能替代VMware vShield Zones的开源产品

云计算 虚拟化
IT达人们对于vShield Zones的性能不满意时,可以找到一大把开源产品替代VMware的虚拟防火墙或入侵检测系统。其中的一些我感觉要比vShield产品更好。

   IT达人们对于vShield Zones的性能不满意时,可以找到一大把开源产品替代VMware的虚拟防火墙或入侵检测系统。其中的一些我感觉要比vShield产品更好。

  公平地讲,我对vShield产品的经验很少,仅使用过VMware vShield Zones(包含一个vSphere Enterprise Plus授权)和vShield Edge,但我对它的体验是负面的。

  VMware vShield Zones安装和配置很简单,但是我稍后发现它效率不高。所有集群中的主机必须安装Zones,而每台虚拟机的流量都要通过Zones的虚拟应用。而在通过Zones提供的最基本的简易防火墙时,速度受到了影响(这也是为什么被称为慢路径模式)。

  在我感觉vShield Edge也没有好多少。在使用标准vSwitch,而不是vNetwork Distributed Switch的集群配置中受到很多限制。例如,我希望测试Edge的端口组隔离功能,该功能可以在虚拟机和外网之间创建隔离很好地保护虚拟机。然而,这只有在vNetwork Distributed Switch配置下发挥作用,而不支持标准vSwitch。另外vShield Edge看起来会产生大量的网络流量,并在集群没有任务的时候也显示占用部分CPU计算资源。

  考虑开源的替代品

  我希望现在已经被合作伙伴广泛采用的VMsafe快路径API可以改善vShield系列产品的性能。同时,还有大量很好的开源产品可以取代vShield套件提供虚拟防火墙、入侵防御系统(IPS)和入侵检测系统(IDS)。

  开源虚拟防火墙和IPS工具对于小型企业和实验室是很好的选择。多数大型网络供应商都为各自的产品提供了虚拟应用,但同时也伴随高额的初始费用和后续维护成本。

  在VMware的虚拟应用市场您可以找到很多虚拟应用,同时通过Google也可以找到那些真正开源的适用于VMware的工具。

  开源虚拟防火墙产品

  说到防火墙,我是IPCop、SmoothWall Express, m0n0wall和Vyatta等老字号产品的忠实粉丝。这些包提供了可靠的检测防护,并可以和Linux和部分Windows内核紧密结合。它们或许没有绚丽的图形用户管理界面,但具备了基本的功能,如包检测、网络地址转换和规则。而这往往就是您所需要的。

  另外,很多上面提到的产品还进一步开发出一些基本的,甚至远超昂贵的商业产品的功能,增加简单网络管理协议、反向代理、流量整形、虚拟私有网络等功能。我个人喜欢使用Vyatta提供的可靠开源产品,因为它的命令行界面类似于之前使用的思科产品。

  虚拟IPS和IDS选择

  我提到的很多防火墙可以提供虚拟IPS。类似的专用产品有思科的ASA系列网络安全设备,提供IPS和上百种其它功能,但是您不得不考虑这些功能是否和其成本相匹配。

  如果您计划使用IPS,那么也应该部署IDS。很多人不理解IPS和IDS之间的差别。实际上,这些安全工具都是对一个应用中提供的,IPS跟外部网络连接相关而IDS跟vSwitch相连位于虚拟防火墙内部。

  Catbird Networks Inc., Stonesoft Corp. 和 Sourcefire Inc.等供应商以付费的模式提供了整合的IPS/IDS应用。而在开源产品中,成熟的Snort(加上前端的Snorby),再配合Bro Network Security Monitor和Suricata是我的最爱。近期我安装了Bro,对它的功能包、易安装和易配置印象深刻。它使我重新考虑这些产品。

  那之后,Bro成为我第一优先选择。其它的产品包括Smooth-Sec 和 SIEM-live(都是基于Suricata),另外我经常配合使用一些可引导CD,如Network Security Toolkit(已成为网络和安全方面约定俗成的标准) 和Security Onion。

  如果您不需要或希望降低安装和维护商业化虚拟防火墙和IPS/IDS应用的费用,可以尝试一下这些开源产品。或许会发现一款满足您需求的。

责任编辑:何巍 来源: TechTarget中国
相关推荐

2020-08-17 16:15:45

Docker容器云安全

2011-12-21 09:20:21

2012-06-26 09:49:24

Reckspace云计算亚马逊

2011-08-11 14:33:13

加密RSA虚拟化

2011-03-25 09:40:57

2016-11-28 15:22:24

开源管理工具

2018-05-15 14:55:23

VMwarePKS方案

2018-02-25 14:25:45

LinuxMS Office开源软件

2015-08-18 09:51:09

VMware NSXSDNOpenDayligh

2011-05-10 10:28:55

2021-09-23 09:50:37

LinuxWindows命令

2009-02-27 11:02:01

VMware数据中心hypervisor

2012-10-31 15:41:18

VMwareThinApp

2012-12-21 17:11:22

2022-08-02 10:45:29

AppFlowyNotion开源

2021-01-26 11:33:25

程序员代码开源

2009-02-26 16:59:36

VMware虚拟化虚拟机

2010-08-24 09:19:19

开源RBAC产品商业化的RBAC产品

2010-08-24 09:16:39

开源RBAC产品基于角色的访问控制
点赞
收藏

51CTO技术栈公众号