Firewall Virtual vs Firewall Físico

1

Eu estava lendo esta discussão: Existe perigo de virtualizar um roteador?

Estou encarregado de manter vários firewalls instalados em diferentes usuários da organização SMB 10-100. Estamos instalando o Endian ou o PfSense em hardware personalizado. Infelizmente (espcially com endian) quando eu tento restaurar a configuração em um hardware diferente eu corro em vários problemas (diferentes NICs etc).

Então, eu estava pensando em virtualizar o firewall para introduzir um nível de superação da camada física, tornando a máquina "independente de hardware".

PRO:

  • Hardware indipenent
  • Fácil de dimensionar
  • Fácil de fazer backup

CON:

  • Desempenho (pior que físico)

O desempenho (no meu cenário) não seria um problema

Estou preocupado com possíveis riscos de segurança. O que você acha disso? Qual hipervisor você recomenda (e por quê)? Alguma outra consideração a ser feita?

Obrigado pela sua resposta amável

    
por eldblz 15.05.2013 / 11:01

2 respostas

1

É um pouco tarde para o pôster original, mas para qualquer outra pessoa que esteja lendo ...

Eu ficaria com o pfSense dos que você mencionou. Implantei o pfSense no hardware do Netgate, virtualizado no ESXi e em dispositivos de firewall personalizados que atendem às especificações mínimas de hardware da página de requisitos do pfSense . Por segurança, você não terá problemas de virtualização que você não teria com o hardware dedicado, desde que a configuração do ESXi esteja configurada corretamente. Pelo menos essa tem sido a minha experiência. Você ainda terá problemas ao restaurar as configurações se precisar restaurar em uma VM que esteja em um host com configuração de hardware e software de rede diferente.

Eu recomendo ficar longe de virtualizar o firewall. Ele adiciona muita complexidade à configuração que pode se tornar um problema se você precisar dimensionar para ter vários hosts ESXi na configuração de alta disponibilidade e usando vSAN. Leia sobre como configurar as noções básicas de dicas e, em seguida, tente mapear como manter o pfSense virtualizado no mix. É possível, mas não vale a pena o esforço quando você acabou de aumentar a complexidade além das habilidades de solução de problemas do administrador médio.

Quando a configuração é simples como um host único ou isolado, o virutalzing funciona bem. Quando o host é ou pode ser configurado para HA, ter o pfSense virtualizado complica a configuração. Para redundância, ao contrário dos computadores desktop e laptop, os appliances de firewall não se tornam obsoletos rapidamente. Com isso dito, você pode configurar dois dispositivos de hardware pfSense para HA. E, mesmo nesse caso, eu recomendo uma prateleira na prateleira para quando a mãe natureza enviar mais joules pela sua rede do que seus protetores contra surtos possam suportar.

    
por 11.01.2018 / 04:24
0

Qual é o problema com o uso de um appliance específico, como o firewall Cisco ASA 5505 ou 5510 ? O primeiro é barato, tem boa mentalidade na indústria e certamente não tem os problemas que você está enfrentando com a compatibilidade de hardware ... Quanto você valoriza seu tempo?

Quanto aos problemas atuais, você pode isolar o problema a drivers de dispositivo específicos? Por que você está em uma situação em que você precisa restaurar a configuração? Falha de hardware? Existe uma razão pela qual o hardware personalizado que você está usando está mudando do padrão? Se você está feliz com o PFSense, pode fazer sentido tentar resolver esses problemas.

Para uma solução virtualizada, estou acostumado a ver as pessoas usarem o VMware ESXi para isso propósito. A pilha de rede do hipervisor é madura e o desempenho, a taxa de transferência e a estabilidade não são um problema. Mas agora a carga está no seu hardware virtualizado e o torna suficientemente robusto. Acho que seu custo e complexidade aumentariam.

    
por 15.05.2013 / 11:18