IT达人们对于vShield Zones的性能不满意时,可以找到一大把开源产品替代VMware的虚拟防火墙或入侵检测系统。其中的一些我感觉要比vShield产品更好。
公平地讲,我对vShield产品的经验很少,仅使用过VMware vShield Zones(包含一个vSphere Enterprise Plus授权)和vShield Edge,但我对它的体验是负面的。
VMware vShield Zones安装和配置很简单,但是我稍后发现它效率不高。所有集群中的主机必须安装Zones,而每台虚拟机的流量都要通过Zones的虚拟应用。而在通过Zones提供的最基本的简易防火墙时,速度受到了影响(这也是为什么被称为慢路径模式)。
在我感觉vShield Edge也没有好多少。在使用标准vSwitch,而不是vNetwork Distributed Switch的集群配置中受到很多限制。例如,我希望测试Edge的端口组隔离功能,该功能可以在虚拟机和外网之间创建隔离很好地保护虚拟机。然而,这只有在vNetwork Distributed Switch配置下发挥作用,而不支持标准vSwitch。另外vShield Edge看起来会产生大量的网络流量,并在集群没有任务的时候也显示占用部分CPU计算资源。
考虑开源的替代品
我希望现在已经被合作伙伴广泛采用的VMsafe快路径API可以改善vShield系列产品的性能。同时,还有大量很好的开源产品可以取代vShield套件提供虚拟防火墙、入侵防御系统(IPS)和入侵检测系统(IDS)。
开源虚拟防火墙和IPS工具对于小型企业和实验室是很好的选择。多数大型网络供应商都为各自的产品提供了虚拟应用,但同时也伴随高额的初始费用和后续维护成本。
在VMware的虚拟应用市场您可以找到很多虚拟应用,同时通过Google也可以找到那些真正开源的适用于VMware的工具。
开源虚拟防火墙产品
说到防火墙,我是IPCop、SmoothWall Express, m0n0wall和Vyatta等老字号产品的忠实粉丝。这些包提供了可靠的检测防护,并可以和Linux和部分Windows内核紧密结合。它们或许没有绚丽的图形用户管理界面,但具备了基本的功能,如包检测、网络地址转换和规则。而这往往就是您所需要的。
另外,很多上面提到的产品还进一步开发出一些基本的,甚至远超昂贵的商业产品的功能,增加简单网络管理协议、反向代理、流量整形、虚拟私有网络等功能。我个人喜欢使用Vyatta提供的可靠开源产品,因为它的命令行界面类似于之前使用的思科产品。
虚拟IPS和IDS选择
我提到的很多防火墙可以提供虚拟IPS。类似的专用产品有思科的ASA系列网络安全设备,提供IPS和上百种其它功能,但是您不得不考虑这些功能是否和其成本相匹配。
如果您计划使用IPS,那么也应该部署IDS。很多人不理解IPS和IDS之间的差别。实际上,这些安全工具都是对一个应用中提供的,IPS跟外部网络连接相关而IDS跟vSwitch相连位于虚拟防火墙内部。
Catbird Networks Inc., Stonesoft Corp. 和 Sourcefire Inc.等供应商以付费的模式提供了整合的IPS/IDS应用。而在开源产品中,成熟的Snort(加上前端的Snorby),再配合Bro Network Security Monitor和Suricata是我的最爱。近期我安装了Bro,对它的功能包、易安装和易配置印象深刻。它使我重新考虑这些产品。
那之后,Bro成为我第一优先选择。其它的产品包括Smooth-Sec 和 SIEM-live(都是基于Suricata),另外我经常配合使用一些可引导CD,如Network Security Toolkit(已成为网络和安全方面约定俗成的标准) 和Security Onion。
如果您不需要或希望降低安装和维护商业化虚拟防火墙和IPS/IDS应用的费用,可以尝试一下这些开源产品。或许会发现一款满足您需求的。