Аппаратный брандмауэр по сравнению с устройством брандмауэра VMware
Попытайтесь использовать команду su -. - означает, что новая оболочка получит среду пользователя, на которого Вы изменились. Если Вы не будете использовать его, то большая часть Вашей среды останется тем же.
В странице справочника для su говорится:
Дополнительный аргумент - может использоваться для обеспечения среды, подобной тому, что ожидал бы пользователь, имел пользователя, зарегистрированного непосредственно.
Предполагая, что программное обеспечение такое же (обычно это не так), виртуальные межсетевые экраны могут быть лучше, чем физический межсетевой экран, потому что у вас лучшая избыточность. Брандмауэр - это просто сервер с ЦП, ОЗУ и адаптерами восходящего канала. Это тот же аргумент, что и физический веб-сервер по сравнению с виртуальным. Если оборудование выходит из строя, виртуальный сервер может быть автоматически перенесен на другой хост. Единственное время простоя - это время, необходимое для миграции виртуального межсетевого экрана на другой хост, и, возможно, время, необходимое для загрузки ОС.
Физический межсетевой экран привязан к имеющимся у него ресурсам. Виртуальный брандмауэр ограничен ресурсами внутри хоста. Обычно оборудование x86 намного дешевле, чем физический межсетевой экран предприятия. Что вы должны учитывать, так это стоимость оборудования, плюс стоимость программного обеспечения (если не используется открытый исходный код), плюс стоимость вашего времени (которая будет зависеть от поставщика программного обеспечения, с которым вы работаете). После сравнения стоимости, какие функции вы получаете с обеих сторон?
При сравнении межсетевых экранов, виртуальных или физических, это действительно зависит от набора функций. Межсетевые экраны Cisco имеют функцию под названием HSRP, которая позволяет запускать два межсетевых экрана как один (главный и ведомый) для аварийного переключения. Межсетевые экраны сторонних производителей имеют аналогичную технологию, называемую VRRP. Также есть CARP.
Сравнивая физический брандмауэр с виртуальным, убедитесь, что вы делаете сравнение яблок с яблоками. Какие функции важны для вас? Какая конфигурация? Используется ли это программное обеспечение на других предприятиях?
Если вам нужна мощная маршрутизация, Vyatta - хороший выбор. Имеет возможности межсетевого экрана. Консоль конфигурации очень похожа на Ciso. У них есть бесплатная версия сообщества на vyatta.org и поддерживаемая версия (с некоторыми дополнительными функциями) на vyatta.com. Документация очень понятна и понятна.
Если вам нужен мощный брандмауэр, взгляните на pfSense. Он также может выполнять маршрутизацию.
Мы решили запустить два экземпляра Vyatta с VRRP на наших хостах ESXi. Чтобы получить необходимое нам резервирование с Cisco (два источника питания на межсетевой экран, два межсетевых экрана), это стоило бы 15-30 тысяч долларов. Для нас Vyatta Community Edition была хорошим вариантом. Он имеет интерфейс только из командной строки, но с помощью документации его было легко настроить.
Если вам нужен мощный брандмауэр, обратите внимание на pfSense. Он также может выполнять маршрутизацию.
Мы решили запустить два экземпляра Vyatta с VRRP на наших хостах ESXi. Чтобы получить необходимое нам резервирование с Cisco (два блока питания на брандмауэр, два брандмауэра), это стоило бы 15-30 тысяч долларов. Для нас Vyatta Community Edition была хорошим вариантом. Он имеет интерфейс только из командной строки, но с помощью документации его было легко настроить.
Если вам нужен мощный брандмауэр, обратите внимание на pfSense. Он также может выполнять маршрутизацию.
Мы решили запустить два экземпляра Vyatta с VRRP на наших хостах ESXi. Чтобы получить необходимое нам резервирование с Cisco (два источника питания на межсетевой экран, два межсетевых экрана), это стоило бы 15-30 тысяч долларов. Для нас Vyatta Community Edition была хорошим вариантом. Он имеет интерфейс только из командной строки, но с помощью документации его было легко настроить.
Конечно, в этом нет необходимости, и для большинства людей он выполнит свою работу. Просто примите во внимание, что ваш трафик может тромбонировать через восходящие каналы вашего виртуального коммутатора, если вы не выделите сетевые адаптеры для виртуальной машины межсетевого экрана. (Вы' Придется сделать это на каждом компьютере, на котором вы хотите использовать vMotion).
Лично? Я предпочитаю специализированное оборудование, потому что оно действительно не так дорого. Вы можете получить данные о производительности выделенного оборудования от производителя, но производительность вашего брандмауэра виртуальной машины полностью зависит от того, насколько загружены ваши хосты.
Я предлагаю попробовать программное обеспечение, посмотреть, как оно работает. Если в будущем вам потребуется установить аппаратное обеспечение, то сделайте это.
Я использую специальное оборудование, потому что оно создано специально. В этом отношении удобно иметь устройство, особенно если это конечная точка VPN или какой-либо другой шлюз. Это освобождает ваш кластер VMWare от этой ответственности. Что касается ресурсов оборудования / ОЗУ / ЦП, запуск программного решения определенно подходит. Но это не совсем проблема.
Мне всегда не хотелось размещать брандмауэр на виртуальной машине по нескольким причинам:
- Безопасность .
С гипервизором поверхность атаки шире. Аппаратные брандмауэры обычно имеют усиленную ОС (файловая система только для чтения, без инструментов сборки), что снижает воздействие потенциальной компрометации системы. Брандмауэры должны защищать хосты, а не наоборот.
- Производительность и доступность сети .
Мы видели в подробностях , что плохие сетевые адаптеры могут (или не могут) делать, и этого следует избегать. Хотя те же ошибки могут влиять на устройства, было выбрано оборудование, которое, как известно, работает с установленным программным обеспечением. Само собой разумеется, что поддержка поставщика программного обеспечения может не помочь вам, если у вас есть проблемы с драйверами, или с любой конфигурацией оборудования, которую они не рекомендуют.
Редактировать:
Я хотел добавить, как сказал @Luke, что многие поставщики аппаратных брандмауэров предлагают решения для обеспечения высокой доступности, при которых состояние соединения с отслеживанием состояния передается от активного устройства к резервному. Мне лично понравился Checkpoint (на старых платформах nokia IP710). Cisco имеет ASA и PIX аварийное переключение / резервирование, pfsense имеет CARP , а IPCop имеет плагин . Vyatta может больше (pdf) , но это больше, чем брандмауэр.
Я лично доволен с помощью Checkpoint (на старых платформах nokia IP710). Cisco имеет ASA и PIX аварийное переключение / резервирование, pfsense имеет CARP , а IPCop имеет плагин . Vyatta может больше (pdf) , но это больше, чем брандмауэр. Я лично доволен с помощью Checkpoint (на старых платформах nokia IP710). Cisco имеет ASA и PIX аварийное переключение / резервирование, pfsense имеет CARP , а IPCop имеет плагин . Vyatta может больше (pdf) , но это больше, чем брандмауэр.