硬件防火墙与VMware防火墙设备

Modified on: Thu, 07 Nov 2019 19:40:02 +0800

我们的办公室正在讨论是否需要在我们的VMWare集群上安装硬件防火墙或设置虚拟防火墙。

我们的环境包括3个服务器节点(16个核心,每个64 GB RAM),2x 1 GB交换机和iSCSI共享存储阵列。

假设我们将资源专用于VMWare设备,那么我们是否可以在虚拟防火墙上选择硬件防火墙?

如果我们选择使用硬件防火墙,那么像ClearOS这样的专用服务器防火墙如何与思科防火墙相比?

作者:,Luke

最佳答案

假设软件是相同的(通常不是),虚拟防火墙可以比物理防火墙更好,因为你有更好的冗余。防火墙只是一个带有CPU,RAM和上行链路适配器的服务器。它与物理Web服务器与虚拟Web服务器相同。如果硬件发生故障,则可以自动将虚拟服务器迁移到其他主机。唯一的停机时间是虚拟防火墙迁移到另一台主机所需的时间,也许是操作系统启动所需的时间。

物理防火墙绑定到它拥有的资源。虚拟防火墙仅限于主机内的资源。通常,x86硬件比物理企业防火墙便宜得多。您需要考虑的是硬件的成本,加上软件的成本(如果不使用开源),加上您的时间成本(这将取决于你去的软件供应商)。比较成本后,你会得到哪些功能?

比较防火墙,虚拟或物理防火墙时,它实际上取决于功能集。思科防火墙具有一项称为HSRP的功能,允许您将两个防火墙作为一个(主站和从站)运行以进行故障转移。非思科防火墙具有类似的VRRP技术。还有CARP。

将物理防火墙与虚拟防火墙进行比较时,请确保进行苹果与苹果的比较。哪些功能对您很重要?配置是什么样的?该软件是否被其他企业使用?

如果你需要强大的路由,Vyatta是一个不错的选择。它具有防火墙功能。它有一个非常类似Ciso的配置控制台。他们在vyatta.org上有一个免费的社区版本,在vyatta.com上有一个支持的版本(有一些额外的功能)。文档非常简洁明了。

如果您需要强大的防火墙,请查看pfSense。它也可以做路由。

我们决定在ESXi主机上运行两个带VRRP的Vyatta实例。为了获得思科所需的冗余(每个防火墙两个电源,两个防火墙),它将花费15-30万美元。对我们来说,Vyatta社区版是个不错的选择。它只有一个命令行界面,但是文档很容易配置。

作者:,Luke

相关问答

添加新评论