하드웨어 방화벽과 VMware 방화벽 어플라이언스


16

사무실에서 VMWare 클러스터에 하드웨어 방화벽을 설치하거나 가상 방화벽을 설정해야하는지에 대한 토론이 있습니다.

우리의 환경은 iSCSI 공유 스토리지 어레이가있는 2 개의 1GB 스위치를 통해 3 개의 서버 노드 (각각 64GB RAM에 16 개의 코어)로 구성됩니다.

VMWare 어플라이언스에 리소스를 전용으로 사용한다고 가정하면 가상 방화벽 대신 하드웨어 방화벽을 선택하면 어떤 이점이 있습니까?

하드웨어 방화벽을 사용하기로 선택한 경우 ClearOS와 같은 전용 서버 방화벽이 Cisco 방화벽과 비교하면 어떻습니까?


1
하드웨어 방화벽 대의 복제본 소프트웨어 방화벽 (IP 테이블, RHEL) . 이것은 또한 토론, 가치없는 논쟁, 집단적 사고를 요구할 가능성이있다. Confirmation Bias의 희생양이되지 않도록 극도로주의하십시오 . 여기서 당신이 생각하는 것과 간단한 답변이 있지만 논리적 논증, 사실 또는 다른 근거가없는 곳에서 답을 찾으십시오.
Chris S

답변:


11

필자는 항상 몇 가지 이유로 가상 머신에서 방화벽을 호스팅하는 것을 꺼려했습니다.

  • 보안 .

하이퍼 바이저를 사용하면 공격 영역이 더 넓어집니다. 하드웨어 방화벽에는 일반적으로 시스템 손상 가능성을 줄이는 강화 된 OS (읽기 전용 fs, 빌드 도구 없음)가 있습니다. 방화벽은 다른 방법이 아닌 호스트를 보호해야합니다.

  • 네트워크 성능 및 가용성 .

우리는 나쁜 NIC가 할 수있는 (또는 할 수없는) 것을 자세히 보았 으며 , 피하고 싶은 것입니다. 동일한 버그가 어플라이언스에 영향을 줄 수 있지만 하드웨어가 선택되었으며 설치된 소프트웨어와 함께 작동하는 것으로 알려져 있습니다. 드라이버 나 권장하지 않는 하드웨어 구성에 문제가있는 경우 소프트웨어 공급 업체 지원이 도움이되지 않을 수도 있습니다.

편집하다:

@Luke가 말한 것처럼 많은 하드웨어 방화벽 공급 업체가 상태 기반 연결 상태가 활성 장치에서 대기로 전달되는 고 가용성 솔루션을 제공한다고 덧붙였습니다. Checkpoint (구 노키아 IP710 플랫폼)에 대해 개인적으로 만족했습니다 . Cisco에는 ASAPIX 장애 조치 / 중복성이 있고 pfsense에는 CARP가 있고 IPCop에는 플러그인이 있습니다. Vyatta 는 더 많은 것을 할 수 있지만 (pdf) 방화벽 이상의 기능을합니다.


1
+1- "방화벽은 다른 방법이 아닌 호스트를 보호해야합니다."
ewwhite

하이퍼 바이저를 방화벽 앞에두면 자신이 노출되고 있는지 확인하십시오. 그러나 이것은 가상화 결함이 아닌 네트워크 보안 문제 (관리자 오류)입니다. 보안과 관련하여 공급 업체 선택은 분명 관심사입니다. Cisco는 가상 어플라이언스도 제공합니다. 올바른 하드웨어를 선택하는 것이 매우 중요합니다. 그러나 이미 서버 에서이 작업을 수행하고 있기를 바랍니다. 또한 "호스트"는 하드웨어 일뿐입니다. 가상 서버는 여전히 방화벽 뒤에 있습니다 (가상). 어떻게 든 거꾸로되지 않습니다.
누가

@ 루크 방화벽은 하이퍼 바이저의 자비에 달려 있습니다. 그 차이입니다.
gravyface

1
@Luke : 아니요. 가상화 된 fw에 도달하려면 패킷이 호스트 물리적 nic을 통과해야합니다. 방화벽 외부에서 하이퍼 바이저 / 호스트의 IP 주소에 도달 할 수없는 경우에도 드라이버 및 하이퍼 바이저 코드가 불량 패킷을 처리하므로 공격 경로 수가 증가합니다.
petrus

1
이러한 Cisco 시스템은 Broadcom nics ( cisco.com/en/US/prod/collateral/ps10265/ps10493/… ) 도 사용한다는 점에 주목하는 것이 흥미 롭습니다 . 우리는 모두 '하드웨어'방화벽이 맞춤형 * nix 운영 체제를 갖춘 선반 칩에 불과하다는 것을 알고 있습니다. 둘 다 드라이버가 있습니다. 두 가지 모두 동일한 취약점에 노출됩니다. 가상화 고유의 모든 보안 결함을 검토하게되어 기쁩니다. 나는 당신이 어느 쪽이 더 낫다는 판단을 내릴 수 있다고 생각하지 않습니다. 오히려 솔루션을 사례별로 분석했습니다.
누가

9

소프트웨어가 동일 하다고 가정하면 (일반적으로 그렇지 않은 경우) 중복성이 향상되므로 가상 방화벽 이 물리적 방화벽보다 우수 할 수 있습니다. 방화벽은 CPU, RAM 및 업 링크 어댑터가있는 서버 일뿐입니다. 실제 웹 서버가 가상 서버를 구하는 것과 같은 주장입니다. 하드웨어에 장애가 발생하면 가상 서버를 다른 호스트로 자동 마이그레이션 할 수 있습니다. 다운 타임은 가상 방화벽이 다른 호스트로 마이그레이션되는 데 걸리는 시간과 OS 부팅에 걸리는 시간뿐입니다.

물리적 방화벽은 보유한 리소스에 바인딩됩니다. 가상 방화벽은 호스트 내부의 리소스로 제한됩니다. 일반적으로 x86 하드웨어는 실제 엔터프라이즈 방화벽보다 훨씬 저렴합니다. 당신이 고려해야 할 것은 비용 하드웨어입니다 플러스 (오픈 소스를 사용하지 않을 경우) 소프트웨어의 비용, 플러스 (당신이 갈 공급 업체 소프트웨어에 따라 달라집니다) 시간의 비용. 비용을 비교 한 후 어느 기능을 사용하고 있습니까?

가상 또는 물리적 방화벽을 비교할 때 실제로 기능 세트에 따라 다릅니다. Cisco 방화벽에는 HSRP라는 기능이있어 장애 조치를 위해 두 개의 방화벽을 하나 (마스터 및 슬레이브)로 실행할 수 있습니다. 비 Cisco 방화벽에는 VRRP라는 유사한 기술이 있습니다. CARP도 있습니다.

실제 방화벽과 가상 방화벽을 비교할 때는 사과와 사과를 비교해야합니다. 어떤 기능이 중요합니까? 구성은 어떻습니까? 이 소프트웨어는 다른 기업에서 사용됩니까?

강력한 라우팅이 필요한 경우 Vyatta가 좋습니다. 방화벽 기능이 있습니다. 매우 Ciso와 같은 구성 콘솔이 있습니다. vyatta.org에 무료 커뮤니티 에디션이 있고 vyatta.com에 지원되는 버전 (일부 추가 기능 포함)이 있습니다. 문서는 매우 깨끗하고 간단합니다.

강력한 방화벽이 필요한 경우 pfSense를 살펴보십시오. 라우팅도 가능합니다.

ESXi 호스트에서 VRRP를 사용하여 두 개의 Vyatta 인스턴스를 실행하기로 결정했습니다. Cisco에 필요한 중복성을 확보하려면 (방화벽 당 2 개의 전원 공급 장치, 2 개의 방화벽) $ 15-30k의 비용이 듭니다. 우리에게 Vyatta Community Edition은 좋은 선택이었습니다. 명령 행 전용 인터페이스가 있지만 설명서를 사용하면 쉽게 구성 할 수 있습니다.


5
좋은 대답입니다. 우리는 무수한 하드웨어 및 소프트웨어 어플라이언스를 사용했으며, pFSense의 저가형 x86 시스템에서 1Gbps @ 64Byte의 회선 속도를 누릴 수 있다는 사실을 감안할 때 당연한 일입니다. 전용 하드웨어 방화벽 어플라이언스는 일반적으로 이러한 종류의 숫자를 수행하기 위해 £ 10k 정도입니다.
Ben Lessani-Sonassi

방화벽이 엔드 포인트 장치인지 여부에 따라 다릅니다. 스토리지 문제 나 네트워킹 문제로 인해 많은 VMWare 클러스터가 죽는 것을 보았습니다. 일반적으로 HA가 처리하지만 해당 환경에서 방화벽을 설정하는 데 특정 문제가 있음을 알 수 있습니다. 전체 HA / vMotion / DRS 설정입니까?
ewwhite

@ewwhite 예, 전체 HA / vMotion / DRS. VRRP 및 핫 페일 오버 기능이있는 Vyatta 인스턴스 2 개.
누가

가능하다면 가상화 된 하나를 전용 상자에 두는 것이 좋습니다.
로빈 길

8

전용 하드웨어이기 때문에 전용으로 설계되었습니다. 특히 VPN 엔드 포인트 나 다른 게이트웨이 인 경우 어플라이언스를 사용하는 것이 편리합니다. VMWare 클러스터를 그 책임에서 해방시킵니다. 하드웨어 / RAM / CPU 리소스 측면에서 소프트웨어 솔루션을 실행하는 것이 좋습니다. 그러나 그것은 실제로 걱정되지 않습니다.


경계 포인트는 +1입니다.
톰 오코너

7

물론 그것은 필요하지 않으며 대부분의 사람들에게는 일이 끝날 것입니다. NIC를 방화벽 VM 전용으로 사용하지 않는 한 트래픽이 가상 스위치 업 링크에서 트롬본 될 수 있다는 점을 고려해야합니다. vMotion을 수행하려는 각 상자에서이 작업을 수행해야합니다.

몸소? 나는 그렇게 비싸지 않기 때문에 전용 하드웨어를 선호합니다. 제조업체의 전용 하드웨어에서 성능 수치를 얻을 수 있지만 VM 방화벽 성능은 호스트 사용량에 따라 결정됩니다.

소프트웨어를 사용해보십시오. 어떻게되는지보십시오. 길을 따라 가면 하드웨어를 설치해야합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.