我们在办公室里正在讨论是否有必要安装硬件防火墙或者在我们的 VMWare 集群上设置虚拟防火墙。
我们的环境由 3 个服务器节点(每个节点有 16 个核心,64 GB RAM)和 2 个 1 GB 交换机以及一个 iSCSI 共享存储阵列组成。
假设我们将资源专门用于 VMWare 设备,那么选择硬件防火墙而不是虚拟防火墙是否有好处?
如果我们选择使用硬件防火墙,那么带有 ClearOS 之类的专用服务器防火墙与思科防火墙相比如何?
答案1
我一直不愿意在虚拟机中托管防火墙,原因如下:
- 安全。
使用虚拟机管理程序后,攻击面会更广。硬件防火墙通常具有强化的操作系统(只读文件系统,无构建工具),这将减少潜在系统入侵的影响。防火墙应该保护主机,而不是相反。
- 网络性能和可用性。
我们已经看到在细节坏网卡能做什么(或不能做什么),这是您想要避免的。虽然相同的错误会影响设备,但硬件已被选中,并且已知可以与已安装的软件配合使用。不言而喻,如果您遇到驱动程序问题,或者遇到他们不推荐的任何硬件配置问题,软件供应商支持可能不会帮助您。
编辑:
我想补充一点,就像@Luke所说的那样,许多硬件防火墙供应商都有高可用性解决方案,其中有状态连接状态从活动单元传递到待机单元。我个人对检查点(在旧诺基亚 IP710 平台上)。思科有作为一个和派克斯故障转移/冗余,pfSense 具有鲤鱼并且 IPCop 有一个插件. 维亚塔可以做得更多 (pdf),但它不仅仅是一个防火墙。
答案2
假设软件相同(通常不同),虚拟防火墙能比物理防火墙更好,因为冗余性更好。防火墙只是一台带有 CPU、RAM 和上行链路适配器的服务器。这与物理 Web 服务器与虚拟 Web 服务器的比较是一样的。如果硬件出现故障,虚拟服务器可以自动迁移到另一台主机。唯一的停机时间是虚拟防火墙迁移到另一台主机所需的时间,也许还有操作系统启动所需的时间。
物理防火墙受限于其拥有的资源。虚拟防火墙受限于主机内的资源。通常,x86 硬件比物理企业防火墙便宜得多。你需要考虑的是硬件的成本,加软件成本(如果不使用开源),加时间成本(取决于您选择的软件供应商)。比较成本后,您从两家公司获得了哪些功能?
在比较防火墙(无论是虚拟防火墙还是物理防火墙)时,实际上取决于功能集。思科防火墙具有一项称为 HSRP 的功能,该功能允许您将两个防火墙作为一个防火墙(主防火墙和从防火墙)运行,以实现故障转移。非思科防火墙具有类似的技术,称为 VRRP。还有 CARP。
在比较物理防火墙和虚拟防火墙时,请确保进行同类比较。哪些功能对您来说很重要?配置是什么样的?其他企业是否使用该软件?
如果您需要强大的路由功能,Vyatta 是一个不错的选择。它具有防火墙功能。它有一个非常类似于 Ciso 的配置控制台。他们在 vyatta.org 上有一个免费社区版,在 vyatta.com 上有一个支持版本(带有一些额外功能)。文档非常简洁明了。
如果你需要强大的防火墙,可以看看 pfSense。它也可以进行路由。
我们决定在 ESXi 主机上运行两个带有 VRRP 的 Vyatta 实例。要使用 Cisco 实现我们所需的冗余(每个防火墙两个电源,两个防火墙),需要花费 15-30,000 美元。对于我们来说,Vyatta 社区版是一个不错的选择。它只有一个命令行界面,但根据文档很容易配置。
答案3
我选择专用硬件,因为它是专门设计的。在这方面,拥有设备很方便,特别是如果它是 VPN 端点或其他网关。它可以让您的 VMWare 集群摆脱这一责任。就硬件/RAM/CPU 资源而言,运行软件解决方案绝对没问题。但这并不是真正的问题。
答案4
当然这不是必需的,对于大多数人来说,它可以完成工作。只需考虑一下,除非您将 NIC 专用于防火墙 VM,否则您的流量可能会通过虚拟交换机上行链路传输。(您必须在每个想要进行 vMotion 的盒子上执行此操作)。
就我个人而言?我更喜欢专用硬件,因为它真的不那么贵。您可以从制造商处获得专用硬件的性能数据,但您的 VM 防火墙性能完全取决于您的主机的繁忙程度。
我说先试试软件版本,看看效果如何。如果以后你需要安装硬件版本,那就安装吧。