하드웨어 방화벽과 VMware 방화벽 어플라이언스

사무실에서 VMWare 클러스터에 하드웨어 방화벽을 설치하거나 가상 방화벽을 설정해야하는지에 대한 토론이 있습니다.

우리의 환경은 iSCSI 공유 스토리지 어레이가있는 2 개의 1GB 스위치를 통해 3 개의 서버 노드 (각각 64GB RAM에 16 개의 코어)로 구성됩니다.

VMWare 어플라이언스에 리소스를 전용으로 사용한다고 가정하면 가상 방화벽 대신 하드웨어 방화벽을 선택하면 어떤 이점이 있습니까?

하드웨어 방화벽을 사용하기로 선택한 경우 ClearOS와 같은 전용 서버 방화벽이 Cisco 방화벽과 비교하면 어떻습니까?

필자는 항상 몇 가지 이유로 가상 머신에서 방화벽을 호스팅하는 것을 꺼려했습니다.

• 보안 .

하이퍼 바이저를 사용하면 공격 영역이 더 넓어집니다. 하드웨어 방화벽에는 일반적으로 시스템 손상 가능성을 줄이는 강화 된 OS (읽기 전용 fs, 빌드 도구 없음)가 있습니다. 방화벽은 다른 방법이 아닌 호스트를 보호해야합니다.

• 네트워크 성능 및 가용성 .

우리는 나쁜 NIC가 할 수있는 (또는 할 수없는) 것을 자세히 보았 으며 , 피하고 싶은 것입니다. 동일한 버그가 어플라이언스에 영향을 줄 수 있지만 하드웨어가 선택되었으며 설치된 소프트웨어와 함께 작동하는 것으로 알려져 있습니다. 드라이버 나 권장하지 않는 하드웨어 구성에 문제가있는 경우 소프트웨어 공급 업체 지원이 도움이되지 않을 수도 있습니다.

편집하다:

@Luke가 말한 것처럼 많은 하드웨어 방화벽 공급 업체가 상태 기반 연결 상태가 활성 장치에서 대기로 전달되는 고 가용성 솔루션을 제공한다고 덧붙였습니다. Checkpoint (구 노키아 IP710 플랫폼)에 대해 개인적으로 만족했습니다 . Cisco에는 ASA 및 PIX 장애 조치 / 중복성이 있고 pfsense에는 CARP가 있고 IPCop에는 플러그인이 있습니다. Vyatta 는 더 많은 것을 할 수 있지만 (pdf) 방화벽 이상의 기능을합니다.

소프트웨어가 동일 하다고 가정하면 (일반적으로 그렇지 않은 경우) 중복성이 향상되므로 가상 방화벽 이 물리적 방화벽보다 우수 할 수 있습니다. 방화벽은 CPU, RAM 및 업 링크 어댑터가있는 서버 일뿐입니다. 실제 웹 서버가 가상 서버를 구하는 것과 같은 주장입니다. 하드웨어에 장애가 발생하면 가상 서버를 다른 호스트로 자동 마이그레이션 할 수 있습니다. 다운 타임은 가상 방화벽이 다른 호스트로 마이그레이션되는 데 걸리는 시간과 OS 부팅에 걸리는 시간뿐입니다.

물리적 방화벽은 보유한 리소스에 바인딩됩니다. 가상 방화벽은 호스트 내부의 리소스로 제한됩니다. 일반적으로 x86 하드웨어는 실제 엔터프라이즈 방화벽보다 훨씬 저렴합니다. 당신이 고려해야 할 것은 비용 하드웨어입니다 플러스 (오픈 소스를 사용하지 않을 경우) 소프트웨어의 비용, 플러스 (당신이 갈 공급 업체 소프트웨어에 따라 달라집니다) 시간의 비용. 비용을 비교 한 후 어느 기능을 사용하고 있습니까?

가상 또는 물리적 방화벽을 비교할 때 실제로 기능 세트에 따라 다릅니다. Cisco 방화벽에는 HSRP라는 기능이있어 장애 조치를 위해 두 개의 방화벽을 하나 (마스터 및 슬레이브)로 실행할 수 있습니다. 비 Cisco 방화벽에는 VRRP라는 유사한 기술이 있습니다. CARP도 있습니다.

실제 방화벽과 가상 방화벽을 비교할 때는 사과와 사과를 비교해야합니다. 어떤 기능이 중요합니까? 구성은 어떻습니까? 이 소프트웨어는 다른 기업에서 사용됩니까?

강력한 라우팅이 필요한 경우 Vyatta가 좋습니다. 방화벽 기능이 있습니다. 매우 Ciso와 같은 구성 콘솔이 있습니다. vyatta.org에 무료 커뮤니티 에디션이 있고 vyatta.com에 지원되는 버전 (일부 추가 기능 포함)이 있습니다. 문서는 매우 깨끗하고 간단합니다.

강력한 방화벽이 필요한 경우 pfSense를 살펴보십시오. 라우팅도 가능합니다.

ESXi 호스트에서 VRRP를 사용하여 두 개의 Vyatta 인스턴스를 실행하기로 결정했습니다. Cisco에 필요한 중복성을 확보하려면 (방화벽 당 2 개의 전원 공급 장치, 2 개의 방화벽) $ 15-30k의 비용이 듭니다. 우리에게 Vyatta Community Edition은 좋은 선택이었습니다. 명령 행 전용 인터페이스가 있지만 설명서를 사용하면 쉽게 구성 할 수 있습니다.

전용 하드웨어이기 때문에 전용으로 설계되었습니다. 특히 VPN 엔드 포인트 나 다른 게이트웨이 인 경우 어플라이언스를 사용하는 것이 편리합니다. VMWare 클러스터를 그 책임에서 해방시킵니다. 하드웨어 / RAM / CPU 리소스 측면에서 소프트웨어 솔루션을 실행하는 것이 좋습니다. 그러나 그것은 실제로 걱정되지 않습니다.

물론 그것은 필요하지 않으며 대부분의 사람들에게는 일이 끝날 것입니다. NIC를 방화벽 VM 전용으로 사용하지 않는 한 트래픽이 가상 스위치 업 링크에서 트롬본 될 수 있다는 점을 고려해야합니다. vMotion을 수행하려는 각 상자에서이 작업을 수행해야합니다.

몸소? 나는 그렇게 비싸지 않기 때문에 전용 하드웨어를 선호합니다. 제조업체의 전용 하드웨어에서 성능 수치를 얻을 수 있지만 VM 방화벽 성능은 호스트 사용량에 따라 결정됩니다.

소프트웨어를 사용해보십시오. 어떻게되는지보십시오. 길을 따라 가면 하드웨어를 설치해야합니다.