Зачем покупать аппаратные брандмауэры высокого класса?

Как правило, наряду с аппаратным брандмауэром вы получаете периодическую ежегодную плату за обслуживание и обещание будущей даты, когда "аппаратная поддержка" больше не будет доступна, и вам придется раскрутить механизм и заменить его (в частности, Cisco PIX). переход на ASA). Вы также застряли в отношениях с одним поставщиком. Попробуйте получить обновления программного обеспечения для вашего Cisco PIX 515E, например, от других систем Cisco.

Вы, вероятно, можете сказать, что я довольно негативно отношусь к специализированному оборудованию брандмауэра.

Свободные и открытые (FOSS) операционные системы питают некоторые хорошо известные "аппаратные" брандмауэры и не являются проверенной технологией. Соглашения о поддержке программного обеспечения для FOSS можно приобрести у разных сторон. Вы можете приобрести любое оборудование, какое захотите, с любым соглашением о запчастях / обслуживании, которое вы выберете.

Если вы действительно много толкаете, возможно, вам понадобится специальное аппаратное устройство брандмауэра. Однако FOSS может охватить вас во многих ситуациях и предоставить вам огромную гибкость, производительность и общую стоимость владения.

У вас уже есть несколько хороших ответов о технических вопросах и поддержке. Все важные вещи.

Позвольте мне представить еще одну вещь: ваше время на создание, настройку и поддержку аппаратного брандмауэра для внутреннего использования - это инвестиция для вашего работодателя. Как и все, бизнес должен решить, стоит ли эта инвестиция того.

Что вы / ваш менеджер должны учитывать, это то, где ваше время лучше всего проводить. Вопрос о том, стоит ли "кататься самостоятельно", может полностью измениться, если вы специалист по сетевой безопасности и / или у вашего работодателя есть специальные требования к брандмауэру, которые нелегко настроить в готовом продукте по сравнению с кем-то, кто помимо сетевой безопасности, он должен выполнять множество обязанностей, чьи потребности можно легко удовлетворить, подключив сетевое устройство.

Не только в этом конкретном случае, но и в целом, я несколько раз покупал решение "с полки" или нанимал в какой-то консультативной компании для чего-то, что я вполне способен сделать сам, потому что мой работодатель предпочел бы, чтобы мое время было потрачено в другом месте. Это может быть довольно распространенным случаем, особенно если вы сталкиваетесь с крайним сроком, и экономия времени важнее, чем экономия денег.

И не стоит сбрасывать со счетов возможность "обвинять кого-то другого" - когда вы заметили серьезное отключение из-за ошибки в брандмауэре в 3 часа ночи, очень приятно иметь возможность поговорить с продавцом и сказать "я не знаю" не волнует, если его программное или аппаратное обеспечение, это ваша проблема в любом случае ".

Как ваш домашний брандмауэр справится с обслуживанием оборудования в процессе эксплуатации?

как будет поддерживать ваш домашний брандмауэр, когда вы достигнете пропускной способности 40+ Гбит / с?

как будут ваши доморощенные сегменты брандмауэра для администраторов разных подразделений, чтобы они могли управлять только своими частями базы правил?

как вы будете управлять своей рублебазой, если у вас более 15 000 правил?

кто поддерживает тебя, когда он идет в канаву?

как это будет соответствовать общему критерию аудита.

Кстати, 100 тыс. долларов - это далеко не "верхний предел" для брандмауэров. другой ноль приведет вас туда. и это действительно капля в море за ресурсы, которые они защищают

Ясно, что на этот вопрос нет единого универсального ответа, поэтому я опишу, что я сделал и почему.

Чтобы установить картину: у нас довольно маленький бизнес с примерно 25 офисными сотрудниками и, возможно, с таким же количеством сотрудников на производстве. Наш основной бизнес - это специализированные типографии, которые когда-то пользовались монополией, но сейчас борются с растущим сопротивлением дешевого импорта, в основном из Китая. Это означает, что, хотя мы хотели бы получить услуги и оборудование уровня Rolls Royce, нам, как правило, приходится соглашаться на нечто большее на уровнях Volkswagon.

В нашей ситуации стоимость чего-то вроде Cisco или подобного просто не может быть оправдана, тем более что у меня нет опыта работы с ней (я работаю в одном отделе ИТ). Кроме того, дорогие коммерческие объекты не приносят нам никакой реальной выгоды.

Посмотрев, что у компании есть и что им нужно, я решил использовать старый ПК и установить Smoothwall Express, отчасти потому, что я использовал этот продукт в течение ряда лет и уже был уверен в себе и чувствовал себя комфортно с ним. Это, конечно, означает, что нет никакой внешней поддержки брандмауэра, который несет определенную степень риска, но это тот риск, с которым компания чувствует себя комфортно. Я просто добавлю, что в качестве брандмауэра Smoothwall так же хорош, как я видел для нашего масштаба, но он не обязательно будет лучшим выбором для гораздо более крупной организации.

Это решение работает для нас. Это может или не может работать для вас. Только вы можете принять это решение.

В какой-то степени есть аргумент "Это просто работает". Не беспокойтесь об аппаратных особенностях и небольшой суете по поводу программных ошибок.

Я использую пару PIX на работе в конфигурации с горячим резервированием, и они никогда не подводили. Подключите, введите необходимые правила и оставьте их для него. Большая часть хлопот и усилий, связанных с управлением коробкой "сделай сам", полностью покрыта. У нас есть несколько коробок OpenBSD, которые используют pf для некоторой фильтрации, и я потратил в 10 раз больше времени на обслуживание коробок и брандмауэров, чем PIX. Мы также иногда сталкивались с жесткими ограничениями в OpenBSD для трафика.

Также стоит отметить, что PIX намного больше, чем, скажем, iptables. PIX также включает в себя некоторые элементы, обычно встречающиеся в системах обнаружения вторжений (IDS), наряду с другими битами. Аппаратное обеспечение брандмауэра, как правило, гораздо более специализировано для обработки пакетов на высокой скорости, чем для более общего характера стандартного болотного сервера.

Тем не менее, есть другие поставщики, одинаково стоящие как Cisco, и вы можете воссоздать все это самостоятельно. Вам просто нужно взвесить, стоит ли ваше время и возможные стычки.

Для брандмауэров я бы предпочел здравый смысл знать, что у меня есть надежное и надежное устройство.

Возможно, часть этого сводится к тому же аргументу о "Roll your own" против использования устройства

Все оборудование выходит из строя в конце концов. Если вы создали систему, и она не работает, это ваша проблема. Если вы покупаете систему у поставщика, и она терпит неудачу, это их проблема.

При хорошей поддержке вы обучили людей, готовых поддержать вас. Такие компании, как Cisco, Juniper, NetApp и т. Д., Добились успеха, поскольку предоставляют качественные продукты, обеспеченные качественной поддержкой. Когда они терпят неудачу (а иногда и терпят неудачу), их бизнесу наносится ущерб.

Высококачественное оборудование может поставляться с хорошим контрактом на поддержку. Если брандмауэр выйдет из строя в 3 часа ночи в субботу после канун Нового года, я смогу связаться с техническим специалистом по телефону через 5 минут. Техник может быть на месте через 2 часа и заменить неисправный компонент для меня. Если маршрутизатор поддерживает крупный бизнес, где простои могут привести к дорогостоящим потерям, возможно, стоит приобрести маршрутизатор высшего класса. 10000 или 100000 долларов не кажутся такими уж дорогими, если они поддерживают бизнес на 20 или 200 миллионов долларов, где простои могут стоить компании тысячи долларов в час.

Во многих случаях эти высокопроизводительные маршрутизаторы слишком дороги или не нужны, или вы не можете получить высокопроизводительный маршрутизатор по бюджетным или политическим причинам. Иногда индивидуальная коробка для пиццы или коробка Soekris более подходящая.

Если у вас брандмауэр XXXisco с коэффициентом отбрасывания пакетов 95%, вы можете подать в суд на кого-либо; если у вас есть такой же коэффициент выпадения на вашем боксе (что не редкость, и при старом добром простом потоке ICMP), вы собираетесь сойти с корабля и увидеть, что ваша зарплата вот-вот будет помещена в новый брандмауэр.,

Спустя много лет это все еще интересный вопрос. Давайте разделим это на два подвопроса:

1. зачем покупать собственный межсетевой экран, а не использовать открытый исходный код (на основе Linux, FreeBSD, RouterOS и т. д.)? Все зависит от ваших потребностей:

   • Брандмауэры с открытым исходным кодом, как правило, работают очень хорошо при небольших затратах и ​​не обеспечивают привязку к поставщикам. Однако они редко предоставляют расширенные функции прозрачного UTM (унифицированного управления потоками), такие как фильтрация содержимого, фильтрация приложений, антивирус шлюза, расшифровка SSL и т.п. Это не означает, что брандмауэр с открытым исходным кодом не может этого сделать, однако они часто требуют использования прокси-служб, которые необходимо настроить на стороне клиента (т. Е. В браузере). Два хороших различных примера - это Mikrotik (RouterOS, на базе Linux) и Endian: первый имеет производительные, недорогие продукты только для брандмауэра (без UTM); последние предоставляют в основном прокси-серверы, полные продукты UTM. Пример: хотя версия Endian для сообщества межсетевых экранов только для брандмауэров является бесплатным продуктом, пакет UTM основан на лицензиях (и они не являются супер-дешевыми).
   • Еще один момент, который следует учитывать, - это WebUI: проприетарные межсетевые экраны, как правило, имеют довольно хороший пользовательский интерфейс, тогда как у бесплатных / открытых источников иногда менее интуитивно понятный пользовательский интерфейс (например, Mikrotik).
   • Собственные брандмауэры часто имеют дополнительные сервисы управления в комплекте с ними. Например, они могут включать в себя консоль управления для репликации всех изменений конфигурации на несколько устройств или для предоставления подробных отчетов.
   • Наконец, поставщики брандмауэров обычно предоставляют услуги в качестве замены оборудования и поддержки билетов. С самостоятельно созданным брандмауэром с открытым исходным кодом вы, как правило, одиноки в замене оборудования, и поддержка не всегда доступна бесплатно. С другой стороны, гораздо проще диагностировать (и разрешать) проблему, когда платформа имеет открытый исходный код, а не закрыта.

2. Если вы покупаете собственный брандмауэр, зачем покупать высококачественный брандмауэр, а не продукт с более низкой производительностью? Все сводится к требованиям к производительности и характеристикам:

   • если вы планируете включить службы UTM не только на каналах глобальной сети (где пропускная способность часто ограничена), но и на внутренних каналах (например, DMZ, между VLAN и т. д.), вам нужен межсетевой экран с высокой пропускной способностью, особенно если у вас много клиентов. Более того, брандмауэр нижнего уровня часто имеет (иногда искусственные) ограничения на количество одновременных пользователей, VPN-туннели и т. Д.
   • межсетевой экран низкого уровня может пропустить некоторые дополнительные функции (например, высокую доступность, восстановление после сбоя в глобальной сети, объединение каналов, порты 10 Гбит и т. д.), необходимые в вашей среде.

Личный опыт: взвесив все вышеперечисленные факторы, я часто (но не всегда) решаю использовать проприетарные брандмауэры даже с базовой услугой замены оборудования или, по крайней мере, предоставляя конечному пользователю запасную часть. Когда бюджет действительно ограничен и не требуются дополнительные функции, я использую продукты с открытым исходным кодом (Mikrotik).

Вот перспектива с немного другим аппаратным обеспечением, но концепция все еще применима. Мы использовали несколько модемных серверов в сети с довольно дешевым 8-портовым 10/100 "коммутатором", связавшим все это вместе. Однажды выключатель начал зависать, и нам пришлось включить его. Мы делали это несколько раз, пока это не сгорело. Этот модемный трафик был очень болтливым, и штука просто не выдерживала жары.

Мы купили подержанный коммутатор cisco 2924, и все это работало намного более гладко... столкновения пошли вниз. Оказалось, что старый коммутатор был концентратором 10 Мбит, переключенным на концентратор 100 Мбит. Небольшая разница, но это объясняет разницу в стоимости.