Wirklich der richtige Weg, Dinge zu tun, ist das Gegenteil von Ihrer Herangehensweise, wenn Sicherheit ein vorrangiges Anliegen ist. Sie möchten den Router / die Firewall auf dem Bare-Metal-System ausführen und eine VM darin für die Standardbenutzung auf dem Desktop oder Server hosten.
Vergib mir meine beschissene MS Paint Illustration.
Wenn Sie die Netzwerkkarte der VM und die LAN-Netzwerkkarte (vom Bare-Metal-Betriebssystem) überbrücken, können sie zum Zwecke der Firewall oder des Routings als dieselbe "LAN" -Schnittstelle angezeigt werden.
Die meisten Sicherheitsprobleme bestehen darin, dass jemand während der Ausführung auf die Konsole zugreift und Ihre Router- / Firewall-VM deaktiviert oder das Bridging / Trennen Ihrer Netzwerkkarte von der VM deaktiviert - oder dass jemand eine Remote-Verbindung zum System herstellt und dies tut . Wie immer besteht die Möglichkeit, dass schädliche Software etwas Verrücktes tut.
Sie können dies tun und jede VM-Software verwenden, wenn Sie möchten. Der Nachteil ist jedoch, dass Sie bei Verwendung von ESX RDP in die Desktop-VM einbinden müssen, anstatt direkt über die Konsole darauf zuzugreifen.
Es gibt kommerzielle Produkte wie die früheren "VSX" -Systeme von Check Point, die "virtuelle Firewalls" auf einer bestimmten Hardwarebasis bedienen. Wenn wir über VMWare oder eine bessere Cloud-basierte Firewall sprechen. Sie richten eine Firewall "in" der Cloud ein, um das "interne" Cloud "-Netzwerk" zu segmentieren, nicht die Kommunikation zwischen einer Cloud und einem anderen Netzwerk.
Die Leistung ist sehr begrenzt und die Leistung in einer Cloud wird gemeinsam genutzt. Eine asic-basierte Firewall kann> 500 GBit / s ausführen. Eine VMware-basierte Firewall oder ein Switch unterstützt <20 GBit / s. Zur Aussage LAN NIC könnte eine Grippe vom Draht bekommen. Sie können auch angeben, dass jedes Zwischengerät wie Switch, Router oder IP auch vom Transitverkehr ausgenutzt werden kann.
Wir sehen dies in "fehlerhaften" Paketen (auch bekannt als Frames, Fragmente, Segmente usw.). Man könnte also sagen, dass die Verwendung von "Zwischengeräten" unsicher ist. Auch das deutsche NIST namens BSI hat vor einigen Jahren festgestellt, dass die virtuellen Router (wie VDCs (Virtual Device Context - Cisco Nexus)) und VRF (Virtual Route Forwarding) unsicher sind. Aus Sicht ist das Teilen von Ressourcen immer ein Risiko. Der Benutzer kann Ressourcen ausnutzen und die Servicequalität für alle anderen Benutzer verringern. Was global die gesamten VLAN- und Overlay-Technologien (wie VPN und MPLS) in Frage stellen würde.
Wenn Sie wirklich hohe Sicherheitsanforderungen haben, würde ich dedizierte Hardware und dediziertes Netzwerk (einschließlich dedizierter Leitungen!) Verwenden. Wenn Sie fragen, ob der Hypervisor (insbesondere in Bare Metal) in einem häufigen Szenario ein spezielles Sicherheitsproblem darstellt ... würde ich nein sagen .
quelle
In der Regel ist eine virtuelle Maschine über eine überbrückte Verbindung mit dem Netzwerk verbunden (dh das Netzwerk wird über den physischen Computer geleitet, auf dem es ausgeführt wird). Wenn Sie die VM als Firewall verwenden, kann der gesamte Datenverkehr auf den physischen Computer eingehen. Anschließend werden die Pakete an die VM gesendet, gefiltert und anschließend wieder an den physischen Computer gesendet. Da der physische Computer ungefilterte Pakete aufnehmen kann und für die Verteilung der Pakete an den Rest des Netzwerks verantwortlich ist, kann dies genutzt werden, um ungefilterte Pakete im Netzwerk zu senden.
quelle