IT達人們對于vShield Zones的性能不滿意時，可以找到一大把開源產品替代VMware的虛擬防火墻或入侵檢測系統。其中的一些我感覺要比vShield產品更好。

　　公平地講，我對vShield產品的經驗很少，僅使用過VMware vShield Zones(包含一個vSphere Enterprise Plus授權)和vShield Edge，但我對它的體驗是負面的。

　　VMware vShield Zones安裝和配置很簡單，但是我稍后發現它效率不高。所有集群中的主機必須安裝Zones，而每臺虛擬機的流量都要通過Zones的虛擬應用。而在通過Zones提供的最基本的簡易防火墻時，速度受到了影響(這也是為什么被稱為慢路徑模式)。

　　在我感覺vShield Edge也沒有好多少。在使用標準vSwitch，而不是vNetwork Distributed Switch的集群配置中受到很多限制。例如，我希望測試Edge的端口組隔離功能，該功能可以在虛擬機和外網之間創建隔離很好地保護虛擬機。然而，這只有在vNetwork Distributed Switch配置下發揮作用，而不支持標準vSwitch。另外vShield Edge看起來會產生大量的網絡流量，并在集群沒有任務的時候也顯示占用部分CPU計算資源。

　　考慮開源的替代品

　　我希望現在已經被合作伙伴廣泛采用的VMsafe快路徑API可以改善vShield系列產品的性能。同時，還有大量很好的開源產品可以取代vShield套件提供虛擬防火墻、入侵防御系統(IPS)和入侵檢測系統(IDS)。

　　開源虛擬防火墻和IPS工具對于小型企業和實驗室是很好的選擇。多數大型網絡供應商都為各自的產品提供了虛擬應用，但同時也伴隨高額的初始費用和后續維護成本。

　　在VMware的虛擬應用市場您可以找到很多虛擬應用，同時通過Google也可以找到那些真正開源的適用于VMware的工具。

　　開源虛擬防火墻產品

　　說到防火墻，我是IPCop、SmoothWall Express, m0n0wall和Vyatta等老字號產品的忠實粉絲。這些包提供了可靠的檢測防護，并可以和Linux和部分Windows內核緊密結合。它們或許沒有絢麗的圖形用戶管理界面，但具備了基本的功能，如包檢測、網絡地址轉換和規則。而這往往就是您所需要的。

　　另外，很多上面提到的產品還進一步開發出一些基本的，甚至遠超昂貴的商業產品的功能，增加簡單網絡管理協議、反向代理、流量整形、虛擬私有網絡等功能。我個人喜歡使用Vyatta提供的可靠開源產品，因為它的命令行界面類似于之前使用的思科產品。

　　虛擬IPS和IDS選擇

　　我提到的很多防火墻可以提供虛擬IPS。類似的專用產品有思科的ASA系列網絡安全設備，提供IPS和上百種其它功能，但是您不得不考慮這些功能是否和其成本相匹配。

　　如果您計劃使用IPS，那么也應該部署IDS。很多人不理解IPS和IDS之間的差別。實際上，這些安全工具都是對一個應用中提供的，IPS跟外部網絡連接相關而IDS跟vSwitch相連位于虛擬防火墻內部。

　　Catbird Networks Inc., Stonesoft Corp. 和 Sourcefire Inc.等供應商以付費的模式提供了整合的IPS/IDS應用。而在開源產品中，成熟的Snort(加上前端的Snorby)，再配合Bro Network Security Monitor和Suricata是我的最愛。近期我安裝了Bro，對它的功能包、易安裝和易配置印象深刻。它使我重新考慮這些產品。

　　那之后，Bro成為我第一優先選擇。其它的產品包括Smooth-Sec 和 SIEM-live(都是基于Suricata)，另外我經常配合使用一些可引導CD，如Network Security Toolkit(已成為網絡和安全方面約定俗成的標準) 和Security Onion。

　　如果您不需要或希望降低安裝和維護商業化虛擬防火墻和IPS/IDS應用的費用，可以嘗試一下這些開源產品。或許會發現一款滿足您需求的。