Dengan asumsi perangkat lunaknya sama (biasanya tidak), firewall virtual bisa lebih baik daripada firewall fisik karena Anda memiliki redundansi yang lebih baik. Firewall hanyalah server dengan CPU, RAM, dan adaptor uplink. Ini argumen yang sama seperti server web fisik ayat yang virtual. Jika perangkat keras gagal, server virtual dapat dimigrasikan ke host lain secara otomatis. Satu-satunya downtime adalah jumlah waktu yang diperlukan untuk firewall virtual dimigrasikan ke host lain, dan mungkin waktu yang dibutuhkan untuk OS untuk boot.
Firewall fisik terikat dengan sumber daya yang dimilikinya. Firewall virtual terbatas pada sumber daya di dalam host. Biasanya perangkat keras x86 jauh lebih murah daripada firewall fisik perusahaan. Yang harus Anda pertimbangkan adalah biaya perangkat keras, ditambah biaya perangkat lunak (jika tidak menggunakan open source), ditambah biaya waktu Anda (yang akan tergantung pada vendor perangkat lunak yang Anda gunakan ). Setelah Anda membandingkan biayanya, fitur apa yang Anda dapatkan di kedua sisi?
Ketika membandingkan firewall, virtual atau fisik, itu sangat tergantung pada set fitur. Firewall Cisco memiliki fitur yang disebut HSRP yang memungkinkan Anda menjalankan dua firewall sebagai satu (master dan slave) untuk failover. Firewall non-Cisco memiliki teknologi serupa yang disebut VRRP. Ada juga CARP.
Saat membandingkan firewall fisik dengan firewall virtual, pastikan Anda melakukan perbandingan apel dengan apel. Fitur apa yang penting bagi Anda? Seperti apa konfigurasinya? Apakah perangkat lunak ini digunakan oleh perusahaan lain?
Jika Anda membutuhkan perutean yang kuat, Vyatta adalah taruhan yang bagus. Ini memiliki kemampuan firewall. Ini memiliki konsol konfigurasi yang sangat mirip Ciso. Mereka memiliki edisi komunitas gratis di vyatta.org dan versi yang didukung (dengan beberapa fitur tambahan) di vyatta.com. Dokumentasinya sangat bersih dan mudah.
Jika Anda membutuhkan firewall yang kuat, lihat pfSense. Bisa juga melakukan routing.
Kami memutuskan untuk menjalankan dua instance Vyatta dengan VRRP pada host ESXi kami. Untuk mendapatkan redundansi yang kami butuhkan dengan Cisco (dua catu daya per firewall, dua firewall) biayanya $ 15-30k. Bagi kami edisi komunitas Vyatta adalah pilihan yang baik. Ini memiliki antarmuka baris perintah saja, tetapi dengan dokumentasi itu mudah dikonfigurasi.