Google нашел меня, люди, которые говорили, что запуск брандмауэра / маршрутизатора, поскольку виртуальная машина "опасна", но ни один из них не дает никаких объяснений, почему это так. Я также нашел сообщения от людей, которые успешно запускают брандмауэры, как на виртуальной машине.
У кого-нибудь есть опыт с этим?
Каковы были бы плюсы или минусы запуска брандмауэра / маршрутизатора на виртуальной машине в чем-то вроде proxmox vs ob физической машины?
Действительно правильный способ сделать что-то противоположно тому, как вы подходите, если безопасность является первостепенной задачей. Вы хотели бы запустить маршрутизатор / межсетевой экран на голом железе и разместить в нем виртуальную машину для стандартного использования на рабочем столе или на сервере.
Прости мою дерьмовую иллюстрацию MS Paint.
Если вы соединяете сетевую карту виртуальной машины и сетевую карту локальной сети (из "голой железной" ОС), они могут отображаться как один и тот же интерфейс "ЛВС" для целей межсетевого экрана или маршрутизации.
Большинство проблем безопасности было бы, если бы кто-то должен был подойти к консоли во время ее работы и отключить виртуальную машину маршрутизатора / брандмауэра или отключить мостовое соединение / отсоединить сетевой адаптер от виртуальной машины - или если бы кто-то должен был удаленно войти в систему и сделать это , Как всегда, существует вероятность, что вредоносное ПО может сделать что-то дурацкое.
Вы можете сделать это и использовать любое программное обеспечение для виртуальных машин, если хотите, но недостатком является то, что если вы используете что-то вроде ESX, вам потребуется RDP в настольную виртуальную машину вместо прямого доступа через консоль.
Существуют коммерческие продукты, такие как бывшие системы VSX "Check Point", которые обслуживают "виртуальные брандмауэры" на заданной аппаратной базе. Если мы говорим о VMWare или лучше облачного межсетевого экрана. Вы устанавливаете брандмауэр "в" облаке для сегментирования "внутренней" облачной »сети, а не для связи между облаком и другой сетью.
Производительность очень ограничена, а производительность в облаке - общая. Брандмауэр на основе ASIC может делать> 500GBps. Брандмауэр или коммутатор на базе VMware обеспечивает скорость менее 20 Гбит / с. К заявлению LAN NIC может подхватить грипп от проволоки. Вы также можете заявить, что любое промежуточное устройство, такое как коммутатор, маршрутизатор, ips, также может быть использовано транзитным трафиком.
Мы видим это в "искаженных" пакетах (или кадрах, фрагментах, сегментах и т.д.) Таким образом, можно утверждать, что использование "промежуточных" устройств небезопасно. Также немецкий NIST под названием BSI несколько лет назад заявил, что виртуальные маршрутизаторы (такие как VDC (контекст виртуального устройства - Cisco Nexus)) и VRF (переадресация виртуальных маршрутов) небезопасны. С точки зрения совместного использования ресурсов всегда есть риск. Пользователь может использовать ресурсы и снизить качество обслуживания для всех других пользователей. Какой глобально поставил бы под вопрос всю VLAN и оверлейные технологии (такие как VPN и MPLS).
Если у вас действительно высокие требования к безопасности, я бы использовал выделенное оборудование и выделенную сеть (включая выделенные линии!) Если вы спросите, является ли гипервизор (особенно в голом металле) особой проблемой безопасности в обычном сценарии ... Я бы сказал нет.
Как правило, виртуальная машина подключена к сети через мостовое соединение (т. Е. Сеть проходит через физический компьютер, на котором она работает). Использование виртуальной машины в качестве брандмауэра означает, что весь трафик может поступать на физический компьютер, затем пакеты отправляются на виртуальную машину, фильтруются и затем отправляются обратно на физический компьютер. Поскольку физический компьютер может принимать нефильтрованные пакеты и отвечает за распространение пакетов по остальной сети, его можно использовать для отправки нефильтрованных пакетов по сети.
