境界ファイアウォールを仮想化すると、ネットワークのセキュリティがどの程度低下しますか?
ホームネットワークにハードウェアファイアウォールを設定したいと考えています。ただし、私は貧しい低学年ですが、ハードウェアコストを削減するために仮想化を検討しています。
今私が私の頭の中にあるものを説明するための図のために(そして私は単に図が好きだからです):
+----------+
| Internet |
+----------+
‖
‖ Server running
‖ Hypervisor
+------O-------------------+ = and ‖ both represent network connections
| ‖ WAN DMZ |
| +---------+ +--------+ | The "O" symbol indicates a physical NIC
| | pfSense |===| Debian | |
| +---------+ +--------+ | pfSense and Debian are both VMs
| ‖ LAN |
+------O-------------------+ The Debian VM will run an Apache server
‖
‖ The Hypervisor ONLY exposes its management
+-----+ interface on the LAN NIC
| LAN |
+-----+
WAN攻撃対象領域が減るので、セキュリティの観点からは、物理的に別々の2台のマシンを使用することが明らかに望ましいです。私の質問は、攻撃の程度です。表面が減った?
私は特定のハイパーバイザに親和性はありませんが、これまでのテストでは、無料のVMware vSphere Hypervisorが最適であると考えています。
適切に行われると、ファイアウォールを安全に仮想化することが可能であり、従来の個別のハードウェアよりも安全であってはなりません。今日、ソフトウェア定義ネットワーキング(SDN)サークルで話題になっている用語は、仮想化ネットワーク機能とも呼ばれるネットワーク機能仮想化です。
ここでのネットワーク機能とは、侵入の検出と防止、ファイアウォール、ルーティングなどのネットワーク機能を指します。
仮想化とは、仮想化されたネットワークアプリケーションを実行する複数の仮想マシンを実行する1つの強力なマシンを使用して、複数の物理ハードウェアネットワークアプリケーションを置き換えることです。
別の回答で簡単に述べたように、仮想化ファイアウォールの主な制限は本質的にスループットですが、ホームネットワークについて話している場合、これは問題になりません。