Du hast absolut Recht wenn du sagst das jeder Dienst auf einer Firewall ein zusätzliches Risiko darstellt.
Aber wie du über das Netz die Hardware bzw. den Hypervisor angreifen willst kann ich noch nicht nachvollziehen. Besonders da selbst ältere Hypervisoren wie Xen die Möglichkeit bieten die PCI Resourcen des Netzwerkinterfaces das mit dem Internet verbunden ist komplett in die virtuelle Maschine zu mappen (PCI-Passtrough) und so der Host nicht mal einen Treiber für diese Karte hat.
So würde ich sagen die Sicherste ist getrennte Hardware. Die 2. Wahl eine Virtuelle Firewall deren Internet per Passtrough eingebunden ist.
Du hast absolut Recht wenn du sagst das jeder Dienst auf einer Firewall ein zusätzliches Risiko darstellt.
Aber wie du über das Netz die Hardware bzw. den Hypervisor angreifen willst kann ich noch nicht nachvollziehen.
Besonders da selbst ältere Hypervisoren wie Xen die Möglichkeit bieten die PCI Resourcen des Netzwerkinterfaces das mit dem Internet verbunden ist komplett in die virtuelle Maschine zu mappen (PCI-Passtrough) und so der Host nicht mal einen Treiber für diese Karte hat.
So würde ich sagen die Sicherste ist getrennte Hardware. Die 2. Wahl eine Virtuelle Firewall deren Internet per Passtrough eingebunden ist.