服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在Hyper-V上运行防火墙(IPCop)
Intereting Posts
为什么删除777权限非常重要? 使用qdisc和tc对ipset进行带宽整形 Nginx – 使用完整的URL将域重写到域 SQL Server的BACKUPIO等待types是什么意思? 将发送给XXX的所有数据转发到BBB 从ISO安装Fedora 11 fIlesystem到VM映像 SSH私钥 – 公钥authentication,禁用普通密码authentication,仍然可以在本地login? findActive Directory全局组的用户? 使用AWS和EC2进行PHP错误日志logging 阻止特定的UDP数据包 – 窗口 任何好的托pipeVPN提供商? date+%s毛刺 升级CentOS 5.5以使用最新的gcc稳定版本的首选方法是什么? 服务器的DNS无法parsing第三方Web服务URL 我如何debugging端口/连接问题?

在Hyper-V上运行防火墙(IPCop)

我目前使用IPCop作为我们的企业防火墙和VPN。 我期待整合一些服务器,并且正在考虑在整合中包括防火墙服务器。 我目前计划使用Server 2008与Hyper-V进行虚拟化。 有没有人试图虚拟IPCop? 有什么我应该知道的? 尤其是,IPCop对网卡的硬件支持有限 – 虚拟机将为网卡查看哪些硬件?

一般来说,我build议不要虚拟化你的防火墙。 这是另一个不安全的地方。 networkingfilter,VPN集中器,是 – 周长FW,没有。

但是,我会说,如果你打算这么做的话,那很可能会奏效。 我为SmoothWall(我们的GPL防火墙是IPCop的祖父)工作,我们有一些我们的networkingfilter产品的超v。

最后,我看,但是,你只能在Linux下使用一个处理器内核 – 所以如果需要高性能,可能会成为一个问题 – 尽pipe一个内核对于简单的防火墙工作来说应该足够了。

在过去的一年中,我在Hyper-V上使用了几个IPCop VM。 它们通常适用于低通量使用。

我遇到以下问题:

  • 您需要使用“传统networking适配器”,而不是“集成服务”。
  • 肯定关掉集成服务与虚拟机共享主机时间,这会造成一些混乱的问题。
  • 吞吐量相当糟糕。 我已经在四核3 + Ghz Core 2机器上虚拟运行IPCop。 IPCop盒仅限于1个虚拟CPU,但处理器使用率远高于预期。 禁用Snort有所帮助,并大幅减less内存使用量。 不过,我获得了20Mbps左右的最大吞吐量。 我相信这个问题可能与使用传统networking适配器有关。
  • IPCop防火墙在连续数小时的连续暴露时间内可能会挂起。 我一直无法诊断出这个问题的根本原因。 Web界面仍然可以访问,并且可以通过此Hyper-Vpipe理界面重置VM,以解决问题(暂时)。

我还没有find更好的Hyper-V虚拟防火墙解决scheme。 Endian防火墙似乎显示了一个更明显的吞吐量限制(与上面相同的硬件/ VM设置低至5Mbps)。 build议更好的解决scheme将是非常受欢迎的!

我强烈build议防火墙不要与其他系统共享。

这就是说,我做了我的防火墙虚拟化。 使用XenServer的1个物理盒中的1个VM。 我的理由是:快照能力和真正的快速恢复(抓住另一个盒子,安装XenServer,导入.xva)