虚拟防火墙与物理防火墙

Question

我读过这样的讨论：虚拟化路由器有危险吗？

我负责管理安装在不同SMB组织10-100用户中的几个防火墙.我们正在自定义硬件上安装Endian或PfSense。不幸的是(尤其是endian)，当我试图在不同的硬件上恢复配置时，我遇到了几个问题(不同的NIC等等)。

因此，我正在考虑虚拟化防火墙，从物理层引入一个层次的a操作，使机器“硬件独立”。

PRO:

• 硬件设备
• 易于缩放
• 易于备份

CON:

• 表现(比体力最差)

(在我的场景中)性能不会成为问题。

我担心可能的安全风险你怎么看？您会选择哪个Hypervisor (以及为什么)？还有其他的考虑吗？

谢谢您的答复。

Answer 1

原版海报有点晚了，但其他人读到.

我会坚持从你提到的那些pfSense。我在Netgate的硬件上部署了pfSense，在ESXi中虚拟化，在符合pfSense需求页面最低硬件规格的自定义防火墙设备上部署。为了安全起见，只要正确设置了ESXi配置，您就不会有任何与专用硬件一样的虚拟化问题。至少这是我的经验。如果您必须还原到具有不同网络硬件和软件设置的主机上的VM，则仍然会遇到恢复信任的问题。

我建议不要对防火墙进行虚拟化。如果您需要在高可用性安装中使用多个ESXi主机并使用vSAN，那么它会给设置增加很多复杂性，这可能会成为一个问题。阅读如何设置基本线索，然后尝试绘制如何使pfSense在混合中虚拟化。这是可能的，但当您增加的复杂性超出了普通管理员的故障排除能力时，这是不值得的。

当设置是简单的单一或孤立的主机，病毒很好的工作。当主机正在或可能成为HA的安装程序时，让pfSense虚拟化会使设置复杂化。与台式机和膝上型电脑不同的是，对于冗余，防火墙设备不会很快过时。这样，您就可以为HA配置两个pfSense硬件设备。即使在这种情况下，我还是建议在架子上放一个备用的，因为当大自然母亲在你的电网中发送的焦耳比你的浪涌保护器所能承受的还要多的时候。

Answer 2

使用像思科ASA 5505或5510防火墙这样的专用设备有什么问题？前者是便宜的，有良好的行业意识，当然没有你遇到的问题，硬件兼容性.你有多珍惜你的时间？

至于您当前的问题，您能将问题与特定的设备驱动程序隔离开来吗？为什么在需要恢复配置的情况下？硬件故障？您正在使用的定制硬件是否有从标准更改的原因？如果您对PFSense很满意，那么尝试解决这些问题可能是有意义的。

对于虚拟化解决方案，我习惯于看到人们为此目的使用VMware ESXi。虚拟机管理程序的网络堆栈已经成熟，性能、吞吐量和稳定性都不是问题。但是，现在的负担在于您的虚拟硬件，并使其足够强大。我认为你的成本和复杂性会增加。