Firewall hardware vs appliance firewall VMware

Nel nostro ufficio è in corso un dibattito sulla necessità di ottenere un firewall hardware o di crearne uno virtuale sul nostro cluster VMWare.

Il nostro ambiente è composto da 3 nodi server (16 core con 64 GB RAM ciascuno) su 2x switch da 1 GB con un array di archiviazione condiviso iSCSI.

Supponendo che dedicheremo risorse alle appliance VMWare, avremmo qualche vantaggio di scegliere un firewall hardware su uno virtuale?

Se scegliamo di utilizzare un firewall hardware, come si paragonerebbe un firewall server dedicato con qualcosa come ClearOS a un firewall Cisco?

Sono sempre stato riluttante a ospitare un firewall in una macchina virtuale, per un paio di motivi:

• Sicurezza .

Con un hypervisor, la superficie di attacco è più ampia. I firewall hardware di solito hanno un sistema operativo rinforzato (fs di sola lettura, senza strumenti di compilazione) che ridurrà l'impatto di un potenziale compromesso del sistema. I firewall dovrebbero proteggere gli host, non viceversa.

• Prestazioni e disponibilità della rete .

Abbiamo visto in dettaglio cosa possono fare (o non possono) cattive schede di rete, ed è qualcosa che vuoi evitare. Mentre gli stessi bug possono interessare le appliance, l'hardware è stato selezionato ed è noto per funzionare con il software installato. Inutile dire che il supporto del fornitore del software potrebbe non essere d'aiuto in caso di problemi con i driver o con qualsiasi configurazione hardware non consigliata.

Modificare:

Volevo aggiungere, come ha detto @Luke, che molti fornitori di firewall hardware hanno soluzioni ad alta disponibilità, con stato di connessione stateful passato dall'unità attiva allo standby. Sono stato personalmente soddisfatto con Checkpoint (su vecchie piattaforme Nokia IP710). Cisco ha failover / ridondanza ASA e PIX , pfsense ha CARP e IPCop ha un plug-in . Vyatta può fare di più (pdf) , ma è più di un firewall.

Supponendo che il software sia lo stesso (di solito non lo è), i firewall virtuali possono essere migliori di un firewall fisico perché hai una ridondanza migliore. Un firewall è solo un server con adattatori CPU, RAM e uplink. È lo stesso argomento di un server Web fisico rispetto a uno virtuale. Se l'hardware non riesce, un server virtuale può essere migrato automaticamente su un altro host. L'unico tempo di inattività è il tempo impiegato per la migrazione del firewall virtuale a un altro host e forse il tempo impiegato per l'avvio del sistema operativo.

Un firewall fisico è associato alle risorse che ha. Un firewall virtuale è limitato alle risorse all'interno di un host. In genere l'hardware x86 è molto più economico di quello di un firewall aziendale fisico. Quello che devi considerare è il costo dell'hardware, più il costo del software (se non usi l'open source), più il costo del tuo tempo (che dipenderà dal fornitore del software con cui vai). Dopo aver confrontato il costo, quali funzionalità ottieni su entrambi i lati?

Quando si confrontano i firewall, virtuali o fisici, dipende davvero dal set di funzionalità. I firewall Cisco hanno una funzione chiamata HSRP che consente di eseguire due firewall come uno (master e slave) per il failover. I firewall non Cisco hanno una tecnologia simile chiamata VRRP. C'è anche CARP.

Quando confronti un firewall fisico con uno virtuale, assicurati di fare un confronto tra mele e mele. Quali funzionalità sono importanti per te? Com'è la configurazione? Questo software è utilizzato da altre aziende?

Se hai bisogno di un routing potente, Vyatta è una buona scommessa. Ha funzionalità firewall. Ha una console di configurazione molto simile a Ciso. Hanno un'edizione gratuita della community su vyatta.org e una versione supportata (con alcune produzioni extra) su vyatta.com. La documentazione è molto pulita e semplice.

Se hai bisogno di un potente firewall, dai un'occhiata a pfSense. Può anche fare il routing.

Abbiamo deciso di eseguire due istanze di Vyatta con VRRP sui nostri host ESXi. Per ottenere la ridondanza di cui avevamo bisogno con Cisco (due alimentatori per firewall, due firewall) sarebbe costato $ 15-30k. Per noi l'edizione della community di Vyatta è stata una buona opzione. Ha un'interfaccia solo da riga di comando, ma con la documentazione era facile da configurare.

Vado con hardware dedicato perché è appositamente costruito. Avere un'appliance è utile in questo senso, specialmente se si tratta di un endpoint VPN o di qualche altro gateway. Libera il cluster VMWare da tale responsabilità. In termini di risorse hardware / RAM / CPU, l'esecuzione di una soluzione software va sicuramente bene. Ma questo non è davvero un problema.

Ovviamente non è necessario, e per la maggior parte delle persone, farà il lavoro. Prendi solo alcune considerazioni sul fatto che il tuo traffico potrebbe trombone attraverso i tuoi uplink switch virtuali a meno che non dedichi NIC alla VM del firewall. (Dovrai farlo su ogni casella in cui vuoi essere in grado di vMotion).

Personalmente? Preferisco l'hardware dedicato perché non è poi così costoso. È possibile ottenere i numeri delle prestazioni sull'hardware dedicato dal produttore, ma le prestazioni del firewall della VM sono completamente soggettive a quanto sono occupati gli host.

Dico di provare quello software, vedere come va. Se lungo la strada è necessario installare un hardware, quindi farlo.