Luk*_*uke 16 networking firewall vmware-esxi cisco-asa
我们在我们的办公室就是否有必要在我们的 VMWare 集群上安装硬件防火墙或设置虚拟防火墙进行辩论。
我们的环境由 3 个服务器节点(16 个内核,每个内核 64 GB RAM)和 2 个 1 GB 交换机和 iSCSI 共享存储阵列组成。
假设我们将资源专用于 VMWare 设备,那么选择硬件防火墙而不是虚拟防火墙是否有任何好处?
如果我们选择使用硬件防火墙,那么带有 ClearOS 之类的专用服务器防火墙与 Cisco 防火墙相比如何?
pet*_*rus 11
我一直不愿意在虚拟机中托管防火墙,原因如下:
使用管理程序,攻击面更广。硬件防火墙通常有一个强化的操作系统(只读 fs,没有构建工具),这将减少潜在系统妥协的影响。防火墙应该保护主机,而不是相反。
我们已经看到在细节有什么不好的网卡可以做(或不能),这就是你想要的东西,以避免。虽然相同的错误会影响设备,但已选择硬件并且已知可以与已安装的软件一起使用。不用说,如果您遇到驱动程序或他们不推荐的任何硬件配置问题,软件供应商支持可能不会帮助您。
编辑:
我想补充一点,就像@Luke 所说的那样,许多硬件防火墙供应商都有高可用性解决方案,有状态的连接状态从活动单元传递到备用单元。我个人对Checkpoint感到满意(在旧的诺基亚 IP710 平台上)。Cisco 有ASA和PIX故障转移/冗余,pfsense 有CARP,IPCop 有一个插件。Vyatta可以做更多 (pdf),但它不仅仅是防火墙。
假设软件相同(通常不是),虚拟防火墙可能比物理防火墙更好,因为您有更好的冗余。防火墙只是带有 CPU、RAM 和上行链路适配器的服务器。这与物理 Web 服务器与虚拟服务器的论点相同。如果硬件出现故障,虚拟服务器可以自动迁移到另一台主机。唯一的停机时间是将虚拟防火墙迁移到另一台主机所需的时间,可能还有操作系统启动所需的时间。
物理防火墙绑定到它所拥有的资源。虚拟防火墙仅限于主机内部的资源。通常,x86 硬件比物理企业防火墙便宜得多。你必须考虑的是硬件成本,加上软件成本(如果不使用开源),再加上你的时间成本(这将取决于你使用的软件供应商)。比较成本后,您在哪一边都获得了哪些功能?
在比较虚拟或物理防火墙时,这实际上取决于功能集。Cisco 防火墙有一项称为 HSRP 的功能,它允许您将两个防火墙作为一个(主从)运行以进行故障转移。非 Cisco 防火墙具有称为 VRRP 的类似技术。还有鲤鱼。
将物理防火墙与虚拟防火墙进行比较时,请确保您进行的是苹果与苹果的比较。哪些功能对您很重要?配置是怎样的?该软件是否被其他企业使用?
如果您需要强大的路由,Vyatta 是一个不错的选择。它具有防火墙功能。它有一个非常类似于 Ciso 的配置控制台。他们在 vyatta.org 上有一个免费的社区版,在 vyatta.com 上有一个受支持的版本(有一些额外的功能)。文档非常简洁明了。
如果您需要强大的防火墙,请查看 pfSense。它也可以做路由。
我们决定在 ESXi 主机上使用 VRRP 运行两个 Vyatta 实例。为了获得我们需要的 Cisco 冗余(每个防火墙两个电源,两个防火墙),它需要花费 15-3 万美元。对我们来说,Vyatta 社区版是一个不错的选择。它只有一个命令行界面,但有了文档,它很容易配置。
我使用专用硬件,因为它是专门构建的。在这方面,拥有设备很方便,尤其是当它是 VPN 端点或其他网关时。它将您的 VMWare 集群从该责任中解放出来。就硬件/RAM/CPU 资源而言,运行软件解决方案绝对没问题。但这并不是真正的问题。
当然,这不是必需的,对于大多数人来说,它会完成工作。只需考虑一下,除非您将 NIC 专用于防火墙 VM,否则您的流量可能会在您的虚拟交换机上行链路中传输。(您必须在希望 vMotion 到的每个盒子上执行此操作)。
亲身?我更喜欢专用硬件,因为它真的没有那么贵。您可以从制造商处获得专用硬件的性能数据,但您的 VM 防火墙性能完全取决于主机的繁忙程度。
我说试试软件一,看看它是怎么回事。如果以后您需要安装硬件,请这样做。
| 归档时间: |
|
| 查看次数: |
18077 次 |
| 最近记录: |