У нас в офисе ведутся дебаты, нужно ли приобретать аппаратный брандмауэр или настраивать виртуальный в нашем кластере VMWare.
Наша среда состоит из 3 серверных узлов (16 ядер с 64 ГБ оперативной памяти каждый), двух коммутаторов по 1 ГБ с общим массивом хранения iSCSI.
Предполагая, что мы будем выделять ресурсы для устройств VMWare, получим ли мы какие-либо преимущества в выборе аппаратного межсетевого экрана вместо виртуального?
Если мы решим использовать аппаратный брандмауэр, как будет сравниваться брандмауэр выделенного сервера с чем-то вроде ClearOS с межсетевым экраном Cisco?
Мне всегда не хотелось размещать брандмауэр на виртуальной машине по нескольким причинам:
С гипервизором поверхность атаки шире. Аппаратные брандмауэры обычно имеют усиленную ОС (файловая система только для чтения, без инструментов сборки), что снижает воздействие потенциальной компрометации системы. Брандмауэры должны защищать хосты, а не наоборот.
Мы видели в подробности что плохие сетевые карты могут (или не могут) делать, и этого следует избегать. Хотя те же ошибки могут влиять на устройства, было выбрано оборудование, которое, как известно, работает с установленным программным обеспечением. Само собой разумеется, что поддержка поставщика программного обеспечения может не помочь вам, если у вас есть проблемы с драйверами или любой конфигурацией оборудования, которую они не рекомендуют.
Редактировать:
Я хотел добавить, как сказал @Luke, что многие поставщики аппаратных брандмауэров предлагают решения для обеспечения высокой доступности, при этом состояние соединения с отслеживанием состояния передается от активного модуля к резервному. Я был лично доволен Пропускной пункт (на старых платформах nokia IP710). Cisco имеет КАК и PIX аварийное переключение / резервирование, pfsense имеет Карп и IPCop имеет плагин. Вятта могу больше (pdf), но это больше, чем брандмауэр.
Предполагая, что программное обеспечение такое же (обычно это не так), виртуальные межсетевые экраны жестяная банка быть лучше, чем физический брандмауэр, потому что у вас лучшая избыточность. Брандмауэр - это просто сервер с ЦП, ОЗУ и адаптерами восходящего канала. Это тот же аргумент, что и физический веб-сервер по сравнению с виртуальным. Если оборудование выходит из строя, виртуальный сервер может быть автоматически перенесен на другой хост. Единственное время простоя - это время, необходимое для миграции виртуального межсетевого экрана на другой хост, и, возможно, время, необходимое для загрузки ОС.
Физический брандмауэр привязан к имеющимся у него ресурсам. Виртуальный брандмауэр ограничен ресурсами внутри хоста. Обычно оборудование x86 намного дешевле, чем физический межсетевой экран предприятия. Что вы должны учитывать, так это стоимость оборудования, плюс стоимость программного обеспечения (если не используется открытый код), плюс стоимость вашего времени (которая будет зависеть от поставщика программного обеспечения, с которым вы работаете). После сравнения стоимости, какие функции вы получаете с обеих сторон?
При сравнении брандмауэров, виртуальных или физических, это действительно зависит от набора функций. Межсетевые экраны Cisco имеют функцию под названием HSRP, которая позволяет запускать два межсетевых экрана как один (главный и ведомый) для аварийного переключения. Межсетевые экраны сторонних производителей имеют аналогичную технологию, называемую VRRP. Также есть КАРП.
Сравнивая физический брандмауэр с виртуальным, убедитесь, что вы сравниваете яблоки с яблоками. Какие функции важны для вас? Какая конфигурация? Используется ли это программное обеспечение на других предприятиях?
Если вам нужна мощная маршрутизация, Vyatta - хороший выбор. Имеет возможности межсетевого экрана. Консоль конфигурации очень похожа на Ciso. У них есть бесплатная версия сообщества на vyatta.org и поддерживаемая версия (с некоторыми дополнительными функциями) на vyatta.com. Документация очень проста и понятна.
Если вам нужен мощный брандмауэр, обратите внимание на pfSense. Он также может выполнять маршрутизацию.
Мы решили запустить два экземпляра Vyatta с VRRP на наших хостах ESXi. Чтобы получить необходимое нам резервирование с Cisco (два блока питания на брандмауэр, два брандмауэра), это стоило бы 15-30 тысяч долларов. Для нас Vyatta Community Edition была хорошим вариантом. Он имеет интерфейс только из командной строки, но с помощью документации его было легко настроить.
Я использую специальное оборудование, потому что оно создано специально. В этом отношении удобно иметь устройство, особенно если это конечная точка VPN или какой-либо другой шлюз. Это освобождает ваш кластер VMWare от этой ответственности. Что касается ресурсов оборудования / ОЗУ / ЦП, запуск программного решения определенно подходит. Но это не совсем проблема.
Конечно, в этом нет необходимости, и для большинства людей это выполнит свою работу. Просто примите во внимание, что ваш трафик может тромбонировать через восходящие каналы вашего виртуального коммутатора, если вы не выделите сетевые адаптеры для виртуальной машины межсетевого экрана. (Вам нужно будет сделать это для каждого бокса, на котором вы хотите использовать vMotion).
Лично? Я предпочитаю специализированное оборудование, потому что оно действительно не так дорого. Вы можете получить данные о производительности выделенного оборудования от производителя, но производительность вашего брандмауэра виртуальной машины полностью зависит от того, насколько загружены ваши хосты.
Я предлагаю попробовать программное обеспечение, посмотреть, как оно пойдет. Если в будущем вам понадобится установить аппаратную, то сделайте это.