програмного забезпечення, з яким ви збираєтеся). Після порівняння вартості, які функції ви отримуєте з обох сторін?

Якщо порівнювати міжмережеві екрани, віртуальні чи фізичні, це дійсно залежить від набору функцій. Брандмауери Cisco мають функцію під назвою HSRP, яка дозволяє запускати два брандмауери як один (головний і ведений) для відмови. Брандмауери Non-Cisco мають подібну технологію під назвою VRRP. Є також CARP.

Порівнюючи фізичний брандмауер з віртуальним, переконайтеся, що ви робите порівняння яблук з яблуками. Які особливості для вас важливі? Що таке конфігурація? Чи використовується це програмне забезпечення іншими підприємствами?

Якщо вам потрібна потужна маршрутизація, Вятта - це гарна ставка. Він має можливості брандмауера. У нього дуже консоль конфігурації Ciso. Вони мають безкоштовне видання для спільноти на vyatta.org та підтримувану версію (з деякими додатковими вмістками) на vyatta.com. Документація дуже чиста та зрозуміла.

Якщо вам потрібен потужний брандмауер, погляньте на pfSense. Він також може робити маршрутизацію.

Ми вирішили запустити два екземпляри Вятти з VRRP на наших хостах ESXi. Щоб отримати резервування, яке нам знадобилося для Cisco (два джерела живлення на брандмауер, два брандмауери), це коштувало б 15-30 доларів. Для нас видання Вяттської громади було хорошим варіантом. Він має лише інтерфейс командного рядка, але з документацією його було легко налаштувати.


5
Гарна відповідь. Ми використовували безліч апаратних та програмних приладів - і зважаючи на той факт, що ви можете пересувати лінійну швидкість 1 Гбіт / с @ 64Bytes на низькокачественній машині x86 на pFSense, що не є мозком. Виділені апаратні пристрої для брандмауера, як правило, складають близько £ 10 тис., Щоб робити такі номери.
Бен Лессані - Сонассі

Це залежить від того, чи є брандмауер як кінцевий пристрій. Я бачив, як багато кластерів VMWare помирають через проблеми зі зберіганням чи мережевими проблемами. Як правило, HA піклується про речі, але я можу побачити певну проблему з налаштуванням брандмауерів у цьому середовищі. Це повна настройка HA / vMotion / DRS?
ewwhite

@ewwhite Так, повна HA / vMotion / DRS. Два екземпляри В’ятти з VRRP та гарячою відмовою.
Лука

Якщо можливо, я вважаю за краще мати один віртуалізований, але один на спеціальному вікні.
Робін Гілл

8

Я працюю з спеціальним обладнанням, тому що це вбудовано у цілі. У цьому плані зручно мати пристрій, особливо якщо це кінцева точка VPN або якийсь інший шлюз. Це звільняє ваш кластер VMWare від цієї відповідальності. Що стосується апаратних / оперативної пам'яті / ресурсів процесора, запуск програмного рішення, безумовно, чудово. Але це насправді не хвилює.


+1 для точки демарка.
Том О'Коннор

7

Звичайно, це не обов'язково, і для більшості людей це виконає робота. Просто задумайтеся про те, що ваш трафік може тромбовуватись по всій віртуальній комутації, якщо ви не виділите NIC для VM брандмауера. (Вам доведеться зробити це у кожному вікні, в яке ви хочете мати змогу vMotion).

Особисто? Я віддаю перевагу виділеному апаратному забезпеченню, оскільки це дійсно не так дорого. Ви можете отримати номери продуктивності на спеціальному обладнанні від виробника, але продуктивність вашого брандмауера VM повністю залежить від того, наскільки зайняті ваші хости.

Я кажу, спробуйте програмне забезпечення, подивіться, як воно йде. Якщо вниз по дорозі вам потрібно встановити апаратне обладнання, зробіть це.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.