Брандмауэр с открытым исходным кодом или коммерческий брандмауэр
В каких случаях было бы нормально использовать брандмауэры с открытым исходным кодом для защиты / защиты / фильтрации сети компании?
Похоже, существует множество альтернатив брандмауэрам с открытым исходным кодом (pfSense, smoothwall, m0n0wall) для малого бизнеса, которые позволят компании сэкономить деньги за счет снижения первоначальной стоимости.
8 ответов
Во-первых, ваш вопрос звучит так: "Коммерческое программное обеспечение лучше, но насколько это плохо, если я пойду в открытый код". Во всяком случае, я не думаю, что есть какая-либо серьезная проблема для использования брандмауэра с открытым исходным кодом, если:
1 / это соответствует вашим потребностям
2/ вы регулярно обновляете их
3/ вы знаете, что делаете и как это настроить
Было бы нормально, если бы вы имели опыт, необходимый для выбора решения, которое соответствует вашим потребностям, и эффективного его применения. Это относится и к коммерческим брандмауэрам. Разница в том, что если у него есть неотразимая функция (например, интеграция с Active Directory в MS ISA-сервер), вы можете быть склонны платить за это... или нет.
Брандмауэры с открытым исходным кодом, как и многие другие приложения, становятся все проще в установке, настройке и обслуживании. Smoothwall - хороший пример, но его легко использовать уже много лет - мой первый опыт использования Linux заключался в использовании Coyote Linux в качестве интерфейса межсетевого экрана IPTables (фактически, изначально IPChains); он загружался с дискеты, был прост в настройке и отлично работал на 66 МГц Pentium.
Я использую пару ipcop boxen для защиты сети малого бизнеса (~80 машин). Они отлично справляются с брандмауэром, управляют DMZ для нашего почтового сервера (и нескольких других машин с внешним доступом) и VPN для внешних работников и VPN типа "сеть-сеть". Для настройки / обслуживания не требуется много опыта linux, поскольку все это делается через отличный веб-интерфейс (в котором также есть все ваши журналы безопасности, графики трафика и т. Д.)
НТН
Когда я настраивал свою компанию, я решил купить небольшую коробку и скачать Smoothwall. Он работал очень хорошо, защищая наш первый веб-сервер в течение почти трех лет (пока сбой жесткого диска не потребовал перестройки коробки).
Сейчас мы используем два коммерческих брандмауэра, отчасти потому, что цены намного ниже, оборудование физически меньше, чем сервер 1/2 стойки, потребляет меньше энергии, мы знаем их емкость и поддержку можно получить у поставщика.
Это в основном сводится к деловому решению. Какой бюджет, какие функции вам нужны, каковы ваши знания / навыки?
Вопрос должен быть не "когда это нормально", а "когда это актуально". Основными областями, отличающими брандмауэры с открытым исходным кодом от "коммерческих", являются:
- Служба поддержки. Нужно ли вам иметь возможность позвонить кому-нибудь в случае возникновения проблем, чтобы помочь вам или исправить потенциальные ошибки? Для программного обеспечения с открытым исходным кодом предлагается некоторая поддержка, но она по-прежнему не получила широкого распространения, особенно для брандмауэров с открытым исходным кодом
- интеграция. Собираетесь ли вы все настроить самостоятельно? Точнее, хотите ли вы самостоятельно определить размеры оборудования или вам необходимо установить и настроить все необходимые службы, прежде чем приступить к реальной настройке брандмауэра? Вы даже достаточно опытны, чтобы сделать все это? Некоторые полностью интегрированные решения с открытым исходным кодом могут помочь вам, но вам все равно придется покупать оборудование и подбирать его в соответствии с вашими потребностями (это также обычно означает, что не специализированное оборудование и получить большую производительность сети от архитектуры ПК не так просто, как может выглядит как).
- бюджет. Программное обеспечение с открытым исходным кодом в основном бесплатно (как в пиве). Так не должно быть, но обычно это так. Однако то, что вы экономите на покупной цене, вам может потребоваться рабочая сила.
- Спектакль. Нравится вам это или нет, но если у вас большие требования к производительности, брандмауэры с открытым исходным кодом все еще сильно отстают от проприетарных устройств. В качестве очень экстремального примера рассмотрим Juniper SRX. Вы никогда не получите такую же производительность с pfSense на Dell. Однако, если ваши требования меньше (как очень глупое и консервативное практическое правило, при скорости фильтрации 1 Гбит / с для фильтрации, без таких хитрых вещей, как VPN), открытый исходный код - это путь.
Надеюсь, поможет.
Во всех случаях брандмауэры os (я подозреваю, что вы имеете в виду фильтр пакетов) выполняют свою работу: фильтруют пакеты.
примечание: программное обеспечение os не означает, что оно не может быть коммерческим (включая коммерческую поддержку)
Это будет зависеть от подхода вашей компании к открытому исходному коду.
Брандмауэр в OpenBSD и в Linux является первоклассным. Поддержка лучше, патчи, обновления бесплатны. Например, в OpenBSD при установке по умолчанию было только 2 удаленных дыры. Я сомневаюсь, что любая коммерческая ОС может лучше.
Но Cisco также делает хорошие брандмауэры.
(Если бы деньги не были предметом, и решение было за мной, я бы все же пошел с OpenBSD.)
Но если в вашей компании работают только серверы Windows, а менеджеры с открытым исходным кодом нервируют ваших менеджеров, Cisco делает хорошее, но дорогое решение.
Если вы не знаете об этом слишком много и не хотите тратить месяцы на то, чтобы сделать это правильно - я бы начал с smoothwall.