Firewall de hardware vs dispositivo de firewall VMware

Tenemos un debate en nuestra oficina sobre si es necesario obtener un firewall de hardware o configurar uno virtual en nuestro clúster VMWare.

Nuestro entorno consta de 3 nodos de servidor (16 núcleos con 64 GB de RAM cada uno) sobre 2 interruptores de 1 GB con una matriz de almacenamiento compartido iSCSI.

Suponiendo que estaríamos dedicando recursos a los dispositivos VMWare, ¿tendríamos algún beneficio de elegir un firewall de hardware en lugar de uno virtual?

Si elegimos usar un firewall de hardware, ¿cómo se compararía un firewall de servidor dedicado con algo como ClearOS con un firewall de Cisco?

Siempre he sido reacio a alojar un firewall en una máquina virtual, por un par de razones:

• Seguridad .

Con un hipervisor, la superficie de ataque es más amplia. Los cortafuegos de hardware generalmente tienen un SO reforzado (fs de solo lectura, sin herramientas de compilación) que reducirá el impacto de un posible compromiso del sistema. Los firewalls deberían proteger a los hosts, no al revés.

• Rendimiento y disponibilidad de la red .

Hemos visto en detalle lo que las NIC malas pueden hacer (o no), y eso es algo que desea evitar. Si bien los mismos errores pueden afectar los dispositivos, el hardware se ha seleccionado y se sabe que funciona con el software instalado. No hace falta decir que el soporte del proveedor de software puede no ayudarte si tienes problemas con los controladores o con cualquier configuración de hardware que no recomienden.

Editar:

Quería agregar, como dijo @Luke, que muchos proveedores de firewall de hardware tienen soluciones de alta disponibilidad, con un estado de conexión con estado que pasa de la unidad activa al modo de espera. He quedado personalmente satisfecho con Checkpoint (en las antiguas plataformas nokia IP710). Cisco tiene conmutación por error / redundancia ASA y PIX , pfsense tiene CARP e IPCop tiene un complemento . Vyatta puede hacer más (pdf) , pero es más que un firewall.

Suponiendo que el software es el mismo (generalmente no lo es), los firewalls virtuales pueden ser mejores que un firewall físico porque tiene una mejor redundancia. Un firewall es solo un servidor con CPU, RAM y adaptadores de enlace ascendente. Es el mismo argumento que un servidor web físico y uno virtual. Si el hardware falla, se puede migrar un servidor virtual a otro host automáticamente. El único tiempo de inactividad es la cantidad de tiempo que lleva migrar el firewall virtual a otro host, y quizás el tiempo que tarda el SO en arrancar.

Un firewall físico está vinculado a los recursos que tiene. Un firewall virtual está limitado a los recursos dentro de un host. Por lo general, el hardware x86 es mucho más barato que el de un firewall empresarial físico. Lo que debe tener en cuenta es el costo del hardware, más el costo del software (si no utiliza código abierto), más el costo de su tiempo (que dependerá del proveedor de software con el que vaya). Después de comparar el costo, ¿qué características está obteniendo en ambos lados?

Al comparar cortafuegos, virtuales o físicos, realmente depende del conjunto de características. Los firewalls de Cisco tienen una característica llamada HSRP que le permite ejecutar dos firewalls como uno (maestro y esclavo) para la conmutación por error. Los firewalls que no son de Cisco tienen una tecnología similar llamada VRRP. También hay CARP.

Al comparar un cortafuegos físico con uno virtual, asegúrese de hacer una comparación de manzanas con manzanas. ¿Qué características son importantes para ti? ¿Cómo es la configuración? ¿Este software es utilizado por otras empresas?

Si necesita una ruta potente, Vyatta es una buena apuesta. Tiene capacidades de firewall. Tiene una consola de configuración muy parecida a Ciso. Tienen una edición comunitaria gratuita en vyatta.org y una versión compatible (con algunas características adicionales) en vyatta.com. La documentación es muy limpia y directa.

Si necesita un poderoso firewall, eche un vistazo a pfSense. También puede hacer enrutamiento.

Decidimos ejecutar dos instancias de Vyatta con VRRP en nuestros hosts ESXi. Para obtener la redundancia que necesitábamos con Cisco (dos fuentes de alimentación por firewall, dos firewalls), habría costado $ 15-30k. Para nosotros, la edición comunitaria de Vyatta fue una buena opción. Tiene una interfaz de línea de comando solamente, pero con la documentación fue fácil de configurar.

Voy con hardware dedicado porque está especialmente diseñado. Tener un dispositivo es útil a ese respecto, especialmente si se trata de un punto final VPN o alguna otra puerta de enlace. Libera su clúster VMWare de esa responsabilidad. En términos de recursos de hardware / RAM / CPU, ejecutar una solución de software definitivamente está bien. Pero eso no es realmente una preocupación.

Por supuesto, no es necesario, y para la mayoría de las personas, hará el trabajo. Solo tenga en cuenta que su tráfico puede trombonizar a través de los enlaces ascendentes de su conmutador virtual a menos que dedique NIC a la máquina virtual del firewall. (Tendrá que hacer esto en cada casilla en la que desee poder hacer vMotion).

¿Personalmente? Prefiero hardware dedicado porque realmente no es tan caro. Puede obtener números de rendimiento en el hardware dedicado del fabricante, pero el rendimiento de su firewall de VM es completamente subjetivo de lo ocupados que están sus hosts.

Le digo que pruebe el software y vea cómo funciona. Si en el futuro necesita instalar uno de hardware, entonces hágalo.