私たちのオフィスでは、ハードウェアファイアウォールを取得する必要があるのか、それともVMWareクラスターに仮想ファイアウォールを設定する必要があるのかについて議論があります。
私たちの環境は、iSCSI共有ストレージアレイを備えた2x 1 GBスイッチ上の3つのサーバーノード(64コアの16コアRAM))で構成されています。
リソースをVMWareアプライアンス専用にする場合、仮想ファイアウォールよりもハードウェアファイアウォールを選択するメリットはありますか?
ハードウェアファイアウォールの使用を選択した場合、ClearOSなどの専用サーバーファイアウォールとCiscoファイアウォールをどのように比較しますか?
ソフトウェアが同じであると仮定すると(通常はそうではありません)、仮想ファイアウォールcan物理ファイアウォールよりも優れています。冗長性が優れているからです。ファイアウォールは、CPU、RAM、およびアップリンクアダプターを備えた単なるサーバーです。これは、物理Webサーバーと仮想Webサーバーの比較と同じです。ハードウェアに障害が発生した場合、仮想サーバーを別のホストに自動的に移行できます。唯一のダウンタイムは、仮想ファイアウォールが別のホストに移行するのにかかる時間、およびおそらくOSの起動にかかる時間です。
物理ファイアウォールは、そのリソースにバインドされています。仮想ファイアウォールは、ホスト内のリソースに制限されています。通常、x86ハードウェアは、物理的なエンタープライズファイアウォールよりもはるかに安価です。あなたが考慮しなければならないのは、ハードウェアのコストですplusソフトウェアのコスト(オープンソースを使用していない場合)plusあなたの時間のコスト(これはあなたが行くソフトウェアベンダー)。コストを比較した後、どちらの機能を利用していますか?
仮想または物理のファイアウォールを比較する場合、それは実際に機能セットに依存します。シスコのファイアウォールにはHSRPと呼ばれる機能があり、2つのファイアウォールをフェールオーバー用に1つ(マスターとスレーブ)として実行できます。シスコ以外のファイアウォールには、VRRPと呼ばれる同様のテクノロジーがあります。 CARPもあります。
物理ファイアウォールと仮想ファイアウォールを比較するときは、リンゴ同士の比較を行っていることを確認してください。あなたにとってどの機能が重要ですか?どのような構成ですか?このソフトウェアは他の企業で使用されていますか?
強力なルーティングが必要な場合は、Vyattaが適しています。ファイアウォール機能があります。それは非常にCisoのような構成コンソールがあります。彼らはvyatta.orgで無料のコミュニティエディションを、vyatta.comでサポートされているバージョン(いくつかの追加機能付き)を持っています。ドキュメントは非常に簡潔でわかりやすいものです。
強力なファイアウォールが必要な場合は、pfSenseをご覧ください。ルーティングもできます。
ESXiホストでVRRPを使用して2つのVyattaインスタンスを実行することにしました。シスコで必要な冗長性(ファイアウォールごとに2つの電源装置、2つのファイアウォール)を取得するには、15,000〜3万ドルのコストがかかります。私たちにとって、Vyattaコミュニティ版は良いオプションでした。コマンドラインのみのインターフェースですが、ドキュメントがあれば簡単に構成できます。
いくつかの理由から、私は常に仮想マシンでファイアウォールをホストすることに消極的でした。
ハイパーバイザーを使用すると、攻撃対象が広くなります。ハードウェアファイアウォールには通常、強化されたOS(読み取り専用ファイル、ビルドツールなし)があり、潜在的なシステムの侵害の影響を軽減します。ファイアウォールはホストを保護する必要があり、その逆ではありません。
これまで見てきた詳細 で、不正なNICが実行できる(または実行できない)こと、そしてそれは避けたいことです。同じバグがアプライアンスに影響を与える可能性がありますが、ハードウェアが選択されており、インストールされたソフトウェアで動作することが知られています。言うまでもなく、ドライバーやドライバーが推奨しないハードウェア構成に問題がある場合は、ソフトウェアベンダーのサポートが役に立たない場合があります。
編集:
@Lukeが言ったように、多くのハードウェアファイアウォールベンダーがアクティブユニットからスタンバイに渡されるステートフルな接続状態を備えた高可用性ソリューションを備えていることを付け加えたいと思いました。 チェックポイント で個人的に満足しています(古いノキアIP710プラットフォーム)。 Ciscoには [〜#〜] asa [〜#〜] および [〜#〜] pix [〜#〜] フェイルオーバー/冗長性、pfsenseには [ 〜#〜] carp [〜#〜] およびIPCopには プラグイン があります。 Vyatta もっとできる(pdf) ですが、それは単なるファイアウォールではありません。
専用のハードウェアなので、専用のハードウェアを使用します。特にVPNエンドポイントやその他のゲートウェイの場合は、その点でアプライアンスがあると便利です。 VMWareクラスターをその責任から解放します。ハードウェア/ RAM/CPUリソースに関しては、ソフトウェアソリューションの実行は間違いなく問題ありません。しかし、それは本当に問題ではありません。
もちろん、それは必要ではなく、ほとんどの人にとって、それは仕事を成し遂げるでしょう。 NICをファイアウォールVM専用にする場合を除き、仮想スイッチアップリンク全体でトラフィックがトロンボーンになる可能性があることを考慮してください。 (vMotionを実行できるようにする各ボックスでこれを行う必要があります)。
個人的に?専用のハードウェアの方が高額ではないため、私はそれを好みます。製造元から専用ハードウェアのパフォーマンス値を取得できますが、VMファイアウォールのパフォーマンスは、ホストのビジー状態に完全に主観的です。
私はソフトウェアの1つを試してみて、どうなるか見てください。今後、ハードウェアをインストールする必要がある場合は、インストールしてください。