Googling ने मुझे पाया कि लोग एक फ़ायरवॉल / राउटर को एक वर्चुअल मशीन के रूप में चला रहे हैं, जो "खतरनाक" है, लेकिन उनमें से कोई भी कोई कारण नहीं बताता कि ऐसा क्यों है। मुझे ऐसे लोगों के पोस्ट भी मिले, जो वर्चुअल मशीन की तरह सफलतापूर्वक फायरवॉल चला रहे हैं।
क्या किसी को इसके साथ कोई अनुभव है?
प्रॉक्सोमॉक्स बनाम फिजिकल मशीन जैसी किसी चीज़ में वर्चुअल मशीन पर फ़ायरवॉल / राउटर चलाने का क्या काम या बुरा होगा?
जवाबों:
वास्तव में चीजों को करने का सही तरीका यह है कि आप जिस तरह से संपर्क कर रहे हैं, उसके विपरीत है, अगर सुरक्षा एक सर्वोपरि चिंता है। आप नंगे धातु पर राउटर / फ़ायरवॉल चलाना चाहते हैं, और मानक डेस्कटॉप या सर्वर उपयोग के लिए वीएम की मेजबानी कर सकते हैं।
मेरे भद्दे एमएस पेंट चित्रण को क्षमा करें।
यदि आप वीएम के एनआईसी और लैन एनआईसी (नंगे धातु ओएस से) को पुल करते हैं, तो वे फायरवॉल या रूटिंग के प्रयोजनों के लिए समान "लैन" इंटरफ़ेस के रूप में दिखाई दे सकते हैं।
सुरक्षा के अधिकांश मुद्दे यह होगा कि यदि कोई व्यक्ति कंसोल पर जा रहा है तो यह आपके राउटर / फ़ायरवॉल वीएम को निष्क्रिय कर सकता है या वीएम से आपके एनआईसी को भंग / अक्षम कर सकता है - या यदि कोई सिस्टम में रिमोट करना चाहता है और ऐसा करता है । एक संभावना है, हमेशा की तरह, यह दुर्भावनापूर्ण सॉफ़्टवेयर कुछ निराला कर सकता है।
आप ऐसा कर सकते हैं, और यदि आप चाहते हैं तो किसी भी वीएम सॉफ़्टवेयर का उपयोग कर सकते हैं, लेकिन नुकसान यह है कि यदि आप ईएसएक्स जैसी किसी चीज़ का उपयोग करते हैं, तो आपको कंसोल के माध्यम से सीधे पहुंचने के बजाय डेस्कटॉप वीएम में आरडीपी की आवश्यकता होगी।
चेक प्वाइंट पूर्व "वीएसएक्स" सिस्टम जैसे वाणिज्यिक उत्पाद हैं जो किसी दिए गए हार्डवेयर बेस पर "वर्चुअल फायरवॉल" की सेवा करते हैं। अगर हम VMWare या बेहतर क्लाउड आधारित फ़ायरवॉलिंग के बारे में बात करते हैं। आप "फ़ायरवॉल" को "क्लाउड" को "आंतरिक" क्लाउड "नेटवर्क" सेगमेंट करने के लिए सेटअप करते हैं न कि क्लाउड और किसी अन्य नेटवर्क के बीच संचार।
प्रदर्शन बहुत सीमित है और एक क्लाउड में प्रदर्शन साझा किया जाता है। एक asic- आधारित फ़ायरवॉल कर सकते हैं> 500GBps। VMware आधारित फ़ायरवॉल या स्विच <20GBps करता है। बयान के लिए LAN NIC तार से एक फ्लू पकड़ सकता है। आप यह भी बता सकते हैं कि कोई भी इंटरमीडिएट डिवाइस जैसे स्विच, राउटर, ips ट्रांस-ट्रैफिक द्वारा शोषण कर सकते हैं।
हम इसे "विकृत" पैकेट (उर्फ फ्रेम, टुकड़े, खंड आदि) में देखते हैं, इसलिए कोई व्यक्ति "मध्यवर्ती" उपकरणों का उपयोग कर सकता है जो असुरक्षित है। इसके अलावा बीएसआई नामक जर्मन एनआईएसटी ने कुछ साल पहले कहा था कि वर्चुअल रूटर्स (जैसे वीडीसी (वर्चुअल डिवाइस कॉन्सेप्ट - सिस्को नेक्सस)) और वीआरएफ (वर्चुअल रूट फ़ॉरवर्डिंग) असुरक्षित है। एक दृष्टिकोण से, संसाधनों को साझा करना हमेशा एक जोखिम होता है। उपयोगकर्ता संसाधनों का दोहन कर सकते हैं और अन्य सभी उपयोगकर्ताओं के लिए सेवा की गुणवत्ता को कम कर सकते हैं। जो विश्व स्तर पर संपूर्ण वीएलएएन और ओवरले प्रौद्योगिकियों (जैसे वीपीएन और एमपीएलएस) को प्रश्न में रखेगा।
यदि आपके पास सुरक्षा पर वास्तव में उच्च मांग है, तो मैं समर्पित हार्डवेयर और समर्पित नेटवर्क (समर्पित लाइनों सहित!) का उपयोग करूंगा यदि आप पूछते हैं कि क्या हाइपरवाइज़र (विशेष रूप से नंगे धातु में) एक आम परिदृश्य में एक विशेष सुरक्षा समस्या है ... तो मैं कहूंगा कि नहीं ।
आमतौर पर, एक वर्चुअल मशीन नेटवर्क से एक ब्रिड्ड कनेक्शन के माध्यम से जुड़ा होता है (यानी नेटवर्किंग उस भौतिक कंप्यूटर से गुजरती है जो उस पर चल रही है)। VM को फ़ायरवॉल के रूप में उपयोग करने का अर्थ है कि सभी ट्रैफ़िक भौतिक कंप्यूटर में आ सकते हैं, फिर पैकेट VM को भेजे जाते हैं, फ़िल्टर्ड किए जाते हैं और फिर भौतिक कंप्यूटर पर वापस भेजे जाते हैं। चूंकि भौतिक कंप्यूटर अनफ़िल्टर्ड पैकेट ले सकता है और पैकेट को बाकी नेटवर्क में वितरित करने के लिए ज़िम्मेदार है, इसलिए नेटवर्क के आसपास अनफ़िल्टर्ड पैकेट भेजना शोषक है।