হার্ডওয়্যার ফায়ারওয়াল বনাম ভিএমওয়্যার ফায়ারওয়াল অ্যাপ্লায়েন্সেস

আমাদের ভিএমওয়্যার ক্লাস্টারে একটি হার্ডওয়্যার ফায়ারওয়াল পাওয়া বা ভার্চুয়াল সেট আপ করা দরকার কিনা তা নিয়ে আমাদের অফিসে বিতর্ক চলছে।

আমাদের পরিবেশে 3x সার্ভার নোড (প্রতিটি 16 কোট ডাব্লু / 64 গিগাবাইট র‌্যাম) 2x 1 গিগাবাইটের ওপরে / একটি আইএসসিএসআই শেয়ার করা স্টোরেজ অ্যারে সমন্বিত।

ধরে নিলাম যে আমরা ভিএমওয়্যার অ্যাপ্লায়েন্সগুলিতে রিসোর্সগুলি উত্সর্গ করব, আমাদের ভার্চুয়ালটির চেয়ে একটি হার্ডওয়্যার ফায়ারওয়াল বেছে নেওয়ার কোনও সুবিধা কি হবে?

যদি আমরা একটি হার্ডওয়্যার ফায়ারওয়াল ব্যবহার করা চয়ন করি, তবে কীভাবে ডেডিকেটেড সার্ভার ফায়ারওয়াল ডাব্লু / ক্লিয়ারওএসের মতো কিছু সিসকো ফায়ারওয়ালের সাথে তুলনা করবে?

আমি সবসময় ভার্চুয়াল মেশিনে ফায়ারওয়াল হোস্ট করতে নারাজ ছিলাম, বেশ কয়েকটি কারণে:

• সুরক্ষা ।

হাইপাইভাইজারের সাহায্যে আক্রমণের পৃষ্ঠটি আরও বিস্তৃত। হার্ডওয়্যার ফায়ারওয়ালগুলিতে সাধারণত শক্ত ওএস থাকে (কেবল পঠনযোগ্য এফএস, কোনও বিল্ড সরঞ্জাম নেই) যা সম্ভাব্য সিস্টেমের আপোষের প্রভাবকে হ্রাস করবে। ফায়ারওয়ালগুলি অন্য উপায়ে নয়, হোস্টকে রক্ষা করা উচিত।

• নেটওয়ার্ক কর্মক্ষমতা এবং প্রাপ্যতা ।

আমরা দেখা করেছি মধ্যে বিস্তারিত কি খারাপ সংখ্যক NIC- গুলির কি করতে পারেন (অথবা করা যাবে না), এবং যে এর কোন কিছু যা আপনি এড়াতে চান। একই বাগগুলি অ্যাপ্লিকেশনগুলিকে প্রভাবিত করতে পারে, হার্ডওয়্যার নির্বাচন করা হয়েছে এবং এটি ইনস্টলড সফ্টওয়্যারটির সাথে কাজ করার জন্য পরিচিত। এটি বলা ছাড়াই যায় যে আপনার যদি ড্রাইভারদের সাথে সমস্যা হয় বা তারা যে সুপারিশ করেন না এমন কোনও হার্ডওয়্যার কনফিগারেশন নিয়ে সফ্টওয়্যার বিক্রেতার সমর্থন আপনাকে সহায়তা করতে পারে না।

সম্পাদনা:

আমি যোগ করতে চাইছিলাম, যেমন @ লুক বলেছেন, প্রচুর পরিমাণে হার্ডওয়্যার ফায়ারওয়াল বিক্রেতাদের উচ্চ প্রাপ্যতা সমাধান রয়েছে, রাষ্ট্রীয় সংযোগের রাজ্যটি সক্রিয় ইউনিট থেকে স্ট্যান্ডবাইতে চলে গেছে। আমি ব্যক্তিগতভাবে ডাব্লু / চেকপয়েন্টে সন্তুষ্ট হয়েছি (পুরানো নোকিয়া আইপি 710 প্ল্যাটফর্মগুলিতে)। সিসকো হয়েছে এএসএ এবং PIX ফেলওভার / অতিরেক, pfsense হয়েছে কার্প এবং IPCop হয়েছে একটি প্লাগইন । ভিট্টা আরও (পিডিএফ) করতে পারে তবে এটি ফায়ারওয়ালের চেয়ে বেশি।

সফ্টওয়্যারটি একই (সাধারণত হয় না) ধরে নেওয়া, ভার্চুয়াল ফায়ারওয়াল একটি ফিজিক্যাল ফায়ারওয়ালের চেয়ে ভাল হতে পারে কারণ আপনার আরও অনর্থক। ফায়ারওয়াল হ'ল সিপিইউ, র‌্যাম এবং আপলিংক অ্যাডাপ্টার সহ কেবল একটি সার্ভার। এটি একটি শারীরিক ওয়েব সার্ভারের ভার্চুয়ালটির আয়াত হিসাবে একই যুক্তি। হার্ডওয়্যার ব্যর্থ হলে ভার্চুয়াল সার্ভারটি অন্য হোস্টে স্বয়ংক্রিয়ভাবে স্থানান্তরিত হতে পারে। ভার্চুয়াল ফায়ারওয়ালটিকে অন্য হোস্টে স্থানান্তরিত করতে যে পরিমাণ সময় লাগে তা কেবলমাত্র ডাউনটাইম হয় এবং ওএস বুট করতে সময় লাগে perhaps

একটি শারীরিক ফায়ারওয়াল এটির সংস্থানগুলিতে আবদ্ধ। ভার্চুয়াল ফায়ারওয়াল একটি হোস্টের অভ্যন্তরীণ সংস্থানগুলিতে সীমাবদ্ধ। সাধারণত x86 হার্ডওয়্যার একটি ফিজিক্যাল এন্টারপ্রাইজ ফায়ারওয়ালের চেয়ে সস্তা। আপনার যা বিবেচনা করতে হবে তা হ'ল হার্ডওয়্যার, আরও সফটওয়্যারটির ব্যয় (যদি ওপেন সোর্স ব্যবহার না করা হয়), এবং আপনার সময়ের ব্যয় (যা আপনি সফ্টওয়্যার বিক্রেতার সাথে যাবেন তার উপর নির্ভর করবে)। আপনি ব্যয়ের তুলনা করার পরে, আপনি উভয় পক্ষের কোন বৈশিষ্ট্যগুলি পাচ্ছেন?

ফায়ারওয়ালগুলি, ভার্চুয়াল বা শারীরিক সাথে তুলনা করার সময় এটি বৈশিষ্ট্য সেটটির উপর নির্ভর করে। সিসকো ফায়ারওয়ালগুলির এইচএসআরপি নামে একটি বৈশিষ্ট্য রয়েছে যা আপনাকে ফেলওভারের জন্য দুটি (ফায়ার ওয়াল) হিসাবে দুটি ফায়ারওয়াল চালাতে দেয়। নন-সিসকো ফায়ারওয়ালের ভিআরআরপি নামে একটি একই প্রযুক্তি রয়েছে। সিএআরপিও আছে।

কোনও ভার্চুয়াল সাথে ফিজিকাল ফায়ারওয়াল তুলনা করার সময় আপনি আপেল তুলনা করার জন্য একটি আপেল করছেন তা নিশ্চিত করুন। কোন বৈশিষ্ট্য আপনার কাছে গুরুত্বপূর্ণ? কনফিগারেশন কেমন? এই সফ্টওয়্যারটি কি অন্য উদ্যোগগুলি ব্যবহার করে?

আপনার যদি শক্তিশালী রাউটিংয়ের প্রয়োজন হয় তবে ভিট্টা ভাল বাজি। এটিতে ফায়ারওয়াল ক্ষমতা রয়েছে। এটিতে বেশ সিসোর মতো কনফিগারেশন কনসোল রয়েছে। তাদের সাথে vyatta.org এ একটি মুক্ত সম্প্রদায় সংস্করণ এবং vyatta.com এ একটি সমর্থিত সংস্করণ (কিছু অতিরিক্ত বৈশিষ্ট্য সহ) রয়েছে। ডকুমেন্টেশন খুব পরিষ্কার এবং সোজা।

আপনার যদি শক্তিশালী ফায়ারওয়াল দরকার হয় তবে পিএফসেন্সটি দেখুন। এটি রাউটিংও করতে পারে।

আমরা আমাদের ESXi হোস্টগুলিতে ভিআরআরপি দিয়ে দুটি ভায়্তা ইনস্ট্যান্স চালানোর সিদ্ধান্ত নিয়েছি। রিডানডেন্সিটি পেতে আমাদের সিসকো (ফায়ারওয়াল প্রতি দুটি বিদ্যুৎ সরবরাহ, দুটি ফায়ারওয়াল) দরকার পড়ে এটির জন্য 15-30 ডলার খরচ হত। আমাদের জন্য ভিট্টা সম্প্রদায় সংস্করণ একটি ভাল বিকল্প ছিল। এটিতে একটি কমান্ড লাইন কেবল ইন্টারফেস রয়েছে, তবে ডকুমেন্টেশন সহ এটি কনফিগার করা সহজ ছিল।

আমি ডেডিকেটেড হার্ডওয়্যার নিয়ে চলেছি কারণ এটি উদ্দেশ্য-নির্মিত। কোনও সরঞ্জাম রাখা সেই সম্মানের পক্ষে কার্যকর, বিশেষত যদি এটি কোনও ভিপিএন শেষ পয়েন্ট বা অন্য কোনও গেটওয়ে হয়। এটি আপনার ভিএমওয়্যার ক্লাস্টারটিকে সেই দায়িত্ব থেকে মুক্ত করে। হার্ডওয়্যার / র‌্যাম / সিপিইউ সংস্থানগুলির ক্ষেত্রে, একটি সফ্টওয়্যার সমাধান চালানো অবশ্যই ভাল। তবে এটি আসলে উদ্বেগের বিষয় নয়।

অবশ্যই এটি প্রয়োজনীয় নয়, এবং বেশিরভাগ মানুষের পক্ষে এটি কাজটি সম্পন্ন করবে। আপনি কেবল ফায়ারওয়াল ভিএম-তে এনআইসিকে উত্সর্গ না করলে আপনার ট্র্যাফিক আপনার ভার্চুয়াল স্যুইচ আপলিংকগুলি জুড়ে ট্রাম্বোন করে some (আপনি ভিউমোশন থেকে সক্ষম হতে চান এমন প্রতিটি বাক্সে আপনাকে এটি করতে হবে)।

ব্যক্তিগতভাবে? আমি ডেডিকেটেড হার্ডওয়্যার পছন্দ করি কারণ এটি আসলে এত ব্যয়বহুল নয়। আপনি প্রস্তুতকারকের কাছ থেকে উত্সর্গীকৃত হার্ডওয়্যারটিতে পারফরম্যান্স নম্বর পেতে পারেন তবে আপনার ভিএম ফায়ারওয়াল পারফরম্যান্স আপনার হোস্টগুলি কতটা ব্যস্ত তা সম্পূর্ণরূপে বিষয়গত।

আমি বলছি সফটওয়্যারটি একবার ব্যবহার করে দেখুন, এটি কীভাবে চলে। যদি রাস্তার নিচে আপনার কোনও হার্ডওয়্যার ইনস্টল করতে হয় তবে তা করুন।