Hyper-V 下的虚拟化防火墙?

Hyper-V 下的虚拟化防火墙?

我们目前正在考虑在基于 Hyper-V R2 的服务器上安装 pfSense 实例,以充当内容过滤器、强制门户和通用防火墙。

尽管虚拟化防火墙/网关通常是一种不好的做法,但有时你必须利用你所拥有的!:)

我们有 2 个物理网卡。1 个面向互联网(WAN),1 个面向我们的内部 LAN。

如何确保所有互联网访问都通过 pfSense VM?

是否存在一种配置可以消除 LAN NIC 上的流量绕过 pfSense VM 的可能性?

抱歉,如果这是一个愚蠢的问题,我白天是一名开发人员:D

答案1

卫斯理说了什么...另附一张图:

              +----------------------------------+
              |    +----------+   +---------+    |     +----+ +----+ +----+
              |    | pfSense  |   | Host OS |    |     |    | |    | |    |
              |    |          |   |         |    |     | PC | | PC | | PC |
              |    +----------+   +---------+    |     |    | |    | |    |
              |         ^   ^          ^         |     +----+ +----+ +----+
              |         |   +------+   |         |        ^      ^      ^
              |         |          |   |         |        |      |      |
              |         V          V   V         |        V      V      V
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
|Internet|<-->|WAN|<->|WAN NET|  |LAN NET|<->|LAN|<----+|    LAN SWITCH   |
+--------+    +---+   +-------+  +-------+   +---+      +-----------------+
              |          Hyper-V Host            |
              +----------------------------------+

实际上,可以在 Hyper-V 主机上为 WAN 和 LAN 使用相同的 NIC,但您需要设置 vLAN 并需要一个支持它们的交换机。它很快就会变得混乱,而且 NIC 相当便宜。关于 NIC 芯片的注意事项,请购买优质的芯片,例如 Intel、Broadcom 等。远离 Realtek、Marvel 以及便宜和 DIY 主板上的大多数板载芯片。它们只会给虚拟化环境带来麻烦。

另外,请记住,Hyper-V 是一个裸机虚拟机管理程序。它不是在 Windows 中运行的服务。机器上以前安装的 Windows 变成了一个特殊的 VM。出于简单性和可用性的原因,这似乎不是这种情况,但在您执行诸如设置 Hyper-V 网络之类的操作时,它会发挥作用。

答案2

只需将所有 PC、交换机、路由器等网络基础设施设置为使用 pfSense 虚拟机作为其默认网关,所有流量都会流过内容过滤器。

当然,有人可能会将网络电缆从服务器中拔出,然后将他们的 PC 直接插入您的 WAN。您可以设置某种 MAC 过滤或 802.1x 身份验证来实施端口级安全性。当然,有人也可以绕过它。关键是:有时候您只是依靠“我有密码和服务器机房的钥匙,而你没有。”

只需将您的网关设置为默认网关/路由器,并且网络上没有任何其他路由选项,就可以阻止所有出口,除非有人闯入您的服务器机柜并弄乱电缆。

相关内容