Googling nhận thấy mọi người nói rằng việc chạy tường lửa / bộ định tuyến như một máy ảo là "nguy hiểm" nhưng không ai trong số họ đưa ra bất kỳ lý do nào về lý do tại sao nó lại như vậy. Tôi cũng tìm thấy bài viết từ những người đang chạy thành công tường lửa như trên một máy ảo.
Không ai có bất cứ kinh nghiệm với điều này?
Điều gì sẽ là ưu và nhược điểm của việc chạy tường lửa / bộ định tuyến trên máy ảo trong một cái gì đó như proxmox so với ob máy vật lý?
Câu trả lời:
Thực sự cách làm đúng đắn là ngược lại với cách bạn đang tiếp cận, nếu bảo mật là mối quan tâm hàng đầu. Bạn muốn chạy bộ định tuyến / tường lửa trên kim loại trần và lưu trữ VM trong đó để sử dụng máy tính để bàn hoặc máy chủ tiêu chuẩn.
Tha thứ cho hình minh họa MS Paint nhảm nhí của tôi.
Nếu bạn kết nối NIC của VM và LAN LAN (từ HĐH kim loại trần), chúng có thể xuất hiện dưới dạng giao diện "LAN" tương tự cho mục đích tường lửa hoặc định tuyến.
Hầu hết các vấn đề bảo mật sẽ là nếu ai đó truy cập vào bàn điều khiển trong khi điều này đang chạy và vô hiệu hóa bộ định tuyến / tường lửa VM của bạn hoặc vô hiệu hóa bắc cầu / hủy liên kết với máy ảo của bạn khỏi VM - hoặc nếu ai đó từ xa vào hệ thống và thực hiện điều đó . Có khả năng, như mọi khi, phần mềm độc hại có thể làm điều gì đó kỳ quặc.
Bạn có thể làm điều này và sử dụng bất kỳ phần mềm VM nào nếu bạn muốn, nhưng nhược điểm là nếu bạn sử dụng một cái gì đó như ESX, bạn sẽ cần RDP vào VM máy tính để bàn thay vì truy cập trực tiếp qua bảng điều khiển.
Có những sản phẩm thương mại như Hệ thống "VSX" trước đây của Check Point phục vụ "tường lửa ảo" trên cơ sở phần cứng nhất định. Nếu chúng ta nói về VMWare hoặc tường lửa dựa trên đám mây tốt hơn. Bạn thiết lập tường lửa "trong" đám mây để phân đoạn mạng "đám mây" nội bộ chứ không phải giao tiếp giữa đám mây và mạng khác.
Hiệu suất rất hạn chế và hiệu suất trong một đám mây được chia sẻ. Một tường lửa dựa trên asic có thể làm> 500GBps. Tường lửa hoặc chuyển đổi dựa trên VMware có <20GBps. Theo tuyên bố LAN NIC có thể bị cúm từ dây. Bạn cũng có thể nói rằng bất kỳ thiết bị trung gian nào như switch, bộ định tuyến, ips cũng có thể bị khai thác bởi lưu lượng quá cảnh.
Chúng tôi thấy điều này trong các gói "không đúng định dạng" (còn gọi là khung, đoạn, phân đoạn, v.v.) Vì vậy, người ta có thể nói rằng sử dụng các thiết bị "trung gian" là không an toàn. Ngoài ra, NIST của Đức có tên BSI đã tuyên bố vài năm trước rằng các bộ định tuyến ảo (như VDC (Bối cảnh thiết bị ảo - Cisco Nexus)) và VRF (Chuyển tiếp tuyến ảo) không an toàn. Từ quan điểm, chia sẻ tài nguyên luôn là một rủi ro. Người dùng có thể khai thác tài nguyên và giảm chất lượng dịch vụ cho tất cả người dùng khác. Trên toàn cầu sẽ đặt toàn bộ công nghệ Vlan và lớp phủ (như VPN và MPLS) trong Câu hỏi.
Nếu bạn có nhu cầu rất cao về bảo mật, tôi sẽ sử dụng phần cứng chuyên dụng và mạng chuyên dụng (bao gồm cả các dòng chuyên dụng!) Nếu bạn hỏi liệu trình ảo hóa (đặc biệt là kim loại trần) có phải là vấn đề bảo mật đặc biệt trong kịch bản chung không ... Tôi sẽ nói không .
Thông thường, một máy ảo được kết nối với mạng thông qua kết nối bắc cầu (tức là mạng đi qua máy tính vật lý mà nó đang chạy). Để sử dụng VM làm tường lửa có nghĩa là tất cả lưu lượng truy cập có thể đi vào máy tính vật lý, sau đó các gói được gửi đến VM, được lọc và sau đó được gửi trở lại máy tính vật lý. Vì máy tính vật lý có thể lấy các gói chưa được lọc và chịu trách nhiệm phân phối các gói đến phần còn lại của mạng, nên có thể khai thác để gửi các gói chưa được lọc xung quanh mạng.