在超级V上运行防火墙(IPCop)

Question

我目前使用IPCop作为我们的公司防火墙& VPN。我希望合并多个服务器，并考虑在整合中包括防火墙服务器。目前，我计划将Server 2008与Hyper-V一起用于虚拟化。有没有人尝试过虚拟化IPCop？有什么我应该知道的吗？特别是，IPCop对NIC的硬件支持有限-- VM将看到哪些硬件用于网卡？

Answer 1

一般来说，我建议不要虚拟化防火墙。这是另一个不安全的地方。网络过滤器，VPN集中器，是-周长fw，否。

不过，我想说的是，如果你要这么做的话，它可能会奏效。我为SmoothWall工作(我们的GPL防火墙是IPCop的爷爷)，我们有超级v的一些网络过滤产品可以。

不过，我最后一次看到的是，在linux下，您只能使用一个处理器内核--因此，如果需要高性能，这可能是一个问题--尽管对于一个简单的防火墙任务来说，一个内核应该足够了。

Answer 2

在过去一年的生产中，我在Hyper上使用了几个IPCop虚拟机.对于低吞吐量的使用，它们通常可以正常工作。

我经历了以下问题：

• 您需要使用“传统网络适配器”，而不是“Integration”。
• 当然，关闭与虚拟机共享主机时间的集成服务，可能会导致一些令人困惑的问题。
• 吞吐量很差。我让IPCop在Quad 3+Ghz核心2机器上运行虚拟化。IPCop盒被限制在一个虚拟CPU上，但是处理器的使用比预期的要高得多。禁用Snort在一定程度上有所帮助，并显着地减少了内存使用。不过，我的最大吞吐量约为20 20Mbps。我认为这个问题可能与传统网络适配器的使用有关。
• 当暴露在持续高连接数小时的情况下，IPCop防火墙可以挂起。我一直未能诊断出这个问题的根源。web接口仍然是可访问的，可以通过此或Hyper-V管理接口重置VM以修复问题(暂时)。

我还没有找到一个更好的解决方案，一个超级V虚拟化防火墙。Endian防火墙似乎显示了更明显的吞吐量限制(在相同的硬件/ VM设置中，吞吐量限制为5 5Mbps )。更好的解决方案的建议将是非常欢迎的！

Answer 3

我强烈建议不与其他系统共享防火墙框。

也就是说，我确实虚拟化了我的防火墙。使用XenServer在一个物理盒中使用一个VM。我这样做的原因:快照能力和非常快速的恢复(抓取另一个框，安装XenServer，导入.xva)