Существуют межсетевые экраны от Juniper и Cisco, которые стоят дороже дома.
Поэтому мне интересно: что дает брандмауэр стоимостью более 10 000 долларов по сравнению с сервером 2U с 4 работающими сетевыми картами 10 Гбит, например OpenBSD / FreeBSD / Linux?
Аппаратные брандмауэры, вероятно, имеют веб-интерфейс.
Но что еще можно получить за брандмауэр за 10 000 или 100 000 долларов ???
Это просто вопрос масштаба. Брандмауэры стоимостью тысячи долларов имеют функции и возможности, позволяющие масштабировать их и управлять ими в глобальном масштабе. Множество функций, которые любому, кто их не использует, придется провести довольно много исследований, прежде чем они (мы) сможем оценить их индивидуальные достоинства.
Вашему типичному домашнему маршрутизатору действительно не нужно иметь возможность обрабатывать множество устройств в офисе или несколько подключений к Интернет-провайдерам, поэтому он дешевле. И по количеству / типу интерфейсов, и по объему оборудования (RAM и т. Д.). Офисному брандмауэру также может потребоваться некоторое QoS, и вы можете захотеть, чтобы он имел возможность устанавливать VPN-соединение с удаленным офисом. Вам также понадобится немного лучшее ведение журнала для этого небольшого офиса, чем для домашнего брандмауэра.
Продолжайте масштабировать это до тех пор, пока вам не понадобится обрабатывать несколько сотен или тысяч пользователей / устройств на сайт, подключаться к десяткам / сотням других межсетевых экранов, которые компания имеет по всему миру, и управлять всем этим с помощью небольшой команды из одного места.
(Я забыл упомянуть обновления iOS, контракты на поддержку, гарантии на оборудование - и, вероятно, есть несколько десятков других соображений, о которых я даже не знаю ... но вы поняли идею)
Как правило, вместе с аппаратным брандмауэром вы получаете периодическую ежегодную плату за обслуживание и обещание того, что в будущем «поддержка оборудования» больше не будет доступна, и вам придется доставить оборудование и заменить его (а также Cisco PIX переход на ASA). Вы также застреваете в отношениях с одним продавцом. Попробуйте получить обновления программного обеспечения для Cisco PIX 515E, например, из других систем Cisco.
Вы, вероятно, можете сказать, что я довольно негативно отношусь к специализированному оборудованию межсетевого экрана.
Бесплатные операционные системы с открытым исходным кодом (FOSS) работают на некоторых хорошо известных «аппаратных» межсетевых экранах и ни в коем случае не являются непроверенными технологиями. Вы можете приобрести соглашения о поддержке программного обеспечения для FOSS у многих разных сторон. Вы можете приобрести любое оборудование, которое захотите, с любым соглашением о запасных частях / услугах, которое вы выберете.
Если ты действительно Тогда, возможно, потребуется специальный аппаратный брандмауэр. Однако FOSS может охватить вас во многих ситуациях и предоставить вам огромную гибкость, производительность и общую стоимость владения.
Вы уже получили несколько хороших ответов о технических вещах и поддержке. Все важные дела.
Позвольте мне представить еще одну вещь, на которую следует обратить внимание: ваше время на создание, настройку и поддержку аппаратного межсетевого экрана «разверните свой собственный» внутри компании - это инвестиция для вашего работодателя. Как и все остальное, бизнес должен решить, стоит ли оно того.
Вам / вашему руководителю необходимо подумать о том, где лучше всего проводить время. Вопрос о том, стоит ли «использовать собственное», может полностью измениться, если вы специалист по сетевой безопасности и / или у вашего работодателя есть специальные требования к брандмауэру, которые нелегко настроить в готовом продукте по сравнению с тем, кто помимо сетевой безопасности необходимо учитывать множество других задач, нужды которых можно легко удовлетворить, подключив сетевое устройство.
Не только в этом конкретном случае, но и в целом, было несколько раз, когда я покупал решение «с полки» или нанимался в консалтинг для того, что я вполне способен сделать сам, потому что мой работодатель предпочел бы, чтобы мое время было потрачено в другом месте. Это может быть довольно распространенным случаем, особенно если вы столкнулись с дедлайном, а экономия времени важнее, чем экономия денег.
И не сбрасывайте со счетов возможность «обвинить кого-то другого» - когда вы связали серьезный сбой с ошибкой в брандмауэре в 3 часа ночи, очень приятно иметь возможность поговорить с продавцом и сказать: «Я не знаю» т забота если это программное или аппаратное обеспечение, в любом случае это ваша проблема ».
как ваш доморощенный брандмауэр справится с обслуживанием оборудования в процессе эксплуатации?
как выдержит ваш доморощенный брандмауэр, когда вы достигнете пропускной способности 40+ Гбит / с?
как ваш доморощенный брандмауэр будет сегментировать разрешения для администраторов в различных бизнес-подразделениях, чтобы они могли управлять только своими частями базы правил?
как вы будете управлять своей базой правил, если у вас более 15 000 правил?
кто вас поддерживает, когда он уходит в канаву?
как он выдержит аудит по общим критериям.
между прочим, 100 тысяч долларов - это далеко не "дорогая" цена для межсетевых экранов. еще один ноль приведет вас туда. и это действительно капля в море для ресурсов, которые они защищают
Очевидно, что на этот вопрос нет универсального ответа, поэтому я опишу, что я сделал и почему.
Чтобы представить картину: у нас довольно небольшой бизнес, в котором работает около 25 офисных сотрудников, и, возможно, столько же на производстве. Наш основной бизнес - специализированные типографии, которые когда-то были монополистами, но теперь борются с растущим сопротивлением со стороны дешевого импорта, в основном из Китая. Это означает, что, хотя мы хотели бы обслуживания и оборудования уровня Rolls Royce, мы обычно должны довольствоваться чем-то большим на уровне Volkswagon.
В нашей ситуации стоимость чего-то вроде Cisco или подобного просто не могла быть оправдана, тем более что у меня нет опыта работы с этим (я - ИТ-отдел). Кроме того, дорогие коммерческие помещения не приносят нам реальной пользы.
Посмотрев на то, что есть у компании и что им нужно, я решил использовать старый ПК и установить Smoothwall Express, отчасти потому, что я использовал этот продукт в течение нескольких лет и уже был уверен в нем и привык к нему. Это, конечно, означает, что для брандмауэра нет внешней поддержки, что несет в себе определенную степень риска, но компании это вполне устраивает. Я просто добавлю, что в качестве брандмауэра Smoothwall так же хорош, как я видел для нашего масштаба, но он не обязательно может быть лучшим выбором для гораздо более крупной организации.
Это решение работает для нас. Это может сработать, а может и не сработать. Только вы можете принять это решение.
Если у вас брандмауэр XXXisco с коэффициентом отбрасывания пакетов 95%, вы можете подать на кого-нибудь в суд; если у вас такой же коэффициент выпадения на вашем ящике (что не редкость, и при старом добром простом ICMP-флуде), ну, вы собираетесь сойти с корабля, чтобы увидеть, что ваша зарплата собирается перебросить в новый брандмауэр .
В некоторой степени существует аргумент «Это просто работает». Не беспокойтесь об аппаратных причудах и небольших проблемах в программном обеспечении.
Я использую пару PIX для работы в конфигурации с горячим резервированием, и они никогда не выходили из строя. Подключите, введите необходимые правила и оставьте их себе. Полностью покрываются многие хлопоты и усилия, связанные с управлением коробкой, которую можно использовать самостоятельно. У нас действительно есть несколько боксов OpenBSD, которые используют pf для некоторой фильтрации, и я легко потратил на обслуживание боксов и брандмауэров в 10 раз больше времени, чем у меня есть PIX. Мы также иногда обнаруживаем, что в OpenBSD мы достигаем жестких ограничений на трафик.
Также стоит отметить, что PIX - это намного больше, чем, скажем, iptables. PIX также включает некоторые элементы, обычно встречающиеся в системах обнаружения вторжений (IDS), наряду с другими битами. Аппаратное обеспечение брандмауэра также обычно гораздо более специализировано для обработки пакетов на высокой скорости, а не более универсальный характер стандартного сервера.
При этом есть и другие поставщики, не менее стоящие, чем Cisco, и вы можете воссоздать все это самостоятельно. Вам просто нужно взвесить, стоит ли ваше время и любые возможные неприятности.
Что касается межсетевых экранов, я бы предпочел здравый смысл знать, что у меня есть прочное и надежное устройство.
Возможно, отчасти это сводится к тому же аргументу о том, что «скатывай сам» по сравнению с использованием приспособления.
Со временем выходит из строя все оборудование. Если вы построили систему, а она не работает, это ваша проблема. Если вы покупаете систему у поставщика, и она не работает, это их проблема.
При хорошей поддержке у вас есть обученные люди, готовые поддержать вас. Такие компании, как Cisco, Juniper, NetApp и т. Д., Добиваются успеха, потому что они предоставляют качественные продукты и качественную поддержку. Когда они терпят неудачу (а иногда и терпят поражение), их бизнесу наносится ущерб.
Высококачественное оборудование может сопровождаться хорошим контрактом на поддержку. Если брандмауэр выйдет из строя в 3 часа ночи в субботу после Нового года, я смогу связаться с техническим специалистом Продавца по телефону через 5 минут. Техник может прибыть на место через 2 часа и заменить мне неисправный компонент. Если маршрутизатор поддерживает крупный бизнес, где простой может привести к дорогостоящим убыткам, то, возможно, стоит приобрести маршрутизатор высокого класса. 10 000 или 100 000 долларов не кажутся такими уж дорогими, когда они поддерживают бизнес на 20 или 200 миллионов долларов, когда простой может стоить компании тысячи долларов в час.
Во многих случаях эти высокопроизводительные маршрутизаторы слишком дороги или не нужны, либо вы не можете получить высокопроизводительный маршрутизатор по бюджетным или политическим причинам. Иногда заказная коробка для пиццы или Soekris коробка более уместна.
Спустя много лет это все еще интересный вопрос. Разделим его на два подвопроса:
зачем покупать проприетарный брандмауэр, а не использовать брандмауэр с открытым исходным кодом (на основе Linux, FreeBSD, RouterOS и т. д.)? Все зависит от ваших потребностей:
если вы покупаете проприетарный брандмауэр, зачем покупать брандмауэр высокого класса, а не продукт с более низкой производительностью? Все сводится к требованиям к производительности и функциям:
Личный опыт: взвешивая все вышеперечисленные факторы, я часто (но не всегда) решаю использовать проприетарные межсетевые экраны даже с базовой услугой по замене оборудования. или по крайней мере, обеспечение конечного пользователя запасными частями. Когда бюджет действительно плотно и не требует дополнительных функций, я использую продукты с открытым исходным кодом (Mikrotik).
Вот перспектива с немного другим оборудованием, но концепция все еще применима. У нас было несколько модемных серверов в сети с довольно дешевым 8-портовым переключателем 10/100, связывающим все это вместе. Однажды коммутатор начал замерзать, и нам пришлось выключить и выключить его. Мы делали это несколько раз, пока он не перегорел. Этот модемный трафик был очень болтливым, и эта штука просто не могла выдержать жару.
Мы купили подержанный коммутатор cisco 2924, и все работало намного более плавно ... коллизии стали намного меньше. Оказалось, что старый коммутатор был 10-мегабитным концентратором, переключенным на 100-мегабитный. Незначительная разница, но этим объясняется разница в стоимости.