Firewall perangkat keras vs alat firewall VMware

16

Kami memiliki debat di kantor kami tentang apakah perlu untuk mendapatkan firewall perangkat keras atau mengatur yang virtual pada kluster VMWare kami.

Lingkungan kami terdiri dari 3 node server (masing-masing 16 core dengan RAM 64 GB) lebih dari 2x1 GB switch dengan array penyimpanan bersama iSCSI.

Dengan asumsi bahwa kita akan mendedikasikan sumber daya untuk peralatan VMWare, akankah kita mendapat manfaat memilih firewall perangkat keras daripada yang virtual?

Jika kita memilih untuk menggunakan firewall perangkat keras, bagaimana firewall server khusus dengan sesuatu seperti ClearOS dibandingkan dengan firewall Cisco?

Luke
sumber
1
Hampir merupakan duplikat dari Hardware Firewall Vs. Firewall Perangkat Lunak (Tabel IP, RHEL) . Ini juga kemungkinan untuk mengumpulkan debat, argumen tanpa prestasi, dan pemikiran kelompok. Berhati-hatilah agar Anda tidak menjadi korban Bias Konfirmasi , di mana Anda menemukan jawaban yang sederhana sesuai dengan apa yang Anda pikirkan, tetapi di mana tidak ada argumen logis, fakta, atau dasar lainnya.
Chris S

Jawaban:

11

Saya selalu enggan meng-host firewall di mesin virtual, karena beberapa alasan:

  • Keamanan .

Dengan hypervisor, permukaan serangan lebih luas. Firewall perangkat keras biasanya memiliki OS yang keras (read-only fs, no build tools) yang akan mengurangi dampak kompromi sistem yang potensial. Firewall harus melindungi host, bukan sebaliknya.

  • Kinerja dan ketersediaan jaringan .

Kami telah melihat secara terperinci apa yang dapat dilakukan oleh NIC yang buruk (atau tidak bisa), dan itu adalah sesuatu yang ingin Anda hindari. Meskipun bug yang sama dapat memengaruhi perangkat, perangkat keras telah dipilih dan diketahui berfungsi dengan perangkat lunak yang diinstal. Tak perlu dikatakan bahwa dukungan vendor perangkat lunak mungkin tidak membantu Anda jika Anda memiliki masalah dengan driver, atau dengan konfigurasi perangkat keras apa pun yang mereka tidak rekomendasikan.

Edit:

Saya ingin menambahkan, seperti kata @Luke, bahwa banyak vendor perangkat keras firewall memiliki solusi ketersediaan tinggi, dengan status koneksi stateful diteruskan dari unit aktif ke siaga. Secara pribadi saya puas dengan Checkpoint (pada platform nokia IP710 lama). Cisco memiliki ASA dan PIX failover / redundancy, pfsense memiliki CARP dan IPCop memiliki plugin . Vyatta dapat melakukan lebih banyak (pdf) , tetapi lebih dari sekadar firewall.

petrus
sumber
1
+1 ke "Firewall harus melindungi host, bukan sebaliknya."
ewwhite
Jika Anda menempatkan hypervisor Anda di depan firewall Anda, yakinlah Anda mengekspos diri Anda sendiri. Tapi ini adalah masalah keamanan jaringan (admin error), bukan cacat virtualisasi. Pilihan vendor jelas menjadi perhatian ketika datang ke keamanan. Perlu diingat Cisco juga menyediakan peralatan virtual. Memilih perangkat keras yang tepat sangat penting. Tapi semoga Anda sudah melakukan ini untuk server Anda. Juga perlu diingat bahwa "host" hanyalah perangkat keras. Server virtual masih di belakang firewall (secara virtual). Entah bagaimana itu tidak mundur.
Luke
@ Lukas firewall Anda berada di bawah kendali hypervisor; itulah bedanya.
gravyface
1
@ Lukas: Tidak. Untuk sampai ke fw tervirtualisasi, paket harus mengalir melalui host fisik nic. Bahkan jika alamat IP dari hypervisor / host tidak dapat dijangkau dari luar firewall, paket yang buruk masih akan diproses oleh driver dan kode hypervisor (karenanya meningkatkan jumlah vektor serangan).
petrus
1
Sangat menarik untuk dicatat bahwa mesin-mesin Cisco ini juga menggunakan Broadcom nics ( cisco.com/en/US/prod/collateral/ps10265/ps10493/… ). Saya pikir kita semua tahu bahwa firewall 'perangkat keras' tidak lebih dari chip rak dengan sistem operasi * nix yang disesuaikan. Keduanya memiliki driver; Keduanya memiliki kemungkinan kerentanan yang sama. Saya akan senang untuk memeriksa setiap kelemahan keamanan yang unik untuk virtualisasi. Saya tidak berpikir Anda bisa membuat penilaian menyeluruh tentang mana yang lebih baik. Sebaliknya, solusi Anda telah dianalisis berdasarkan kasus per kasus.
Luke
9

Dengan asumsi perangkat lunaknya sama (biasanya tidak), firewall virtual bisa lebih baik daripada firewall fisik karena Anda memiliki redundansi yang lebih baik. Firewall hanyalah server dengan CPU, RAM, dan adaptor uplink. Ini argumen yang sama seperti server web fisik ayat yang virtual. Jika perangkat keras gagal, server virtual dapat dimigrasikan ke host lain secara otomatis. Satu-satunya downtime adalah jumlah waktu yang diperlukan untuk firewall virtual dimigrasikan ke host lain, dan mungkin waktu yang dibutuhkan untuk OS untuk boot.

Firewall fisik terikat dengan sumber daya yang dimilikinya. Firewall virtual terbatas pada sumber daya di dalam host. Biasanya perangkat keras x86 jauh lebih murah daripada firewall fisik perusahaan. Yang harus Anda pertimbangkan adalah biaya perangkat keras, ditambah biaya perangkat lunak (jika tidak menggunakan open source), ditambah biaya waktu Anda (yang akan tergantung pada vendor perangkat lunak yang Anda gunakan ). Setelah Anda membandingkan biayanya, fitur apa yang Anda dapatkan di kedua sisi?

Ketika membandingkan firewall, virtual atau fisik, itu sangat tergantung pada set fitur. Firewall Cisco memiliki fitur yang disebut HSRP yang memungkinkan Anda menjalankan dua firewall sebagai satu (master dan slave) untuk failover. Firewall non-Cisco memiliki teknologi serupa yang disebut VRRP. Ada juga CARP.

Saat membandingkan firewall fisik dengan firewall virtual, pastikan Anda melakukan perbandingan apel dengan apel. Fitur apa yang penting bagi Anda? Seperti apa konfigurasinya? Apakah perangkat lunak ini digunakan oleh perusahaan lain?

Jika Anda membutuhkan perutean yang kuat, Vyatta adalah taruhan yang bagus. Ini memiliki kemampuan firewall. Ini memiliki konsol konfigurasi yang sangat mirip Ciso. Mereka memiliki edisi komunitas gratis di vyatta.org dan versi yang didukung (dengan beberapa fitur tambahan) di vyatta.com. Dokumentasinya sangat bersih dan mudah.

Jika Anda membutuhkan firewall yang kuat, lihat pfSense. Bisa juga melakukan routing.

Kami memutuskan untuk menjalankan dua instance Vyatta dengan VRRP pada host ESXi kami. Untuk mendapatkan redundansi yang kami butuhkan dengan Cisco (dua catu daya per firewall, dua firewall) biayanya $ 15-30k. Bagi kami edisi komunitas Vyatta adalah pilihan yang baik. Ini memiliki antarmuka baris perintah saja, tetapi dengan dokumentasi itu mudah dikonfigurasi.

Luke
sumber
5
Jawaban yang bagus. Kami telah menggunakan segudang perangkat keras dan perangkat lunak - dan mengingat fakta Anda dapat menekan 1Gbps @ 64Bytes tingkat-line pada mesin x86 low-end pada pFSense, ini adalah no-brainer. Peralatan firewall perangkat keras khusus biasanya sekitar £ 10rb untuk melakukan angka-angka tersebut.
Ben Lessani - Sonassi
Itu tergantung pada apakah firewall sebagai perangkat titik akhir. Saya telah melihat banyak cluster VMWare mati karena masalah penyimpanan atau masalah jaringan. Biasanya, HA menangani hal-hal, tetapi saya bisa melihat masalah tertentu dengan pemasangan firewall di lingkungan itu. Apakah ini pengaturan HA / vMotion / DRS lengkap?
ewwhite
@white Ya, HA / vMotion / DRS lengkap. Dua contoh Vyatta dengan VRRP dan failover panas.
Lukas
Jika memungkinkan, preferensi saya adalah memiliki satu divirtualisasikan tetapi satu di kotak khusus.
Robin Gill
8

Saya menggunakan perangkat keras khusus karena dibuat khusus. Memiliki alat berguna dalam hal itu, terutama jika itu adalah titik akhir VPN atau gateway lainnya. Ini membebaskan VMWare Anda dari tanggung jawab itu. Dalam hal sumber daya perangkat keras / RAM / CPU, menjalankan solusi perangkat lunak jelas baik-baik saja. Tapi itu bukan masalah.

putih
sumber
+1 untuk titik demarc.
Tom O'Connor
7

Tentu saja itu tidak perlu, dan bagi kebanyakan orang, itu akan menyelesaikan pekerjaan. Hanya membuat beberapa pertimbangan bahwa lalu lintas Anda mungkin trombone di switch uplink virtual Anda kecuali Anda mendedikasikan NIC ke VM firewall. (Anda harus melakukan ini pada setiap kotak yang Anda inginkan untuk dapat vMotion ke).

Sendiri? Saya lebih suka perangkat keras khusus karena sebenarnya tidak terlalu mahal. Anda bisa mendapatkan nomor kinerja pada perangkat keras khusus dari pabrikan, tetapi kinerja firewall VM Anda benar-benar subjektif terhadap seberapa sibuknya host Anda.

Saya katakan coba perangkat lunaknya, lihat bagaimana hasilnya. Jika Anda ingin menginstal perangkat keras, maka lakukanlah.

SpacemanSpiff
sumber