我目前使用 IPCop 作为我们公司的防火墙和 VPN。我希望整合多台服务器,并考虑将防火墙服务器纳入整合范围。我目前计划使用带有 Hyper-V 的 Server 2008 进行虚拟化。有没有人尝试过虚拟化 IPCop?有什么需要注意的?特别是,IPCop 对 NIC 的硬件支持有些有限 - VM 会将哪些硬件视为网卡?
答案1
一般来说,我建议不要虚拟化防火墙。这是另一个不安全的地方。Web 过滤器、VPN 集中器,是的 - 外围防火墙,不是。
不过,我想说的是,如果你要这么做,它可能会成功。我为 SmoothWall 工作(我们的 GPL 防火墙是 IPCop 的祖父),我们对一些 Web 过滤产品进行了 Hyper-V 处理。
然而,据我所知,在 Linux 下只能使用一个处理器核心 - 因此如果需要高性能,这可能是一个问题 - 尽管一个核心对于简单的防火墙工作来说应该足够了。
答案2
去年我在生产中使用了 Hyper-V 上的多个 IPCop VM。它们在低吞吐量使用中通常运行良好。
我遇到了以下问题:
- 您需要使用“旧式网络适配器”,而不需要使用“集成服务”。
- 一定要关闭与虚拟机共享主机时间的集成服务,这可能会导致一些令人困惑的问题。
- 吞吐量非常差。我的 IPCop 在四核 3+Ghz Core 2 机器上运行虚拟化。IPCop 盒被限制为 1 个虚拟 CPU,但处理器使用率远高于预期。禁用 Snort 有点帮助,并大大减少了内存使用量。尽管如此,我的最大吞吐量约为 20Mbps。我相信这个问题可能与使用旧式网络适配器有关。
- IPCop 防火墙在几个小时内持续处于高连接数时可能会挂起。我无法诊断出此问题的根本原因。Web 界面仍然可以访问,可以通过此界面或 Hyper-V 管理界面重置 VM 以(暂时)解决问题。
我还没有找到更好的 Hyper-V 虚拟化防火墙解决方案。Endian 防火墙似乎显示出更明显的吞吐量限制(在与上述相同的硬件/VM 设置上,吞吐量低至 5Mbps)。非常欢迎提出更好的解决方案建议!
答案3
我强烈推荐防火墙盒不是与其他系统共享。
话虽如此,我做虚拟化我的防火墙。使用 XenServer 在 1 个物理盒中安装 1 个虚拟机。我这样做的原因是:快照功能,以及非常快恢复(抓住另一个盒子,安装 XenServer,导入 .xva)