ハードウェアファイアウォールとVMwareファイアウォールアプライアンス

オフィスでは、ハードウェアファイアウォールを取得する必要があるか、VMWareクラスターで仮想ファイアウォールを設定する必要があるかについて議論しています。

環境は、iSCSI共有ストレージアレイを備えた2つの1 GBスイッチ上の3つのサーバーノード（それぞれ16 GBのRAMを備えた16コア）で構成されています。

リソースをVMWareアプライアンス専用にする場合、仮想ファイアウォールよりもハードウェアファイアウォールを選択するメリットはありますか？

ハードウェアファイアウォールを使用することを選択した場合、ClearOSなどの専用サーバーファイアウォールは、Ciscoファイアウォールと比較してどのようになりますか？

いくつかの理由から、仮想マシンでファイアウォールをホストすることを常に嫌がっていました。

• セキュリティ。

ハイパーバイザーを使用すると、攻撃対象範囲が広がります。通常、ハードウェアファイアウォールには、潜在的なシステム侵害の影響を軽減する強化されたOS（読み取り専用fs、ビルドツールなし）があります。ファイアウォールはホストを保護する必要がありますが、その逆ではありません。

• ネットワークのパフォーマンスと可用性。

悪いNICができること（またはできないこと）を詳細に見てきましたが、それは避けたいものです。同じバグがアプライアンスに影響する可能性がありますが、ハードウェアが選択されており、インストールされたソフトウェアで動作することがわかっています。ドライバーや、推奨されていないハードウェア構成に問題がある場合、ソフトウェアベンダーのサポートが役に立たないことは言うまでもありません。

編集：

@Lukeが言ったように、多くのハードウェアファイアウォールベンダーがアクティブなユニットからスタンバイに渡されるステートフルな接続状態を備えた高可用性ソリューションを追加したいと思いました。私は個人的にチェックポイントに満足しています（古いnokia IP710プラットフォーム上）。CiscoにはASAとPIXのフェールオーバー/冗長性があり、pfsenseにはCARPがあり、IPCopにはプラグインがあります。Vyatta はさらに多くのことができます（pdf）が、それはファイアウォール以上のものです。

ソフトウェアが同じであると仮定すると（通常はそうではありません）、冗長性が向上するため、仮想ファイアウォールは物理ファイアウォールよりも優れている可能性があります。ファイアウォールは、CPU、RAM、およびアップリンクアダプターを備えた単なるサーバーです。これは、物理的なWebサーバーと仮想的なWebサーバーの議論と同じです。ハードウェアに障害が発生した場合、仮想サーバーを別のホストに自動的に移行できます。唯一のダウンタイムは、仮想ファイアウォールが別のホストに移行されるのにかかる時間と、おそらくOSが起動するのにかかる時間です。

物理ファイアウォールは、それが持つリソースにバインドされています。仮想ファイアウォールは、ホスト内のリソースに制限されます。通常、x86ハードウェアは、物理的なエンタープライズファイアウォールのハードウェアよりもはるかに安価です。あなたが考慮しなければならないことは、コスト、ハードウェア、あるプラス（オープンソースを使用していない場合）ソフトウェアのコスト、プラス（あなたが一緒に行くのベンダーのソフトウェアによって異なります）お時間のコスト。コストを比較した後、どちらの機能を使用していますか？

仮想または物理ファイアウォールを比較するとき、それは本当に機能セットに依存します。CiscoファイアウォールにはHSRPと呼ばれる機能があり、2つのファイアウォールをフェールオーバー用に1つ（マスターとスレーブ）として実行できます。シスコ以外のファイアウォールには、VRRPと呼ばれる同様のテクノロジーがあります。CARPもあります。

物理ファイアウォールと仮想ファイアウォールを比較するときは、リンゴとリンゴを比較していることを確認してください。あなたにとって重要な機能は何ですか？構成はどのようなものですか？このソフトウェアは他の企業で使用されていますか？

強力なルーティングが必要な場合は、Vyattaが最適です。ファイアウォール機能があります。非常にCisoのような構成コンソールがあります。vyatta.orgには無料のコミュニティエディションがあり、vyatta.comにはサポートされているバージョン（いくつかの追加機能）があります。ドキュメントは非常に簡潔でわかりやすいものです。

強力なファイアウォールが必要な場合は、pfSenseをご覧ください。また、ルーティングを行うこともできます。

ESXiホストでVRRPを使用して2つのVyattaインスタンスを実行することにしました。シスコで必要な冗長性（ファイアウォールごとに2つの電源、2つのファイアウォール）を得るには、15,000〜3万ドルかかりました。私たちにとって、Vyattaコミュニティエディションは良い選択肢でした。コマンドラインのみのインターフェイスがありますが、ドキュメントを使用すると簡単に構成できました。

専用のハードウェアを使用するのは、専用であるためです。その点で、特にVPNエンドポイントまたは他のゲートウェイである場合、アプライアンスを使用すると便利です。VMWareクラスターをその責任から解放します。ハードウェア/ RAM / CPUリソースに関しては、ソフトウェアソリューションの実行は間違いなく問題ありません。しかし、それは本当に心配ではありません。

もちろん、それは必要ではありません、そして、ほとんどの人にとって、それは仕事を終わらせます。NICをファイアウォールVM専用にしない限り、トラフィックが仮想スイッチアップリンク全体でトロンボーンを引き起こす可能性があることを考慮してください。（vMotionを実行できるようにする各ボックスでこれを行う必要があります）。

個人的に？私は専用のハードウェアが好きです。なぜならそれほど高価ではないからです。製造元の専用ハードウェアでパフォーマンスの数値を取得できますが、VMファイアウォールのパフォーマンスは、ホストの混雑度に完全に左右されます。

私はソフトウェアを試してみて、それがどうなるか見てみましょう。将来的にハードウェアをインストールする必要がある場合は、インストールしてください。