我正在阅读这个讨论:虚拟化路由器有危险吗?
我负责维护安装在不同 SMB 组织(10-100 个用户)中的多个防火墙。我们正在自定义硬件上安装 Endian 或 PfSense。不幸的是(尤其是使用 endian 时),当我尝试在不同的硬件上恢复配置时,我遇到了几个问题(不同的 NIC 等)。
因此,我正在考虑虚拟化防火墙,以从物理层引入一定程度的抽象,从而使机器“独立于硬件”。
优点:
- 硬件独立
- 易于扩展
- 易于备份
缺点:
- 表现(比身体更差)
在我的场景中,性能不是问题
我担心可能的安全风险,您对此有何看法?您推荐哪种虚拟机管理程序(以及原因)?还有其他需要考虑的事项吗?
感谢您的回复
答案1
对于原始海报来说这有点晚了,但对于其他读者来说......
我会坚持使用您提到的 pfSense。我已经在 Netgate 的硬件上部署了 pfSense,在 ESXi 中进行了虚拟化,并在满足最低硬件规格的自定义防火墙设备上部署了 pfSensepfSense 要求页面。为了安全起见,只要您的 ESXi 配置设置正确,您在虚拟化时就不会遇到使用专用硬件时不会遇到的问题。至少这是我的经验。如果您必须还原到具有不同网络硬件和软件设置的主机上的 VM,您仍然会遇到还原配置的问题。
我建议不要虚拟化防火墙。这会增加设置的复杂性,如果您需要扩展以在高可用性设置中使用多个 ESXi 主机并使用 vSAN,这可能会成为问题。阅读有关如何设置基础知识的线索,然后尝试规划如何将 pfSense 保持在混合虚拟化状态。这是可能的,但当您刚刚将复杂性增加到超出普通管理员的故障排除能力时,就不值得付出努力了。
当设置简单到只有一台或独立主机时,虚拟化效果很好。当主机已经或可能设置为 HA 时,将 pfSense 虚拟化会使设置复杂化。为了实现冗余,与台式机和笔记本电脑不同,防火墙设备不会很快过时。话虽如此,您可以为 HA 配置两个 pfSense 硬件设备。即使在这种情况下,我也建议在架子上放置一个备用设备,以防大自然通过您的电网发送的焦耳超过您的电涌保护器所能处理的焦耳。
答案2
使用专门设计的电器有什么问题Cisco ASA 5505 或 5510 防火墙? 前者价格低廉,在业界具有良好的口碑,而且肯定不会出现您所遇到的硬件兼容性问题...您有多珍惜自己的时间?
至于您当前的问题,您能将问题隔离到特定的设备驱动程序吗?为什么您需要恢复配置?硬件故障?您使用的定制硬件与标准硬件不同,这有什么原因吗?如果您对 PFSense 感到满意,那么尝试解决这些问题可能是有意义的。
对于虚拟化解决方案,我习惯看到人们使用VMware ESXi为此目的。虚拟机管理程序的网络堆栈已经成熟,性能、吞吐量和稳定性都不是问题。但现在负担落在了虚拟化硬件上,并使其足够强大。我认为您的成本和复杂性会增加。