Firewall de hardware versus dispositivo de firewall VMware

Temos um debate em nosso escritório sobre se é necessário obter um firewall de hardware ou configurar um virtual em nosso cluster VMWare.

Nosso ambiente consiste em 3 nós de servidor (16 núcleos com 64 GB de RAM cada) sobre 2 x switches de 1 GB com um conjunto de armazenamento compartilhado iSCSI.

Supondo que dedicaríamos recursos aos dispositivos VMWare, teríamos algum benefício em escolher um firewall de hardware em vez de um virtual?

Se optarmos por usar um firewall de hardware, como um firewall de servidor dedicado com algo como o ClearOS se compara a um firewall da Cisco?

Sempre relutei em hospedar um firewall em uma máquina virtual, por alguns motivos:

• Segurança .

Com um hipervisor, a superfície de ataque é mais ampla. Os firewalls de hardware geralmente têm um SO reforçado (fs somente leitura, sem ferramentas de construção), o que reduzirá o impacto de um possível comprometimento do sistema. Os firewalls devem proteger os hosts, e não o contrário.

• Desempenho e disponibilidade da rede .

Vimos em detalhes o que as NICs ruins podem fazer (ou não), e isso é algo que você deseja evitar. Embora os mesmos erros possam afetar os dispositivos, o hardware foi selecionado e sabe-se que funciona com o software instalado. Escusado será dizer que o suporte do fornecedor do software pode não ajudá-lo se você tiver problemas com drivers ou com qualquer configuração de hardware que eles não recomendem.

Editar:

Eu queria acrescentar, como o @Luke disse, que muitos fornecedores de firewall de hardware têm soluções de alta disponibilidade, com o estado da conexão com estado passado da unidade ativa para a espera. Pessoalmente, fiquei satisfeito com o Checkpoint (em plataformas antigas do Nokia IP710). A Cisco possui failover / redundância ASA e PIX , o pfsense possui o CARP e o IPCop possui um plug-in . O Vyatta pode fazer mais (pdf) , mas é mais do que um firewall.

Supondo que o software seja o mesmo (geralmente não é), os firewalls virtuais podem ser melhores do que um firewall físico, porque você tem uma redundância melhor. Um firewall é apenas um servidor com adaptadores de CPU, RAM e uplink. É o mesmo argumento que um servidor da Web físico versus um virtual. Se o hardware falhar, um servidor virtual pode ser migrado para outro host automaticamente. O único tempo de inatividade é a quantidade de tempo que o firewall virtual leva para migrar para outro host e, talvez, o tempo necessário para a inicialização do sistema operacional.

Um firewall físico está vinculado aos recursos que possui. Um firewall virtual é limitado aos recursos dentro de um host. Normalmente, o hardware x86 é muito mais barato que o de um firewall corporativo físico. O que você deve considerar é o custo do hardware, mais o custo do software (se não estiver usando código aberto), mais o custo do seu tempo (que dependerá do fornecedor do software que você escolher). Depois de comparar o custo, quais recursos você obtém dos dois lados?

Ao comparar firewalls, virtuais ou físicos, isso realmente depende do conjunto de recursos. Os firewalls da Cisco possuem um recurso chamado HSRP, que permite executar dois firewalls como um (mestre e escravo) para failover. Os firewalls que não são da Cisco têm uma tecnologia semelhante chamada VRRP. Há também CARP.

Ao comparar um firewall físico com um virtual, verifique se você está fazendo uma comparação de maçãs com maçãs. Quais recursos são importantes para você? Como é a configuração? Este software é usado por outras empresas?

Se você precisar de roteamento poderoso, Vyatta é uma boa aposta. Possui recursos de firewall. Possui um console de configuração semelhante ao Ciso. Eles têm uma edição comunitária gratuita em vyatta.org e uma versão suportada (com alguns feitos extras) em vyatta.com. A documentação é muito limpa e direta.

Se você precisar de um firewall poderoso, dê uma olhada no pfSense. Também pode fazer roteamento.

Decidimos executar duas instâncias do Vyatta com VRRP em nossos hosts ESXi. Para obter a redundância necessária com a Cisco (duas fontes de alimentação por firewall, dois firewalls), custaria entre US $ 15 e 30 mil. Para nós, a edição da comunidade Vyatta foi uma boa opção. Ele possui apenas uma interface de linha de comando, mas com a documentação foi fácil de configurar.

Eu uso hardware dedicado porque é construído especificamente para ele. Ter um dispositivo é útil nesse sentido, especialmente se for um ponto de extremidade da VPN ou algum outro gateway. Isso libera seu cluster VMWare dessa responsabilidade. Em termos de recursos de hardware / RAM / CPU, executar uma solução de software é definitivamente bom. Mas isso não é realmente uma preocupação.

Claro que não é necessário e, para a maioria das pessoas, ele fará o trabalho. Apenas faça algumas considerações de que seu tráfego pode atravessar os uplinks de comutador virtual, a menos que você dedique NICs à VM do firewall. (Você precisará fazer isso em cada caixa em que deseja poder vMotion).

Pessoalmente? Eu prefiro hardware dedicado porque realmente não é tão caro. Você pode obter os números de desempenho no hardware dedicado do fabricante, mas o desempenho do firewall da VM é completamente subjetivo ao grau de ocupação dos hosts.

Eu digo para experimentar o software, ver como vai. Se, no futuro, você precisar instalar um hardware, faça-o.