Um dos leitores do blog, Cléber Saad, fez um comentário sobre a performance de um firewall, pfSense, rodando em um ambiente virtual. Neste caso, o Cleber mencionou que o pfSense consegue atingir um throughput de 200Mbps em um ambiente virtual, mas fiquei com uma dúvida: Será que vale apena virtualizar um firewall em um ambiente corporativo ?

Para responder a essa pergunta, comecei a analisar uma série de possíveis implementações de Firewall em um ambiente virtual, começando pelo desenho abaixo:

O desenho acima refere-se a implementação de um ambiente virtual utilizando tecnologia VMware e com o pfSense, já que o mesmo é um firewall que roda sobre o FreeBSD, na minha opinião, um dos melhores firewalls freeware e com console gráfica do mundo.

Um servidor com 3 interfaces de rede 100Mbs é um bom startup de configuração para este laboratório, onde teríamos 2 interfaces de rede dedicadas à conexão WAN – provedor de Internet – redundância, e uma interface de rede para rede interna. Teríamos assim duas conexões 100Mbps, totalizando 200Mbps e uma conexão de 100Mbps. Não é necessário utilizar o Vsphere para criar este laboratório, é só utilizar uma versão freeware dos produtos de virtualização da VMware, como exemplo o ESXi.

Vejam o diagrama de rede de como seria esse laboratório:

Vocês podem utilizar o link para realizar a instalação completa do pfSense e este outro link que possui toda a documentação de como utilizar este produto.

Vejam que a performance do Freebsd, como demonstrado no gráfico abaixo, é excelente em um ambiente virtual, e olhem que nesta análise não foi feita nenhum tuning para melhorar a performance.

Mas na virtualização de um firewall para um ambiente corporativo, com mais de 500 usuários concorrentes fora servidores, teríamos que ter uma arquitetura de redes diferente para esse ambiente, onde configuraríamos 2 interfaces de rede de 1GBps cada para suportar o tráfego. A tolerância a falhas neste ambiente estaria diretamente ligada a capacidade ociosa de recursos de hardwares dos servidores que fariam parte do farm de servidores físicos.

Sem contar na dedicação de duas interfaces de rede por servidor para o firewall, dai a necessidade quanto a instalação de interfaces quad – quatro interfaces de rede em uma única placa.

Interface Quad de Rede

Precisou de um outro firewall para um novo ambiente, é só verificar a quantidade de recursos de hardware em um dos servidores físicos, clonar a máquina virtual e alterar algumas configurações, pronto, temos um novo firewall funcionando.

A utilização de outros produtos para criação de uma arquitetura para um ambiente virtual que suportará um Firewall dependerá completamente da sua performance, suporte e compatibilidade.

Além do pfSense como solução de firewall virtual, podemos utilizar iptables e checkpoint, produto esse pago e muito caro.

Mas será que os nossos conceitos quanto a segurança de hosting e suporte de firewall serão alterados e implementados de forma diferente graças a virtualização ?

A minha resposta é sim e isso só é uma questão de tempo, pouco tempo.