Pare-feu matériel vs pare-feu VMware

Nous avons un débat dans notre bureau pour savoir s'il est nécessaire d'obtenir un pare-feu matériel ou d'en configurer un virtuel sur notre cluster VMWare.

Notre environnement se compose de 3 nœuds de serveur (16 cœurs avec 64 Go de RAM chacun) sur 2 commutateurs de 1 Go avec une baie de stockage partagée iSCSI.

En supposant que nous consacrerions des ressources aux appliances VMWare, aurions-nous un avantage à choisir un pare-feu matériel plutôt qu'un pare-feu virtuel?

Si nous choisissons d'utiliser un pare-feu matériel, comment un pare-feu de serveur dédié avec quelque chose comme ClearOS se comparerait-il à un pare-feu Cisco?

J'ai toujours hésité à héberger un pare-feu dans une machine virtuelle, pour plusieurs raisons:

• La sécurité .

Avec un hyperviseur, la surface d'attaque est plus large. Les pare-feu matériels ont généralement un système d'exploitation renforcé (lecture seule, aucun outil de génération) qui réduira l'impact d'un compromis potentiel sur le système. Les pare-feu doivent protéger les hôtes, et non l'inverse.

• Performances et disponibilité du réseau .

Nous avons vu en détail ce que les mauvaises cartes réseau peuvent faire (ou ne peuvent pas), et c'est quelque chose que vous voulez éviter. Bien que les mêmes bogues puissent affecter les appliances, le matériel a été sélectionné et est connu pour fonctionner avec le logiciel installé. Il va sans dire que le support du fournisseur de logiciels peut ne pas vous aider si vous rencontrez des problèmes avec les pilotes ou avec une configuration matérielle qu'ils ne recommandent pas.

Éditer:

Je voulais ajouter, comme l'a dit @Luke, que de nombreux fournisseurs de pare-feu matériels ont des solutions de haute disponibilité, avec un état de connexion dynamique passé de l'unité active à la veille. J'ai été personnellement satisfait de Checkpoint (sur les anciennes plates-formes nokia IP710). Cisco a un basculement / redondance ASA et PIX , pfsense a CARP et IPCop a un plugin . Vyatta peut faire plus (pdf) , mais c'est plus qu'un pare-feu.

En supposant que le logiciel est le même (généralement pas), les pare - feu virtuels peuvent être meilleurs qu'un pare-feu physique car vous avez une meilleure redondance. Un pare-feu est juste un serveur avec CPU, RAM et adaptateurs de liaison montante. C'est le même argument qu'un serveur Web physique vers un serveur virtuel. Si le matériel tombe en panne, un serveur virtuel peut être migré automatiquement vers un autre hôte. Le seul temps d'arrêt est le temps nécessaire pour que le pare-feu virtuel soit migré vers un autre hôte, et peut-être le temps nécessaire au démarrage du système d'exploitation.

Un pare-feu physique est lié aux ressources dont il dispose. Un pare-feu virtuel est limité aux ressources à l'intérieur d'un hôte. Généralement, le matériel x86 est beaucoup moins cher que celui d'un pare-feu d'entreprise physique. Ce que vous devez considérer est le coût du matériel, plus le coût du logiciel (si vous n'utilisez pas l'open source), plus le coût de votre temps (qui dépendra du fournisseur de logiciel avec lequel vous allez). Après avoir comparé le coût, quelles fonctionnalités obtenez-vous de chaque côté?

Lorsque l'on compare des pare-feu, virtuels ou physiques, cela dépend vraiment de l'ensemble de fonctionnalités. Les pare-feu Cisco ont une fonctionnalité appelée HSRP qui vous permet d'exécuter deux pare-feu comme un (maître et esclave) pour le basculement. Les pare-feu non Cisco ont une technologie similaire appelée VRRP. Il y a aussi CARP.

Lorsque vous comparez un pare-feu physique à un pare-feu virtuel, assurez-vous de comparer les pommes aux pommes. Quelles fonctionnalités sont importantes pour vous? À quoi ressemble la configuration? Ce logiciel est-il utilisé par d'autres entreprises?

Si vous avez besoin d'un routage puissant, Vyatta est un bon pari. Il a des capacités de pare-feu. Il a une console de configuration très similaire à Ciso. Ils ont une édition communautaire gratuite sur vyatta.org et une version prise en charge (avec quelques fonctionnalités supplémentaires) sur vyatta.com. La documentation est très propre et simple.

Si vous avez besoin d'un pare-feu puissant, jetez un œil à pfSense. Il peut également faire du routage.

Nous avons décidé d'exécuter deux instances Vyatta avec VRRP sur nos hôtes ESXi. Pour obtenir la redondance dont nous avions besoin avec Cisco (deux alimentations par pare-feu, deux pare-feu), cela aurait coûté 15 à 30 000 $. Pour nous, l'édition communautaire Vyatta était une bonne option. Il a une interface en ligne de commande uniquement, mais avec la documentation, il était facile à configurer.

J'utilise du matériel dédié car il est spécialement conçu. Avoir une appliance est pratique à cet égard, surtout s'il s'agit d'un point de terminaison VPN ou d'une autre passerelle. Cela libère votre cluster VMWare de cette responsabilité. En termes de ressources matérielles / RAM / CPU, l'exécution d'une solution logicielle est vraiment bien. Mais ce n'est pas vraiment une préoccupation.

Bien sûr, ce n'est pas nécessaire, et pour la plupart des gens, cela fera le travail. Prenez simplement en compte le fait que votre trafic peut tromboner sur vos liaisons montantes de commutateur virtuel, sauf si vous dédiez des cartes réseau à la machine virtuelle du pare-feu. (Vous devrez le faire sur chaque boîte sur laquelle vous souhaitez pouvoir vMotion).

Personnellement? Je préfère le matériel dédié car ce n'est vraiment pas si cher. Vous pouvez obtenir des chiffres de performances sur le matériel dédié auprès du fabricant, mais les performances de votre pare-feu VM sont complètement subjectives à l'occupation de vos hôtes.

Je dis essayer le logiciel, voir comment ça se passe. Si vous avez besoin d'installer un matériel sur la route, faites-le.