Hardware-Firewall vs. VMware-Firewall-Appliance

Wir haben eine Debatte in unserem Büro, ob es notwendig ist, eine Hardware-Firewall zu installieren oder eine virtuelle auf unserem VMWare-Cluster einzurichten.

Unsere Umgebung besteht aus 3 Serverknoten (16 Kerne mit jeweils 64 GB RAM) über 2x 1 GB-Switches mit einem gemeinsam genutzten iSCSI-Speicherarray.

Wenn wir davon ausgehen, dass wir Ressourcen für die VMWare-Appliances bereitstellen, haben wir dann den Vorteil, eine Hardware-Firewall einer virtuellen vorzuziehen?

Wenn wir uns für die Verwendung einer Hardware-Firewall entscheiden, wie würde sich eine dedizierte Server-Firewall mit so etwas wie ClearOS mit einer Cisco-Firewall vergleichen lassen?

Ich habe es aus mehreren Gründen immer abgelehnt, eine Firewall in einer virtuellen Maschine zu hosten:

• Sicherheit .

Bei einem Hypervisor ist die Angriffsfläche breiter. Hardware-Firewalls verfügen normalerweise über ein gehärtetes Betriebssystem (schreibgeschütztes Betriebssystem, keine Build-Tools), wodurch die Auswirkungen eines möglichen Systemkompromisses verringert werden. Firewalls sollten die Hosts schützen, nicht umgekehrt.

• Netzwerkleistung und -verfügbarkeit .

Wir haben im Detail gesehen, was schlechte NICs können (oder nicht können), und das ist etwas, das Sie vermeiden möchten. Während die gleichen Fehler Appliances betreffen können, wurde Hardware ausgewählt, von der bekannt ist, dass sie mit der installierten Software funktioniert. Es versteht sich von selbst, dass der Support des Softwareanbieters Ihnen möglicherweise nicht weiterhilft, wenn Sie Probleme mit Treibern oder mit Hardwarekonfigurationen haben, die von diesen nicht empfohlen werden.

Bearbeiten:

Ich wollte hinzufügen, wie @Luke sagte, dass viele Hardwarefirewall-Anbieter Hochverfügbarkeitslösungen anbieten, bei denen der Verbindungsstatus vom aktiven Gerät in den Standby-Modus übergeht. Ich war persönlich mit Checkpoint zufrieden (auf alten Nokia IP710-Plattformen). Cisco hat ASA und PIX Failover / Redundanz, pfsense hat CARP und IPCop hat ein Plugin . Vyatta kann mehr (pdf) , aber es ist mehr als eine Firewall.

Die Software Unter der Annahme , ist das gleiche ( in der Regel nicht), virtuelle Firewalls kann als eine physische Firewall besser sein , weil Sie eine bessere Redundanz haben. Eine Firewall ist nur ein Server mit CPU-, RAM- und Uplink-Adaptern. Es ist das gleiche Argument wie ein physischer Webserver gegenüber einem virtuellen. Wenn die Hardware ausfällt, kann ein virtueller Server automatisch auf einen anderen Host migriert werden. Die einzige Ausfallzeit ist die Zeit, die erforderlich ist, um die virtuelle Firewall auf einen anderen Host zu migrieren, und möglicherweise die Zeit, die das Betriebssystem zum Starten benötigt.

Eine physische Firewall ist an die vorhandenen Ressourcen gebunden. Eine virtuelle Firewall ist auf die Ressourcen innerhalb eines Hosts beschränkt. Normalerweise ist x86-Hardware viel billiger als die einer physischen Unternehmensfirewall. Was Sie berücksichtigen müssen, sind die Kosten für die Hardware plus die Kosten für die Software (wenn Sie nicht Open Source verwenden) plus die Kosten für Ihre Zeit (die vom jeweiligen Softwareanbieter abhängen). Welche Funktionen stehen Ihnen nach dem Vergleich der Kosten zur Verfügung?

Beim Vergleich virtueller oder physischer Firewalls kommt es wirklich auf den Funktionsumfang an. Cisco Firewalls verfügen über eine Funktion namens HSRP, mit der Sie zwei Firewalls als eine (Master und Slave) für das Failover ausführen können. Firewalls anderer Hersteller haben eine ähnliche Technologie namens VRRP. Es gibt auch CARP.

Stellen Sie beim Vergleich einer physischen mit einer virtuellen Firewall sicher, dass Sie einen Vergleich zwischen Äpfeln durchführen. Welche Funktionen sind für Sie wichtig? Wie ist die Konfiguration? Wird diese Software von anderen Unternehmen verwendet?

Wenn Sie leistungsfähiges Routing benötigen, ist Vyatta eine gute Wahl. Es verfügt über Firewall-Funktionen. Es hat eine sehr Ciso-ähnliche Konfigurationskonsole. Sie haben eine kostenlose Community-Edition bei vyatta.org und eine unterstützte Version (mit einigen Extras) bei vyatta.com. Die Dokumentation ist sehr sauber und unkompliziert.

Wenn Sie eine leistungsstarke Firewall benötigen, werfen Sie einen Blick auf pfSense. Es kann auch Routing durchführen.

Wir haben beschlossen, zwei Vyatta-Instanzen mit VRRP auf unseren ESXi-Hosts auszuführen. Die für Cisco erforderliche Redundanz (zwei Netzteile pro Firewall, zwei Firewalls) hätte 15 bis 30.000 US-Dollar gekostet. Für uns war die Vyatta Community Edition eine gute Option. Es hat nur eine Befehlszeilenschnittstelle, aber mit der Dokumentation war es einfach zu konfigurieren.

Ich setze auf dedizierte Hardware, weil sie speziell für diesen Zweck entwickelt wurde. Eine Appliance ist in dieser Hinsicht hilfreich, insbesondere wenn es sich um einen VPN-Endpunkt oder ein anderes Gateway handelt. Dies befreit Ihren VMWare-Cluster von dieser Verantwortung. In Bezug auf Hardware-, RAM- und CPU-Ressourcen ist das Ausführen einer Softwarelösung definitiv in Ordnung. Aber das ist eigentlich kein Problem.

Natürlich ist es nicht notwendig, und für die meisten Menschen wird es die Arbeit erledigen. Beachten Sie nur, dass der Datenverkehr möglicherweise über die Uplinks Ihres virtuellen Switch hinweg übertragen wird, sofern Sie der Firewall-VM keine NICs zuweisen. (Sie müssen dies für jede Box tun, zu der Sie vMotion ausführen möchten).

Persönlich? Ich bevorzuge dedizierte Hardware, weil sie wirklich nicht so teuer ist. Sie können Leistungszahlen für die dedizierte Hardware vom Hersteller erhalten, die Leistung Ihrer VM-Firewall ist jedoch völlig abhängig von der Auslastung Ihrer Hosts.

Ich sage probier mal die Software aus, schau wie es geht. Wenn Sie später eine Hardware installieren müssen, tun Sie dies.