网络 – 硬件防火墙与VMware防火墙设备

我们的办公室正在讨论是否有必要在我们的VMWare集群上获得硬件防火墙或设置虚拟防火墙.

我们的环境包括3个服务器节点(16个核心,每个64 GB RAM),2x 1 GB交换机和iSCSI共享存储阵列.

假设我们将资源专用于VMWare设备,那么我们是否可以通过虚拟防火墙选择硬件防火墙?

如果我们选择使用硬件防火墙,那么像ClearOS这样的专用服务器防火墙与思科防火墙相比如何呢?

最佳答案
我一直不愿意在虚拟机中托管防火墙,原因如下:

>安全.

使用虚拟机管理程序,攻击面更宽.硬件防火墙通常具有强化的操作系统(只读fs,无构建工具),可以减少潜在系统危害的影响.防火墙应该保护主机,而不是相反.

>网络性能和可用性.

details We’ve seen在哪些坏NIC可以做(或不能),这是你想要避免的.虽然相同的错误可能会影响设备,但已选择硬件并且已知可以使用已安装的软件.毫无疑问,如果您遇到驱动程序问题,或者他们不建议使用任何硬件配置,软件供应商支持可能无法帮助您.

编辑:

我想像@Luke所说的那样补充说,许多硬件防火墙厂商都有高可用性解决方案,状态连接状态从主用单元传递到备用.我个人很满意w / Checkpoint(在旧的诺基亚IP710平台上).思科有ASAPIX故障转移/冗余,pfsense有CARP,IPCop有a plugin.Vyatta can do more (pdf),但它不仅仅是防火墙.

转载注明原文:网络 – 硬件防火墙与VMware防火墙设备 - 代码日志