Hej, jeg har et lille spørgsmål.
Jeg spekulerer på, om jeg kan køre en OPNsense firewall på en VM og en VPN på en VM på den samme fysiske server?
Hvis det er muligt, hvilke sikkerhedssvagheder er der så?
Bare til perspektiv - de store kommercielle firewall-enheder er nu virtualiserede. Palo Alto er virtualiseret på deres mellemstore og større produkter. De fleste producenter går denne vej for hardwarefleksibilitet og en enkelt build, der kan køre i skyen.
VMs er også super praktiske. Tag et snapshot før opgraderinger, og hvis det går galt, kan du rulle tilbage. Backup hele firewall-VM’en og flyt den til disaster recovery. 100 fordele.
Sikkerhedsmæssigt, undtagen lokal adgang til de underliggende maskiner, er der ingen yderligere trussel. Hvis nogen får terminaladgang til de underliggende maskiner, har du virkelig fejet noget væk et eller andet sted, og VM/ikke VM er ikke det, der fik dig i problemer.
For ikke at nævne at hver firewall lavet i de sidste 25 år har VPN inden i firewallen. At adskille dem giver ingen mening, undtagen hvis der er store throughput-begrænsninger — som at pushe 10 Gb VPN gennem en backhaul (som du i dag sandsynligvis vil køre på dit switch) — det vil du ikke have på en kant-firewall. Men jeg mistænker, at OP ikke driver et datacenter for en Fortune 50.
Hvis de er på to forskellige VMs, så er de egentlig ikke på den samme maskine. Din hypervisor sørger for netværket for hver VM, så den fysiske maskine kan have mange forskellige VMs, og hver VM deler den fysiske netværkshardware (hypervisoren).