Perché acquistare firewall hardware di fascia alta?

Esistono firewall di Juniper e Cisco che costano più di una casa.

Quindi mi chiedo: cosa si ottiene da un firewall da $ 10.000 + rispetto a un server 2U con 4x schede di rete da 10 Gbit che eseguono ad esempio OpenBSD / FreeBSD / Linux?

I firewall hardware probabilmente hanno un'interfaccia web.

Ma cos'altro si ottiene per un firewall da $ 10.000 o $ 100.000 ???

È solo una questione di scala. I firewall da migliaia di dollari hanno funzionalità e capacità che consentono di ridimensionarli e gestirli a livello globale. Una miriade di funzionalità che chiunque non le utilizzasse avrebbe un bel po 'di ricerca da fare prima di poter apprezzare i propri meriti individuali.

Il tuo tipico router domestico non deve davvero essere in grado di gestire un gran numero di dispositivi o connessioni ISP multiple, quindi è più economico. Sia nel numero / tipo di interfacce, sia nella capacità hardware (RAM, ecc.). Anche il firewall dell'ufficio potrebbe richiedere un po 'di QoS e potresti volere che sia in grado di stabilire una connessione VPN a un ufficio remoto. Avrai bisogno di una registrazione leggermente migliore per quel piccolo ufficio rispetto a quella necessaria per il firewall domestico.

Continua a ridimensionarlo fino a quando non devi gestire alcune centinaia o migliaia di utenti / dispositivi per sito, connettiti a dozzine / centinaia di altri firewall che l'azienda ha a livello globale e gestisci tutto con un piccolo team in un'unica posizione.

(Ho dimenticato di menzionare gli aggiornamenti IOS, i contratti di supporto, le garanzie hardware - e probabilmente ci sono alcune decine di altre considerazioni che non conosco nemmeno ... ma hai capito)

In genere, insieme al firewall hardware, si ottiene una tariffa di manutenzione annuale ricorrente e la promessa di una data futura in cui il "supporto hardware" non sarà più disponibile e sarà necessario sollevare il carrello e sostituirlo (ala Cisco PIX alla transizione ASA). Rimani anche bloccato in una relazione con un singolo fornitore. Prova ad ottenere aggiornamenti software per il tuo Cisco PIX 515E da alcuni altri sistemi Cisco, ad esempio.

Probabilmente puoi dire che sono abbastanza negativo sull'hardware firewall appositamente costruito.

I sistemi operativi gratuiti e open source (FOSS) alimentano alcuni noti dispositivi firewall "hardware" e non sono la tecnologia non provata da alcun tratto. È possibile acquistare contratti di supporto software per FOSS da molte parti diverse. Puoi acquistare qualsiasi hardware tu voglia con qualsiasi ricambio / contratto di assistenza tu scelga.

Se stai davvero spingendo un sacco di bit in giro, forse, sarebbe necessario un dispositivo firewall hardware appositamente costruito. FOSS può coprirti in molte situazioni, e offrirti un'enorme flessibilità, prestazioni e costo totale di proprietà.

Hai già avuto delle buone risposte a proposito di argomenti tecnici e supporto. Tutte le cose importanti

Consentitemi di introdurre un'altra cosa da considerare: il vostro tempo per creare, configurare e supportare internamente un firewall hardware "roll your own" è un investimento per il vostro datore di lavoro. Come tutte le cose, l'azienda deve decidere se vale la pena investire.

Quello che tu / il tuo manager dovete considerare è dove il vostro tempo è meglio speso. La questione se valga la pena o meno "rolling your own" potrebbe cambiare completamente se sei una persona specializzata nella sicurezza della rete e / o il tuo datore di lavoro ha requisiti firewall specifici che non sono facili da configurare in un prodotto standardizzato rispetto a qualcuno che ha molti compiti da considerare oltre alla sicurezza della rete e le cui esigenze possono essere facilmente soddisfatte collegando un'appliance di rete.

Non solo in questo caso specifico, ma in generale, ci sono state alcune volte in cui ho acquistato una soluzione "dallo scaffale" o assunto in una consulenza per qualcosa che sono abbastanza capace di fare da solo perché il mio datore di lavoro preferirebbe che il mio tempo fosse trascorso altrove. Questo può essere un caso abbastanza comune, soprattutto se stai rispettando una scadenza e risparmiare tempo è più importante che risparmiare denaro.

E non scartare la possibilità di "incolpare qualcun altro": quando hai individuato una grave interruzione di un bug nel firewall alle 3 del mattino, è molto bello poter parlare con il venditore e dire "Non lo so" non importa se il suo software o hardware, è comunque il tuo problema ".

come gestirà il tuo firewall homebrew la manutenzione hardware in servizio?

come reggerà il tuo firewall homebrew quando raggiungerai una velocità di trasmissione di 40 + Gbps?

in che modo il firewall homebrew segmenterà le autorizzazioni per gli amministratori di diverse unità aziendali, in modo che possano gestire solo le proprie parti della rule base?

come gestirai la tua base di regole quando hai più di 15.000 regole?

chi ti sostiene quando finisce nel fossato?

come resisterà a un audit di criteri comuni.

a proposito, $ 100k non è da nessuna parte vicino a "fascia alta" per i firewall. un altro zero ti porterebbe lì. ed è davvero una goccia nel secchio per le risorse che proteggono

Chiaramente non esiste una risposta valida per tutti a questa domanda, quindi descriverò cosa ho fatto e perché.

Per impostare il quadro: siamo un'azienda abbastanza piccola con circa 25 impiegati e forse lo stesso numero sul piano di produzione. La nostra attività principale è quella di tipografi specializzati che un tempo godevano del monopolio ma ora combattono una crescente quantità di opposizione dalle importazioni a basso costo, principalmente dalla Cina. Ciò significa che mentre ameremmo il servizio e l'hardware di livello Rolls Royce, in genere dobbiamo accontentarci di qualcosa di più lungo i livelli di Volkswagon.

Nella nostra situazione, il costo di qualcosa come Cisco o simili non potrebbe essere giustificato, soprattutto perché non ne ho esperienza (sono un "dipartimento" IT personale). Inoltre, le costose unità commerciali non ci offrono alcun vero vantaggio.

Dopo aver esaminato ciò che l'azienda aveva e ciò di cui aveva bisogno, ho scelto di utilizzare un vecchio PC e installare Smoothwall Express, in parte perché utilizzavo quel prodotto da diversi anni ed ero già sicuro di me. Ciò significa ovviamente che non esiste un supporto esterno per il firewall, che comporta un certo grado di rischio, ma è un rischio con cui l'azienda è a proprio agio. Aggiungerò che come firewall Smoothwall è buono come ho visto per il nostro tipo di scala, ma potrebbe non essere necessariamente la scelta migliore per un'organizzazione molto più grande.

Quella soluzione funziona per noi. Potrebbe funzionare o meno per te. Solo tu puoi prendere quella decisione.

Se si dispone di un firewall con marchio XXXisco con un rapporto di rilascio dei pacchetti del 95%, è possibile fare causa a qualcuno; se hai lo stesso rapporto di caduta sulla tua scatola (che non è raro, anche sotto una buona vecchia inondazione ICMP), beh, stai per scendere dalla nave per vedere che il tuo stipendio sta per essere messo in un nuovo firewall .

In una certa misura c'è l'argomento "Funziona semplicemente". Non preoccuparti delle stranezze dell'hardware e della confusione sui bug del software.

Uso una coppia di PIX al lavoro in una configurazione hot-standby e non hanno mai fallito. Collegare, inserire le regole necessarie e lasciarle ad esso. Molte delle seccature e degli sforzi legati alla gestione di un box roll-your-own sono completamente coperti. Abbiamo alcune scatole di OpenBSD in giro che usano pf per un po 'di filtraggio, e ho speso facilmente 10 volte tanto in tempo per la manutenzione delle scatole e dei firewall come ho i PIX. Abbiamo anche scoperto, a volte, che abbiamo raggiunto limiti rigidi in OpenBSD per il traffico.

Vale anche la pena sottolineare che un PIX è molto più di, diciamo, iptables. I PIX includono anche alcuni elementi comunemente visti nei sistemi di rilevamento delle intrusioni (IDS), insieme ad altri bit. L'hardware del firewall è inoltre generalmente molto più specializzato allo scopo di elaborare pacchetti ad alta velocità, piuttosto che la natura più generalizzata di un server standard di bog.

Detto questo, ci sono altri distributori ugualmente utili come Cisco e puoi ricrearlo da solo. Devi solo valutare se vale la pena il tuo tempo e ogni possibile seccatura.

Per i firewall preferirei il buonsenso di sapere che ho un dispositivo solido e affidabile.

Probabilmente, parte di questo si riduce allo stesso argomento su "Roll your own" rispetto all'uso di un'appliance

Tutto l'equipaggiamento fallisce alla fine. Se hai creato il sistema e non funziona, è un tuo problema. Se acquisti un sistema dal fornitore e non funziona, è il loro problema .

Con un buon supporto, hai addestrato persone pronte a supportarti. Aziende come Cisco, Juniper, NetApp, ecc. Hanno successo perché forniscono prodotti di qualità supportati da un supporto di qualità. Quando falliscono (e talvolta lo fanno), i loro affari vengono danneggiati.

Le apparecchiature di fascia alta possono avere un buon contratto di assistenza. Se il firewall si blocca alle 3:00 del sabato dopo la notte di San Silvestro, posso contattare un tecnico del fornitore al telefono in 5 minuti. Un tecnico può essere sul posto in 2 ore e sostituire il componente guasto per me. Se il router supporta una grande azienda in cui i tempi di inattività possono causare perdite costose, potrebbe valerne la pena ottenere un router di fascia alta. $ 10.000 o $ 100.000 non sembrano così costosi quando supportano un'azienda da $ 20 milioni o $ 200 milioni, dove i tempi di inattività possono costare all'azienda migliaia di dollari l'ora.

In molti casi questi router di fascia alta sono troppo costosi o non necessari o non è possibile ottenere un router di fascia alta per motivi di bilancio o politici. A volte, una scatola per pizza personalizzata o una scatola di Soekris è più appropriata.

Dopo molti anni, è ancora una domanda interessante. Dividiamolo in due sotto-domande:

1. perché acquistare un firewall proprietario anziché utilizzarne uno open source (basato su Linux, FreeBSD, RouterOS, ecc.)? Dipende dai tuoi bisogni:

   • I firewall di OpenSource in genere funzionano molto bene per il loro piccolo costo e non forniscono alcun blocco del fornitore. Tuttavia, raramente forniscono funzionalità UTM trasparenti avanzate (gestione unificata dei thread), come Filtro contenuti, Filtro applicazioni, Antivirus gateway, Decrittazione SSL e simili. Ciò non significa che il firewall opensource non possa farlo, tuttavia spesso richiedono l'uso di servizi proxy che devono essere configurati sul lato client (ovvero: nel browser). Due buoni esempi diversi sono Mikrotik (RouterOS, basato su Linux) ed Endian: il primo ha prodotti performanti, a basso costo, solo firewall (no UTM); questi ultimi forniscono prodotti UTM completi per lo più basati su proxy. Caso in questione: mentre l'edizione per comunità solo firewall di Endian è un prodotto gratuito, la suite UTM è basata su licenza (e non sono super economici).
   • Un altro punto da considerare è la WebUI: i firewall proprietari hanno generalmente un'interfaccia utente abbastanza buona, mentre quelli gratuiti / open source a volte hanno un'interfaccia utente meno intuitiva (ad esempio: Mikrotik).
   • I firewall proprietari spesso dispongono di servizi di gestione aggiuntivi in ​​bundle con essi. Ad esempio, possono includere una console di gestione per replicare tutte le modifiche alla configurazione su più dispositivi o per fornire rapporti approfonditi.
   • Infine, i fornitori di firewall generalmente forniscono servizi di sostituzione dell'hardware e supportano il ticketing. Con il firewall open source autocostruito sei generalmente solo nella sostituzione dell'hardware e il supporto non è sempre disponibile gratuitamente. D'altra parte, è molto più facile diagnosticare (e risolvere) un problema quando la piattaforma è open source, piuttosto che chiusa.

2. se si acquista un firewall proprietario, perché acquistare un firewall di fascia alta anziché un prodotto a prestazioni inferiori? Tutto si riduce ai requisiti di prestazioni e funzionalità:

   • se si prevede di abilitare i servizi UTM non solo sui collegamenti WAN (dove la larghezza di banda è spesso limitata) ma anche sui collegamenti interni (ad es. DMZ, tra VLAN, ecc.), è necessario un firewall con un throughput elevato, soprattutto se si hanno molti client. Inoltre, i firewall di fascia bassa hanno spesso limitazioni (a volte artificiali) sul numero di utenti simultanei, tunnel VPN, ecc.
   • il firewall di fascia bassa potrebbe non disporre di alcune funzionalità aggiuntive (ad esempio: disponibilità elevata, failover WAN, aggregazione dei collegamenti, porte da 10 Gb, ecc.) richieste nel proprio ambiente.

Esperienza personale: soppesando tutti i suddetti fattori, spesso (ma non sempre) decido di utilizzare firewall proprietari anche con un servizio di sostituzione hardware di base o almeno di fornire all'utilizzatore finale un pezzo di ricambio. Quando il budget è davvero limitato e non sono richieste funzionalità avanzate, utilizzo i prodotti opensource (Mikrotik).

Ecco una prospettiva con hardware leggermente diverso, ma il concetto si applica ancora. Stavamo eseguendo diversi modem server su una rete con un "switch" 10/100 a 8 porte piuttosto economico che collegava tutto insieme. Un giorno, l'interruttore ha iniziato a bloccarsi e abbiamo dovuto spegnerlo e riaccenderlo. Lo abbiamo fatto diverse volte, fino a quando non si è esaurito. Quel traffico moderno era molto loquace e la cosa non riusciva proprio a gestire il caldo.

Abbiamo comprato un interruttore Cisco 2924 usato e tutto ha funzionato in modo molto più fluido ... le collisioni sono diminuite. Si scopre che il vecchio switch era un hub da 10 Mbit convertito in un hub da 100 Mbit. Differenza sottile, ma questo spiega la differenza di costo.