я читал это обсуждение: Есть ли опасность виртуализации роутера?
Я отвечаю за поддержку нескольких брандмауэров, установленных в разных организациях SMB от 10 до 100 пользователей. Мы устанавливаем Endian или PfSense на специальное оборудование. К сожалению (особенно с порядком байтов), когда я пытаюсь восстановить конфигурацию на другом оборудовании, я сталкиваюсь с несколькими проблемами (разные сетевые карты и т. Д.).
Поэтому я думал о виртуализации брандмауэра, чтобы обеспечить некоторый уровень абстрагирования от физического уровня, делающий машину «независимой от оборудования».
ЗА:
ПРОТИВ:
Производительность (в моем сценарии) не будет проблемой
Меня беспокоят возможные риски безопасности. Что вы об этом думаете? Какой гипервизор вы рекомендуете (и почему)? Что еще нужно сделать?
Спасибо за ваш любезный ответ
Это немного поздно для оригинального плаката, но для всех, кто читает ...
Я бы остановился на pfSense из тех, что вы упомянули. Я развернул pfSense на оборудовании Netgate, виртуализированном в ESXi и на настраиваемых устройствах межсетевого экрана, которые соответствуют минимальным требованиям к оборудованию из страница требований pfSense. В целях безопасности у вас не будет проблем с виртуализацией, которых не было бы с выделенным оборудованием, если ваша конфигурация ESXi настроена правильно. По крайней мере, таков мой опыт. Вы по-прежнему будете сталкиваться с проблемами при восстановлении конфигураций, если вам когда-либо понадобится восстановить виртуальную машину, которая находится на хосте с другим сетевым оборудованием и настройками программного обеспечения.
Я рекомендую держаться подальше от виртуализации брандмауэра. Это значительно усложняет настройку, что может стать проблемой, если вам когда-либо понадобится масштабирование, чтобы иметь несколько хостов ESXi в настройке высокой доступности и с использованием vSAN. Прочтите, как настроить основы для подсказок, а затем попытайтесь наметить, как сохранить виртуализацию pfSense в миксе. Это возможно, но не стоит усилий, если вы только что увеличили сложность, превышающую возможности обычного администратора по устранению неполадок.
Когда настройка проста в виде одного или изолированного хоста, вирутализация работает хорошо. Когда хост настроен или может быть настроен для HA, виртуализация pfSense усложняет настройку. Для обеспечения избыточности, в отличие от настольных и портативных компьютеров, брандмауэры не устаревают быстро. С учетом вышесказанного вы можете настроить два аппаратных устройства pfSense для высокой доступности. И даже в этом случае я рекомендую запасной на полке, когда мать-природа посылает через вашу сеть больше джоулей, чем могут выдержать ваши сетевые фильтры.
Что плохого в использовании специального прибора, такого как Межсетевой экран Cisco ASA 5505 или 5510? Первый стоит недорого, хорошо известен в отрасли и, конечно, не имеет проблем, с которыми вы сталкиваетесь с аппаратной совместимостью ... Насколько вы цените свое время?
Что касается ваших текущих проблем, можете ли вы выделить проблему для конкретных драйверов устройств? Почему вы оказались в ситуации, когда вам нужно восстановить конфигурацию? Аппаратный сбой? Есть ли причина, по которой используемое вами индивидуальное оборудование отличается от стандартного? Если вас устраивает PFSense, возможно, имеет смысл попытаться решить эти проблемы.
Для виртуализированного решения я привык видеть, что люди используют VMware ESXi для этого. Сетевой стек гипервизора является зрелым, и производительность, пропускная способность и стабильность не являются проблемой. Но теперь нагрузка ложится на ваше виртуализированное оборудование и делает его достаточно надежным. Я думаю, ваша стоимость и сложность увеличатся.