Вопросы Теги

Выполнение брандмауэра (IPCop) на Hyper-V

Дата истечения срока является июнем 2010, но знать, что на марте 2010 Вы начнете получать-почасовым завершения работы.

Я уверен, что Windows 7 RC достаточно стабилен для использования его в основном компьютере, но я не сделал бы этого. Я установил его на своем ноутбуке, но мой основной компьютер все еще имеет VISTA.

Я не установил бы Windows 7 на своих друзьях также, если это подразумевает, что я должен буду заботиться об их обновлениях версии RTM, которая, вероятно, потребует новой установки.

0
задан 25 June 2009 в 22:39
3 ответа

Обычно я отговорил бы от виртуализации Вашего брандмауэра. Это - другое место для ненадежности для случая. Веб-фильтр, концентратор VPN, да - периметр fw, нет.

Я сказал бы, тем не менее, если Вы соберетесь сделать это, то это будет, вероятно, работать. Я работаю на SmoothWall (наш брандмауэр GPL был дедушкой IPCOP), и у нас есть hyper-v некоторые наши веб-продукты фильтра хорошо.

В последний раз я смотрел, однако, Вы были ограничены одним ядром процессора в соответствии с Linux - поэтому, если высокая производительность требуется, который может быть проблемой - хотя одно ядро должно быть более чем достаточно для простого задания брандмауэра.

4
ответ дан 4 December 2019 в 11:24
  • 1
    Tom - спасибо за быстрый ответ. Вы могли добавить немного больше детали относительно типов проблем безопасности, я мог бы видеть виртуализацию периметра FW?Спасибо! –  Loren Charnley 25 June 2009 в 22:41
  • 2
    +1 для Tom' s комментарий. Мы на самом деле пошли ДРУГОЕ направление, и создайте наши поля IPCop на машинах собой или даже на пользовательском " маршрутизатор boards" или " утилита PCs". его хорошее, чтобы иметь единственную физическую часть аппаратных средств можно держать ответственный.;-) –  KPWINC 26 June 2009 в 00:18
  • 3
    Loren - специфически думающие уязвимости в " host" ОС могла быть использована для маршрутизации вокруг управления брандмауэром. –  Tom Newton 26 June 2009 в 00:38
  • 4
    Дополнительно необходимо рассмотреть возможность других хостов на hyperV сервере, негативно влияющем на производительность или безопасность. –  Tom Newton 26 June 2009 в 00:43
  • 5
    Стоящий замечания, что Microsoft склоняет Linux к использованию 4 ядер теперь. Будьте некоторое время, прежде чем дистрибутивы как SmoothWall и IPCop получают это в своих ядрах, которые я предполагаю хотя –  Tom Newton 17 April 2010 в 00:49

Я использовал несколько IPCop VMs на Hyper-V в течение прошлого года в производстве. Они работают обычно хорошо на использование низкой пропускной способности.

Я испытал следующие проблемы:

  • Необходимо использовать 'Адаптер Традиционной сети' и ни одну из 'Услуг по интеграции'.
  • Определенно выключите услугу по интеграции для совместного использования времени хоста с виртуальной машиной, это может вызвать некоторые запутывающие проблемы.
  • Пропускная способность довольно плоха. У меня есть выполнение IPCop, виртуализированное на Четырехъядерном 3+Ghz машины Core 2. Поля IPCop ограничиваются 1 виртуальным ЦП, но использование процессора намного выше, чем ожидалось. Отключение Фырканья помогает несколько и уменьшает использование памяти существенно. Тем не менее, я обхожу максимальную пропускную способность на 20 Мбит/с. Я полагаю, что эта проблема может относиться к использованию адаптеров традиционной сети.
  • Брандмауэр IPCop может зависнуть при представлении нескольким часам постоянно высоких чисел соединений. Я не смог диагностировать первопричину этой проблемы. Веб-интерфейс все еще доступен, и VM может быть сброшен через это или интерфейс управления Hyper-V для решения проблемы (временно).

Я не нашел, что лучшее решение для Hyper-V виртуализировало брандмауэр. Брандмауэр порядка байтов, кажется, отображает еще более явное ограничение пропускной способности (всего 5 Мбит/с на тех же аппаратных средствах / установка VM как выше). Предложения для лучшего решения очень приветствовались бы!

2
ответ дан 4 December 2019 в 11:24
  • 1
    Используя " Традиционная сеть Adapter" вероятно, ответственно за большое количество fo использование ЦП. Самое главное в использовании сетевого стека VM-tailored вместо эмуляции устройства должно уменьшить использование ЦП. –  Jake Oshins 16 April 2010 в 23:31

Я настоятельно рекомендую полю брандмауэра не быть совместно использованным с другими системами.

Тем не менее я действительно виртуализирую свой брандмауэр. 1 VM в 1 Физическом использовании Поля XenServer. Моя причина сделать это: способность к снимку и реальное быстрое восстановление (захватывают другое поле, устанавливают XenServer, импортируют .xva),

0
ответ дан 4 December 2019 в 11:24

Теги

Похожие вопросы