Kami memiliki debat di kantor kami tentang apakah perlu untuk mendapatkan firewall perangkat keras atau mengatur yang virtual pada kluster VMWare kami.
Lingkungan kami terdiri dari 3 node server (masing-masing 16 core dengan RAM 64 GB) lebih dari 2x1 GB switch dengan array penyimpanan bersama iSCSI.
Dengan asumsi bahwa kita akan mendedikasikan sumber daya untuk peralatan VMWare, akankah kita mendapat manfaat memilih firewall perangkat keras daripada yang virtual?
Jika kita memilih untuk menggunakan firewall perangkat keras, bagaimana firewall server khusus dengan sesuatu seperti ClearOS dibandingkan dengan firewall Cisco?
Jawaban:
Saya selalu enggan meng-host firewall di mesin virtual, karena beberapa alasan:
Dengan hypervisor, permukaan serangan lebih luas. Firewall perangkat keras biasanya memiliki OS yang keras (read-only fs, no build tools) yang akan mengurangi dampak kompromi sistem yang potensial. Firewall harus melindungi host, bukan sebaliknya.
Kami telah melihat secara terperinci apa yang dapat dilakukan oleh NIC yang buruk (atau tidak bisa), dan itu adalah sesuatu yang ingin Anda hindari. Meskipun bug yang sama dapat memengaruhi perangkat, perangkat keras telah dipilih dan diketahui berfungsi dengan perangkat lunak yang diinstal. Tak perlu dikatakan bahwa dukungan vendor perangkat lunak mungkin tidak membantu Anda jika Anda memiliki masalah dengan driver, atau dengan konfigurasi perangkat keras apa pun yang mereka tidak rekomendasikan.
Edit:
Saya ingin menambahkan, seperti kata @Luke, bahwa banyak vendor perangkat keras firewall memiliki solusi ketersediaan tinggi, dengan status koneksi stateful diteruskan dari unit aktif ke siaga. Secara pribadi saya puas dengan Checkpoint (pada platform nokia IP710 lama). Cisco memiliki ASA dan PIX failover / redundancy, pfsense memiliki CARP dan IPCop memiliki plugin . Vyatta dapat melakukan lebih banyak (pdf) , tetapi lebih dari sekadar firewall.
sumber
Dengan asumsi perangkat lunaknya sama (biasanya tidak), firewall virtual bisa lebih baik daripada firewall fisik karena Anda memiliki redundansi yang lebih baik. Firewall hanyalah server dengan CPU, RAM, dan adaptor uplink. Ini argumen yang sama seperti server web fisik ayat yang virtual. Jika perangkat keras gagal, server virtual dapat dimigrasikan ke host lain secara otomatis. Satu-satunya downtime adalah jumlah waktu yang diperlukan untuk firewall virtual dimigrasikan ke host lain, dan mungkin waktu yang dibutuhkan untuk OS untuk boot.
Firewall fisik terikat dengan sumber daya yang dimilikinya. Firewall virtual terbatas pada sumber daya di dalam host. Biasanya perangkat keras x86 jauh lebih murah daripada firewall fisik perusahaan. Yang harus Anda pertimbangkan adalah biaya perangkat keras, ditambah biaya perangkat lunak (jika tidak menggunakan open source), ditambah biaya waktu Anda (yang akan tergantung pada vendor perangkat lunak yang Anda gunakan ). Setelah Anda membandingkan biayanya, fitur apa yang Anda dapatkan di kedua sisi?
Ketika membandingkan firewall, virtual atau fisik, itu sangat tergantung pada set fitur. Firewall Cisco memiliki fitur yang disebut HSRP yang memungkinkan Anda menjalankan dua firewall sebagai satu (master dan slave) untuk failover. Firewall non-Cisco memiliki teknologi serupa yang disebut VRRP. Ada juga CARP.
Saat membandingkan firewall fisik dengan firewall virtual, pastikan Anda melakukan perbandingan apel dengan apel. Fitur apa yang penting bagi Anda? Seperti apa konfigurasinya? Apakah perangkat lunak ini digunakan oleh perusahaan lain?
Jika Anda membutuhkan perutean yang kuat, Vyatta adalah taruhan yang bagus. Ini memiliki kemampuan firewall. Ini memiliki konsol konfigurasi yang sangat mirip Ciso. Mereka memiliki edisi komunitas gratis di vyatta.org dan versi yang didukung (dengan beberapa fitur tambahan) di vyatta.com. Dokumentasinya sangat bersih dan mudah.
Jika Anda membutuhkan firewall yang kuat, lihat pfSense. Bisa juga melakukan routing.
Kami memutuskan untuk menjalankan dua instance Vyatta dengan VRRP pada host ESXi kami. Untuk mendapatkan redundansi yang kami butuhkan dengan Cisco (dua catu daya per firewall, dua firewall) biayanya $ 15-30k. Bagi kami edisi komunitas Vyatta adalah pilihan yang baik. Ini memiliki antarmuka baris perintah saja, tetapi dengan dokumentasi itu mudah dikonfigurasi.
sumber
Saya menggunakan perangkat keras khusus karena dibuat khusus. Memiliki alat berguna dalam hal itu, terutama jika itu adalah titik akhir VPN atau gateway lainnya. Ini membebaskan VMWare Anda dari tanggung jawab itu. Dalam hal sumber daya perangkat keras / RAM / CPU, menjalankan solusi perangkat lunak jelas baik-baik saja. Tapi itu bukan masalah.
sumber
Tentu saja itu tidak perlu, dan bagi kebanyakan orang, itu akan menyelesaikan pekerjaan. Hanya membuat beberapa pertimbangan bahwa lalu lintas Anda mungkin trombone di switch uplink virtual Anda kecuali Anda mendedikasikan NIC ke VM firewall. (Anda harus melakukan ini pada setiap kotak yang Anda inginkan untuk dapat vMotion ke).
Sendiri? Saya lebih suka perangkat keras khusus karena sebenarnya tidak terlalu mahal. Anda bisa mendapatkan nomor kinerja pada perangkat keras khusus dari pabrikan, tetapi kinerja firewall VM Anda benar-benar subjektif terhadap seberapa sibuknya host Anda.
Saya katakan coba perangkat lunaknya, lihat bagaimana hasilnya. Jika Anda ingin menginstal perangkat keras, maka lakukanlah.
sumber