En supposant que le logiciel est le même (généralement pas), les pare - feu virtuels peuvent être meilleurs qu'un pare-feu physique car vous avez une meilleure redondance. Un pare-feu est juste un serveur avec CPU, RAM et adaptateurs de liaison montante. C'est le même argument qu'un serveur Web physique vers un serveur virtuel. Si le matériel tombe en panne, un serveur virtuel peut être migré automatiquement vers un autre hôte. Le seul temps d'arrêt est le temps nécessaire pour que le pare-feu virtuel soit migré vers un autre hôte, et peut-être le temps nécessaire au démarrage du système d'exploitation.
Un pare-feu physique est lié aux ressources dont il dispose. Un pare-feu virtuel est limité aux ressources à l'intérieur d'un hôte. Généralement, le matériel x86 est beaucoup moins cher que celui d'un pare-feu d'entreprise physique. Ce que vous devez considérer est le coût du matériel, plus le coût du logiciel (si vous n'utilisez pas l'open source), plus le coût de votre temps (qui dépendra du fournisseur de logiciel avec lequel vous allez). Après avoir comparé le coût, quelles fonctionnalités obtenez-vous de chaque côté?
Lorsque l'on compare des pare-feu, virtuels ou physiques, cela dépend vraiment de l'ensemble de fonctionnalités. Les pare-feu Cisco ont une fonctionnalité appelée HSRP qui vous permet d'exécuter deux pare-feu comme un (maître et esclave) pour le basculement. Les pare-feu non Cisco ont une technologie similaire appelée VRRP. Il y a aussi CARP.
Lorsque vous comparez un pare-feu physique à un pare-feu virtuel, assurez-vous de comparer les pommes aux pommes. Quelles fonctionnalités sont importantes pour vous? À quoi ressemble la configuration? Ce logiciel est-il utilisé par d'autres entreprises?
Si vous avez besoin d'un routage puissant, Vyatta est un bon pari. Il a des capacités de pare-feu. Il a une console de configuration très similaire à Ciso. Ils ont une édition communautaire gratuite sur vyatta.org et une version prise en charge (avec quelques fonctionnalités supplémentaires) sur vyatta.com. La documentation est très propre et simple.
Si vous avez besoin d'un pare-feu puissant, jetez un œil à pfSense. Il peut également faire du routage.
Nous avons décidé d'exécuter deux instances Vyatta avec VRRP sur nos hôtes ESXi. Pour obtenir la redondance dont nous avions besoin avec Cisco (deux alimentations par pare-feu, deux pare-feu), cela aurait coûté 15 à 30 000 $. Pour nous, l'édition communautaire Vyatta était une bonne option. Il a une interface en ligne de commande uniquement, mais avec la documentation, il était facile à configurer.