ทำไมจึงต้องซื้อไฟร์วอลล์ฮาร์ดแวร์ระดับสูง

มีไฟร์วอลล์จากจูนิเปอร์และซิสโก้ที่มีราคาสูงกว่าบ้าน

ดังนั้นฉันจึงสงสัยว่า: สิ่งใดที่ได้รับจาก $ 10.000 + ไฟร์วอลล์เมื่อเปรียบเทียบกับเซิร์ฟเวอร์ 2U ที่มีการ์ดเครือข่าย 4x 10Gbit ที่ทำงานเช่น OpenBSD / FreeBSD / Linux

ไฟร์วอลล์ฮาร์ดแวร์อาจมีเว็บอินเตอร์เฟส

แต่อย่างใดอย่างหนึ่งจะได้รับไฟร์วอลล์ $ 10.000 หรือ $ 100.000 ???

มันเป็นเพียงเรื่องของขนาด ไฟร์วอลล์หลายพันดอลลาร์มีคุณสมบัติและความสามารถในการปรับขนาดและจัดการทั่วโลก ฟีเจอร์มากมายที่ทุกคนไม่ได้ใช้จะมีงานวิจัยค่อนข้างน้อยก่อนที่พวกเขา (เรา) จะได้ชื่นชมกับข้อดีของแต่ละคน

เราเตอร์ที่บ้านทั่วไปของคุณไม่จำเป็นต้องสามารถจัดการกับอุปกรณ์สำนักงานหรือการเชื่อมต่อ ISP หลาย ๆ เครื่องได้ดังนั้นจึงถูกกว่า ทั้งในจำนวน / ประเภทของอินเทอร์เฟซและความจุของฮาร์ดแวร์ (RAM ฯลฯ ) ไฟร์วอลล์สำนักงานอาจต้องใช้ QoS และคุณอาจต้องการให้สามารถเชื่อมต่อ VPN ไปยังสำนักงานระยะไกลได้ คุณจะต้องการการบันทึกที่ดีกว่าสำหรับสำนักงานขนาดเล็กนั้นเล็กน้อยกว่าที่คุณต้องการสำหรับไฟร์วอลล์ในบ้านเช่นกัน

เพิ่มขนาดขึ้นเรื่อย ๆ จนกว่าคุณจะต้องจัดการกับผู้ใช้ / อุปกรณ์ไม่กี่แสนคนต่อไซต์เชื่อมต่อกับไฟร์วอลล์อื่น ๆ หลายสิบ / หลายร้อยแห่งที่ บริษัท มีอยู่ทั่วโลกและจัดการทั้งหมดด้วยทีมเล็ก ๆ ในที่เดียว

(ฉันลืมที่จะพูดถึงการอัปเดต IOS สัญญาสนับสนุนการรับประกันฮาร์ดแวร์ - และอาจมีข้อควรพิจารณาอื่น ๆ อีกสองสามข้อที่ฉันไม่ทราบด้วย ... แต่คุณเข้าใจแล้ว)

โดยทั่วไปพร้อมกับไฟร์วอลล์ฮาร์ดแวร์คุณจะได้รับค่าบำรุงรักษารายปีที่เกิดซ้ำและสัญญาของวันที่ในอนาคตเมื่อ "การสนับสนุนฮาร์ดแวร์" ไม่สามารถใช้งานได้อีกต่อไปและคุณจะต้องยกเกียร์ออกและแทนที่ (เช่น Cisco PIX เปลี่ยนเป็น ASA) นอกจากนี้คุณยังติดอยู่กับความสัมพันธ์กับผู้ขายรายเดียว ลองและรับการอัปเดตซอฟต์แวร์สำหรับ Cisco PIX 515E ของคุณจากระบบอื่น ๆ ของ Cisco

คุณอาจบอกได้ว่าฉันค่อนข้างลบเกี่ยวกับฮาร์ดแวร์ไฟร์วอลล์ที่สร้างขึ้นโดยเฉพาะ

ระบบปฏิบัติการฟรีและโอเพนซอร์ส (FOSS) ให้พลังงานแก่อุปกรณ์ไฟร์วอลล์ "ฮาร์ดแวร์" ที่รู้จักกันดีและไม่ได้พิสูจน์เทคโนโลยีใด ๆ คุณสามารถซื้อข้อตกลงการสนับสนุนซอฟต์แวร์สำหรับ FOSS จากหลาย ๆ ฝ่าย คุณสามารถซื้อฮาร์ดแวร์ใดก็ได้ที่คุณต้องการด้วยสัญญา / บริการที่คุณเลือก

หากคุณกำลังจริงๆผลักดันมากของบิตรอบแล้วบางทีอุปกรณ์ไฟร์วอลล์ฮาร์ดแวร์วัตถุประสงค์ที่สร้างขึ้นจะเป็นสิ่งที่จำเป็น FOSS สามารถครอบคลุมคุณในสถานการณ์ต่าง ๆ มากมายและให้ความยืดหยุ่นประสิทธิภาพและต้นทุนการเป็นเจ้าของโดยรวม

คุณมีคำตอบที่ดีพูดคุยเกี่ยวกับเรื่องทางเทคนิคและการสนับสนุนแล้ว สิ่งสำคัญทั้งหมด

ให้ฉันแนะนำสิ่งอื่นที่ควรพิจารณา: เวลาของคุณในการสร้างกำหนดค่าและสนับสนุนไฟร์วอลล์ฮาร์ดแวร์ "ย้อนกลับ" ของคุณเองเป็นการลงทุนสำหรับนายจ้างของคุณ ธุรกิจต้องตัดสินใจว่าการลงทุนนั้นคุ้มค่าหรือไม่

สิ่งที่คุณ / ผู้จัดการของคุณต้องพิจารณาคือเวลาที่คุณใช้ไปอย่างคุ้มค่าที่สุด คำถามที่ว่า "การพลิกตัวของคุณเอง" นั้นมีค่าหรือไม่นั้นอาจเปลี่ยนแปลงได้อย่างสมบูรณ์ถ้าคุณเป็นผู้เชี่ยวชาญด้านความปลอดภัยเครือข่ายและ / หรือนายจ้างของคุณมีข้อกำหนดของไฟร์วอลล์ผู้เชี่ยวชาญที่ไม่ง่ายต่อการติดตั้งในผลิตภัณฑ์ชั้นวาง มีหน้าที่มากมายที่ต้องพิจารณานอกเหนือจากความปลอดภัยของเครือข่ายและความต้องการที่สามารถพบได้ง่ายโดยเสียบเข้ากับอุปกรณ์เครือข่าย

ไม่เฉพาะในกรณีนี้เท่านั้น แต่โดยทั่วไปมีอยู่สองสามครั้งที่ฉันซื้อโซลูชัน "ปิดชั้นวาง" หรือจ้างที่ปรึกษาบางอย่างสำหรับสิ่งที่ฉันสามารถทำได้ด้วยตัวเองเพราะนายจ้างจะใช้เวลามากกว่า ที่อื่น ๆ นี่อาจเป็นกรณีที่พบบ่อยโดยเฉพาะอย่างยิ่งถ้าคุณกำลังเผชิญกับกำหนดเวลาและการประหยัดเวลามีความสำคัญมากกว่าการประหยัดเงิน

และอย่าลดความสามารถในการ "ตำหนิคนอื่น" - เมื่อคุณตรวจสอบปัญหาสำคัญของไฟร์วอลล์ในเวลาตี 3 ในตอนเช้ามันดีมากที่ได้พูดคุยกับผู้ขายและพูดว่า "ฉันไม่ได้" ไม่สนใจว่าซอฟต์แวร์หรือฮาร์ดแวร์จะเป็นปัญหาของคุณในแบบใด "

ไฟร์วอลล์ homebrew ของคุณจะจัดการบำรุงรักษาฮาร์ดแวร์ภายในบริการอย่างไร

ไฟร์วอลล์โฮมบรูว์ของคุณจะทำงานอย่างไรเมื่อคุณมีปริมาณข้อมูล 40 + Gbps

วิธีการแบ่งกลุ่มไฟร์วอลล์โฮมบรูว์ของคุณจะให้สิทธิ์ผู้ดูแลระบบในหน่วยธุรกิจที่แตกต่างกันอย่างไรพวกเขาสามารถจัดการเฉพาะส่วนของกฎพื้นฐานได้เท่านั้น

คุณจะจัดการกฏฐานได้อย่างไรเมื่อคุณมีกฎ 15,000+ กฎ

ใครบ้างที่สนับสนุนคุณเมื่อไปในคู?

มันจะถือได้ถึงการตรวจสอบเกณฑ์ทั่วไป

โดยวิธีการที่ $ 100k ไม่ได้อยู่ใกล้กับ "high end" สำหรับไฟร์วอลล์ อีกศูนย์จะพาคุณไปที่นั่น และมันก็เป็นถังฝากสำหรับทรัพยากรที่พวกเขาปกป้อง

เห็นได้ชัดว่าไม่มีคำตอบที่เหมาะกับทุกขนาดดังนั้นฉันจะอธิบายสิ่งที่ฉันทำไปแล้วและทำไม

วิธีตั้งภาพ: เราเป็นธุรกิจขนาดเล็กที่มีพนักงานประมาณ 25 คนและอาจมีจำนวนเท่ากันบนพื้นการผลิต ธุรกิจหลักของเราคือเครื่องพิมพ์เฉพาะทางซึ่งครั้งหนึ่งเคยมีความสุขกับการผูกขาด แต่ขณะนี้กำลังต่อสู้กับการต่อต้านจากการนำเข้าราคาถูกจำนวนมากซึ่งส่วนใหญ่มาจากประเทศจีน ซึ่งหมายความว่าในขณะที่เราจะรักบริการและฮาร์ดแวร์ระดับ Rolls Royce โดยทั่วไปเราจะต้องชำระค่าใช้จ่ายเพิ่มเติมตามระดับ Volkswagon

ในสถานการณ์ของเราค่าใช้จ่ายบางอย่างเช่น Cisco หรือที่คล้ายคลึงกันนั้นไม่สามารถพิสูจน์ได้โดยเฉพาะอย่างยิ่งเมื่อฉันไม่มีประสบการณ์ (ฉันเป็น "แผนก" ฝ่ายไอที) อีกทั้งหน่วยโฆษณาเชิงพาณิชย์ที่มีราคาแพงก็ไม่ได้ให้ประโยชน์ใด ๆ แก่เราอย่างแท้จริง

หลังจากดูสิ่งที่ บริษัท มีและสิ่งที่พวกเขาต้องการฉันเลือกที่จะใช้พีซีเครื่องเก่าและติดตั้ง Smoothwall Express ส่วนหนึ่งเป็นเพราะฉันใช้ผลิตภัณฑ์นั้นมาหลายปีแล้วและมั่นใจและสบายใจ แน่นอนว่านี่หมายความว่าไม่มีการสนับสนุนจากภายนอกสำหรับไฟร์วอลล์ซึ่งมีระดับความเสี่ยง แต่ก็เป็นความเสี่ยงที่ บริษัท พึงพอใจ ฉันจะเพิ่มที่เป็นไฟร์วอลล์ Smoothwall ดีเท่าที่ฉันเคยเห็นสำหรับมาตราส่วนของเรา แต่มันอาจไม่จำเป็นต้องเป็นตัวเลือกที่ดีที่สุดสำหรับองค์กรขนาดใหญ่

ทางออกนั้นเหมาะกับเรา อาจหรือไม่เหมาะกับคุณ มีเพียงคุณเท่านั้นที่สามารถตัดสินใจได้

หากคุณมีไฟร์วอลล์แบรนด์ XXXisco ที่มีอัตราส่วนการปล่อยแพ็คเก็ต 95% คุณอาจฟ้องร้องบุคคลอื่น หากคุณมีอัตราส่วนการปล่อยที่เท่ากันในกล่องของคุณ (นั่นไม่ใช่ของหายากภายใต้น้ำท่วม ICMP แบบเก่าที่ดีเช่นกัน) คุณกำลังจะออกจากเรือเพื่อดูว่าเงินเดือนของคุณกำลังจะถูกวางลงในไฟร์วอลล์ใหม่ .

ในระดับหนึ่งมีการโต้แย้งว่า "เพิ่งได้ผล" ไม่ต้องกังวลกับปัญหาเรื่องฮาร์ดแวร์และความยุ่งยากของข้อบกพร่องของซอฟต์แวร์

ฉันใช้ PIXes คู่หนึ่งในที่ทำงานในการกำหนดค่าฮอตสแตนบายและพวกเขาไม่เคยล้มเหลว เสียบ, ป้อนกฎที่จำเป็นและทิ้งไว้ ความยุ่งยากและความพยายามมากมายที่เกี่ยวข้องกับการจัดการกล่องม้วนของคุณเองได้รับการคุ้มครองอย่างสมบูรณ์ เรามีกล่อง OpenBSD บางกล่องวางอยู่รอบ ๆ นั้นใช้ pf สำหรับการกรองบางอย่างและฉันใช้เวลา 10 เท่าในการบำรุงรักษากล่องและไฟร์วอลล์ตามเวลาที่ฉันมี PIXes นอกจากนี้เรายังพบในบางครั้งที่เรามีขีด จำกัด มากใน OpenBSD สำหรับปริมาณการใช้

มันก็คุ้มค่าที่จะชี้ให้เห็นว่า PIX เป็นมากกว่า iptables PIXes ยังมีองค์ประกอบบางอย่างที่พบเห็นได้ทั่วไปในระบบตรวจจับการบุกรุก (IDS) พร้อมกับบิตอื่น ๆ ฮาร์ดแวร์ไฟร์วอลล์ยังมีความเชี่ยวชาญในการประมวลผลแพ็กเก็ตด้วยความเร็วสูงมากกว่าลักษณะทั่วไปของเซิร์ฟเวอร์มาตรฐานบึง

ที่กล่าวว่ามีผู้ค้ารายอื่น ๆ ที่คุ้มค่าเหมือนกันกับ Cisco และคุณสามารถสร้างมันขึ้นมาใหม่ได้ด้วยตัวเอง คุณเพียงแค่ต้องชั่งน้ำหนักว่าเวลาของคุณและความยุ่งยากที่เป็นไปได้นั้นคุ้มค่าหรือไม่

สำหรับไฟร์วอลล์ฉันต้องการมีสติรู้ว่าฉันมีอุปกรณ์ที่มั่นคงและเชื่อถือได้

เนื้อหาส่วนนี้เกิดขึ้นในอาร์กิวเมนต์เดียวกันเกี่ยวกับ "ม้วนตัวเอง" กับการใช้อุปกรณ์

อุปกรณ์ทั้งหมดล้มเหลวในที่สุด หากคุณสร้างระบบและล้มเหลวนั่นเป็นปัญหาของคุณ หากคุณซื้อระบบจากผู้ขายและจะล้มเหลวก็เป็นปัญหาของพวกเขา

ด้วยการสนับสนุนที่ดีคุณได้ฝึกฝนผู้คนให้พร้อมสำหรับการสำรองข้อมูล บริษัท อย่างซิสโก้จูนิเปอร์เน็ตแอพ ฯลฯ ประสบความสำเร็จเพราะให้บริการผลิตภัณฑ์คุณภาพที่ได้รับการสนับสนุนคุณภาพ เมื่อพวกเขาล้มเหลว (และบางครั้งพวกเขาทำ) ธุรกิจของพวกเขาได้รับอันตราย

อุปกรณ์ระดับสูงสามารถมาพร้อมกับสัญญาการสนับสนุนที่ดี หากไฟร์วอลล์ขัดข้องเวลา 3:00 น. ในวันเสาร์หลังวันสิ้นปีฉันสามารถขอความช่วยเหลือจากผู้ขายทางโทรศัพท์ภายใน 5 นาที ช่างเทคนิคสามารถอยู่ในไซต์ได้ภายใน 2 ชั่วโมงและแลกเปลี่ยนส่วนประกอบที่ล้มเหลวให้ฉัน หากเราเตอร์รองรับธุรกิจขนาดใหญ่ซึ่งการหยุดทำงานอาจทำให้เกิดการสูญเสียราคาแพงมันอาจคุ้มค่าที่จะได้รับเราเตอร์ระดับสูง $ 10,000 หรือ $ 100,000 ดูเหมือนจะไม่แพงเลยเมื่อมันสนับสนุนธุรกิจ 20 ล้านดอลลาร์หรือ 200 ล้านดอลลาร์ซึ่งการหยุดทำงานอาจทำให้ บริษัท มีต้นทุนหลายพันดอลลาร์ต่อชั่วโมง

ในหลายกรณีเราเตอร์ระดับสูงเหล่านี้แพงเกินไปหรือไม่จำเป็นหรือคุณไม่สามารถรับเราเตอร์ระดับสูงได้เนื่องจากเหตุผลด้านงบประมาณหรือการเมือง บางครั้งกล่องพิซซ่าที่กำหนดเองหรือกล่องSoekrisเหมาะสมกว่า

หลังจากหลายปีก็ยังคงเป็นคำถามที่น่าสนใจ ลองแบ่งคำถามสองข้อย่อย:

1. เหตุใดจึงต้องซื้อไฟร์วอลล์ที่เป็นกรรมสิทธิ์แทนที่จะใช้โอเพนซอร์ส (อิงจาก Linux, FreeBSD, RouterOS และอื่น ๆ ) ทุกอย่างขึ้นอยู่กับความต้องการของคุณ:

   • โดยทั่วไปแล้วไฟร์วอลล์ของโอเพนซอร์ซจะทำงานได้ดีในราคาที่ไม่แพงและไม่ได้ล็อคผู้จำหน่าย อย่างไรก็ตามพวกเขาไม่ค่อยมีคุณสมบัติUTM แบบโปร่งใสขั้นสูง(การจัดการเธรดรวม), การกรองเนื้อหา, การกรองแอปพลิเคชัน, Gateway Antivirus, การถอดรหัส SSL และไลค์ นี่ไม่ได้หมายความว่าไฟร์วอลล์โอเพนซอร์สไม่สามารถทำได้อย่างไรก็ตามพวกเขามักจะต้องการการใช้พร็อกซีเซอร์วิสที่จำเป็นต้องมีการกำหนดค่าฝั่งไคลเอ็นต์ (เช่น: ในเบราว์เซอร์) สองตัวอย่างที่ดีและแตกต่างกันคือMikrotik (RouterOS, Linux) และEndian: อดีตมีผลิตภัณฑ์ต้นทุนต่ำไฟร์วอลล์เท่านั้น (ไม่มี UTM) ที่มีประสิทธิภาพ หลังมีผลิตภัณฑ์ UTM แบบเต็มรูปแบบที่ใช้พร็อกซีเป็นส่วนใหญ่ ตัวอย่างในประเด็น: ในขณะที่รุ่นชุมชนไฟร์วอลล์เฉพาะของ Endian เป็นผลิตภัณฑ์ฟรีชุด UTM เป็นแบบลิขสิทธิ์ (และไม่ได้ราคาถูกสุด)
   • อีกประเด็นที่ควรพิจารณาคือ WebUI: ไฟร์วอลล์ที่เป็นกรรมสิทธิ์โดยทั่วไปมี UI ค่อนข้างดีในขณะที่ฟรี / โอเพนซอร์สบางครั้งมี UI ที่ใช้งานง่ายน้อยกว่า (เช่น: Mikrotik)
   • ไฟร์วอลล์ที่เป็นกรรมสิทธิ์มักจะมีบริการการจัดการเพิ่มเติมรวมอยู่ด้วย ตัวอย่างเช่นพวกเขาสามารถรวมคอนโซลการจัดการเพื่อทำซ้ำการเปลี่ยนแปลงการกำหนดค่าทั้งหมดไปยังอุปกรณ์หลายเครื่องหรือเพื่อให้การรายงานเชิงลึก
   • ในที่สุดผู้ขายไฟร์วอลล์โดยทั่วไปจะให้บริการแทนฮาร์ดแวร์และการออกตั๋วสนับสนุน ด้วยไฟร์วอลล์โอเพนซอร์สที่สร้างขึ้นด้วยตัวเองคุณมักจะอยู่คนเดียวในการเปลี่ยนฮาร์ดแวร์และการสนับสนุนอาจไม่สามารถใช้ได้ฟรี ในอีกด้านหนึ่งจะวินิจฉัยได้ง่ายขึ้น (และแก้ไข) ปัญหาเมื่อแพลตฟอร์มเป็นโอเพ่นซอร์สแทนที่จะปิด

2. หากซื้อไฟร์วอลล์ลิขสิทธิ์ทำไมต้องซื้อไฟร์วอลล์ระดับสูงมากกว่าผลิตภัณฑ์คุณภาพต่ำ ความต้องการด้านประสิทธิภาพและคุณสมบัติต่าง ๆ :

   • หากคุณวางแผนที่จะเปิดใช้งานบริการ UTM ไม่เพียง แต่การเชื่อมโยง WAN (ที่แบนด์วิดท์มักจะ จำกัด ) แต่ยังอยู่ในการเชื่อมโยงภายใน (เช่น: DMZ, ระหว่าง VLANs, ฯลฯ ) คุณต้องใช้ไฟร์วอลล์ที่มีปริมาณงานสูงโดยเฉพาะอย่างยิ่ง ยิ่งไปกว่านั้นไฟร์วอลล์ระดับล่างมักจะมีข้อ จำกัด เกี่ยวกับจำนวนผู้ใช้ที่ใช้งานพร้อมกัน, อุโมงค์ VPN และอื่น ๆ
   • ไฟร์วอลล์ระดับล่างอาจพลาดคุณสมบัติเพิ่มเติมบางประการ (เช่น: ความพร้อมใช้งานสูง, ข้อผิดพลาด WAN, การรวมลิงก์, พอร์ต 10Gb ฯลฯ ) ที่จำเป็นในสภาพแวดล้อมของคุณ

ประสบการณ์ส่วนตัว: ชั่งน้ำหนักทุกปัจจัยข้างต้นฉันมักตัดสินใจ (แต่ไม่เสมอไป) ใช้ไฟร์วอลล์ที่เป็นกรรมสิทธิ์ด้วยบริการเปลี่ยนฮาร์ดแวร์พื้นฐานหรืออย่างน้อยก็ให้การใช้งานปลายทางด้วยอะไหล่ เมื่องบประมาณจริงๆแน่นและไม่มีคุณลักษณะขั้นสูงจะต้องผมใช้ opensource (Mikrotik) ผลิตภัณฑ์

นี่คือมุมมองที่มีฮาร์ดแวร์แตกต่างกันเล็กน้อย แต่แนวคิดยังคงใช้ เรากำลังเรียกใช้เซิร์ฟเวอร์โมเด็มหลายตัวในเครือข่ายที่มีราคาถูก 8 พอร์ต 10/100 "สวิตช์" คาดกันทั้งหมด อยู่มาวันหนึ่งสวิตช์ก็เริ่มแข็งตัวและเราต้องเปิดวงจรใหม่ เราทำเช่นนั้นหลายครั้งจนกระทั่งมันถูกเผาจนหมด การรับส่งข้อมูลของโมเด็มนั้นช่างพูดมากและสิ่งที่ไม่สามารถรับมือกับความร้อน

เราซื้อสวิตช์ cisco 2924 ที่ใช้แล้วและมันทำงานได้อย่างราบรื่นมากขึ้น ... การชนล้มเหลว กลับกลายเป็นว่าสวิตช์เก่าคือฮับ 10Mbit เปลี่ยนไปเป็นฮับ 100Mbit ความแตกต่างเล็กน้อย แต่อธิบายความแตกต่างต้นทุน