Hardware-Firewall vs. VMware-Firewall-Appliance

16

Wir haben eine Debatte in unserem Büro, ob es notwendig ist, eine Hardware-Firewall zu installieren oder eine virtuelle auf unserem VMWare-Cluster einzurichten.

Unsere Umgebung besteht aus 3 Serverknoten (16 Kerne mit jeweils 64 GB RAM) über 2x 1 GB-Switches mit einem gemeinsam genutzten iSCSI-Speicherarray.

Wenn wir davon ausgehen, dass wir Ressourcen für die VMWare-Appliances bereitstellen, haben wir dann den Vorteil, eine Hardware-Firewall einer virtuellen vorzuziehen?

Wenn wir uns für die Verwendung einer Hardware-Firewall entscheiden, wie würde sich eine dedizierte Server-Firewall mit so etwas wie ClearOS mit einer Cisco-Firewall vergleichen lassen?

Luke
quelle
1
Fast ein Duplikat von Hardware Firewall Vs. Software-Firewall (IP-Tabellen, RHEL) . Dies wird wahrscheinlich auch Diskussionen, Argumente ohne Verdienst und Gruppendenken hervorrufen. Seien Sie äußerst vorsichtig, dass Sie nicht dem Bestätigungsfehler zum Opfer fallen. Dort finden Sie eine Antwort, die einfach mit Ihrer Meinung übereinstimmt, aber keine logischen Argumente, Tatsachen oder sonstigen Grundlagen enthält.
Chris S

Antworten:

11

Ich habe es aus mehreren Gründen immer abgelehnt, eine Firewall in einer virtuellen Maschine zu hosten:

  • Sicherheit .

Bei einem Hypervisor ist die Angriffsfläche breiter. Hardware-Firewalls verfügen normalerweise über ein gehärtetes Betriebssystem (schreibgeschütztes Betriebssystem, keine Build-Tools), wodurch die Auswirkungen eines möglichen Systemkompromisses verringert werden. Firewalls sollten die Hosts schützen, nicht umgekehrt.

  • Netzwerkleistung und -verfügbarkeit .

Wir haben im Detail gesehen, was schlechte NICs können (oder nicht können), und das ist etwas, das Sie vermeiden möchten. Während die gleichen Fehler Appliances betreffen können, wurde Hardware ausgewählt, von der bekannt ist, dass sie mit der installierten Software funktioniert. Es versteht sich von selbst, dass der Support des Softwareanbieters Ihnen möglicherweise nicht weiterhilft, wenn Sie Probleme mit Treibern oder mit Hardwarekonfigurationen haben, die von diesen nicht empfohlen werden.

Bearbeiten:

Ich wollte hinzufügen, wie @Luke sagte, dass viele Hardwarefirewall-Anbieter Hochverfügbarkeitslösungen anbieten, bei denen der Verbindungsstatus vom aktiven Gerät in den Standby-Modus übergeht. Ich war persönlich mit Checkpoint zufrieden (auf alten Nokia IP710-Plattformen). Cisco hat ASA und PIX Failover / Redundanz, pfsense hat CARP und IPCop hat ein Plugin . Vyatta kann mehr (pdf) , aber es ist mehr als eine Firewall.

petrus
quelle
1
+1 zu "Firewalls sollten die Hosts schützen, nicht umgekehrt."
Ewwhite
Wenn Sie Ihren Hypervisor vor Ihre Firewall stellen, stellen Sie sicher, dass Sie sich selbst aussetzen. Dies ist jedoch ein Netzwerksicherheitsproblem (Administratorfehler) und kein Fehler bei der Virtualisierung. Die Wahl des Anbieters ist auf jeden Fall ein Problem, wenn es um Sicherheit geht. Beachten Sie, dass Cisco auch virtuelle Appliances anbietet. Die Wahl der richtigen Hardware ist sehr wichtig. Aber hoffentlich machen Sie das schon für Ihre Server. Denken Sie auch daran, dass ein "Host" nur Hardware ist. Virtuelle Server befinden sich immer noch (virtuell) hinter der Firewall. Es ist nicht irgendwie rückwärts.
Luke
@Luke Ihre Firewall ist dem Hypervisor ausgeliefert. das ist der unterschied
Gravyface
1
@Luke: Nein. Um zur virtualisierten fw zu gelangen, müssen die Pakete durch die physische Netzwerkkarte des Hosts fließen. Auch wenn die IP-Adresse des Hypervisors / Hosts von außerhalb der Firewall nicht erreichbar ist, werden fehlerhafte Pakete von Treibern und Hypervisor-Code verarbeitet (wodurch die Anzahl der Angriffsvektoren erhöht wird).
Petrus
1
Es ist interessant zu bemerken, dass diese Cisco-Maschinen auch Broadcom nics verwenden ( cisco.com/en/US/prod/collateral/ps10265/ps10493/… ). Ich denke, wir alle wissen, dass "Hardware" -Firewalls nichts anderes sind als handelsübliche Chips mit angepassten * nix-Betriebssystemen. Beide haben Fahrer; Beide sind den gleichen möglichen Sicherheitslücken ausgesetzt. Ich würde mich freuen, alle Sicherheitslücken zu untersuchen, die es nur bei der Virtualisierung gibt. Ich glaube nicht, dass Sie umfassende Urteile darüber fällen können, was besser ist. Vielmehr muss Ihre Lösung von Fall zu Fall analysiert werden.
Luke
9

Die Software Unter der Annahme , ist das gleiche ( in der Regel nicht), virtuelle Firewalls kann als eine physische Firewall besser sein , weil Sie eine bessere Redundanz haben. Eine Firewall ist nur ein Server mit CPU-, RAM- und Uplink-Adaptern. Es ist das gleiche Argument wie ein physischer Webserver gegenüber einem virtuellen. Wenn die Hardware ausfällt, kann ein virtueller Server automatisch auf einen anderen Host migriert werden. Die einzige Ausfallzeit ist die Zeit, die erforderlich ist, um die virtuelle Firewall auf einen anderen Host zu migrieren, und möglicherweise die Zeit, die das Betriebssystem zum Starten benötigt.

Eine physische Firewall ist an die vorhandenen Ressourcen gebunden. Eine virtuelle Firewall ist auf die Ressourcen innerhalb eines Hosts beschränkt. Normalerweise ist x86-Hardware viel billiger als die einer physischen Unternehmensfirewall. Was Sie berücksichtigen müssen, sind die Kosten für die Hardware plus die Kosten für die Software (wenn Sie nicht Open Source verwenden) plus die Kosten für Ihre Zeit (die vom jeweiligen Softwareanbieter abhängen). Welche Funktionen stehen Ihnen nach dem Vergleich der Kosten zur Verfügung?

Beim Vergleich virtueller oder physischer Firewalls kommt es wirklich auf den Funktionsumfang an. Cisco Firewalls verfügen über eine Funktion namens HSRP, mit der Sie zwei Firewalls als eine (Master und Slave) für das Failover ausführen können. Firewalls anderer Hersteller haben eine ähnliche Technologie namens VRRP. Es gibt auch CARP.

Stellen Sie beim Vergleich einer physischen mit einer virtuellen Firewall sicher, dass Sie einen Vergleich zwischen Äpfeln durchführen. Welche Funktionen sind für Sie wichtig? Wie ist die Konfiguration? Wird diese Software von anderen Unternehmen verwendet?

Wenn Sie leistungsfähiges Routing benötigen, ist Vyatta eine gute Wahl. Es verfügt über Firewall-Funktionen. Es hat eine sehr Ciso-ähnliche Konfigurationskonsole. Sie haben eine kostenlose Community-Edition bei vyatta.org und eine unterstützte Version (mit einigen Extras) bei vyatta.com. Die Dokumentation ist sehr sauber und unkompliziert.

Wenn Sie eine leistungsstarke Firewall benötigen, werfen Sie einen Blick auf pfSense. Es kann auch Routing durchführen.

Wir haben beschlossen, zwei Vyatta-Instanzen mit VRRP auf unseren ESXi-Hosts auszuführen. Die für Cisco erforderliche Redundanz (zwei Netzteile pro Firewall, zwei Firewalls) hätte 15 bis 30.000 US-Dollar gekostet. Für uns war die Vyatta Community Edition eine gute Option. Es hat nur eine Befehlszeilenschnittstelle, aber mit der Dokumentation war es einfach zu konfigurieren.

Luke
quelle
5
Gute Antwort. Wir haben eine Vielzahl von Hardware- und Software-Appliances verwendet. Angesichts der Tatsache, dass Sie auf einem Low-End-x86-Computer mit pFSense eine Übertragungsrate von 1 Gbit / s bei 64 Bytes erreichen können, ist dies ein Kinderspiel. Dedizierte Hardware-Firewall-Appliances kosten in der Regel etwa 10.000 GBP für diese Art von Nummern.
Ben Lessani - Sonassi
Dies hängt davon ab, ob es sich bei der Firewall um ein Endgerät handelt. Ich habe viele VMWare-Cluster aufgrund von Speicherproblemen oder Netzwerkproblemen sterben sehen. Normalerweise kümmert sich HA um die Dinge, aber ich könnte ein bestimmtes Problem damit sehen, dass die Firewalls in dieser Umgebung eingerichtet sind. Ist dies eine vollständige HA / vMotion / DRS-Einrichtung?
Ewwhite
@ewwhite Ja, volle HA / VMotion / DRS. Zwei Instanzen von Vyatta mit VRRP und Hot-Failover.
Luke
Wenn möglich, ist es meine Vorliebe, eine einzige auf einer dedizierten Box zu virtualisieren.
Robin Gill
8

Ich setze auf dedizierte Hardware, weil sie speziell für diesen Zweck entwickelt wurde. Eine Appliance ist in dieser Hinsicht hilfreich, insbesondere wenn es sich um einen VPN-Endpunkt oder ein anderes Gateway handelt. Dies befreit Ihren VMWare-Cluster von dieser Verantwortung. In Bezug auf Hardware-, RAM- und CPU-Ressourcen ist das Ausführen einer Softwarelösung definitiv in Ordnung. Aber das ist eigentlich kein Problem.

ewwhite
quelle
+1 für einen Abgrenzungspunkt.
Tom O'Connor
7

Natürlich ist es nicht notwendig, und für die meisten Menschen wird es die Arbeit erledigen. Beachten Sie nur, dass der Datenverkehr möglicherweise über die Uplinks Ihres virtuellen Switch hinweg übertragen wird, sofern Sie der Firewall-VM keine NICs zuweisen. (Sie müssen dies für jede Box tun, zu der Sie vMotion ausführen möchten).

Persönlich? Ich bevorzuge dedizierte Hardware, weil sie wirklich nicht so teuer ist. Sie können Leistungszahlen für die dedizierte Hardware vom Hersteller erhalten, die Leistung Ihrer VM-Firewall ist jedoch völlig abhängig von der Auslastung Ihrer Hosts.

Ich sage probier mal die Software aus, schau wie es geht. Wenn Sie später eine Hardware installieren müssen, tun Sie dies.

SpacemanSpiff
quelle