web-dev-qa-db-fra.com

Pare-feu matériel VS VMware Parewall Appliance

Nous avons un débat dans notre bureau sur le point de savoir s'il est nécessaire d'obtenir un pare-feu matériel ou de configurer une entreprise virtuelle sur notre cluster VMware.

Notre environnement se compose de 3 nœuds de serveur (16 noyaux W/64 GB RAM chacun) sur 2x commutateurs de 1 Go avec une matrice de stockage partagée ISCSI.

En supposant que nous consacrerions des ressources aux appliances VMware, aurions-nous un avantage de choisir un pare-feu matériel sur un virtuel?

Si nous choisissons d'utiliser un pare-feu matériel, comment un pare-feu de serveur dédié aurait-il une comparaison de ClearOS à un pare-feu Cisco?

networkingfirewallvmware-esxicisco-asa
16
Luke

En supposant que le logiciel soit le même (généralement pas), des pare-feu virtuels peut être meilleur qu'un pare-feu physique, car vous avez une meilleure redondance. Un pare-feu est juste un serveur avec des adaptateurs CPU, RAM et KINKLINK. C'est le même argument qu'un serveur Web physique vers une version virtuelle. Si le matériel échoue, un serveur virtuel peut être migré automatiquement vers un autre hôte. Le seul temps d'arrêt est la quantité de temps nécessaire pour que le pare-feu virtuel soit migré vers un autre hôte et peut-être que le temps nécessaire au démarrage du système d'exploitation.

Un pare-feu physique est lié aux ressources qu'il a. Un pare-feu virtuel est limité aux ressources à l'intérieur d'un hôte. Typiquement, le matériel X86 est beaucoup moins cher que celui d'un pare-feu d'entreprise physique. Ce que vous devez envisager est le coût du matériel, plus Coût du logiciel (s'il n'utilise pas la source ouverte), plus Le coût de votre temps (qui dépendra de la Vendeur de logiciel que vous allez avec). Une fois que vous comparez le coût, quelles fonctionnalités êtes-vous de chaque côté?

Lors de la comparaison de pare-feu, virtuel ou physique, cela dépend vraiment de l'ensemble des fonctionnalités. Les pare-feu Cisco ont une fonctionnalité appelée HSRP qui vous permet d'exécuter deux pare-feu comme un (maître et esclave) pour le basculement. Les pare-feu non Cisco ont une technologie similaire appelée VRRP. Il y a aussi la carpe.

Lorsque vous comparez un pare-feu physique à un virtuel, assurez-vous que vous faites une pomme à la comparaison des pommes. Quelles fonctionnalités sont importantes pour vous? Quelle est la configuration comme? Ce logiciel est-il utilisé par d'autres entreprises?

Si vous avez besoin d'un routage puissant, Vyatta est un bon pari. Il a des capacités de pare-feu. Il a une console de configuration très ciso. Ils ont une édition communautaire gratuite à Vyatta.org et une version prise en charge (avec quelques offres supplémentaires) sur Vyatta.com. La documentation est très propre et simple.

Si vous avez besoin d'un pare-feu puissant, jetez un coup d'œil à PFSense. Il peut aussi faire routage.

Nous avons décidé d'exécuter deux instances Vyatta avec VRRP sur nos hôtes ESXI. Pour obtenir la redondance dont nous avions besoin avec Cisco (deux alimentations par pare-feu, deux pare-feu), il aurait coûté 15-30k $. Pour nous, Vyatta Community Edition était une bonne option. Il a une interface de ligne de commande uniquement, mais avec la documentation, il était facile de configurer.

9
Luke

J'ai toujours été réticent à héberger un pare-feu dans une machine virtuelle, pour quelques raisons:

  • Sécurité .

Avec un hyperviseur, la surface d'attaque est plus large. Les pare-feu matériels ont généralement un système d'exploitation durci (FS en lecture seule, aucun outil de construction) qui réduira l'impact d'un compromis potentiel du système. Les pare-feu doivent protéger les hôtes, pas l'inverse.

  • Performances réseau et disponibilité .

Nous avons v dans Détails Ce que les mauvais nics peuvent faire (ou ne peuvent pas), et c'est quelque chose que vous voulez éviter. Bien que les mêmes bugs puisse affecter les appareils, le matériel a été sélectionné et est connu pour fonctionner avec le logiciel installé. Il va sans dire que la prise en charge du fournisseur de logiciels peut ne pas vous aider si vous avez des problèmes avec les pilotes ou avec toute configuration matérielle qu'ils ne recommandent pas.

Éditer:

Je voulais ajouter, comme @Luke disait que de nombreux fournisseurs de pare-feu matériel ont des solutions de disponibilité élevées, avec un état de connexion remarquable transmis de l'unité active en attente. J'ai été personnellement satisfait W/ Checkpoint (sur Old Nokia IP710 Platformes). Cisco a ASA et PIX Basculement/redondance, pfsense a CARPE et ipcop a n plugin . Vyatta peut faire plus (PDF) , mais c'est plus qu'un pare-feu.

11
petrus

Je vais avec du matériel dédié parce que c'est construit à des fins. Avoir un appareil est pratique à cet égard, surtout s'il s'agit d'un point de terminaison VPN ou d'une autre passerelle. Il libère votre groupe VMware de cette responsabilité. En termes de ressources matérielles/RAM/CPU, exécuter une solution logicielle est définitivement bien. Mais ce n'est pas vraiment une préoccupation.

8
ewwhite

Bien sûr que ce n'est pas nécessaire, et pour la plupart des gens, cela fera le travail. Il suffit de prendre des considérations que votre trafic peut trombone sur votre commutateur virtuel, sauf si vous dédiez NICS au Firewall VM. (Vous devrez faire cela sur chaque case que vous souhaitez pouvoir vmotion).

Personnellement? Je préfère le matériel dédié parce que ce n'est vraiment pas si cher. Vous pouvez obtenir des numéros de performance sur le matériel dédié du fabricant, mais votre VM Performance est entièrement subjectif à la manière dont vos hôtes sont occupés.

Je dis essayer le logiciel un, voir comment ça se passe. Si vous avez la route, vous devez installer un matériel, alors faites-le.

7
SpacemanSpiff