VMware-Forum

Inoffizielles, unabhängiges deutsches VMware-Forum
https://vmware-forum.de/

Firewall Virtualisieren

https://vmware-forum.de/viewtopic.php?f=26&t=14773

Seite 1 von 1

Firewall Virtualisieren

Verfasst: 20.12.2008, 13:15
von oftecs
Hallo,

habe folgendes anliegen. Unsere Hardware für die Firewall ist mitlerweile ziemlich in die Jahre gekommen. Da wir hier einen ESX Server stehen haben, wo zur Zeit nur ein Webhostign Server virtuell drauf läuft und sich der Server tot langweilt, habe ich die idee die Firewall als VM da drauf zu installieren.

Firewall ist übrigens von Securepoint und basiert auf einer stark angepassten Linuxversion, die fast ausschließlich im RAM läuft.
Und benötigt 3 Netzwerkkarten.
Internet, DMZ und LAN.
Nun dachte ich mir, rüste ich 2 Netzwerkkarten dazu für Internet und fürs Lan.
Die fürs DMZ wird ja eh nciht benötigt, da hier die interne vom ESX genommen werden kann.

Und so hätte ich meine Firewall ja virtualisiert. Macht dies Sinn, bzw. würdet ihr dies auch so machen?

Im übrigens, wir sind kein Konzern, sondern nur ein 3 Mann IT Dienstleister.

Verfasst: 20.12.2008, 20:06
von bla!zilla
Ja, kann man durchaus machen. Achte nur darauf, dass VMs, über die man Verkehr der Firewall abfangen könnte, nicht am gleichen VSwitch hängen. Ich würde also vielleicht doch den Weg gehen zwei NICs nachzurüsten, und dann für jede NIC einen eigenen Vswitch zu basteln und dort dann jeweils eine Portgroup anzubinden. Dort kannst du dann die VM anbinden.

Verfasst: 20.12.2008, 22:31
von e-e-e
Hallo,

zum Thema Sicherheit von virtualisierten Firewalls gibt es im Netz (siehe Google) diverse kritische Beiträge, ist 'ne Lesestunde wert.

Verfasst: 21.12.2008, 10:33
von bla!zilla
In welcher Hinsicht? Wäre schon wenn dazu mal jemand was schreiben könnte.

Verfasst: 21.12.2008, 20:18
von andiwe
z.B. in diese Richtung:
http://www.ipcop-forum.de/unipcop.php

Verfasst: 21.12.2008, 23:16
von elgato319
Interessante Artikel.

Wenn ich alles richtig verstanden habe besteht die größte Unsicherheit das durch das verschwimmen von virtuellen NICs und vSwitches schnell mal ein Loch entstehen könnte was mit einer traditionellen Firewall nicht passiert wäre.

Wenn ich natürlich einem Kunden "perfekten Schutz" und Ausfallsicherheit bieten möchte, würde ich auch noch den Weg über echte Hardware gehen.

Aber gerade für kleinere Betriebe die ihre interne Struktur z.b. komplett virtualisieren möchte scheint mir eine virtuelle Firewall kein schlechter Weg zu sein.

Ich betreibe auf einem ESXi eine PFsense VM wo ein Web/Mail/Bla-Server dahintersteht. Klappt eigentlich alles prima. Habe mir vorher überlegt wo welche Pakete durch das System huschen und was passieren könnte wenn ein System dahinter kompromitiert werden würde. Im Moment ist es so das egal was passiert ich immer eine Weg habe den ESX direkt zu steuern. Das ist für meine Dinge die ich benötige die Sicherheit die ich gerne haben möchte.

Also wenn man die Sache sich gut vorher durchdenkt sehe ich eigentlich keinen Grund eine Firewall nicht zu virtualisieren.
Alle Zeiten sind UTC+02:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/