Tường lửa phần cứng và thiết bị tường lửa VMware

16

Chúng tôi có một cuộc tranh luận trong văn phòng của chúng tôi về việc có cần thiết phải có tường lửa phần cứng hay thiết lập một cái ảo trên cụm VMWare của chúng tôi hay không.

Môi trường của chúng tôi bao gồm 3 nút máy chủ (mỗi lõi 16 nhân với 64 GB RAM) trên 2 lần chuyển đổi 1 GB với một mảng lưu trữ chia sẻ iSCSI.

Giả sử rằng chúng ta sẽ dành tài nguyên cho các thiết bị VMWare, liệu chúng ta có lợi ích gì khi chọn tường lửa phần cứng so với thiết bị ảo không?

Nếu chúng ta chọn sử dụng tường lửa phần cứng, làm thế nào một tường lửa máy chủ chuyên dụng sẽ làm một cái gì đó như ClearOS so với tường lửa của Cisco?

— Luke
nguồn

1

Gần như là một bản sao của Phần cứng Tường lửa Vs. Tường lửa phần mềm (Bảng IP, RHEL) . Điều này cũng có khả năng thu hút các cuộc tranh luận, tranh luận mà không có công đức và suy nghĩ theo nhóm. Hãy cực kỳ cẩn thận để bạn không trở thành nạn nhân của Xác nhận Xu hướng , nơi bạn tìm thấy câu trả lời đơn giản đồng ý với những gì bạn nghĩ, nhưng ở đó không có lập luận logic, thực tế hoặc cơ sở nào khác.

— Chris S

11

Tôi luôn miễn cưỡng lưu trữ tường lửa trong một máy ảo, vì một vài lý do:

An ninh .

Với một siêu giám sát, bề mặt tấn công rộng hơn. Tường lửa phần cứng thường có HĐH cứng (fs chỉ đọc, không có công cụ xây dựng) sẽ làm giảm tác động của một thỏa hiệp hệ thống tiềm năng. Tường lửa nên bảo vệ máy chủ, không phải là cách khác.

Hiệu suất mạng và tính sẵn sàng .

Chúng tôi đã nhìn thấy trong chi tiết những gì NIC xấu có thể làm (hoặc không thể), và rằng cái gì của bạn muốn tránh. Mặc dù các lỗi tương tự có thể ảnh hưởng đến các thiết bị, phần cứng đã được chọn và được biết là hoạt động với phần mềm đã cài đặt. Không cần phải nói rằng bộ phận hỗ trợ của nhà cung cấp phần mềm có thể không giúp bạn nếu bạn gặp vấn đề với trình điều khiển hoặc với bất kỳ cấu hình phần cứng nào mà họ không khuyến nghị.

Biên tập:

Tôi muốn thêm, như @Luke nói, rất nhiều nhà cung cấp tường lửa phần cứng có các giải pháp khả dụng cao, với trạng thái kết nối trạng thái được chuyển từ đơn vị hoạt động sang chế độ chờ. Cá nhân tôi đã hài lòng với w / Checkpoint (trên nền tảng nokia IP710 cũ). Cisco có dự phòng / dự phòng ASA và PIX , pfsense có CARP và IPCop có plugin . Vyatta có thể làm nhiều hơn (pdf) , nhưng nó còn hơn cả tường lửa.

— cuống lá
nguồn

1

+1 thành "Tường lửa nên bảo vệ máy chủ, không phải cách khác."

— ewwhite

Nếu bạn đặt trình ảo hóa của bạn trước tường lửa của bạn, chắc chắn bạn đang phơi bày chính mình. Nhưng đây là một vấn đề bảo mật mạng (lỗi quản trị viên), không phải là một lỗ hổng của ảo hóa. Sự lựa chọn của nhà cung cấp chắc chắn là một mối quan tâm khi nói đến bảo mật. Hãy nhớ rằng Cisco cũng cung cấp các thiết bị ảo. Chọn phần cứng phù hợp là rất quan trọng. Nhưng hy vọng bạn đã làm điều này cho máy chủ của bạn. Ngoài ra, hãy nhớ rằng "máy chủ" chỉ là phần cứng. Máy chủ ảo vẫn ở phía sau tường lửa (hầu như). Nó không bằng cách nào đó ngược.

— Lu-ca

@Luke tường lửa của bạn là niềm vui của các nhà ảo thuật; đó là sự khác biệt

— gravyface

1

@Luke: Không. Để đến fw ảo hóa, các gói phải truyền qua nic vật lý của máy chủ. Ngay cả khi địa chỉ IP của máy ảo / máy chủ không thể truy cập được từ bên ngoài tường lửa, các gói dữ liệu xấu vẫn sẽ được xử lý bởi trình điều khiển và mã trình ảo hóa (do đó làm tăng số lượng vectơ tấn công).

— petrus

1

Thật thú vị khi lưu ý rằng các máy Cisco này cũng sử dụng Broadcom nics ( cisco.com/en/US/prod/collonymous/ps10265/ps10493/ Lỗi ). Tôi nghĩ rằng tất cả chúng ta đều biết rằng tường lửa 'phần cứng' không gì khác hơn là ngoài các chip kệ với hệ điều hành * nix tùy chỉnh. Cả hai đều có tài xế; Cả hai đều có cùng lỗ hổng có thể. Tôi sẽ vui mừng khi kiểm tra bất kỳ lỗi bảo mật nào là duy nhất cho ảo hóa. Tôi không nghĩ rằng bạn có thể đưa ra những đánh giá sâu rộng về cái nào tốt hơn. Thay vào đó, giải pháp của bạn đã được phân tích trên từng trường hợp.

— Lu-ca

9

Giả sử phần mềm là như nhau (thường là không), tường lửa ảo có thể tốt hơn tường lửa vật lý vì bạn có dự phòng tốt hơn. Tường lửa chỉ là một máy chủ có CPU, RAM và bộ điều hợp đường lên. Đó là cùng một đối số như một máy chủ web vật lý câu một ảo. Nếu phần cứng bị lỗi, máy chủ ảo có thể được di chuyển tự động sang máy chủ khác. Thời gian chết duy nhất là lượng thời gian cần thiết để tường lửa ảo được di chuyển sang một máy chủ khác và có lẽ thời gian để HĐH khởi động.

Một tường lửa vật lý bị ràng buộc với các tài nguyên mà nó có. Một tường lửa ảo được giới hạn trong các tài nguyên bên trong một máy chủ. Thông thường phần cứng x86 rẻ hơn nhiều so với tường lửa doanh nghiệp vật lý. Những gì bạn phải xem xét là chi phí phần cứng, cộng với chi phí phần mềm (nếu không sử dụng nguồn mở), cộng với chi phí thời gian của bạn (sẽ phụ thuộc vào nhà cung cấp phần mềm bạn đi cùng). Sau khi bạn so sánh chi phí, bạn sẽ nhận được những tính năng nào ở hai bên?

Khi so sánh tường lửa, ảo hay vật lý, nó thực sự phụ thuộc vào bộ tính năng. Tường lửa của Cisco có một tính năng gọi là HSRP, cho phép bạn chạy hai tường lửa là một (chủ và nô lệ) để chuyển đổi dự phòng. Tường lửa không phải của Cisco có một công nghệ tương tự được gọi là VRRP. Ngoài ra còn có CARP.

Khi so sánh tường lửa vật lý với ảo, hãy đảm bảo bạn đang thực hiện so sánh táo với táo. Những tính năng quan trọng đối với bạn? Cấu hình như thế nào? Là phần mềm này được sử dụng bởi các doanh nghiệp khác?

Nếu bạn cần định tuyến mạnh mẽ, Vyatta là một lựa chọn tốt. Nó có khả năng tường lửa. Nó có một giao diện điều khiển cấu hình rất giống Ciso. Họ có phiên bản cộng đồng miễn phí tại vyatta.org và phiên bản được hỗ trợ (có thêm một số kỳ tích) tại vyatta.com. Các tài liệu rất sạch sẽ và đơn giản.

Nếu bạn cần một tường lửa mạnh mẽ, hãy xem pfSense. Nó cũng có thể làm định tuyến.

Chúng tôi đã quyết định chạy hai phiên bản Vyatta với VRRP trên máy chủ ESXi của chúng tôi. Để có được sự dư thừa mà chúng tôi cần với Cisco (hai nguồn cung cấp cho mỗi tường lửa, hai tường lửa), nó sẽ có giá 15-30k. Đối với chúng tôi phiên bản cộng đồng Vyatta là một lựa chọn tốt. Nó có giao diện chỉ dòng lệnh, nhưng với tài liệu này rất dễ cấu hình.

— Luke
nguồn

5

Câu trả lời tốt. Chúng tôi đã sử dụng vô số thiết bị phần cứng và phần mềm - và thực tế là bạn có thể đẩy tốc độ đường truyền 1Gbps @ 64Bytes trên máy x86 cấp thấp trên pFSense, không có trí tuệ. Các thiết bị tường lửa phần cứng chuyên dụng thường có giá khoảng 10 nghìn bảng để thực hiện các loại số đó.

— Ben Lessani - Sonassi

Nó phụ thuộc vào việc tường lửa là một thiết bị đầu cuối. Tôi đã thấy nhiều cụm VMWare chết vì vấn đề lưu trữ hoặc vấn đề mạng. Thông thường, HA quan tâm đến mọi thứ, nhưng tôi có thể thấy một vấn đề cụ thể với việc thiết lập tường lửa trong môi trường đó. Đây có phải là thiết lập HA / vMotion / DRS đầy đủ không?

— ewwhite

@ewwhite Có, HA / vMotion / DRS đầy đủ. Hai trường hợp của Vyatta với VRRP và chuyển đổi dự phòng nóng.

— Lu-ca

Nếu có thể, sở thích của tôi là có một ảo hóa nhưng một trên một hộp chuyên dụng.

— Robin Gill

8

Tôi đi với phần cứng chuyên dụng vì nó được xây dựng có mục đích. Có một thiết bị rất tiện lợi về mặt đó, đặc biệt nếu đó là điểm cuối VPN hoặc một số cổng khác. Nó giải phóng cụm VMWare của bạn khỏi trách nhiệm đó. Về tài nguyên phần cứng / RAM / CPU, chạy một giải pháp phần mềm chắc chắn là tốt. Nhưng đó không thực sự là một mối quan tâm.

— ewwhite
nguồn

+1 cho điểm phân định.

— Tom O'Connor

7

Tất nhiên nó không cần thiết, và đối với hầu hết mọi người, nó sẽ hoàn thành công việc. Chỉ cần thực hiện một số cân nhắc rằng lưu lượng truy cập của bạn có thể được chuyển qua các liên kết chuyển đổi ảo trừ khi bạn dành các NIC cho tường lửa VM. (Bạn sẽ phải làm điều này trên mỗi hộp bạn muốn để có thể vMotion đến).

Cá nhân? Tôi thích phần cứng chuyên dụng vì nó thực sự không quá đắt. Bạn có thể nhận được số hiệu suất trên phần cứng chuyên dụng từ nhà sản xuất, nhưng hiệu suất tường lửa VM của bạn hoàn toàn chủ quan về mức độ bận rộn của máy chủ.

Tôi nói hãy dùng thử phần mềm, xem nó hoạt động thế nào. Nếu xuống đường bạn cần cài đặt một phần cứng, sau đó làm như vậy.

— Tàu vũ trụ
nguồn