Hallo zusammen,
diverse Anbieter offerieren ja mittlerweile ihre Firewall/Gateway Software als VM. Das Ganze hat für mich schon seinen Reiz. Nicht zuletzt wegen der Verfügbarkeit.
Unser Provider bindet uns per Ethernet an sein Netzwerk respektive das Internet an. Momentan läuft unsere kommerzielle FW/GW auf einem separaten Server und ist die Schnittstelle zwischen Internet und LAN.
Ich würde das Ganze jetzt so umstrukturieren, dass ich die Software als vorbereitete VM vom Anbieter auf einem 5.1 Cluster bereitstelle, wobei bei den Hosts eine Netzwerkschnittstelle als Netzwerk für VMs eingerichtet wird, welches direkten Zugang an die Router unseres Anbieters hätte. Aus technischer Sicht sehe ich da keine Probleme.
Womit ich etwas Bauchschmerzen habe ist, dass dabei quasi eine ESXi Netzwerkschnittstelle ungefiltert aus dem Internet erreichbar wäre, da sich ja logisch vor der FW/GW Appliance steht. Gäbe es dabei was besonderes zu beachten, bzw. setzt dieses Schema jemand selbst produktiv ein und hat Tipps?
Vielen Dank fürs Lesen
qp
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Firewall/Gateway als virtual Appliance - Erfahrungen/Tipps?
Re: Firewall/Gateway als virtual Appliance - Erfahrungen/Tip
qpirsel hat geschrieben:Hallo zusammen,
Womit ich etwas Bauchschmerzen habe ist, dass dabei quasi eine ESXi Netzwerkschnittstelle ungefiltert aus dem Internet erreichbar wäre, da sich ja logisch vor der FW/GW Appliance steht. Gäbe es dabei was besonderes zu beachten, bzw. setzt dieses Schema jemand selbst produktiv ein und hat Tipps?
Vielen Dank fürs Lesen
qp
Hallo,
es doch aber nur das Interafce von aussen sichtbar das du im Gastsystem für die Anbindung nach aussen konfigurierts.
Für die ESX Administration nutzt man doch eh eine eigene Netzwerkkarte. Wie ich vor ein paar tagen hier selber lernen durfte kann man die Firewall vom ESX auf bestimmte Netze konfigurieren.
Gruss
Hallo rprengel,
sicher, der VMKernel Port für die Administration liegt an einer separaten und redundanten Schnittstelle.
Im Anhang habe ich einfach mal die momentane, noch nicht aktive Konfiguration angehängt. "vmnic0" ist exklusiv nur für die WAN Anbindung vorgesehen. Diese wird dann der logischen WAN Schnittstelle der FW/GW VM zugewiesen.
Eigentlich ist das Ganze doch nur ein virtueller Switch (irgendwie SDN) und genau so sicher oder unsicher wie jeder physische Switch auch. Oder sehe ich das falsch.
PS: Ob an VM Ports standardmäßig Firewall Regeln aktiv sind, wage ich momentan zu bezweifeln. Das wäre ja ein immenser Konfigurations-Overhead den sich nicht jeder wünscht.
/Edit sagt: Kann leider gerade kein Attachement hinzufügen ^^
/Edit sagt auch:
Gruß
qp
sicher, der VMKernel Port für die Administration liegt an einer separaten und redundanten Schnittstelle.
Im Anhang habe ich einfach mal die momentane, noch nicht aktive Konfiguration angehängt. "vmnic0" ist exklusiv nur für die WAN Anbindung vorgesehen. Diese wird dann der logischen WAN Schnittstelle der FW/GW VM zugewiesen.
Eigentlich ist das Ganze doch nur ein virtueller Switch (irgendwie SDN) und genau so sicher oder unsicher wie jeder physische Switch auch. Oder sehe ich das falsch.
PS: Ob an VM Ports standardmäßig Firewall Regeln aktiv sind, wage ich momentan zu bezweifeln. Das wäre ja ein immenser Konfigurations-Overhead den sich nicht jeder wünscht.
/Edit sagt: Kann leider gerade kein Attachement hinzufügen ^^
/Edit sagt auch:
Gruß
qp
-
Sven_B1982
- Member
- Beiträge: 206
- Registriert: 09.09.2010, 14:12
Die WAN-Schnitstelle ist so wie auf dem Bild richtig.
Das mit der sicherheit ist "relativ" gesehen korrekt, das einzige was halt sein könnte das es irgend eine art Hintertür geben könnte um den ESXi direkt anzusprechen. Glaub ich persönlich aber weniger da sich VMWare da sicher kein Skandal erlauben kann.
Was den "Overhead" angeht, ich dachte die Firewall des ESXi muss nur für die Managment IP(s) konfiguriert sein. Alles andere macht eigentlich auch wenig sinn
Das mit der sicherheit ist "relativ" gesehen korrekt, das einzige was halt sein könnte das es irgend eine art Hintertür geben könnte um den ESXi direkt anzusprechen. Glaub ich persönlich aber weniger da sich VMWare da sicher kein Skandal erlauben kann.
Was den "Overhead" angeht, ich dachte die Firewall des ESXi muss nur für die Managment IP(s) konfiguriert sein. Alles andere macht eigentlich auch wenig sinn
-
monster900
- Member
- Beiträge: 152
- Registriert: 27.02.2008, 15:10
Moin,
ich möchte mich hier mal mit einklinken.
Bei uns stehen wir jetzt vor genau der gleichen Frage.
Unsere UTM ist mitterweile etwas in die Jahre gekommen und statt eine neue HW-UTM zu kaufen überlegen wir eine UTM-Appliance einzusetzten.
Neben der Möglichkeit einer (vorstellbaren) Sicherheitslücke innerhalb der FW eines ESX hat uns der UTM-Anbieter noch auf mögliche Supportprobleme seitens des Herstellers hingewiesen. Lt. Aussage ist es schon vorgekommen, dass bei bestimmten Chipsatzrevisionen bei Broadcom-NW-Chips Probleme in der UTM-SW auftraten.
Mir ist natürlich schon klar, dass der UTM-Anbieter interesse daran hat auch seine HW zu verkaufen und daher versucht Ängste zu schüren.
Daher mal die Frage in die Runde, wer setzt denn eine UTM-Appliance ein und wie sind die Erfahrungen? Setzt Ihr die Lösung auf einem dedizierten Host ein oder auf einem Host auf dem auch noch weitere VM's laufen?
Gruß
Dirk
ich möchte mich hier mal mit einklinken.
Bei uns stehen wir jetzt vor genau der gleichen Frage.
Unsere UTM ist mitterweile etwas in die Jahre gekommen und statt eine neue HW-UTM zu kaufen überlegen wir eine UTM-Appliance einzusetzten.
Neben der Möglichkeit einer (vorstellbaren) Sicherheitslücke innerhalb der FW eines ESX hat uns der UTM-Anbieter noch auf mögliche Supportprobleme seitens des Herstellers hingewiesen. Lt. Aussage ist es schon vorgekommen, dass bei bestimmten Chipsatzrevisionen bei Broadcom-NW-Chips Probleme in der UTM-SW auftraten.
Mir ist natürlich schon klar, dass der UTM-Anbieter interesse daran hat auch seine HW zu verkaufen und daher versucht Ängste zu schüren.
Daher mal die Frage in die Runde, wer setzt denn eine UTM-Appliance ein und wie sind die Erfahrungen? Setzt Ihr die Lösung auf einem dedizierten Host ein oder auf einem Host auf dem auch noch weitere VM's laufen?
Gruß
Dirk
-
monster900
- Member
- Beiträge: 152
- Registriert: 27.02.2008, 15:10
Sorry,
das hast Du natürlich recht!
Bei dem geschilderten Problem ging es um die native Installation der UTM-Software auf einer eigenen Hardware.
Das wäre ja neben dem Einsatz einer UTM-Software als VM auch noch möglich. Auch dass wird von den UTM-Herstellern offenbar nicht so gerne gesehen
. Jedenfalls versuchen uns 2 Anbieter krampfhaft die Hersteller HW-UTM's zu verkaufen!
Daher hier die Frage wie so die eigenen Erfahrungen mit dem Einsatz von UTM-Software als VM sind.
Gruß
Dirk
das hast Du natürlich recht!
Bei dem geschilderten Problem ging es um die native Installation der UTM-Software auf einer eigenen Hardware.
Das wäre ja neben dem Einsatz einer UTM-Software als VM auch noch möglich. Auch dass wird von den UTM-Herstellern offenbar nicht so gerne gesehen
. Jedenfalls versuchen uns 2 Anbieter krampfhaft die Hersteller HW-UTM's zu verkaufen!
Daher hier die Frage wie so die eigenen Erfahrungen mit dem Einsatz von UTM-Software als VM sind.
Gruß
Dirk
-
weigeltchen
- Member
- Beiträge: 359
- Registriert: 28.11.2011, 09:46
-
irix
- King of the Hill
- Beiträge: 13058
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Da muss halt jeder sehen was fuer IHN wichtig ist
- Der Einsatz einer Endian als VM hatte hier negativen Einfluss auf einen Server/Client Application welche die Performance beintraechtigt hat
- Wir haben Blech/VM und VM/VM HA Sachen
- Ich habe einen Kunden welcher von Blech auf eine VM mit UTM gegangen ist
- Bekommt man die Umgebung wieder an den Start wenn mal eine vollstaendige Abschaltung hatte und wenn ja mit welchem Aufwand. Es ist dum wenn die Hosts/SAN in einem MGMT Netz sind welches an der VM FW haengt. Wer 10GbE SFP+ hat der haengt sich auch nicht mal eben mit einem Laptop in das Netz.
Mit Vorbereitung und Planung bekommt man alles hin.
Gruss
Joerg
- Der Einsatz einer Endian als VM hatte hier negativen Einfluss auf einen Server/Client Application welche die Performance beintraechtigt hat
- Wir haben Blech/VM und VM/VM HA Sachen
- Ich habe einen Kunden welcher von Blech auf eine VM mit UTM gegangen ist
- Bekommt man die Umgebung wieder an den Start wenn mal eine vollstaendige Abschaltung hatte und wenn ja mit welchem Aufwand. Es ist dum wenn die Hosts/SAN in einem MGMT Netz sind welches an der VM FW haengt. Wer 10GbE SFP+ hat der haengt sich auch nicht mal eben mit einem Laptop in das Netz.
Mit Vorbereitung und Planung bekommt man alles hin.
Gruss
Joerg
Re: Firewall/Gateway als virtual Appliance - Erfahrungen/Tip
qpirsel hat geschrieben:Hallo zusammen,
Womit ich etwas Bauchschmerzen habe ist, dass dabei quasi eine ESXi Netzwerkschnittstelle ungefiltert aus dem Internet erreichbar wäre, da sich ja logisch vor der FW/GW Appliance steht. Gäbe es dabei was besonderes zu beachten, bzw. setzt dieses Schema jemand selbst produktiv ein und hat Tipps?
Wenn der HOST direkt an das pubic network angeschlossen wird bitte darauf achten das auf dem entsprechendem Interface IPMI/iLO/iDrac deaktiviert ist. Bei Dell gibt es z.b. ein dediziertes Interface, jedoch kann im BIOS eingestellt werden das auch andere Interfaces ueberwacht werden.
Ich betreibe selbst FW's aus dem Entreprise Segment auf Blech sowie virtualisiert, jedoch wird fuer die Verbindung an das public network immer ein dedizierter (dummer) NIC eingebaut, wer will schon das der Host wegen eines Firmware Bugs bei abgeschalteter oder vergessenem management uebernommen wird?
Zurück zu „vSphere 5 / ESXi 5 und 5.1“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste