Рекомендуется ли запускать брандмауэр / маршрутизатор на виртуальной машине?

Google нашел меня, люди, которые говорили, что запуск брандмауэра / маршрутизатора как виртуальной машины «опасен», но ни один из них не дает никаких объяснений, почему это так. Я также нашел сообщения от людей, которые успешно запускают брандмауэры как на виртуальной машине.

У кого-нибудь есть опыт с этим?

Каковы были бы плюсы или минусы запуска брандмауэра / маршрутизатора на виртуальной машине в чем-то вроде proxmox vs ob физической машины?

Действительно правильный способ сделать что-то противоположно тому, как вы подходите, если безопасность является первостепенной задачей. Вы хотели бы запустить маршрутизатор / межсетевой экран на голом железе и разместить в нем виртуальную машину для стандартного использования на рабочем столе или на сервере.

Прости мою дрянную иллюстрацию MS Paint.

Если вы соединяете сетевую карту виртуальной машины и сетевую карту локальной сети (из «голой железной» ОС), они могут отображаться как один и тот же интерфейс «ЛВС» для целей межсетевого экрана или маршрутизации.

Большинство проблем безопасности было бы, если бы кто-то должен был подойти к консоли во время ее работы и отключить виртуальную машину маршрутизатора / брандмауэра или отключить мостовое соединение / отсоединить сетевой адаптер от виртуальной машины - или если бы кто-то должен был удаленно войти в систему и сделать это , Как всегда, существует вероятность, что вредоносное ПО может сделать что-то дурацкое.

Вы можете сделать это и использовать любое программное обеспечение для виртуальных машин, если хотите, но недостатком является то, что если вы используете что-то вроде ESX, вам потребуется RDP в настольную виртуальную машину вместо прямого доступа через консоль.

Существуют коммерческие продукты, такие как бывшие системы "VSX" Check Point, которые обслуживают "виртуальные брандмауэры" на заданной аппаратной базе. Если мы говорим о VMWare или лучше облачного межсетевого экрана. Вы устанавливаете брандмауэр «в» облаке для сегментирования «внутренней» облачной »сети, а не для связи между облаком и другой сетью.

Производительность очень ограничена, а производительность в облаке - общая. Брандмауэр на базе ASIC может делать> 500GBps. Брандмауэр или коммутатор на базе VMware обеспечивает скорость менее 20 Гбит / с. К заявлению LAN NIC может подхватить грипп от проволоки. Вы также можете заявить, что любое промежуточное устройство, такое как коммутатор, маршрутизатор, ips, также может быть использовано транзитным трафиком.

Мы видим это в «искаженных» пакетах (таких как кадры, фрагменты, сегменты и т. Д.). Поэтому можно утверждать, что использование «промежуточных» устройств небезопасно. Также немецкий NIST под названием BSI несколько лет назад заявил, что виртуальные маршрутизаторы (такие как VDC (контекст виртуального устройства - Cisco Nexus)) и VRF (переадресация виртуальных маршрутов) небезопасны. С точки зрения совместного использования ресурсов всегда есть риск. Пользователь может использовать ресурсы и снизить качество обслуживания для всех других пользователей. Какой глобально поставил бы под вопрос всю VLAN и оверлейные технологии (такие как VPN и MPLS).

Если у вас действительно высокие требования к безопасности, я бы использовал выделенное оборудование и выделенную сеть (включая выделенные линии!). Если вы спросите, является ли гипервизор (особенно в голом металле) особой проблемой безопасности в обычном сценарии ... Я бы сказал, нет ,

Как правило, виртуальная машина подключена к сети через мостовое соединение (т. Е. Сеть проходит через физический компьютер, на котором она работает). Использование ВМ в качестве брандмауэра означает, что весь трафик может поступать на физический компьютер, затем пакеты отправляются на ВМ, фильтруются и затем отправляются обратно на физический компьютер. Поскольку физический компьютер может принимать нефильтрованные пакеты и отвечает за распределение пакетов по остальной сети, он пригоден для отправки нефильтрованных пакетов по сети.