Zapora sprzętowa a zapora VMware

W naszym biurze toczy się debata, czy konieczne jest uzyskanie zapory sprzętowej, czy skonfigurowanie wirtualnej w naszym klastrze VMWare.

Nasze środowisko składa się z 3 węzłów serwera (16 rdzeni z 64 GB pamięci RAM każdy) ponad 2x 1 GB przełączników z dzieloną macierzą pamięci iSCSI.

Zakładając, że przeznaczalibyśmy zasoby na urządzenia VMWare, czy mielibyśmy jakąkolwiek korzyść z wyboru zapory sprzętowej zamiast wirtualnej?

Jeśli zdecydujemy się na zaporę sprzętową, w jaki sposób zapora dedykowanego serwera z czymś takim jak ClearOS może się równać z zaporą Cisco?

Zawsze byłem niechętny do hostowania zapory ogniowej na maszynie wirtualnej z kilku powodów:

• Bezpieczeństwo .

W przypadku hiperwizora powierzchnia ataku jest szersza. Zapory sprzętowe zwykle mają zahartowany system operacyjny (tylko do odczytu, bez narzędzi do budowania), co zmniejsza wpływ potencjalnego kompromisu systemowego. Zapory ogniowe powinny chronić hosty, a nie na odwrót.

• Wydajność i dostępność sieci .

Widzieliśmy w szczegółach co złe NIC może zrobić (lub nie może), a to jest coś, czego chcesz uniknąć. Chociaż te same błędy mogą wpływać na urządzenia, wybrano sprzęt i wiadomo, że działa z zainstalowanym oprogramowaniem. Jest rzeczą oczywistą, że wsparcie producenta oprogramowania może ci nie pomóc, jeśli masz problemy ze sterownikami lub konfiguracją sprzętu, której nie zalecają.

Edytować:

Chciałem dodać, jak powiedział @Luke, że wielu dostawców zapory sprzętowej ma rozwiązania wysokiej dostępności, a stan połączenia przechodzi z jednostki aktywnej do trybu gotowości. Jestem osobiście zadowolony z Checkpoint (na starych platformach Nokia IP710). Cisco ma przełączanie awaryjne / nadmiarowe ASA i PIX , pfsense ma CARP, a IPCop ma wtyczkę . Vyatta może więcej (pdf) , ale to więcej niż zapora ogniowa.

Zakładając, że oprogramowanie jest takie samo (zwykle nie jest), wirtualne zapory mogą być lepsze niż fizyczna zapora, ponieważ masz lepszą redundancję. Firewall to tylko serwer z procesorem, pamięcią RAM i adapterami łącza zwrotnego. To ten sam argument, co fizyczny serwer sieciowy sprawdzający wirtualny. Jeśli sprzęt ulegnie awarii, serwer wirtualny można automatycznie migrować na inny host. Jedynym przestojem jest czas migracji wirtualnej zapory na inny host i być może czas potrzebny na uruchomienie systemu operacyjnego.

Fizyczna zapora ogniowa jest powiązana z posiadanymi zasobami. Wirtualna zapora ogniowa jest ograniczona do zasobów w hoście. Zazwyczaj sprzęt x86 jest znacznie tańszy niż fizyczna zapora sieciowa dla przedsiębiorstw. To, co musisz wziąć pod uwagę, to koszt sprzętu plus koszt oprogramowania (jeśli nie korzystasz z oprogramowania typu open source) plus koszt czasu (który będzie zależał od dostawcy oprogramowania, z którym współpracujesz). Po porównaniu kosztów, jakie funkcje są dostępne po obu stronach?

Porównując zapory ogniowe, wirtualne lub fizyczne, tak naprawdę zależy to od zestawu funkcji. Zapory ogniowe Cisco mają funkcję HSRP, która pozwala na uruchomienie dwóch zapór ogniowych jako jednej (master i slave) w celu przełączenia awaryjnego. Zapory inne niż Cisco mają podobną technologię o nazwie VRRP. Jest też CARP.

Porównując zaporę fizyczną z wirtualną, upewnij się, że robisz porównanie jabłek z jabłkami. Jakie funkcje są dla Ciebie ważne? Jaka jest konfiguracja? Czy z tego oprogramowania korzystają inne przedsiębiorstwa?

Jeśli potrzebujesz wydajnego routingu, Vyatta jest dobrym wyborem. Posiada funkcje zapory ogniowej. Ma konsolę konfiguracyjną podobną do Ciso. Posiadają bezpłatną wersję społecznościową na stronie vyatta.org oraz obsługiwaną wersję (z kilkoma dodatkowymi osiągnięciami) na stronie vyatta.com. Dokumentacja jest bardzo czysta i prosta.

Jeśli potrzebujesz potężnej zapory ogniowej, spójrz na pfSense. Może także wykonywać routing.

Zdecydowaliśmy się uruchomić dwie instancje Vyatta z VRRP na naszych hostach ESXi. Aby uzyskać redundancję, której potrzebowaliśmy z Cisco (dwa zasilacze na zaporę, dwie zapory), kosztowałby 15-30 tys. USD. Dla nas wydanie społeczności Vyatta było dobrą opcją. Ma tylko interfejs wiersza poleceń, ale dzięki dokumentacji można go było łatwo skonfigurować.

Używam dedykowanego sprzętu, ponieważ jest on specjalnie zaprojektowany. Posiadanie urządzenia jest pod tym względem przydatne, szczególnie jeśli jest to punkt końcowy VPN lub inna brama. To uwalnia klaster VMWare od tej odpowiedzialności. Pod względem zasobów sprzętowych / RAM / CPU uruchomienie oprogramowania jest zdecydowanie w porządku. Ale to nie jest tak naprawdę problemem.

Oczywiście nie jest to konieczne, a dla większości ludzi praca zostanie wykonana. Wystarczy wziąć pod uwagę, że ruch sieciowy może puzonować przez łącza zwrotne przełącznika wirtualnego, chyba że dedykujesz karty sieciowe maszynie wirtualnej zapory. (Musisz to zrobić na każdym polu, do którego chcesz mieć możliwość vMotion).

Osobiście? Wolę dedykowany sprzęt, ponieważ tak naprawdę nie jest tak drogi. Możesz uzyskać numery wydajności na dedykowanym sprzęcie od producenta, ale wydajność zapory maszyny wirtualnej jest całkowicie subiektywna w stosunku do tego, jak zajęci są Twoi gospodarze.

Mówię, wypróbuj oprogramowanie, zobacz, jak to działa. Jeśli w przyszłości musisz zainstalować sprzęt, to zrób to.