Existe algum vazamento de desempenho usando um software baseado em firewall em vez de um appliance?

Para a quantidade de dados que você vai usar, eu recomendo comprar algo como Cisco ASA 5520 . Eu usei estes no passado, e eles fazem um firewall muito capaz. Eles também podem fornecer serviços VPN se você desejar. A especificação diz que estas podem lidar com sessões de até 450Mbit e 280k.

Se você acabar optando por um firewall baseado em software (o que é um pouco inapropriado, já que todos os firewalls são baseados em software. Eu divago), eu recomendo que você escolha algo como PFsense . É baseado em BSD, portanto, o desempenho e a segurança da rede e do firewall são tão bons quanto este tipo de produto. Eu estremeço ao pensar em usar o ISA Server para rotear e inspecionar 400Mbits ...

Editar, após esclarecimento da questão

Nenhuma comparação genérica pode ser feita entre uma solução baseada em servidor e um appliance. Existem grandes diferenças na qualidade do hardware disponível para cada categoria. Você encontrará alguns "appliances" que são apenas hardwares comuns, placas de rede baratas, linux em execução com um bom frontend GUI. Coloque esse appliance em uma máquina de classe de servidor quad-core com muita RAM, algumas placas PCIe e PFsense, não há dúvidas de que o servidor andará por todo o "appliance". Por outro lado, existem alguns dispositivos que empregam ASICs de hardware reais para processamento de pacotes. Dependendo da carga do seu pacote e do tipo de filtragem que você deseja fazer, isso pode ser muito muito de alto desempenho.

No final, acho que você terá que experimentar algumas dessas soluções para ver quais funcionarão melhor para você ou, possivelmente, contatar os fornecedores diretamente sobre modelos específicos.

Como eu disse, tenho muita experiência com a plataforma ASA e o PFSense. Ambas as plataformas têm pontos strongs e fracos, mas no seu caso, eu imagino que ou seria capaz de lidar muito bem com as cargas que você espera.

Acho que você verá que o firewall do ponto de verificação é um PC padrão, não importa se você compra o appliance ou instala o software em sua própria caixa.

Na verdade, a maioria dos firewalls será uma mistura de software e hardware; em uma extremidade da escala está um PC rodando openbsd / freebsd e PF - ele estará principalmente em software, mas você pode usar uma placa ethernet que possui hardware para calcular checksums e offloading de cabeçalho IP e coisas similares.

No outro extremo da escala, algo como um antigo summit5i de redes extremas pode fazer balanceamento de carga baseado em NAT e fluxo, aplicação de ACL e um monte de outras coisas, tudo em hardware. Não fará inspeção stateful de pacotes ou material do tipo IDP, mas fará um pouco do que um firewall faz e o fará muito rapidamente.

Nas cargas de tráfego que você está vendo, qualquer PC de classe de servidor moderno deve ser bom para firewalls simples e nat nativo. Se você quiser outras coisas, olhe para qual fornecedor fornece os recursos e o suporte que você quer e não exagere nos detalhes se for feito em um asic ou na CPU.

Eu costumava usar o ISA Server, e realmente não encontrei um problema com ele, desde que ele esteja bem configurado e haja recursos suficientes para isso. Enquanto com um dispositivo de hardware, eles podem remover a sobrecarga do sistema operacional, também pode custar mais, dependendo da configuração. No entanto, nossa configuração foi em uma escala muito menor, mas para responder à sua pergunta, não notamos uma grande diferença além da sobrecarga no servidor. Eu digo, se ele está configurado em uma máquina dedicada, você deve estar bem, lembre-se, pode haver mais passos de segurança que você pode precisar levar em consideração para um firewall baseado em software. Uma vez que eles não só são capazes de serem atrelados através de seu próprio software, mas também do software em que estão sendo executados. Tudo somado, o desempenho vai realmente depender se a máquina é dedicada ou não e o tipo de configuração que você tem. Eu pessoalmente gosto de aparelhos de hardware.