Pare-feu matériel vs pare-feu VMware

16

Nous avons un débat dans notre bureau pour savoir s'il est nécessaire d'obtenir un pare-feu matériel ou d'en configurer un virtuel sur notre cluster VMWare.

Notre environnement se compose de 3 nœuds de serveur (16 cœurs avec 64 Go de RAM chacun) sur 2 commutateurs de 1 Go avec une baie de stockage partagée iSCSI.

En supposant que nous consacrerions des ressources aux appliances VMWare, aurions-nous un avantage à choisir un pare-feu matériel plutôt qu'un pare-feu virtuel?

Si nous choisissons d'utiliser un pare-feu matériel, comment un pare-feu de serveur dédié avec quelque chose comme ClearOS se comparerait-il à un pare-feu Cisco?

Luc
la source
1
Presque un doublon de pare-feu matériel vs. Pare-feu logiciel (tables IP, RHEL) . Cela est également susceptible de susciter un débat, des arguments sans fondement et une réflexion de groupe. Soyez extrêmement prudent afin de ne pas être victime du biais de confirmation , où vous trouvez une réponse simple qui correspond à ce que vous pensez, mais où il n'y a aucun argument logique, fait ou autre base.
Chris S

Réponses:

11

J'ai toujours hésité à héberger un pare-feu dans une machine virtuelle, pour plusieurs raisons:

  • La sécurité .

Avec un hyperviseur, la surface d'attaque est plus large. Les pare-feu matériels ont généralement un système d'exploitation renforcé (lecture seule, aucun outil de génération) qui réduira l'impact d'un compromis potentiel sur le système. Les pare-feu doivent protéger les hôtes, et non l'inverse.

  • Performances et disponibilité du réseau .

Nous avons vu en détail ce que les mauvaises cartes réseau peuvent faire (ou ne peuvent pas), et c'est quelque chose que vous voulez éviter. Bien que les mêmes bogues puissent affecter les appliances, le matériel a été sélectionné et est connu pour fonctionner avec le logiciel installé. Il va sans dire que le support du fournisseur de logiciels peut ne pas vous aider si vous rencontrez des problèmes avec les pilotes ou avec une configuration matérielle qu'ils ne recommandent pas.

Éditer:

Je voulais ajouter, comme l'a dit @Luke, que de nombreux fournisseurs de pare-feu matériels ont des solutions de haute disponibilité, avec un état de connexion dynamique passé de l'unité active à la veille. J'ai été personnellement satisfait de Checkpoint (sur les anciennes plates-formes nokia IP710). Cisco a un basculement / redondance ASA et PIX , pfsense a CARP et IPCop a un plugin . Vyatta peut faire plus (pdf) , mais c'est plus qu'un pare-feu.

petrus
la source
1
+1 à "Les pare-feu devraient protéger les hôtes, et non l'inverse."
ewwhite
Si vous placez votre hyperviseur devant votre pare-feu, assurez-vous de vous exposer. Mais c'est un problème de sécurité réseau (erreur d'administration), pas un défaut de virtualisation. Le choix du fournisseur est définitivement une préoccupation en matière de sécurité. N'oubliez pas que Cisco fournit également des appliances virtuelles. Le choix du bon matériel est très important. Mais j'espère que vous le faites déjà pour vos serveurs. Gardez également à l'esprit qu'un "hôte" n'est que du matériel. Les serveurs virtuels sont toujours derrière le pare-feu (virtuellement). Ce n'est pas en quelque sorte à l'envers.
Luke
@Luke, votre pare-feu est à la merci de l'hyperviseur; c'est la différence.
gravyface
1
@Luke: Non. Pour accéder au fw virtualisé, les paquets doivent passer par le nic physique de l'hôte. Même si l'adresse IP de l'hyperviseur / hôte n'est pas accessible depuis l'extérieur du pare-feu, les mauvais paquets seront toujours traités par les pilotes et le code de l'hyperviseur (augmentant ainsi le nombre de vecteurs d'attaque).
petrus du
1
Il est intéressant de noter que ces machines Cisco utilisent également des cartes réseau Broadcom ( cisco.com/en/US/prod/collateral/ps10265/ps10493/… ). Je pense que nous savons tous que les pare-feu «matériels» ne sont rien d'autre que des puces standard avec des systèmes d'exploitation personnalisés * nix. Les deux ont des pilotes; Les deux sont soumis aux mêmes vulnérabilités possibles. Je serais ravi d'examiner toutes les failles de sécurité propres à la virtualisation. Je ne pense pas que vous puissiez porter de grands jugements sur ce qui est le mieux. Au contraire, votre solution doit être analysée au cas par cas.
Luke
9

En supposant que le logiciel est le même (généralement pas), les pare - feu virtuels peuvent être meilleurs qu'un pare-feu physique car vous avez une meilleure redondance. Un pare-feu est juste un serveur avec CPU, RAM et adaptateurs de liaison montante. C'est le même argument qu'un serveur Web physique vers un serveur virtuel. Si le matériel tombe en panne, un serveur virtuel peut être migré automatiquement vers un autre hôte. Le seul temps d'arrêt est le temps nécessaire pour que le pare-feu virtuel soit migré vers un autre hôte, et peut-être le temps nécessaire au démarrage du système d'exploitation.

Un pare-feu physique est lié aux ressources dont il dispose. Un pare-feu virtuel est limité aux ressources à l'intérieur d'un hôte. Généralement, le matériel x86 est beaucoup moins cher que celui d'un pare-feu d'entreprise physique. Ce que vous devez considérer est le coût du matériel, plus le coût du logiciel (si vous n'utilisez pas l'open source), plus le coût de votre temps (qui dépendra du fournisseur de logiciel avec lequel vous allez). Après avoir comparé le coût, quelles fonctionnalités obtenez-vous de chaque côté?

Lorsque l'on compare des pare-feu, virtuels ou physiques, cela dépend vraiment de l'ensemble de fonctionnalités. Les pare-feu Cisco ont une fonctionnalité appelée HSRP qui vous permet d'exécuter deux pare-feu comme un (maître et esclave) pour le basculement. Les pare-feu non Cisco ont une technologie similaire appelée VRRP. Il y a aussi CARP.

Lorsque vous comparez un pare-feu physique à un pare-feu virtuel, assurez-vous de comparer les pommes aux pommes. Quelles fonctionnalités sont importantes pour vous? À quoi ressemble la configuration? Ce logiciel est-il utilisé par d'autres entreprises?

Si vous avez besoin d'un routage puissant, Vyatta est un bon pari. Il a des capacités de pare-feu. Il a une console de configuration très similaire à Ciso. Ils ont une édition communautaire gratuite sur vyatta.org et une version prise en charge (avec quelques fonctionnalités supplémentaires) sur vyatta.com. La documentation est très propre et simple.

Si vous avez besoin d'un pare-feu puissant, jetez un œil à pfSense. Il peut également faire du routage.

Nous avons décidé d'exécuter deux instances Vyatta avec VRRP sur nos hôtes ESXi. Pour obtenir la redondance dont nous avions besoin avec Cisco (deux alimentations par pare-feu, deux pare-feu), cela aurait coûté 15 à 30 000 $. Pour nous, l'édition communautaire Vyatta était une bonne option. Il a une interface en ligne de commande uniquement, mais avec la documentation, il était facile à configurer.

Luc
la source
5
Bonne réponse. Nous avons utilisé une myriade d'appareils matériels et logiciels - et étant donné que vous pouvez pousser le débit de ligne 1 Gbit / s à 64 bits sur une machine x86 bas de gamme sur pFSense, c'est une évidence. Les appliances de pare-feu matériel dédiées se situent généralement autour de 10 000 £ pour effectuer ce genre de chiffres.
Ben Lessani - Sonassi
Cela dépend si le pare-feu est un périphérique d'extrémité. J'ai vu de nombreux clusters VMWare mourir en raison de problèmes de stockage ou de problèmes de réseau. Généralement, HA s'occupe des choses, mais je pouvais voir un problème particulier avec la configuration des pare-feu dans cet environnement. S'agit-il d'une configuration HA / vMotion / DRS complète?
ewwhite
@ewwhite Oui, HA / vMotion / DRS complet. Deux instances de Vyatta avec VRRP et basculement à chaud.
Luke
Si possible, ma préférence est d'en avoir un virtualisé mais un sur une box dédiée.
Robin Gill
8

J'utilise du matériel dédié car il est spécialement conçu. Avoir une appliance est pratique à cet égard, surtout s'il s'agit d'un point de terminaison VPN ou d'une autre passerelle. Cela libère votre cluster VMWare de cette responsabilité. En termes de ressources matérielles / RAM / CPU, l'exécution d'une solution logicielle est vraiment bien. Mais ce n'est pas vraiment une préoccupation.

ewwhite
la source
+1 pour un point de démarcation.
Tom O'Connor
7

Bien sûr, ce n'est pas nécessaire, et pour la plupart des gens, cela fera le travail. Prenez simplement en compte le fait que votre trafic peut tromboner sur vos liaisons montantes de commutateur virtuel, sauf si vous dédiez des cartes réseau à la machine virtuelle du pare-feu. (Vous devrez le faire sur chaque boîte sur laquelle vous souhaitez pouvoir vMotion).

Personnellement? Je préfère le matériel dédié car ce n'est vraiment pas si cher. Vous pouvez obtenir des chiffres de performances sur le matériel dédié auprès du fabricant, mais les performances de votre pare-feu VM sont complètement subjectives à l'occupation de vos hôtes.

Je dis essayer le logiciel, voir comment ça se passe. Si vous avez besoin d'installer un matériel sur la route, faites-le.

SpacemanSpiff
la source