Por que comprar firewalls de hardware de ponta?

É apenas uma questão de escala. Os firewalls de milhares de dólares têm recursos & capacidade que lhes permite dimensionar & ser gerenciado globalmente. Uma miríade de recursos que qualquer um que não os usaria teria um pouco de pesquisa para fazer antes que eles (nós) pudéssemos apreciar seus méritos individuais.

Seu roteador doméstico típico não precisa realmente ser capaz de lidar com um escritório de dispositivos ou várias conexões ISP, por isso é mais barato. Tanto no número / tipo de interfaces quanto na capacidade do hardware (RAM, etc). O firewall do escritório também pode precisar de um pouco de QoS e você pode querer que ele consiga estabelecer uma conexão VPN com um escritório remoto. Você desejará um registro um pouco melhor para esse pequeno escritório do que o necessário para o firewall doméstico.

Mantenha o escalonamento até que você precise gerenciar algumas centenas ou milhares de usuários / dispositivos por site, conectar-se a dezenas / centenas de outros firewalls da empresa globalmente e gerenciar tudo com uma pequena equipe em um único local.

(Esqueci de mencionar atualizações do IOS, contratos de suporte, garantias de hardware - e provavelmente há algumas dezenas de outras considerações que eu nem conheço ... mas você entendeu)

Normalmente, junto com o firewall de hardware, você recebe uma taxa de manutenção anual recorrente e a promessa de uma data futura quando o "suporte de hardware" não estará mais disponível e você terá que empilhá-la e substituí-la a transição do Cisco PIX para o ASA). Você também fica preso a um relacionamento com um único fornecedor. Tente e obtenha atualizações de software para o seu Cisco PIX 515E de alguns outros sistemas da Cisco, por exemplo.

Provavelmente, você pode dizer que sou bastante negativo sobre o hardware de firewall criado especificamente.

Sistemas operacionais livres e de código aberto (FOSS) alimentam alguns dispositivos de firewall de "hardware" conhecidos e não apresentam tecnologia comprovada em nenhum momento. Você pode adquirir contratos de suporte de software para FOSS de várias partes diferentes. Você pode comprar qualquer hardware que quiser com qualquer contrato de reposição / serviço escolhido.

Se você está realmente empurrando um monte de bits por aí, talvez seja necessário um dispositivo de firewall de hardware construído para esse fim. O FOSS pode cobri-lo em muitas situações e oferecer uma enorme flexibilidade, desempenho e custo total de propriedade.

Você já teve algumas boas respostas sobre assuntos técnicos e suporte. Todas as coisas importantes.

Deixe-me apresentar outra coisa a considerar: O seu tempo para criar, configurar e suportar internamente um firewall de hardware "roll your own" é um investimento para o seu empregador. Como todas as coisas, a empresa precisa decidir se esse investimento vale a pena.

O que você / seu gerente precisa considerar é onde seu tempo é melhor gasto. A questão de saber se vale a pena "mudar de usuário" pode mudar completamente se você for um especialista em segurança de rede e / ou seu empregador tiver requisitos de firewall especializados que não são fáceis de configurar em um produto fora de prateleira comparado a alguém que tem muitos deveres a considerar além da segurança da rede e cujas necessidades podem ser facilmente atendidas conectando-se um dispositivo de rede.

Não apenas neste caso específico, mas em geral, algumas vezes eu comprei uma solução "pronta para uso" ou contratei uma consultoria para algo que sou capaz de fazer porque meu empregador preferia tempo foi gasto em outro lugar. Isso pode ser um caso bastante comum, especialmente se você estiver enfrentando um prazo e economizar tempo for mais importante do que economizar dinheiro.

E não desconsidere a capacidade de "culpar alguém" - quando você detectou uma falha grave em um bug no firewall às 3h da manhã, é muito bom poder falar com o fornecedor e dizer " Eu não me importo se seu software ou hardware, seu problema de qualquer maneira ".

como o seu firewall homebrew cuidará da manutenção de hardware em serviço?

como é que o seu firewall homebrew aguenta quando chega a um débito de 40 + Gbps?

como serão as permissões do seu segmento de firewall homebrew para administradores em diferentes unidades de negócios, de modo que eles possam gerenciar apenas suas próprias partes da base de regras?

como você gerenciará sua base de regra quando tiver mais de 15.000 regras?

quem está te apoiando quando entra na vala?

como se comportará com uma auditoria de critérios comum?

a propósito, $ 100k não está nem perto de "high end" para firewalls. outro zero te levaria até lá. e é realmente uma gota no balde para os recursos que eles protegem

É evidente que não há uma resposta única para essa pergunta, então vou descrever o que fiz e por quê.

Para definir a imagem: somos uma empresa relativamente pequena, com cerca de 25 funcionários de escritório e, talvez, o mesmo número no chão de fábrica. Nosso principal negócio é como gráficas especializadas que já tiveram um monopólio, mas agora estão lutando contra uma quantidade crescente de oposição de importações baratas, principalmente da China. Isso significa que, embora adoremos o serviço e o hardware em nível Rolls Royce, geralmente temos que nos contentar com algo mais ao longo dos níveis do Volkswagon.

Em nossa situação, o custo de algo como Cisco ou similar simplesmente não poderia ser justificado, especialmente porque eu não tenho nenhuma experiência com ele (sou um "departamento" de TI de um homem). Além disso, as unidades comerciais caras não oferecem nenhum benefício real para nós.

Essa solução funciona para nós. Pode ou não funcionar para você. Só você pode tomar essa decisão.

Se você tem um firewall da marca XXXisco com uma taxa de 95% de pacotes, você pode processar alguém; Se você tem a mesma taxa de queda em sua caixa (isso não é raro, sob uma inundação ICMP simples e boa também), bem, você está prestes a sair do navio para ver se seu salário está prestes a ser colocado em um novo firewall .

Até certo ponto, existe o argumento "apenas funciona". Não se preocupe com peculiaridades de hardware e pouca confusão sobre erros de software.

Eu uso um par de PIXes no trabalho em uma configuração hot-standby e eles nunca falharam. Conecte, insira as regras necessárias e deixe-as. Muitas das dificuldades e esforços envolvidos no gerenciamento de uma caixa de rolagem são completamente cobertos. Nós temos algumas caixas do OpenBSD espalhadas por aí que usam pf para alguma filtragem, e eu gastei facilmente 10 vezes mais no tempo, mantendo as caixas e firewalls, já que tenho os PIXs. Nós também descobrimos em ocasiões que atingimos limites no OpenBSD para o tráfego.

Também vale a pena ressaltar que um PIX é muito mais do que, digamos, iptables. PIXs também incluem alguns elementos comumente vistos em sistemas de detecção de intrusão (IDS), juntamente com outros bits. O hardware de firewall também é geralmente muito mais especializado para o processamento de pacotes em alta velocidade, ao invés da natureza mais generalizada de um servidor padrão.

Dito isso, há outros fornecedores igualmente valiosos como a Cisco, e você pode recriar tudo sozinho. Você apenas tem que ponderar se o seu tempo e possíveis aborrecimentos valem a pena.

Para firewalls, prefiro a sanidade de saber que tenho um dispositivo sólido e confiável.

Indiscutivelmente, parte disso se resume ao mesmo argumento sobre "Rolar o seu próprio" versus usar um aparelho

Todo o equipamento falha eventualmente. Se você construiu o sistema e ele falha, o problema é seu. Se você comprar um sistema do fornecedor e ele falhar, é o problema dele .

Com um bom apoio, você treinou pessoas prontas para apoiá-lo. Empresas como Cisco, Juniper, NetApp, etc. são bem-sucedidas porque fornecem produtos de qualidade com suporte de qualidade. Quando eles falham (e às vezes eles fazem), seus negócios são prejudicados.

Equipamentos de ponta podem vir com um bom contrato de suporte. Se o firewall travar às 3 da manhã do sábado após a Véspera de Ano Novo, posso obter um técnico do vendedor no telefone em 5 minutos. Um técnico pode estar no site em 2 horas e trocar o componente com falha por mim. Se o roteador suporta um grande negócio onde o tempo de inatividade pode causar perdas caras, então pode valer a pena obter um roteador de ponta. US $ 10.000 ou US $ 100.000 não parecem tão caros quando estão apoiando uma empresa de US $ 20 milhões ou US $ 200 milhões, onde o tempo de inatividade pode custar à empresa milhares de dólares por hora.

Em muitos casos, esses roteadores de ponta são muito caros ou desnecessários, ou você não pode obter um roteador de ponta devido a razões orçamentárias ou políticas. Às vezes, uma caixa de pizza personalizada ou uma caixa de Soekris é mais apropriada.

Depois de muitos anos, ainda é uma questão interessante. Vamos dividir em duas sub-questões:

1. por que comprar um firewall proprietário em vez de usar um opensource (baseado em Linux, FreeBSD, RouterOS, etc)? Tudo depende das suas necessidades:

   • Os firewalls Opensource geralmente funcionam muito bem por seu pequeno custo e não fornecem bloqueio de fornecedor. No entanto, eles raramente fornecem recursos UTM (gerenciamento de encadeamento unificado) avançados transparentes , como Filtragem de Conteúdo, Filtragem de Aplicativos, Antivírus Gateway, descriptografia SSL e semelhantes. Isso não significa que o firewall de código aberto não possa fazer isso, no entanto, eles geralmente exigem o uso de serviços de proxy que precisam ser configurados no lado do cliente (ou seja, no navegador). Dois bons e diferentes exemplos são o Mikrotik (RouterOS, baseado em Linux) e Endian : o primeiro tem produtos de baixo custo, somente firewall (sem UTM); os últimos fornecem produtos UTM completos baseados em proxy. Caso em questão: enquanto a edição comunitária do Endian apenas para firewall é um produto gratuito, o pacote UTM é baseado em licença (e não é super barato).
   • Outro ponto a ser considerado é a WebUI: firewalls proprietários geralmente têm interface do usuário bastante boa, enquanto os de código livre / opensource têm uma interface de usuário menos intuitiva (por exemplo: Mikrotik).
   • Os firewalls proprietários geralmente têm serviços de gerenciamento adicionais associados a eles. Por exemplo, eles podem incluir um console de gerenciamento para replicar todas as alterações de configuração em vários dispositivos ou para fornecer relatórios detalhados.
   • Por fim, os fornecedores de firewall geralmente fornecem serviços como substituição de hardware e emissão de tíquetes de suporte. Com o firewall de código aberto autônomo, você geralmente está sozinho na substituição de hardware, e o suporte nem sempre está disponível gratuitamente. Por outro lado, é muito mais fácil diagnosticar (e resolver) um problema quando a plataforma é de código aberto, ao invés de fechada.

2. se comprar um firewall proprietário, por que comprar um firewall de última geração em vez de um produto de desempenho inferior? Tudo se resume a requisitos de desempenho e recursos:

   • se você planeja habilitar serviços UTM não apenas em links WAN (onde a largura de banda é limitada), mas também em links internos (por exemplo: DMZ, entre VLANs, etc), você precisa de um firewall com alto throughput, especialmente se tiver muitos clientes. Além disso, o firewall low-end geralmente tem limitações (por vezes artificiais) no número de usuários simultâneos, túneis VPN, etc.
   • O firewall low-end pode perder alguns recursos adicionais (por exemplo: alta disponibilidade, failover de WAN, agregação de links, portas de 10 Gb, etc.) necessários em seu ambiente.

Experiência pessoal: pesando todos os fatores acima, eu freqüentemente (mas nem sempre) decidi usar firewalls proprietários com até mesmo um serviço básico de substituição de hardware ou pelo menos fornecendo uma peça de reposição . Quando o orçamento é realmente apertado e nenhum recurso avançado é necessário, eu uso produtos opensource (Mikrotik).

Aqui está uma perspectiva com hardware ligeiramente diferente, mas o conceito ainda se aplica. Estávamos executando vários servidores de modem em uma rede com um "switch" de 8 portas 10/100 um tanto barato, juntando tudo. Um dia, o interruptor começou a congelar e tivemos que desligá-lo. Nós fizemos isso várias vezes, até que realmente se esgotou. Esse tráfego de modem era muito falador, e a coisa não dava conta do calor.

Compramos um interruptor cisco 2924 usado, e tudo funcionou muito mais suavemente ... as colisões diminuíram. Acontece que o antigo switch era um hub de 10Mbit comutado para um hub de 100Mbit. Diferença sutil, mas isso explica a diferença de custo.