ไฟร์วอลล์ฮาร์ดแวร์และอุปกรณ์ไฟร์วอลล์ของ VMware

16

เรามีการถกเถียงกันในสำนักงานของเราว่าจะต้องมีไฟร์วอลล์ฮาร์ดแวร์หรือตั้งค่าเสมือนบนคลัสเตอร์ VMWare ของเราหรือไม่

สภาพแวดล้อมของเราประกอบด้วย 3 โหนดเซิร์ฟเวอร์ (16 คอร์ w / 64 GB RAM แต่ละ) มากกว่า 2x 1 GB สลับกับอาร์เรย์เก็บข้อมูลที่ใช้ร่วมกันของ iSCSI

สมมติว่าเราจะทุ่มเททรัพยากรให้กับอุปกรณ์ VMWare เราจะได้รับประโยชน์จากการเลือกไฟร์วอลล์ฮาร์ดแวร์ผ่านเครื่องเสมือนหรือไม่?

หากเราเลือกที่จะใช้ไฟร์วอลล์ฮาร์ดแวร์ฮาร์ดแวร์ไฟร์วอลล์เฉพาะที่มี ClearOS จะเปรียบเทียบกับไฟร์วอลล์ของ Cisco ได้อย่างไร

networking  firewall  vmware-esxi  cisco-asa 
ลุค
แหล่งที่มา
1
เกือบจะเหมือนกับHardware Firewall Vs ซอฟต์แวร์ไฟร์วอลล์ (ตาราง IP, RHEL) สิ่งนี้มีแนวโน้มที่จะเรียกร้องการอภิปรายการโต้แย้งโดยไม่ทำบุญและการคิดแบบกลุ่ม ระวังอย่างยิ่งว่าคุณจะไม่ตกเป็นเหยื่อของการยืนยันความลำเอียงซึ่งคุณจะพบคำตอบที่เรียบง่ายเห็นด้วยกับสิ่งที่คุณคิด แต่ไม่มีข้อโต้แย้งเชิงตรรกะความจริงหรือพื้นฐานอื่น ๆ
Chris S

คำตอบ:

11

ฉันลังเลที่จะโฮสต์ไฟร์วอลล์ในเครื่องเสมือนอยู่เสมอด้วยเหตุผลสองประการ:

  • ความปลอดภัย

ด้วยไฮเปอร์ไวเซอร์พื้นผิวการโจมตีจะกว้างขึ้น ไฟร์วอลล์ฮาร์ดแวร์มักจะมีระบบปฏิบัติการที่มีความแข็งแกร่ง (อ่านอย่างเดียว fs ไม่มีเครื่องมือสร้าง) ซึ่งจะลดผลกระทบของการประนีประนอมระบบที่อาจเกิดขึ้น ไฟร์วอลล์ควรปกป้องโฮสต์ไม่ใช่วิธีอื่น

  • ประสิทธิภาพของเครือข่ายและความพร้อม

เราเคยเห็นในรายละเอียดว่า NICs ที่เลวร้ายสามารถทำอะไรได้บ้าง (หรือไม่สามารถทำได้) และนั่นคือสิ่งที่คุณต้องการหลีกเลี่ยง ในขณะที่ข้อผิดพลาดเดียวกันสามารถส่งผลกระทบต่อเครื่องใช้ไฟฟ้า แต่ฮาร์ดแวร์ได้รับการคัดเลือกและเป็นที่รู้กันว่าทำงานกับซอฟต์แวร์ที่ติดตั้ง มันไปโดยไม่บอกว่าการสนับสนุนผู้จำหน่ายซอฟต์แวร์อาจไม่ช่วยคุณหากคุณมีปัญหากับไดรเวอร์หรือการกำหนดค่าฮาร์ดแวร์ที่พวกเขาไม่แนะนำ

แก้ไข:

ฉันต้องการเพิ่มเช่น @Luke กล่าวว่าผู้จำหน่ายไฟร์วอลล์ฮาร์ดแวร์จำนวนมากมีโซลูชันความพร้อมใช้งานสูงโดยมีสถานะการเชื่อมต่อ stateful ผ่านจากหน่วยงานที่ใช้งานไปยังโหมดสแตนด์บาย ฉันพอใจกับจุดตรวจสอบส่วนตัว (บนแพลตฟอร์ม Nokia IP710 รุ่นเก่า) ซิสโก้มีASAและPIX failover / ซ้ำซ้อน pfsense มีปลาคาร์พและ IPCop มีปลั๊กอิน Vyatta สามารถทำได้มากกว่า (pdf)แต่มันเป็นมากกว่าไฟร์วอลล์

Petrus
แหล่งที่มา
1
+1 ถึง "ไฟร์วอลล์ควรปกป้องโฮสต์ไม่ใช่วิธีอื่น"
ewwhite
หากคุณวาง hypervisor หน้าไฟร์วอลล์ของคุณให้แน่ใจว่าคุณเปิดเผยตัวเอง แต่นี่เป็นปัญหาด้านความปลอดภัยของเครือข่าย (ข้อผิดพลาดของผู้ดูแลระบบ) ไม่ใช่ข้อบกพร่องของการจำลองเสมือน ทางเลือกของผู้ขายเป็นเรื่องที่น่ากังวลอย่างมากเมื่อพูดถึงเรื่องความปลอดภัย โปรดทราบว่า Cisco ยังมีเครื่องมือเสมือน การเลือกฮาร์ดแวร์ที่เหมาะสมเป็นสิ่งสำคัญมาก แต่หวังว่าคุณจะทำสิ่งนี้กับเซิร์ฟเวอร์ของคุณแล้ว โปรดจำไว้ว่า "โฮสต์" เป็นเพียงฮาร์ดแวร์ เซิร์ฟเวอร์เสมือนยังคงอยู่หลังไฟร์วอลล์ (แทบ) มันไม่ได้ล้าหลัง
ลุค
@ ลุคไฟร์วอลล์ของคุณอยู่ในความเมตตาของไฮเปอร์ไวเซอร์ นั่นคือความแตกต่าง
gravyface
1
@ ลุค: ไม่เพื่อไปยัง fw เสมือนจริงแพ็คเก็ตจะต้องไหลผ่านโฮสต์ทางกายภาพ nic แม้ว่าที่อยู่ IP ของไฮเปอร์ไวเซอร์ / โฮสต์ไม่สามารถเข้าถึงได้จากภายนอกไฟร์วอลล์แพ็คเก็ตที่ไม่ดีจะยังคงถูกประมวลผลโดยไดรเวอร์และรหัสไฮเปอร์ไวเซอร์ (ดังนั้นการเพิ่มจำนวนของเวกเตอร์การโจมตี)
petrus
1
เป็นที่น่าสนใจที่จะทราบว่าเครื่องเหล่านี้ของ Cisco ยังใช้ Broadcom nics ( cisco.com/en/US/prod/collateral/ps10265/ps10493/ ...... ) ฉันคิดว่าเราทุกคนรู้ว่าไฟร์วอลล์ 'ฮาร์ดแวร์' ไม่มีอะไรมากไปกว่าชิพชั้นวางที่มีระบบปฏิบัติการ * แบบกำหนดเอง ทั้งสองมีไดรเวอร์ ทั้งคู่อยู่ภายใต้ความเสี่ยงที่เป็นไปได้เช่นเดียวกัน ฉันยินดีที่จะตรวจสอบข้อบกพร่องด้านความปลอดภัยที่เป็นเอกลักษณ์ของการจำลองเสมือน ฉันไม่คิดว่าคุณจะสามารถทำการตัดสินที่ดีกว่าได้ แต่โซลูชันของคุณได้รับการวิเคราะห์เป็นกรณี ๆ ไป
ลุค
9

สมมติว่าซอฟต์แวร์เหมือนกัน (โดยปกติไม่ใช่), ไฟร์วอลล์เสมือนสามารถทำได้ดีกว่าไฟร์วอลล์จริงเพราะคุณมีความซ้ำซ้อนที่ดีกว่า ไฟร์วอลล์เป็นเพียงเซิร์ฟเวอร์ที่มี CPU, RAM และอะแดปเตอร์อัปลิงค์ มันเป็นข้อโต้แย้งเดียวกันกับเว็บเซิร์ฟเวอร์จริงข้อหนึ่งเสมือน หากฮาร์ดแวร์ล้มเหลวเซิร์ฟเวอร์เสมือนสามารถโยกย้ายไปยังโฮสต์อื่นโดยอัตโนมัติ การหยุดทำงานเพียงอย่างเดียวคือระยะเวลาที่ใช้ในการโยกย้ายไฟร์วอลล์เสมือนไปยังโฮสต์อื่นและอาจถึงเวลาที่ระบบปฏิบัติการจะบู๊ต

ฟิสิคัลไฟร์วอลล์ถูกผูกไว้กับรีซอร์สที่มี ไฟร์วอลล์เสมือนถูก จำกัด ไว้ที่ทรัพยากรภายในโฮสต์ โดยทั่วไปแล้วฮาร์ดแวร์ x86 นั้นราคาถูกกว่าไฟร์วอลล์องค์กรแบบฟิสิคัล สิ่งที่คุณต้องพิจารณาคือราคาของฮาร์ดแวร์รวมถึงต้นทุนของซอฟต์แวร์ (หากไม่ได้ใช้โอเพ่นซอร์ส) รวมถึงค่าใช้จ่ายของเวลา (ซึ่งจะขึ้นอยู่กับผู้จำหน่ายซอฟต์แวร์ที่คุณไปด้วย) หลังจากที่คุณเปรียบเทียบราคาแล้วคุณได้รับคุณลักษณะอะไรทั้งสองด้าน

เมื่อเปรียบเทียบไฟร์วอลล์, เวอร์ช่วลหรือฟิสิคัลมันขึ้นอยู่กับชุดคุณสมบัติ ไฟร์วอลล์ของ Cisco มีคุณสมบัติที่เรียกว่า HSRP ซึ่งช่วยให้คุณสามารถเรียกใช้ไฟร์วอลล์สองตัวเป็นหนึ่งเดียว (master and slave) สำหรับ failover ไฟร์วอลล์ที่ไม่ใช่ของ Cisco มีเทคโนโลยีที่คล้ายกันที่เรียกว่า VRRP นอกจากนี้ยังมีปลาคาร์พ

เมื่อเปรียบเทียบฟิสิคัลไฟร์วอลล์กับเวอร์ชวลเสมือนต้องแน่ใจว่าคุณกำลังทำการเปรียบเทียบแอปเปิ้ลกับแอปเปิ้ล คุณสมบัติใดที่สำคัญสำหรับคุณ การกำหนดค่าเป็นอย่างไร ซอฟต์แวร์นี้ใช้โดยองค์กรอื่นหรือไม่

หากคุณต้องการเส้นทางที่ทรงพลัง Vyatta เป็นทางออกที่ดี มันมีความสามารถของไฟร์วอลล์ มันมีคอนโซลการกำหนดค่าที่เหมือน Ciso มาก พวกเขามีรุ่นชุมชนฟรีที่ vyatta.org และรุ่นที่รองรับ (พร้อมความพิเศษบางอย่าง) ที่ vyatta.com เอกสารมีความสะอาดและตรงไปตรงมา

หากคุณต้องการไฟร์วอลล์ที่มีประสิทธิภาพลองดูที่ pfSense นอกจากนี้ยังสามารถกำหนดเส้นทาง

เราตัดสินใจรัน Vyatta สองอินสแตนซ์ด้วย VRRP บนโฮสต์ ESXi ของเรา ในการรับความซ้ำซ้อนเราจำเป็นต้องใช้กับ Cisco (อุปกรณ์จ่ายไฟสองตัวต่อไฟร์วอลล์สองไฟร์วอลล์) จะมีราคา $ 15-30k สำหรับเรา Vyatta community edition เป็นตัวเลือกที่ดี มันมีอินเตอร์เฟสบรรทัดคำสั่งเท่านั้น แต่ด้วยเอกสารประกอบมันง่ายในการตั้งค่า

ลุค
แหล่งที่มา
5
คำตอบที่ดี. เราได้ใช้อุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์เป็นจำนวนมากและด้วยความจริงที่ว่าคุณสามารถผลักดันอัตรา 1Gbps @ 64Bytes บนเครื่อง x86 แบบโลว์เอนด์บน pFSense ซึ่งเป็นเกมง่ายๆ อุปกรณ์ไฟร์วอลล์ฮาร์ดแวร์โดยเฉพาะมักอยู่ที่ประมาณ£ 10k เพื่อทำตัวเลขประเภทนั้น
Ben Lessani - Sonassi
ขึ้นอยู่กับว่าไฟร์วอลล์เป็นอุปกรณ์ปลายทางหรือไม่ ฉันเคยเห็นหลายคลัสเตอร์ VMWare ตายเพราะปัญหาการจัดเก็บหรือปัญหาเครือข่าย โดยทั่วไปแล้ว HA ดูแลสิ่งต่าง ๆ แต่ฉันเห็นปัญหาบางอย่างเกี่ยวกับการตั้งค่าไฟร์วอลล์ในสภาพแวดล้อมนั้น นี่เป็นการตั้งค่า HA / vMotion / DRS เต็มหรือไม่
ewwhite
@ewwhite ใช่เต็ม HA / vMotion / DRS สองอินสแตนซ์ของ Vyatta พร้อม VRRP และ hot failover
ลุค
ถ้าเป็นไปได้การตั้งค่าของฉันคือการมีเวอร์ชวลไลซ์หนึ่งอัน แต่อีกอันหนึ่งอยู่ในกล่องเฉพาะ
Robin Gill
8

ฉันไปกับฮาร์ดแวร์เฉพาะเพราะมันสร้างขึ้นตามวัตถุประสงค์ การมีอุปกรณ์เป็นประโยชน์ในแง่นั้นโดยเฉพาะอย่างยิ่งหากเป็นจุดสิ้นสุด VPN หรือเกตเวย์อื่น มันทำให้คลัสเตอร์ VMWare ของคุณเป็นอิสระจากความรับผิดชอบนั้น ในแง่ของทรัพยากรฮาร์ดแวร์ / RAM / CPU การใช้งานโซลูชันซอฟต์แวร์นั้นค่อนข้างดี แต่นั่นไม่ใช่ความกังวล

ewwhite
แหล่งที่มา
+1 สำหรับจุด demarc
Tom O'Connor
7

แน่นอนว่ามันไม่จำเป็นและสำหรับคนส่วนใหญ่มันจะทำงานให้สำเร็จ เพียงแค่ทำการพิจารณาว่าทราฟฟิกของคุณอาจทรอมโบนข้ามสวิตช์อัพลิงค์เสมือนจริงของคุณเว้นแต่คุณจะอุทิศ NICs ให้กับไฟร์วอลล์ VM (คุณจะต้องทำสิ่งนี้ในแต่ละช่องที่คุณต้องการ vMotion)

ส่วนตัว? ฉันชอบฮาร์ดแวร์เฉพาะเพราะราคาไม่แพงจริงๆ คุณสามารถรับหมายเลขประสิทธิภาพบนฮาร์ดแวร์เฉพาะจากผู้ผลิต แต่ประสิทธิภาพไฟร์วอลล์ VM ของคุณขึ้นอยู่กับว่าโฮสต์ของคุณยุ่งแค่ไหน

ฉันว่าลองซอฟต์แวร์หนึ่งดูว่ามันไป หากไปตามทางที่คุณต้องติดตั้งฮาร์ดแวร์ให้ทำเช่นนั้น

SpacemanSpiff
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.