Tại sao nên mua tường lửa phần cứng cao cấp?

Có tường lửa từ Juniper và Cisco có giá cao hơn một ngôi nhà.

Vì vậy, tôi tự hỏi: người ta nhận được gì từ một tường lửa $ 10.000 so với máy chủ 2U có thẻ mạng 4x 10Gbit đang chạy, ví dụ như OpenBSD / FreeBSD / Linux?

Tường lửa phần cứng có thể có giao diện web.

Nhưng những gì người khác nhận được cho một tường lửa 10.000 đô la hoặc 100.000 đô la ???

Đó chỉ là vấn đề quy mô. Tường lửa hàng ngàn đô la có các tính năng & khả năng cho phép chúng mở rộng quy mô & được quản lý trên toàn cầu. Vô số các tính năng mà bất cứ ai không sử dụng chúng sẽ có khá nhiều nghiên cứu để làm trước khi họ (chúng tôi) có thể đánh giá cao giá trị cá nhân của họ.

Bộ định tuyến gia đình thông thường của bạn không thực sự cần thiết để có thể xử lý một số lượng lớn thiết bị hoặc nhiều kết nối ISP, vì vậy nó rẻ hơn. Cả về số lượng / loại giao diện và dung lượng phần cứng (RAM, v.v.). Tường lửa văn phòng cũng có thể cần một số QoS và bạn có thể muốn nó có thể tạo kết nối VPN đến một văn phòng từ xa. Bạn cũng muốn đăng nhập tốt hơn cho văn phòng nhỏ đó hơn là bạn cần cho tường lửa gia đình.

Tiếp tục mở rộng quy mô cho đến khi bạn cần xử lý vài trăm hoặc nghìn người dùng / thiết bị trên mỗi trang, kết nối với hàng chục / hàng trăm tường lửa khác mà công ty có trên toàn cầu và quản lý tất cả với một nhóm nhỏ ở một địa điểm.

(Tôi quên đề cập đến các bản cập nhật iOS, hợp đồng hỗ trợ, bảo hành phần cứng - và có thể có vài chục cân nhắc khác mà tôi thậm chí không biết về ... nhưng bạn hiểu ý)

Thông thường, cùng với tường lửa phần cứng, bạn sẽ nhận được phí bảo trì định kỳ hàng năm và lời hứa về một ngày trong tương lai khi "hỗ trợ phần cứng" sẽ không còn nữa và bạn sẽ phải nâng cấp thiết bị ra và thay thế nó (ala Cisco PIX chuyển sang ASA). Bạn cũng bị mắc kẹt với một mối quan hệ với một nhà cung cấp duy nhất. Ví dụ, hãy thử và nhận các bản cập nhật phần mềm cho Cisco PIX 515E của bạn từ một số Hệ thống Cisco khác.

Có lẽ bạn có thể nói rằng tôi khá tiêu cực về phần cứng tường lửa được xây dựng có mục đích.

Các hệ điều hành miễn phí và nguồn mở (FOSS) cung cấp năng lượng cho một số thiết bị tường lửa "phần cứng" nổi tiếng và không phải là công nghệ chưa được chứng minh bởi bất kỳ sự kéo dài nào. Bạn có thể mua thỏa thuận hỗ trợ phần mềm cho FOSS từ nhiều bên khác nhau. Bạn có thể mua bất cứ phần cứng nào bạn muốn với bất kỳ thỏa thuận phụ tùng / dịch vụ nào bạn chọn.

Nếu bạn thực sự đang đẩy rất nhiều bit xung quanh thì có lẽ, một thiết bị tường lửa phần cứng được xây dựng có mục đích sẽ là cần thiết. FOSS có thể bao gồm bạn trong rất nhiều tình huống, và mang lại cho bạn sự linh hoạt, hiệu suất và tổng chi phí sở hữu rất lớn.

Bạn đã có một số câu trả lời tốt đã nói về công cụ kỹ thuật và hỗ trợ. Tất cả những điều quan trọng.

Hãy để tôi giới thiệu một điều khác cần xem xét: Thời gian của bạn để tạo, định cấu hình và hỗ trợ tường lửa phần cứng "cuộn của riêng bạn" trong nội bộ là một khoản đầu tư cho chủ nhân của bạn. Giống như tất cả mọi thứ, doanh nghiệp phải quyết định xem khoản đầu tư đó có xứng đáng hay không.

Những gì bạn / người quản lý của bạn cần xem xét là nơi thời gian của bạn được sử dụng tốt nhất. Câu hỏi về việc "tự lăn" có đáng hay không có thể thay đổi hoàn toàn nếu bạn là người bảo mật mạng chuyên nghiệp và / hoặc chủ lao động của bạn có các yêu cầu tường lửa chuyên gia không dễ thiết lập trong một sản phẩm ngoài kệ so với người nào đó có rất nhiều nhiệm vụ cần xem xét bên cạnh an ninh mạng và nhu cầu của họ có thể dễ dàng được đáp ứng bằng cách cắm vào thiết bị mạng.

Không chỉ trong trường hợp cụ thể này mà nói chung, đã có một vài lần tôi đã mua một giải pháp "ngoài giá" hoặc được thuê trong một số tư vấn cho một cái gì đó tôi hoàn toàn có khả năng tự làm vì chủ nhân của tôi muốn dành thời gian của tôi nơi khác Đây có thể là một trường hợp khá phổ biến, đặc biệt nếu bạn đang đối mặt với thời hạn và tiết kiệm thời gian quan trọng hơn tiết kiệm tiền.

Và đừng giảm khả năng "đổ lỗi cho người khác" - khi bạn đã phát hiện ra sự cố nghiêm trọng đối với một lỗi trong tường lửa vào lúc 3 giờ sáng, thật tuyệt khi có thể nói chuyện với nhà cung cấp và nói "Tôi không ' Không quan tâm nếu phần mềm hoặc phần cứng của nó, vấn đề của bạn là một trong hai cách ".

Tường lửa homebrew của bạn sẽ xử lý bảo trì phần cứng trong dịch vụ như thế nào?

Tường lửa homebrew của bạn sẽ giữ vững như thế nào khi bạn đạt được thông lượng 40 + Gbps?

Làm thế nào các quyền phân đoạn tường lửa homebrew của bạn cho quản trị viên trong các đơn vị kinh doanh khác nhau, sao cho họ chỉ có thể quản lý các phần của chính họ trong cơ sở quy tắc?

Làm thế nào bạn sẽ quản lý cơ sở quy tắc của bạn khi bạn có hơn 15.000 quy tắc?

Ai đang ủng hộ bạn khi nó đi vào mương?

làm thế nào nó sẽ giữ đến một kiểm toán tiêu chí chung.

Nhân tiện, $ 100k không phải là bất cứ nơi nào gần "cao cấp" cho tường lửa. một số không khác sẽ đưa bạn đến đó. và nó thực sự là một giọt trong thùng cho các tài nguyên mà họ bảo vệ

Rõ ràng không có câu trả lời một kích cỡ phù hợp cho câu hỏi này, vì vậy tôi sẽ mô tả những gì tôi đã làm và tại sao.

Để đặt bức tranh: Chúng tôi là một doanh nghiệp khá nhỏ với khoảng 25 nhân viên văn phòng và có lẽ cùng một số trên sàn sản xuất. Hoạt động kinh doanh chính của chúng tôi là các nhà in chuyên dụng, từng có thời gian độc quyền nhưng hiện đang chống lại sự phản đối ngày càng tăng từ hàng nhập khẩu giá rẻ, chủ yếu từ Trung Quốc. Điều này có nghĩa là mặc dù chúng tôi rất thích dịch vụ và phần cứng của Rolls Royce, nhưng chúng tôi thường phải giải quyết một cái gì đó nhiều hơn dọc theo các cấp độ của DVRswagon.

Trong tình huống của chúng tôi, chi phí của một cái gì đó như Cisco hoặc tương tự không thể được chứng minh, đặc biệt là khi tôi không có kinh nghiệm với nó (Tôi là "bộ phận CNTT" một người). Ngoài ra, các đơn vị thương mại đắt tiền không cung cấp lợi ích thực sự cho chúng tôi.

Sau khi xem những gì công ty có và những gì họ cần, tôi đã chọn sử dụng PC cũ và cài đặt Smoothwall Express, một phần vì tôi đã sử dụng sản phẩm đó trong một số năm và đã tự tin và thoải mái với nó. Tất nhiên điều này có nghĩa là không có hỗ trợ bên ngoài cho tường lửa, mang một mức độ rủi ro, nhưng đó là rủi ro mà công ty cảm thấy thoải mái. Tôi sẽ chỉ nói thêm rằng với tư cách là một tường lửa Smoothwall tốt như tôi đã thấy đối với quy mô của chúng tôi nhưng nó có thể không nhất thiết là sự lựa chọn tốt nhất cho một tổ chức lớn hơn nhiều.

Giải pháp đó hiệu quả với chúng tôi. Nó có thể hoặc không thể làm việc cho bạn. Chỉ có bạn mới có thể đưa ra quyết định.

Nếu bạn có tường lửa mang nhãn hiệu XXXisco với tỷ lệ rớt gói 95%, bạn có thể kiện ai đó; nếu bạn có cùng tỷ lệ rơi trên hộp của bạn (điều đó không hiếm, dưới một trận lũ ICMP đơn giản cũ cũng vậy), bạn sẽ xuống tàu để thấy rằng tiền lương của bạn sắp được đưa vào tường lửa mới .

Ở một mức độ nào đó có đối số "Nó chỉ hoạt động". Không phải lo lắng về quirks phần cứng và ít phiền phức về lỗi phần mềm.

Tôi sử dụng một cặp PIX tại nơi làm việc trong cấu hình dự phòng nóng và chúng chưa bao giờ thất bại. Cắm vào, nhập các quy tắc cần thiết và để chúng cho nó. Rất nhiều rắc rối và nỗ lực liên quan đến việc quản lý một hộp cuộn của riêng bạn hoàn toàn được bảo hiểm. Chúng tôi có một số hộp OpenBSD nằm xung quanh có sử dụng pf cho một số bộ lọc và tôi đã dành dễ dàng gấp 10 lần thời gian để duy trì các hộp và tường lửa khi tôi có PIXes. Đôi khi chúng tôi cũng phát hiện ra rằng chúng tôi đạt giới hạn cứng trong OpenBSD cho lưu lượng truy cập.

Cũng đáng để chỉ ra rằng một PIX còn hơn cả iptables. PIXes cũng bao gồm một số yếu tố thường thấy trong Hệ thống phát hiện xâm nhập (IDS), cùng với các bit khác. Phần cứng tường lửa nói chung cũng chuyên dụng hơn nhiều cho mục đích xử lý các gói ở tốc độ cao, thay vì bản chất tổng quát hơn của một máy chủ tiêu chuẩn không có thật.

Điều đó nói rằng có những nhà cung cấp khác đáng giá như Cisco và bạn có thể tự tạo lại tất cả. Bạn chỉ cần cân nhắc xem liệu thời gian của bạn và bất kỳ rắc rối nào có thể có giá trị hay không.

Đối với tường lửa, tôi muốn biết rằng tôi có một thiết bị chắc chắn và đáng tin cậy.

Có thể cho rằng, một phần của điều này dẫn đến cùng một lập luận về "Cuộn của riêng bạn" so với sử dụng một thiết bị

Tất cả các thiết bị thất bại cuối cùng. Nếu bạn xây dựng hệ thống và nó không thành công, đó là vấn đề của bạn. Nếu bạn mua một hệ thống từ nhà cung cấp, và nó không thành công, đó là vấn đề của họ .

Với sự hỗ trợ tốt, bạn đã đào tạo được những người sẵn sàng hỗ trợ bạn. Các công ty như Cisco, Juniper, NetApp, v.v ... thành công vì họ cung cấp các sản phẩm chất lượng được hỗ trợ với chất lượng hỗ trợ. Khi họ thất bại (và đôi khi họ làm), việc kinh doanh của họ bị tổn hại.

Thiết bị cao cấp có thể đi kèm với một hợp đồng hỗ trợ tốt. Nếu tường lửa gặp sự cố vào lúc 3 giờ sáng ngày thứ bảy sau đêm giao thừa, tôi có thể nhận được kỹ thuật viên của Nhà cung cấp trên điện thoại trong 5 phút. Một kỹ thuật viên có thể có mặt trong 2 giờ và trao đổi thành phần thất bại cho tôi. Nếu bộ định tuyến hỗ trợ một doanh nghiệp lớn, nơi thời gian chết có thể gây ra tổn thất đắt đỏ, thì có thể đáng để có được bộ định tuyến cao cấp. 10.000 đô la hoặc 100.000 đô la dường như không đắt khi nó hỗ trợ doanh nghiệp trị giá 20 triệu đô la hoặc 200 triệu đô la, trong đó thời gian chết có thể khiến công ty mất hàng nghìn đô la mỗi giờ.

Trong nhiều trường hợp, các bộ định tuyến cao cấp này quá đắt hoặc không cần thiết hoặc bạn không thể có được bộ định tuyến cao cấp vì lý do ngân sách hoặc chính trị. Đôi khi, một hộp pizza tùy chỉnh hoặc hộp Soekris là phù hợp hơn.

Sau nhiều năm, nó vẫn là một câu hỏi thú vị. Hãy chia nó thành hai câu hỏi phụ:

1. Tại sao phải mua tường lửa độc quyền thay vì sử dụng một nguồn mở (dựa trên Linux, FreeBSD, RouterOS, v.v.)? Tất cả phụ thuộc vào nhu cầu của bạn:

   • Tường lửa nguồn mở thường hoạt động rất tốt với chi phí nhỏ và không cung cấp dịch vụ khóa nhà cung cấp. Tuy nhiên, họ hiếm khi cung cấp các tính năng UTM (quản lý luồng thống nhất) trong suốt , như Lọc nội dung, Lọc ứng dụng, Gateway Antivirus, giải mã SSL và các lượt thích. Điều này không có nghĩa là tường lửa mã nguồn mở không thể làm điều đó, tuy nhiên họ thường yêu cầu sử dụng các dịch vụ proxy cần được cấu hình phía máy khách (ví dụ: trong trình duyệt). Hai ví dụ hay, khác nhau là Mikrotik (RouterOS, dựa trên Linux) và Endian: trước đây có các sản phẩm hiệu suất, chi phí thấp, chỉ tường lửa (không có UTM); sau này cung cấp một sản phẩm UTM đầy đủ dựa trên proxy. Trường hợp cụ thể: trong khi phiên bản cộng đồng chỉ dành cho tường lửa của Endian là một sản phẩm miễn phí, bộ UTM dựa trên giấy phép (và chúng không phải là siêu rẻ).
   • Một điểm khác cần xem xét là WebUI: tường lửa độc quyền thường có giao diện người dùng khá tốt, trong khi những người tự do / mã nguồn mở đôi khi có giao diện người dùng ít trực quan hơn (ví dụ: Mikrotik).
   • Tường lửa độc quyền thường có các dịch vụ quản lý bổ sung kèm theo. Ví dụ: chúng có thể bao gồm bảng điều khiển quản lý để sao chép tất cả các thay đổi cấu hình cho nhiều thiết bị hoặc để báo cáo chuyên sâu.
   • Cuối cùng, các nhà cung cấp tường lửa thường cung cấp dịch vụ thay thế phần cứng và hỗ trợ bán vé. Với tường lửa mã nguồn mở tự xây dựng, bạn thường đơn độc trong việc thay thế phần cứng và không phải lúc nào hỗ trợ cũng miễn phí. Mặt khác, việc chẩn đoán (và giải quyết) một vấn đề dễ dàng hơn nhiều khi nền tảng là nguồn mở, thay vì đóng.

2. Nếu mua một tường lửa độc quyền, tại sao mua một tường lửa cao cấp chứ không phải là một sản phẩm hiệu suất thấp hơn? Tất cả đều nắm rõ các yêu cầu về hiệu năng và tính năng:

   • nếu bạn có kế hoạch kích hoạt các dịch vụ UTM không chỉ trên các liên kết WAN (nơi băng thông thường bị giới hạn) mà còn trên các liên kết nội bộ (ví dụ: DMZ, giữa các Vlan, v.v.), bạn cần một tường lửa có thông lượng cao, đặc biệt nếu bạn có nhiều máy khách. Hơn nữa, tường lửa cấp thấp thường có những hạn chế (đôi khi nhân tạo) về số lượng người dùng đồng thời, đường hầm VPN, v.v.
   • tường lửa cấp thấp có thể bỏ lỡ một số tính năng bổ sung (ví dụ: tính khả dụng cao, chuyển đổi dự phòng WAN, tập hợp liên kết, cổng 10Gb, v.v.) cần thiết trong môi trường của bạn.

Kinh nghiệm cá nhân: cân nhắc tất cả các yếu tố trên, tôi thường (nhưng không phải luôn luôn) quyết định sử dụng tường lửa độc quyền với ngay cả dịch vụ thay thế phần cứng cơ bản hoặc ít nhất là cung cấp phụ tùng cuối cùng. Khi ngân sách thực sự eo hẹp và không có tính năng nâng cao nào được yêu cầu, tôi sử dụng các sản phẩm mã nguồn mở (Mikrotik).

Đây là một viễn cảnh với phần cứng hơi khác nhau, nhưng khái niệm này vẫn được áp dụng. Chúng tôi đã chạy một số máy chủ modem trên mạng với một "công tắc" 8 cổng 10/100 giá rẻ kết nối tất cả lại với nhau. Một ngày nọ, công tắc bắt đầu đóng băng và chúng tôi phải cấp nguồn cho nó. Chúng tôi đã làm điều đó nhiều lần, cho đến khi nó thực sự bị đốt cháy. Lưu lượng modem đó rất lớn và điều đó không thể xử lý được sức nóng.

Chúng tôi đã mua một công tắc cisco 2924 đã qua sử dụng và tất cả đều hoạt động trơn tru hơn rất nhiều ... các vụ va chạm đã giảm. Hóa ra công tắc cũ là một trung tâm 10Mbit được chuyển sang một trung tâm 100Mbit. Sự khác biệt tinh tế, nhưng điều đó giải thích sự khác biệt chi phí.