Аппаратный брандмауэр против брандмауэра VMware

В нашем офисе ведутся дебаты о том, нужно ли устанавливать аппаратный брандмауэр или устанавливать виртуальный в нашем кластере VMWare.

Наша среда состоит из 3 серверных узлов (16 ядер с 64 ГБ ОЗУ каждый) с коммутаторами 2x 1 ГБ и массивом общего хранения iSCSI.

Если предположить, что мы будем выделять ресурсы на устройства VMWare, получим ли мы какой-либо выигрыш от выбора аппаратного брандмауэра вместо виртуального?

Если мы решим использовать аппаратный брандмауэр, как будет выделенный брандмауэр сервера с чем-то вроде ClearOS по сравнению с брандмауэром Cisco?

Я всегда неохотно размещал брандмауэр на виртуальной машине по нескольким причинам:

• Безопасность .

С гипервизором поверхность атаки шире. Аппаратные брандмауэры обычно имеют усиленную ОС (fs только для чтения, без инструментов для сборки), что уменьшит влияние потенциального взлома системы. Брандмауэры должны защищать хосты, а не наоборот.

• Производительность и доступность сети .

Мы уже видели в деталях , что плохие сетевые адаптеры могут сделать (или не может), и это то , что вы хотите избежать. Хотя те же самые ошибки могут влиять на устройства, было выбрано аппаратное обеспечение, и известно, что оно работает с установленным программным обеспечением. Само собой разумеется, что поддержка поставщика программного обеспечения может не помочь вам, если у вас есть проблемы с драйверами или с любой конфигурацией оборудования, которую они не рекомендуют.

Редактировать:

Я хотел добавить, как сказал @Luke, что многие производители аппаратных брандмауэров имеют решения с высокой доступностью, при этом состояние соединения с состоянием передается от активного устройства к резервному. Я был лично удовлетворен ж / Checkpoint (на старых платформах Nokia IP710). У Cisco есть отказоустойчивость ASA и PIX / избыточность, у pfsense есть CARP, а у IPCop есть плагин . Вятта может сделать больше (pdf) , но это больше, чем брандмауэр.

Если предположить, что программное обеспечение одно и то же (обычно это не так), виртуальные брандмауэры могут быть лучше, чем физический брандмауэр, потому что у вас лучшая избыточность. Брандмауэр - это просто сервер с адаптерами ЦП, ОЗУ и восходящей линии связи. Это тот же аргумент, что и физический веб-сервер, а не виртуальный. В случае сбоя оборудования виртуальный сервер может быть автоматически перенесен на другой хост. Единственное время простоя - это время, необходимое для миграции виртуального брандмауэра на другой хост, и, возможно, время, необходимое для загрузки ОС.

Физический брандмауэр связан с имеющимися у него ресурсами. Виртуальный брандмауэр ограничен ресурсами внутри хоста. Обычно аппаратное обеспечение x86 намного дешевле, чем у физического корпоративного брандмауэра. Вам нужно учитывать стоимость оборудования, плюс стоимость программного обеспечения (если не используется открытый исходный код), а также стоимость вашего времени (которое будет зависеть от поставщика программного обеспечения, с которым вы работаете). После сравнения стоимости какие функции вы получаете с обеих сторон?

При сравнении брандмауэров, виртуальных или физических, это действительно зависит от набора функций. Межсетевые экраны Cisco имеют функцию под названием HSRP, которая позволяет использовать два межсетевых экрана как один (главный и подчиненный) для восстановления после отказа. Межсетевые экраны не Cisco имеют аналогичную технологию, называемую VRRP. Там также карп.

При сравнении физического брандмауэра с виртуальным убедитесь, что вы сравниваете яблоки с яблоками. Какие функции важны для вас? На что похожа конфигурация? Используется ли это программное обеспечение на других предприятиях?

Если вам нужна мощная маршрутизация, Vyatta - хорошая ставка. Имеет возможности брандмауэра. У него очень похожая на Ciso консоль конфигурации. У них есть бесплатная версия сообщества на vyatta.org и поддерживаемая версия (с некоторыми дополнительными функциями) на vyatta.com. Документация очень чистая и понятная.

Если вам нужен мощный брандмауэр, взгляните на pfSense. Это может также сделать маршрутизацию.

Мы решили запустить два экземпляра Vyatta с VRRP на наших хостах ESXi. Чтобы получить избыточность, необходимую нам с Cisco (два блока питания на межсетевой экран, два межсетевых экрана), это стоило бы 15-30 тысяч долларов. Для нас издание Vyatta Community было хорошим вариантом. Он имеет только интерфейс командной строки, но с документацией его было легко настроить.

Я использую выделенное оборудование, потому что оно специально построено. В этом отношении удобно иметь устройство, особенно если это конечная точка VPN или другой шлюз. Это освобождает ваш кластер VMWare от этой ответственности. С точки зрения аппаратных / оперативных / процессорных ресурсов, запуск программного решения, безусловно, хорошо. Но это на самом деле не проблема.

Конечно, в этом нет необходимости, и для большинства людей работа будет выполнена. Просто примите во внимание, что ваш трафик может тромбироваться между вашими виртуальными коммутаторами, если вы не выделите сетевые адаптеры для виртуальной машины межсетевого экрана. (Вы должны будете делать это на каждой коробке, к которой вы хотите иметь доступ).

Лично? Я предпочитаю выделенное оборудование, потому что оно действительно не так дорого. Вы можете получить показатели производительности на выделенном оборудовании от производителя, но производительность брандмауэра виртуальной машины полностью зависит от того, насколько заняты ваши хосты.

Я говорю, попробуйте программное обеспечение, посмотрите, как оно идет. Если в будущем вам необходимо установить аппаратную часть, сделайте это.