हार्डवेयर फ़ायरवॉल बनाम VMware फ़ायरवॉल उपकरण

16

हमारे कार्यालय में यह बहस चल रही है कि हार्डवेयर फ़ायरवॉल प्राप्त करना आवश्यक है या हमारे VMWare क्लस्टर पर वर्चुअल सेट अप करना आवश्यक है।

हमारे वातावरण में 3 सर्वर नोड्स (16 कोर w / 64 जीबी रैम प्रत्येक) 2x 1 जीबी स्विच डब्ल्यू / एक iSCSI भंडारण संग्रहण सरणी से अधिक हैं।

यह मानते हुए कि हम संसाधनों को VMWare उपकरणों के लिए समर्पित कर रहे हैं, क्या हमें एक आभासी एक से अधिक हार्डवेयर फ़ायरवॉल चुनने का कोई लाभ होगा?

यदि हम एक हार्डवेयर फ़ायरवॉल का उपयोग करना चुनते हैं, तो एक समर्पित सर्वर फ़ायरवॉल w / कुछ कैसे होगा जैसे ClearOS की तुलना सिस्को फ़ायरवॉल से करता है?

— ल्यूक
स्रोत

1

हार्डवेयर फ़ायरवॉल बनाम का लगभग एक डुप्लिकेट सॉफ्टवेयर फ़ायरवॉल (आईपी टेबल्स, आरएचईएल) । यह बहस, योग्यता के बिना बहस, और समूह-विचार की भी संभावना है। इस बात का बेहद ध्यान रखें कि आप कन्फर्मेशन बायस के शिकार न हों , जहाँ आपको एक ऐसा उत्तर मिल जाए जो आपको लगता है कि इससे सहमत है, लेकिन जहाँ कोई तार्किक तर्क, तथ्य या अन्य आधार नहीं है।

— क्रिस एस।

11

मैं हमेशा एक आभासी मशीन में फ़ायरवॉल होस्ट करने के लिए अनिच्छुक रहा हूँ, कुछ कारणों से:

सुरक्षा ।

हाइपरविजर के साथ, हमले की सतह व्यापक है। हार्डवेयर फायरवॉल में आमतौर पर एक कठोर ओएस (रीड-ओनली एफएस, नो बिल्ड टूल्स) होता है, जो संभावित सिस्टम समझौता के प्रभाव को कम करेगा। फायरवॉल को मेजबानों की सुरक्षा करनी चाहिए, न कि दूसरे तरीके से।

नेटवर्क प्रदर्शन और उपलब्धता ।

हमने विवरण में देखा है कि एनआईसी क्या बुरा कर सकता है (या नहीं कर सकता है), और वह ऐसी चीज है जिससे आप बचना चाहते हैं। जबकि समान बग उपकरणों को प्रभावित कर सकते हैं, हार्डवेयर को चुना गया है और स्थापित सॉफ़्टवेयर के साथ काम करने के लिए जाना जाता है। यह कहे बिना जाता है कि सॉफ़्टवेयर विक्रेता समर्थन आपकी मदद नहीं कर सकता है यदि आपके पास ड्राइवरों के साथ समस्या है, या किसी भी हार्डवेयर कॉन्फ़िगरेशन के साथ जो वे अनुशंसा नहीं करते हैं।

संपादित करें:

मैं जोड़ना चाहता था, जैसे @ ल्यूक ने कहा, कि बहुत सारे हार्डवेयर फ़ायरवॉल विक्रेताओं के पास उच्च उपलब्धता समाधान हैं, जो कि स्टेटफुल कनेक्शन स्टेट को सक्रिय इकाई से स्टैंडबाय में पारित किया गया है। मैं व्यक्तिगत रूप से संतुष्ट हो गया है w / चेकपॉइंट (पुराने नोकिया IP710 प्लेटफार्मों पर)। सिस्को है एएसए और PIX विफलता / अतिरेक, pfSense है कार्प और IPCop है एक प्लगइन । व्याट अधिक (पीडीएफ) कर सकता है , लेकिन यह एक फ़ायरवॉल से अधिक है।

— Petrus
स्रोत

1

+1 करने के लिए "फ़ायरवॉल को मेजबानों की सुरक्षा करनी चाहिए, न कि दूसरे तरीके से।"

— ewwhite

यदि आप अपने हाइपरवाइज़र को अपने फ़ायरवॉल के सामने रखते हैं, तो सुनिश्चित करें कि आप खुद को उजागर कर रहे हैं। लेकिन यह एक नेटवर्क सुरक्षा समस्या (एडमिन एरर) है, वर्चुअलाइजेशन का दोष नहीं है। सुरक्षा की बात आते ही वेंडर की पसंद निश्चित रूप से एक चिंता का विषय है। ध्यान रखें कि सिस्को आभासी उपकरण भी प्रदान करता है। सही हार्डवेयर चुनना बहुत महत्वपूर्ण है। लेकिन उम्मीद है कि आप पहले से ही अपने सर्वर के लिए ऐसा कर रहे हैं। यह भी ध्यान रखें कि "होस्ट" सिर्फ हार्डवेयर है। वर्चुअल सर्वर अभी भी फ़ायरवॉल (वस्तुतः) से पीछे हैं। यह किसी भी तरह पीछे नहीं है।

— ल्यूक

@ अपने फ़ायरवॉल हाइपरवाइजर की दया पर है; यही अंतर है।

— ग्रेवीफेस

1

@Luke: No. वर्चुअलाइज्ड fw में जाने के लिए, पैकेट्स को होस्ट फिजिकल निक के माध्यम से प्रवाहित करना होगा। भले ही हाइपरवाइज़र / होस्ट का IP पता फ़ायरवॉल के बाहर से नहीं पहुंच पा रहा हो, फिर भी खराब पैकेट को ड्राइवर और हाइपरवाइज़र कोड (इसलिए अटैक वैक्टर की संख्या में वृद्धि) द्वारा संसाधित किया जाएगा।

— 21

1

यह ध्यान रखना दिलचस्प है कि ये सिस्को मशीनें ब्रॉडकॉम निक्स ( cisco.com/en/US/prod/collateral/ps10265/ps10493/… ) का भी उपयोग करती हैं । मुझे लगता है कि हम सभी जानते हैं कि 'हार्डवेयर' फायरवॉल अनुकूलित * निक्स ऑपरेटिंग सिस्टम के साथ शेल्फ चिप्स से ज्यादा कुछ नहीं है। दोनों में ड्राइवर हैं; दोनों एक ही संभावित कमजोरियों के अधीन हैं। मुझे किसी भी सुरक्षा दोष की जांच करने में खुशी होगी जो वर्चुअलाइजेशन के लिए अद्वितीय हैं। मुझे नहीं लगता कि आप व्यापक निर्णय ले सकते हैं जिसके बारे में बेहतर है। बल्कि, केस समाधान के आधार पर आपके समाधान का विश्लेषण किया जाएगा।

— ल्यूक

9

यह मानते हुए कि सॉफ्टवेयर समान है (आमतौर पर नहीं), वर्चुअल फायरवॉल एक भौतिक फ़ायरवॉल से बेहतर हो सकता है क्योंकि आपके पास बेहतर अतिरेक है। एक फ़ायरवॉल सिर्फ सीपीयू, रैम और अपलिंक एडेप्टर के साथ एक सर्वर है। यह एक भौतिक वेब सर्वर के रूप में एक ही तर्क एक आभासी छंद है। यदि हार्डवेयर विफल हो जाता है, तो वर्चुअल सर्वर अपने आप दूसरे होस्ट में माइग्रेट हो सकता है। वर्चुअल फ़ायरवॉल के लिए केवल डाउनटाइम की मात्रा है जो किसी अन्य होस्ट को माइग्रेट की जाती है, और शायद OS को बूट करने में लगने वाला समय।

एक भौतिक फ़ायरवॉल संसाधनों के लिए बाध्य है। एक वर्चुअल फ़ायरवॉल एक होस्ट के अंदर संसाधनों तक सीमित है। आमतौर पर x86 हार्डवेयर एक भौतिक उद्यम फ़ायरवॉल की तुलना में बहुत सस्ता है। आपको जो विचार करना है वह हार्डवेयर की लागत, प्लस लागत (यदि ओपन सोर्स का उपयोग नहीं कर रहा है), और आपके समय की लागत (जो आपके साथ जाने वाले सॉफ़्टवेयर विक्रेता पर निर्भर करेगा) है। आपके द्वारा लागत की तुलना करने के बाद, आपको दोनों तरफ क्या सुविधाएँ मिल रही हैं?

फायरवॉल, वर्चुअल या फिजिकल की तुलना करते समय, यह वास्तव में फीचर सेट पर निर्भर करता है। सिस्को फायरवॉल में एचएसआरपी नामक एक सुविधा है जो आपको दो फायरवॉल को एक (मास्टर और दास) के रूप में चलाने में विफलता के लिए अनुमति देता है। गैर-सिस्को फायरवॉल में एक समान तकनीक है जिसे वीआरआरपी कहा जाता है। वहाँ भी CARP है।

जब एक भौतिक फ़ायरवॉल की तुलना आभासी से करें तो सुनिश्चित करें कि आप सेब की तुलना सेब से कर रहे हैं। आपके लिए क्या विशेषताएं महत्वपूर्ण हैं? विन्यास कैसा है? क्या यह सॉफ्टवेयर अन्य उद्यमों द्वारा उपयोग किया जाता है?

यदि आपको शक्तिशाली मार्ग की आवश्यकता है, तो व्याट एक अच्छा दांव है। इसमें फ़ायरवॉल क्षमताएं हैं। इसमें बहुत ही सिसो-जैसे कॉन्फ़िगरेशन कंसोल है। उनके पास vyatta.org पर एक मुफ्त सामुदायिक संस्करण है और vyatta.com पर एक समर्थित संस्करण (कुछ अतिरिक्त उपलब्धि के साथ) है। प्रलेखन बहुत साफ और सीधा है।

यदि आपको एक शक्तिशाली फ़ायरवॉल की आवश्यकता है, तो pfSense पर एक नज़र डालें। यह रूटिंग भी कर सकते हैं।

हमने अपने ईएसएक्सआई मेजबानों पर वीआरआरपी के साथ दो व्याट इंस्टेंसेस चलाने का फैसला किया। सिस्को के साथ हमें अतिरेक पाने के लिए (प्रति फायरवॉल दो बिजली की आपूर्ति, दो फायरवॉल) इसकी लागत $ 15-30k होगी। हमारे लिए व्याट समुदाय संस्करण एक अच्छा विकल्प था। इसमें एक कमांड लाइन केवल इंटरफ़ेस है, लेकिन प्रलेखन के साथ इसे कॉन्फ़िगर करना आसान था।

— ल्यूक
स्रोत

5

अच्छा उत्तर। हमने हार्डवेयर और सॉफ्टवेयर उपकरणों के असंख्य उपयोग किए हैं - और इस तथ्य को देखते हुए कि आप पीएफएसएन पर कम-अंत x86 मशीन पर लाइन-रेट 1Gbps @ 64Bytes को धक्का दे सकते हैं, इसका कोई ब्रेनर नहीं है। समर्पित हार्डवेयर फ़ायरवॉल उपकरण आमतौर पर उन प्रकार की संख्याओं को करने के लिए £ 10k मार्क के आसपास होते हैं।

— बेन लेसानी - सोनासी

यह इस बात पर निर्भर करता है कि फ़ायरवॉल एंडपॉइंट डिवाइस के रूप में है या नहीं। मैंने स्टोरेज इश्यू या नेटवर्किंग समस्याओं के कारण कई VMWare क्लस्टर को मरते देखा है। आमतौर पर, HA चीजों का ध्यान रखता है, लेकिन मैं उस वातावरण में फायरवॉल सेटअप के साथ एक विशेष मुद्दे को देख सकता था। क्या यह पूर्ण HA / vMotion / DRS सेटअप है?

— 20

@ पूरी तरह से, पूर्ण हा / भावना / DRS। वीआरआरपी और गर्म विफलता के साथ व्याट के दो उदाहरण।

— ल्यूक

यदि संभव हो तो, मेरी प्राथमिकता एक वर्चुअलाइज्ड लेकिन एक डेडिकेटेड बॉक्स पर है।

— रोबिन गिल

8

मैं समर्पित हार्डवेयर के साथ जाता हूं क्योंकि यह उद्देश्य-निर्मित है। उस संबंध में एक उपकरण होना आसान है, खासकर अगर यह वीपीएन एंडपॉइंट या कोई अन्य प्रवेश द्वार है। यह आपके VMWare क्लस्टर को उस जिम्मेदारी से मुक्त करता है। हार्डवेयर / रैम / सीपीयू संसाधनों के संदर्भ में, सॉफ़्टवेयर समाधान चलाना निश्चित रूप से ठीक है। लेकिन यह वास्तव में एक चिंता का विषय नहीं है।

— ewwhite
स्रोत

एक सीमांकन बिंदु के लिए +1।

— टॉम ओ'कॉनर

7

बेशक यह जरूरी नहीं है, और ज्यादातर लोगों के लिए, यह काम पूरा कर देगा। बस कुछ विचार करें कि जब तक आप फ़ायरवॉल वीएम को एनआईसी को समर्पित नहीं करते हैं, तब तक आपका ट्रैफ़िक आपके वर्चुअल स्विच अपलिंक पर ट्रॉम्बोन हो सकता है। (आपको वह प्रत्येक बॉक्स पर करना होगा जिसे आप vMotion करने में सक्षम होना चाहते हैं)।

व्यक्तिगत रूप से? मैं समर्पित हार्डवेयर पसंद करता हूं क्योंकि यह वास्तव में इतना महंगा नहीं है। आप निर्माता से समर्पित हार्डवेयर पर प्रदर्शन संख्या प्राप्त कर सकते हैं, लेकिन आपका वीएम फ़ायरवॉल प्रदर्शन पूरी तरह से व्यक्तिपरक है कि आपके मेजबान कितने व्यस्त हैं।

मैं कहता हूं कि सॉफ़्टवेयर को आज़माएं, देखें कि यह कैसे जाता है। यदि सड़क के नीचे आपको एक हार्डवेयर स्थापित करने की आवश्यकता है, तो ऐसा करें।

— SpacemanSpiff
स्रोत