谷歌搜索后,我发现有人说以虚拟机方式运行防火墙/路由器是“危险的”,但没有人给出任何理由来说明为什么会这样。我还发现了一些成功以虚拟机方式运行防火墙的人的帖子。
有人有这方面的经验吗?
在 proxmox 之类的虚拟机上运行防火墙/路由器与在物理机上运行防火墙/路由器的优缺点是什么?
答案1
如果安全是首要考虑因素,那么正确的做法实际上与你的做法相反。你可能想在裸机上运行路由器/防火墙,并在其中托管虚拟机以供标准桌面或服务器使用。
请原谅我的蹩脚的 MS Paint 插图。
如果您桥接虚拟机的 NIC 和 LAN NIC(来自裸机操作系统),它们可以作为相同的“LAN”接口出现,以用于防火墙或路由。
大多数安全问题都是因为有人在运行时进入控制台并禁用路由器/防火墙 VM 或禁用桥接/解除 NIC 与 VM 的绑定 - 或者有人远程进入系统并执行此操作。恶意软件可能会做一些奇怪的事情,这一点始终存在。
您可以这样做,并使用任何 VM 软件(如果您愿意),但缺点是如果您使用 ESX 之类的软件,您将需要通过 RDP 进入桌面 VM,而不是直接通过控制台访问。
答案2
有一些商业产品,例如 Check Point 以前的“VSX”系统,它们在给定的硬件基础上提供“虚拟防火墙”。如果我们谈论 VMWare 或更好的基于云的防火墙。您在云中设置防火墙以隔离“内部”云“网络”,而不是云与另一个网络之间的通信。
性能非常有限,云中的性能是共享的。基于 asic 的防火墙可以达到 > 500GBps。基于 VMware 的防火墙或交换机达到 < 20GBps。对于 LAN NIC 可能通过线路感染流感的说法。您还可以说,任何中间设备(如交换机、路由器、IPS)也可能被传输中的流量利用。
我们在“畸形”数据包(又称帧、片段、段等)中看到这种情况。因此,可以说使用“中间”设备是不安全的。几年前,德国 NIST(称为 BSI)也表示虚拟路由器(如 VDC(虚拟设备环境 - Cisco Nexus))和 VRF(虚拟路由转发)是不安全的。从某个角度来看,共享资源始终存在风险。用户可以利用资源并降低所有其他用户的服务质量。从整体上看,这将使整个 VLAN 和覆盖技术(如 VPN 和 MPLS)受到质疑。
如果您对安全性有很高的要求,我会使用专用硬件和专用网络(包括专用线路!)如果您问虚拟机管理程序(尤其是裸机中的虚拟机管理程序)在常见场景中是否存在特殊的安全问题......我会说不是。
答案3
通常,虚拟机通过桥接连接连接到网络(即网络通过运行它的物理计算机)。使用虚拟机作为防火墙意味着所有流量都可以进入物理计算机,然后数据包被发送到虚拟机,过滤后再发送回物理计算机。由于物理计算机可以接收未过滤的数据包并负责将数据包分发到网络的其余部分,因此可以利用这一点在网络上发送未过滤的数据包。