Назад | Перейти на главную страницу

Запуск межсетевого экрана (IPCop) на Hyper-V

В настоящее время я использую IPCop для нашего корпоративного межсетевого экрана и VPN. Я собираюсь объединить несколько серверов и рассматриваю возможность включения сервера межсетевого экрана в консолидацию. В настоящее время я планирую использовать Server 2008 с Hyper-V для виртуализации. Кто-нибудь пробовал виртуализировать IPCop? Есть ли что-нибудь, о чем я должен знать? В частности, IPCop имеет несколько ограниченную аппаратную поддержку сетевых адаптеров - какое оборудование виртуальная машина увидит для сетевой карты?

Как правило, я бы не советовал виртуализировать ваш брандмауэр. Это еще одно место, где может возникнуть неуверенность. Веб-фильтр, VPN-концентратор, да - периметр fw, нет.

Я бы сказал, однако, что если вы собираетесь это сделать, это, вероятно, сработает. Я работаю в SmoothWall (наш брандмауэр GPL был дедушкой IPCop), и у нас есть hyper-v для некоторых наших продуктов веб-фильтров.

Однако в последний раз, когда я смотрел, вы были ограничены одним ядром процессора под Linux - поэтому, если требуется высокая производительность, это может быть проблемой - хотя одного ядра должно быть более чем достаточно для простой работы брандмауэра.

Я использовал несколько виртуальных машин IPCop на Hyper-V за последний год в производстве. Обычно они подходят для использования с низкой пропускной способностью.

У меня возникли следующие проблемы:

  • Вам необходимо использовать «Устаревший сетевой адаптер», а не «Службы интеграции».
  • Обязательно отключите службу интеграции для совместного использования времени хоста с виртуальной машиной, это может вызвать некоторые сбивающие с толку проблемы.
  • Пропускная способность очень плохая. У меня IPCop работает виртуализировано на машинах Quad Core 3 + Ghz Core 2. Коробки IPCop ограничены одним виртуальным процессором, но загрузка процессора намного выше, чем ожидалось. Отключение Snort несколько помогает и значительно снижает использование памяти. Тем не менее максимальная пропускная способность составляет около 20 Мбит / с. Я считаю, что эта проблема может быть связана с использованием устаревших сетевых адаптеров.
  • Межсетевой экран IPCop может зависнуть после нескольких часов постоянно большого количества подключений. Мне не удалось диагностировать основную причину этой проблемы. Веб-интерфейс по-прежнему доступен, и виртуальную машину можно сбросить через этот интерфейс или через интерфейс управления Hyper-V, чтобы устранить проблему (временно).

Я не нашел лучшего решения для виртуализированного межсетевого экрана Hyper-V. Брандмауэр Endian, похоже, демонстрирует еще более выраженное ограничение пропускной способности (всего 5 Мбит / с на том же оборудовании / настройке виртуальной машины, что и выше). Приветствуются предложения по лучшему решению!

Я настоятельно рекомендую установить брандмауэр не использоваться совместно с другими системами.

Тем не менее, я делать виртуализировать мой брандмауэр. 1 виртуальная машина в 1 физическом ящике с использованием XenServer. Моя причина для этого: возможность создания снимков и очень быстро восстановить (взять другой ящик, установить XenServer, импортировать .xva)