Зачем покупать аппаратные брандмауэры высокого класса?

Существуют межсетевые экраны от Juniper и Cisco, которые стоят больше, чем дом.

Поэтому мне интересно: что можно получить от брандмауэра стоимостью более $ 10.000 по сравнению с сервером 2U с сетевыми картами 4x 10 Гбит, например, с OpenBSD / FreeBSD / Linux?

Аппаратные брандмауэры, вероятно, имеют веб-интерфейс.

Но что еще можно получить за брандмауэр за 10000 долларов или 100000 долларов ???

Это просто вопрос масштаба. Брандмауэры на тысячи долларов имеют функции и возможности, позволяющие им масштабироваться и управляться глобально. Множество функций, которые любой, кто их не использует, должен был бы провести немало исследований, прежде чем они (мы) смогут оценить свои индивидуальные достоинства.

Ваш типичный домашний маршрутизатор на самом деле не должен быть в состоянии обрабатывать офисные устройства или несколько подключений к ISP, поэтому он дешевле. Как по количеству / типу интерфейсов, так и по аппаратной емкости (ОЗУ и т. Д.). Брандмауэру офиса также может потребоваться некоторое QoS, и вы можете захотеть, чтобы он мог устанавливать VPN-подключение к удаленному офису. Вам понадобится немного лучшая регистрация для этого небольшого офиса, чем для домашнего брандмауэра.

Продолжайте масштабировать это до тех пор, пока вам не понадобится обрабатывать несколько сотен или тысяч пользователей / устройств на сайт, подключаться к десяткам / сотням других брандмауэров, которые есть у компании по всему миру, и управлять всем этим с небольшой группой в одном месте.

(Я забыл упомянуть обновления IOS, контракты на поддержку, аппаратные гарантии - и, возможно, есть еще несколько десятков других соображений, о которых я даже не знаю ... но вы поняли)

Как правило, наряду с аппаратным брандмауэром вы получаете регулярную ежегодную плату за обслуживание и обещание будущей даты, когда «аппаратная поддержка» больше не будет доступна, и вам придется раскрутить механизм и заменить его (например, Cisco PIX). переход на ASA). Вы также застряли в отношениях с одним поставщиком. Попробуйте получить обновления программного обеспечения для вашего Cisco PIX 515E, например, от других систем Cisco.

Вы, вероятно, можете сказать, что я довольно негативно отношусь к специализированному оборудованию брандмауэра.

Свободные и открытые (FOSS) операционные системы питают некоторые хорошо известные «аппаратные» устройства брандмауэра и не являются проверенной технологией. Соглашения о поддержке программного обеспечения для FOSS можно приобрести у разных сторон. Вы можете приобрести любое оборудование, какое захотите, с любым соглашением о запчастях / обслуживании, которое вы выберете.

Если вы действительно много толкаете, возможно, вам понадобится специальное аппаратное устройство брандмауэра. Однако FOSS может охватить вас во многих ситуациях и предоставить вам огромную гибкость, производительность и общую стоимость владения.

У вас уже есть несколько хороших ответов о технических вопросах и поддержке. Все важные вещи.

Позвольте мне представить еще одну вещь: ваше время на создание, настройку и поддержку аппаратного брандмауэра для внутреннего использования - это инвестиция для вашего работодателя. Как и все, бизнес должен решить, стоит ли эта инвестиция.

Что вы / ваш менеджер должны учитывать, это то, где ваше время лучше всего потратить. Вопрос о том, стоит ли «кататься самостоятельно», может полностью измениться, если вы специалист по сетевой безопасности и / или у вашего работодателя есть специальные требования к брандмауэру, которые нелегко настроить в готовом продукте по сравнению с кем-то, кто помимо сетевой безопасности, он должен выполнять множество обязанностей, чьи потребности легко удовлетворить, подключив сетевое устройство.

Не только в этом конкретном случае, но и в целом, я несколько раз покупал решение "с полки" или нанимал в какой-то консультативной компании для чего-то, что я вполне способен сделать сам, потому что мой работодатель предпочел бы, чтобы мое время было потрачено в другом месте. Это может быть довольно распространенным случаем, особенно если вы сталкиваетесь с крайним сроком, и экономия времени важнее, чем экономия денег.

И не стоит сбрасывать со счетов возможность «обвинять кого-то другого» - когда вы заметили серьезное отключение из-за ошибки в брандмауэре в 3 часа ночи, очень приятно иметь возможность поговорить с продавцом и сказать «я не знаю» не волнует, если его программное или аппаратное обеспечение, это ваша проблема в любом случае ".

как ваш домашний брандмауэр справится с обслуживанием оборудования в процессе эксплуатации?

как будет поддерживать ваш домашний брандмауэр, когда вы достигнете пропускной способности 40 + Гбит / с?

как будут ваши доморощенные сегменты брандмауэра для администраторов разных подразделений, чтобы они могли управлять только своими частями базы правил?

как вы будете управлять своей рублебазой, если у вас более 15 000 правил?

кто поддерживает тебя, когда он идет в канаву?

как это будет соответствовать общему критерию аудита.

Кстати, 100 тыс. долларов - это далеко не «верхний предел» для брандмауэров. другой ноль приведет вас туда. и это действительно капля в море за ресурсы, которые они защищают

Ясно, что на этот вопрос нет единого универсального ответа, поэтому я опишу, что я сделал и почему.

Чтобы установить картину: у нас довольно маленький бизнес с примерно 25 офисными сотрудниками и, возможно, с таким же количеством сотрудников на производстве. Наш основной бизнес - специализированные типографии, которые когда-то пользовались монополией, но сейчас борются с растущим сопротивлением дешевого импорта, в основном из Китая. Это означает, что, хотя мы хотели бы получить услуги и оборудование уровня Rolls Royce, нам, как правило, приходится соглашаться на что-то большее на уровне Volkswagon.

В нашей ситуации стоимость чего-то вроде Cisco или подобного просто не может быть оправдана, тем более, что у меня нет опыта работы с ней (я работаю в одном отделе ИТ). Кроме того, дорогие коммерческие объекты не приносят нам никакой реальной выгоды.

Посмотрев, что у компании есть и что им нужно, я решил использовать старый ПК и установить Smoothwall Express, отчасти потому, что я использовал этот продукт в течение ряда лет и уже был уверен в себе и чувствовал себя комфортно с ним. Это, конечно, означает, что нет никакой внешней поддержки брандмауэра, который несет в себе определенную степень риска, но это тот риск, с которым компания чувствует себя комфортно. Я просто добавлю, что в качестве брандмауэра Smoothwall так же хорош, как я видел для нашего масштаба, но он не обязательно будет лучшим выбором для гораздо более крупной организации.

Это решение работает для нас. Это может или не может работать для вас. Только вы можете принять это решение.

Если у вас брандмауэр XXXisco с коэффициентом отбрасывания пакетов 95%, вы можете подать в суд на кого-либо; если у вас есть такой же коэффициент выпадения на вашем боксе (что не редкость, и при старом добром простом потоке ICMP), вы собираетесь покинуть судно и увидеть, что ваша зарплата вот-вот будет помещена в новый брандмауэр. ,

В какой-то степени есть аргумент «Это просто работает». Не беспокойтесь об аппаратных изысках и небольшой суете по поводу программных ошибок.

Я использую пару PIX на работе в конфигурации с горячим резервированием, и они никогда не подводили. Подключите, введите необходимые правила и оставьте их для него. Большая часть хлопот и усилий, связанных с управлением коробкой «сделай сам», полностью покрыта. У нас есть несколько коробок OpenBSD, которые используют pf для некоторой фильтрации, и я потратил в 10 раз больше времени на поддержку коробок и межсетевых экранов, чем PIX. Мы также иногда сталкивались с жесткими ограничениями в OpenBSD для трафика.

Также стоит отметить, что PIX намного больше, чем, скажем, iptables. PIX также включает некоторые элементы, которые обычно встречаются в системах обнаружения вторжений (IDS), наряду с другими битами. Аппаратное обеспечение брандмауэра также, как правило, гораздо более специализировано для обработки пакетов на высокой скорости, а не для более обобщенной природы стандартного болотного сервера.

Тем не менее, есть другие поставщики, одинаково стоящие как Cisco, и вы можете воссоздать все это самостоятельно. Вам просто нужно взвесить, стоит ли ваше время и возможные стычки.

Для брандмауэров я бы предпочел здравый смысл знать, что у меня есть надежное и надежное устройство.

Возможно, часть этого сводится к тому же аргументу о «Roll your own» против использования устройства

Все оборудование выходит из строя в конце концов. Если вы создали систему, и она не работает, это ваша проблема. Если вы покупаете систему у поставщика, и она терпит неудачу, это их проблема .

При хорошей поддержке вы обучили людей, готовых поддержать вас. Такие компании, как Cisco, Juniper, NetApp и т. Д., Добились успеха, поскольку предоставляют качественные продукты, обеспеченные качественной поддержкой. Когда они терпят неудачу (а иногда и терпят неудачу), их бизнесу наносится ущерб.

Высококачественное оборудование может поставляться с хорошим контрактом на поддержку. Если брандмауэр выйдет из строя в 3 часа ночи в субботу после канун Нового года, я смогу связаться с техническим специалистом по телефону через 5 минут. Техник может быть на месте через 2 часа и заменить неисправный компонент для меня. Если маршрутизатор поддерживает крупный бизнес, где простои могут привести к дорогостоящим потерям, возможно, стоит приобрести маршрутизатор высшего класса. 10000 или 100000 долларов не кажутся такими уж дорогими, если они поддерживают бизнес на 20 или 200 миллионов долларов, где простои могут стоить компании тысячи долларов в час.

Во многих случаях эти высокопроизводительные маршрутизаторы слишком дороги или не нужны, или вы не можете получить высокопроизводительный маршрутизатор по бюджетным или политическим причинам. Иногда более подходящей является коробка для пиццы или коробка Soekris .

Спустя много лет это все еще интересный вопрос. Давайте разделим это на два подвопроса:

1. зачем покупать собственный межсетевой экран, а не использовать открытый исходный код (на основе Linux, FreeBSD, RouterOS и т. д.)? Все зависит от ваших потребностей:

   • Брандмауэры с открытым исходным кодом, как правило, работают очень хорошо при небольших затратах и ​​не обеспечивают привязку к поставщикам. Однако они редко предоставляют расширенные функции прозрачного UTM (унифицированного управления потоками), такие как фильтрация содержимого, фильтрация приложений, антивирус шлюза, шифрование SSL и тому подобное. Это не означает, что брандмауэр с открытым исходным кодом не может этого сделать, однако они часто требуют использования прокси-служб, которые необходимо настроить на стороне клиента (т. Е. В браузере). Два хороших, разных примера - это Mikrotik (RouterOS, на основе Linux) и Endian: первый имеет производительные, недорогие продукты только для брандмауэра (без UTM); последние предоставляют в основном прокси-серверы, полные продукты UTM. Пример: хотя версия Endian для сообщества межсетевых экранов только для брандмауэров является бесплатным продуктом, пакет UTM основан на лицензиях (и они не являются супер-дешевыми).
   • Еще один момент, который следует учитывать, - это WebUI: проприетарные брандмауэры, как правило, имеют довольно хороший пользовательский интерфейс, тогда как у бесплатных / открытых источников иногда менее интуитивно понятный пользовательский интерфейс (например, Mikrotik).
   • Собственные брандмауэры часто имеют дополнительные сервисы управления в комплекте с ними. Например, они могут включать в себя консоль управления для репликации всех изменений конфигурации на несколько устройств или для предоставления подробных отчетов.
   • Наконец, поставщики брандмауэров обычно предоставляют услуги в качестве замены оборудования и поддержки билетов. С самостоятельно созданным брандмауэром с открытым исходным кодом вы, как правило, одиноки в замене аппаратного обеспечения, и поддержка не всегда доступна бесплатно. С другой стороны, гораздо проще диагностировать (и разрешать) проблему, когда платформа имеет открытый исходный код, а не закрыта.

2. Если вы покупаете собственный брандмауэр, зачем покупать высококачественный брандмауэр, а не продукт с более низкой производительностью? Все сводится к требованиям к производительности и характеристикам:

   • если вы планируете включить службы UTM не только на каналах глобальной сети (где пропускная способность часто ограничена), но и на внутренних каналах (например, DMZ, между VLAN и т. д.), вам нужен межсетевой экран с высокой пропускной способностью, особенно если у вас много клиентов. Более того, брандмауэр нижнего уровня часто имеет (иногда искусственные) ограничения на количество одновременных пользователей, VPN-туннели и т. Д.
   • межсетевой экран низкого уровня может пропустить некоторые дополнительные функции (например, высокую доступность, восстановление после сбоя в глобальной сети, объединение каналов, порты 10 Гбит и т. д.), необходимые в вашей среде.

Личный опыт: взвесив все вышеперечисленные факторы, я часто (но не всегда) решаю использовать проприетарные брандмауэры даже с базовой услугой замены оборудования или, по крайней мере, предоставляя конечному пользователю запасную часть. Когда бюджет действительно ограничен и не требуются дополнительные функции, я использую продукты с открытым исходным кодом (Mikrotik).

Вот перспектива с немного другим аппаратным обеспечением, но концепция все еще применима. Мы работали с несколькими модемными серверами в сети с довольно дешевым 8-портовым 10/100 «коммутатором», связавшим все это вместе. Однажды выключатель начал зависать, и нам пришлось включить его. Мы делали это несколько раз, пока это не сгорело. Этот модемный трафик был очень болтливым, и штука просто не выдерживала жары.

Мы купили подержанный коммутатор cisco 2924, и все это работало намного более гладко ... столкновения пошли вниз. Оказалось, что старый коммутатор был концентратором 10 Мбит, который был переведен на концентратор 100 Мбит. Небольшая разница, но это объясняет разницу в стоимости.