Hallo,
habe folgendes anliegen. Unsere Hardware für die Firewall ist mitlerweile ziemlich in die Jahre gekommen. Da wir hier einen ESX Server stehen haben, wo zur Zeit nur ein Webhostign Server virtuell drauf läuft und sich der Server tot langweilt, habe ich die idee die Firewall als VM da drauf zu installieren.
Firewall ist übrigens von Securepoint und basiert auf einer stark angepassten Linuxversion, die fast ausschließlich im RAM läuft.
Und benötigt 3 Netzwerkkarten.
Internet, DMZ und LAN.
Nun dachte ich mir, rüste ich 2 Netzwerkkarten dazu für Internet und fürs Lan.
Die fürs DMZ wird ja eh nciht benötigt, da hier die interne vom ESX genommen werden kann.
Und so hätte ich meine Firewall ja virtualisiert. Macht dies Sinn, bzw. würdet ihr dies auch so machen?
Im übrigens, wir sind kein Konzern, sondern nur ein 3 Mann IT Dienstleister.
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Firewall Virtualisieren
Ja, kann man durchaus machen. Achte nur darauf, dass VMs, über die man Verkehr der Firewall abfangen könnte, nicht am gleichen VSwitch hängen. Ich würde also vielleicht doch den Weg gehen zwei NICs nachzurüsten, und dann für jede NIC einen eigenen Vswitch zu basteln und dort dann jeweils eine Portgroup anzubinden. Dort kannst du dann die VM anbinden.
z.B. in diese Richtung:
http://www.ipcop-forum.de/unipcop.php
http://www.ipcop-forum.de/unipcop.php
Interessante Artikel.
Wenn ich alles richtig verstanden habe besteht die größte Unsicherheit das durch das verschwimmen von virtuellen NICs und vSwitches schnell mal ein Loch entstehen könnte was mit einer traditionellen Firewall nicht passiert wäre.
Wenn ich natürlich einem Kunden "perfekten Schutz" und Ausfallsicherheit bieten möchte, würde ich auch noch den Weg über echte Hardware gehen.
Aber gerade für kleinere Betriebe die ihre interne Struktur z.b. komplett virtualisieren möchte scheint mir eine virtuelle Firewall kein schlechter Weg zu sein.
Ich betreibe auf einem ESXi eine PFsense VM wo ein Web/Mail/Bla-Server dahintersteht. Klappt eigentlich alles prima. Habe mir vorher überlegt wo welche Pakete durch das System huschen und was passieren könnte wenn ein System dahinter kompromitiert werden würde. Im Moment ist es so das egal was passiert ich immer eine Weg habe den ESX direkt zu steuern. Das ist für meine Dinge die ich benötige die Sicherheit die ich gerne haben möchte.
Also wenn man die Sache sich gut vorher durchdenkt sehe ich eigentlich keinen Grund eine Firewall nicht zu virtualisieren.
Wenn ich alles richtig verstanden habe besteht die größte Unsicherheit das durch das verschwimmen von virtuellen NICs und vSwitches schnell mal ein Loch entstehen könnte was mit einer traditionellen Firewall nicht passiert wäre.
Wenn ich natürlich einem Kunden "perfekten Schutz" und Ausfallsicherheit bieten möchte, würde ich auch noch den Weg über echte Hardware gehen.
Aber gerade für kleinere Betriebe die ihre interne Struktur z.b. komplett virtualisieren möchte scheint mir eine virtuelle Firewall kein schlechter Weg zu sein.
Ich betreibe auf einem ESXi eine PFsense VM wo ein Web/Mail/Bla-Server dahintersteht. Klappt eigentlich alles prima. Habe mir vorher überlegt wo welche Pakete durch das System huschen und was passieren könnte wenn ein System dahinter kompromitiert werden würde. Im Moment ist es so das egal was passiert ich immer eine Weg habe den ESX direkt zu steuern. Das ist für meine Dinge die ich benötige die Sicherheit die ich gerne haben möchte.
Also wenn man die Sache sich gut vorher durchdenkt sehe ich eigentlich keinen Grund eine Firewall nicht zu virtualisieren.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste