¿Es generalmente una mala idea tener otros types de dispositivos virtuales instalados a lo largo de un dispositivo de firewall?

Quiero ejecutar mi software Firewall / NAT (pfsense) y un NAS interno (mirando freenas ahora mismo) para mi SOHO en una máquina. Ahora mismo los tengo separados en dos máquinas diferentes, pero me gustaría consolidarlas. ¿Es esto generalmente una mala idea? Veo la preocupación de security donde si el cortafuegos o el sistema operativo anfitrión está comprometido, entonces sus datos son esencialmente atornillados. ¿Pero es realmente una preocupación para mí?

3 Solutions collect form web for “¿Es generalmente una mala idea tener otros types de dispositivos virtuales instalados a lo largo de un dispositivo de firewall?”

Para un uso de oficina pequeño, siempre y cuando no está bombeando una gran cantidad de tráfico a través de él, no creo que sea una mala idea necesariamente desde un punto de vista de security tanto como sería una mala idea de una networkingundancia / fiabilidad punto de vista. Asegúrese de que tiene una buena rutina de copy de security en su lugar!

Personalmente me gustan las máquinas separadas sólo porque si uno está frito, no se quita todo. Los serveres de VM ahorran energía, ruido y dolores de cabeza de administración, pero crean un único punto de fallo, por lo que es algo que debe tener en count al presupuestar; si tuviera que perder por completo su computadora mañana, ¿cuánto vale para usted tener esos datos de vuelta? Eso debería ser lo mucho que está dispuesto a gastar en hardware de copy de security.

Por security, aunque podría haber alguna preocupación argumentada, prácticamente hablando, se puede configurar con la networking de tal manera que se particionará lo suficientemente bien para prevenir la mayoría de los problemas de ataque que es probable que encuentre, siempre y cuando mantenga las cosas actualizadas y supervisar los loggings (y hacer copys de security decentes, por supuesto). El único otro problema de security que vería es que generalmente no se puede confiar en una máquina para supervisar a sí mismo, algo se compromete entonces puede informar lo que quiere para loggings y datos. Un sistema externo haciendo monitoreo / logging de IP / etc. es más confiable en la supervisión de lo que está sucediendo dentro de su networking (a less que el sistema del cortafuego sea qué está comprometido, pero muchos dispositivos se pueden funcionar de una image de solo lectura con apenas una partición de datos para ahorrar los loggings / la memory caching).

De nuevo, de lo que usted describió, no creo que tendría mucho que perder en la consolidación, y probablemente ganará más en el largo ploop, siempre y cuando usted tiene un plan en lugar de copys de security y equipos de repuesto si es necesario para get su server VM en línea después de un fallo de hardware. Usted no menciona el server de VM que está considerando, pero yo había asumido, quizás incorrectamente, que está pensando en algo como VMWare ESXi o un hipervisor de "metal desnudo" de Linux? Es generalmente less de una superficie de ataque para ejecutar un hipervisor de metal desnudo en lugar de ejecutarlo en la parte superior de un server regular o OS de estación de trabajo …

¿Cuán valiosos son sus datos? Las máquinas son baratas. Tu time no lo es.

Tendría que utilizar máquinas separadas para mantener la configuration y el mantenimiento tan simple como sea posible. Además de llegar a sus datos requiere dos robo-ins, no uno.

Eso depende de usted. Cualquier cosa que esté directamente conectada a Internet, incluso si es un cortafuegos, es en la mayoría de los casos va a ser uno de los primeros puntos de compromiso. Lo mismo podría decirse de cualquier server de networking interno NAT'd, que esencialmente haría de ese segmento un tipo de DMZ.

En entornos SOHO, a menudo me gusta tener el enrutador / firewall de la frontera principal y el server de files como serveres separados. Aun así, dependiendo de los resources disponibles, podría hacer lo contrario. SOHO y la empresa son muy diferentes niveles de service, incluso para mi oficina en casa. Haré compromisos personalmente que profesionalmente no animaría a los clientes a hacer.

  • Servidor ESXi VM NTP
  • ¿Cuál es el punto de ejecutar una instancia virtual?
  • Migración en vivo posible entre diferentes versiones XenServers en una agrupación, con almacenamiento compartido
  • nueva configuration de alta disponibilidad Hyper V y almacenamiento SMB 3.0
  • ¿Es necesario mantener abierta la window de la máquina virtual para que siga funcionando en Virtual Box?
  • Wake-on-lan para activar la máquina virtual con kvm y libvirt
  • Manera rápida de comprobar si su procesador tiene extensiones de la máquina virtual?
  • ¿Cómo usar varios serveres web virtuales con una sola dirección IP pública?
  • Mejor núcleo de serveres de virtualización
  • Importar EC2 VM: VirtualBox
  • Virtualización del server de database de Microsoft SQL
  • VMware - Visualización de múltiples pantallas de máquinas virtuales
  • ¿Cuál es la manera más fácil de clonar una máquina virtual de producción para realizar testings?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.