В каких случаях можно было бы использовать межсетевые экраны с открытым исходным кодом для защиты / защиты / фильтрации корпоративной сети?
Кажется, есть много альтернатив брандмауэрам с открытым исходным кодом (pfSense, smoothwall, m0n0wall) для малого бизнеса, которые сэкономят деньги компании за счет снижения начальной стоимости.
Во-первых, ваш вопрос звучит так: «коммерческое программное обеспечение лучше, но насколько плохо, если я перейду на открытый исходный код». В любом случае, я не думаю, что есть какие-то серьезные проблемы с использованием брандмауэра с открытым исходным кодом, если:
1 / он соответствует вашим потребностям
2 / вы регулярно их обновляете
3 / вы знаете, что делаете и как это настроить
Это будет считаться нормальным при любых обстоятельствах, в которых у вас есть опыт, необходимый для выбора решения, соответствующего вашим потребностям, и его эффективного внедрения. Это верно и для коммерческих брандмауэров. Разница в том, что если у него есть интересная функция (например, интеграция Active Directory с сервером MS ISA), вы можете быть склонны платить за нее ... или нет.
Брандмауэры с открытым исходным кодом, как и многие другие приложения, постоянно упрощаются в установке, настройке и обслуживании. Smoothwall - хороший пример, но простые в использовании существуют уже много лет - мой первый опыт работы с Linux заключался в использовании Coyote Linux в качестве внешнего интерфейса межсетевого экрана IPTables (на самом деле изначально IPChains); он загружался с дискеты, был прост в настройке и отлично работал на Pentium 66 МГц.
Я использую пару ipcop boxen для защиты сети малого бизнеса (~ 80 машин). Они отлично справляются с задачей брандмауэра, запускают DMZ для нашего почтового сервера (и пары других машин с внешним доступом), VPN для внешних сотрудников и VPN между сайтами. Для настройки / обслуживания не требуется большого опыта работы с Linux, поскольку все делается через отличный веб-интерфейс (который также имеет все ваши журналы безопасности, графики трафика и т. Д.)
HTH
Создавая свою компанию, я решил купить небольшую коробку и загрузить Smoothwall. Он работал очень хорошо, защищая наш первый веб-сервер в течение почти трех лет (до тех пор, пока отказ жесткого диска не потребовал восстановления системы).
Сейчас мы используем два коммерческих брандмауэра, отчасти из-за того, что цены намного ниже, оборудование физически меньше, чем сервер в 1/2 стойки, потребляет меньше энергии, мы знаем их емкость, и поддержка предоставляется поставщиком.
В основном это сводится к деловому решению. Какой бюджет, какие функции вам нужны, каковы ваши знания / навыки?
во всех случаях межсетевые экраны ОС (я подозреваю, что вы имеете в виду фильтр пакетов) выполняют свою работу: фильтруют пакеты.
примечание: программное обеспечение для ОС не означает, что оно не может быть коммерческим (включая коммерческую поддержку)
Вопрос должен заключаться не в том, «когда это нормально», а в том, «когда это актуально». Основные отличия межсетевых экранов с открытым исходным кодом от "коммерческих":
- Служба поддержки. Вам нужно иметь возможность позвонить кому-нибудь в случае возникновения проблем, чтобы помочь вам или исправить возможные ошибки? Существует некоторая поддержка программного обеспечения с открытым исходным кодом, но она все еще не получила широкого распространения, особенно для межсетевых экранов с открытым исходным кодом.
- Интеграция. Собираетесь ли вы все настроить самостоятельно? Точнее, вы хотите самостоятельно определить размер оборудования или установить и настроить все необходимые базовые службы, прежде чем начинать действительно настраивать брандмауэр? Достаточно ли у вас опыта для всего этого? Некоторые полностью интегрированные решения с открытым исходным кодом могут помочь вам, но вам все равно придется покупать оборудование и определять его размер в соответствии с вашими потребностями (это также обычно означает не специализированное оборудование, а получить максимальную производительность сети от архитектуры ПК не так просто, как может выглядит как).
- Бюджет. Программное обеспечение с открытым исходным кодом в основном бесплатное (как в пиве). Этого не должно быть, но обычно так бывает. Однако на то, что вы сэкономите на закупочной цене, вам, возможно, придется вложить в рабочую силу.
- Производительность. Нравится вам это или нет, но если у вас большие требования к производительности, межсетевые экраны с открытым исходным кодом все еще сильно отстают от проприетарных устройств. В качестве очень крайнего примера рассмотрим Juniper SRX. Вы никогда не получите такой же производительности с pfSense на Dell. Однако, если ваши требования меньше (как очень глупое и консервативное эмпирическое правило, менее 1 Гбит / с постоянного трафика, подлежащего фильтрации, без сложных вещей, таких как VPN), открытый исходный код - это путь.
Надеюсь, поможет.
Это будет зависеть от подхода вашей компании к открытому исходному коду.
Брандмауэр в OpenBSD и в Linux первоклассный. Поддержка лучше, а патчи и обновления бесплатны. OpenBSD, например, имеет только 2 удаленных дыры в их установке по умолчанию. Я сомневаюсь, что какая-либо коммерческая ОС может это улучшить.
Но Cisco также делает хорошие межсетевые экраны.
(Если бы деньги не имели значения и решение оставалось за мной, я бы все равно выбрал OpenBSD.)
Но если ваша компания использует только серверы Windows, а открытый исходный код заставляет ваших менеджеров нервничать, тогда Cisco предлагает хорошее, но дорогое решение.
Если вы не слишком много знаете об этом и не хотите тратить месяцы на то, чтобы все исправить - я бы начал с Smoothwall.