Estoy poniendo mi servidor en uso como servidor de archivos y firewall. Estoy viendo la configuración de KVM o Xen VM, donde el servidor de archivos y el cortafuegos obtienen sus propias máquinas virtuales y el host solo suministra el hardware (por lo tanto, Xen, supongo). Recogeré 2+ NIC de puerto para el firewall y realizaré el paso a través de PCI. El tráfico WAN ingresa al puerto NIC 1 del firewall y el puerto 2 se conecta a la LAN a través del conmutador.
La razón para virtualizar el cortafuegos frente al cortafuegos en el servidor con el servidor de archivos virtual es que puedo hacer que las unidades del cortafuegos sean de solo lectura de una manera que no pueda ser anulada por la máquina virtual, incluso si es penetrada. Espero que eso haga que algunas de las explotaciones de escalada sean ineficaces.
La pregunta es: ¿me falta algo obvio? ¿Tiene sentido ese razonamiento para ti? ¿Optar por la paravirtualización afectaría la seguridad?