Навіщо купувати апаратні брандмауери високого класу?

Існує брандмауер від Juniper та Cisco, який коштує дорожче, ніж будинок.

Тож мені цікаво: що отримує брандмауер $ 10 000 + порівняно з 2U-сервером з 4-кратними 10 Гбіт мережевими картами, наприклад OpenBSD / FreeBSD / Linux?

У апаратних брандмауерів, ймовірно, є веб-інтерфейс.

Але що ще можна отримати за брандмауер 10 000 або 100 000 доларів ???

Це просто питання масштабу. Брандмауери на тисячі доларів мають функції та потужність, що дозволяють їм масштабуватись та керувати ними у всьому світі. Безліч функцій, які кожен, хто їх не використовує, мав би зробити ще небагато досліджень, перш ніж вони (ми) могли оцінити їхні індивідуальні достоїнства.

Ваш типовий домашній маршрутизатор насправді не повинен вміти обробляти пристрій чи кілька підключень провайдера, тому це дешевше. Як за кількістю / типом інтерфейсів, так і за апаратною ємністю (оперативна пам’ять тощо). Офісний брандмауер також може знадобитися деяким QoS, і ви, можливо, хочете, щоб він міг встановити VPN-з'єднання з віддаленим офісом. Вам потрібно небагато кращого ведення журналу для цього невеликого офісу, ніж потрібно для домашнього брандмауера.

Продовжуйте масштабувати, поки вам не потрібно буде обробляти кілька сотень або тисяч користувачів / пристроїв на одному веб-сайті, підключіться до десятків / сотень інших брандмауерів, які має компанія в усьому світі, і керуйте цим усім невеликою командою в одному місці.

(Я забув згадати оновлення IOS, контракти на підтримку, гарантії на обладнання - і, мабуть, є кілька десятків інших міркувань, про які я навіть не знаю ... але ви розумієте)

Зазвичай разом із апаратним брандмауером ви отримуєте щорічну плату за технічне обслуговування та обіцяєте майбутню дату, коли «апаратне забезпечення» більше не буде доступним, і вам доведеться вивантажувати передачу та замінювати її (ала Cisco PIX до переходу ASA). Ви також зациклюєтесь на стосунках з одним продавцем. Спробуйте отримати, наприклад, оновлення програмного забезпечення для свого Cisco PIX 515E від деяких інших систем Cisco, наприклад.

Ви, напевно, можете сказати, що я досить негативно ставлюсь до обладнання, призначеного для брандмауера.

Вільні та відкриті джерела (FOSS) операційні системи живлять деякі відомі «апаратні» пристрої брандмауера, і це не є доведеною технологією на будь-якому рівні. Ви можете придбати угоди про підтримку програмного забезпечення для FOSS у багатьох різних сторін. Ви можете придбати будь-яке обладнання, яке хочете, за будь-якими запасами / угодою про обслуговування.

Якщо ви дійсно штовхаєте багато бітів, можливо, знадобиться спеціальний апаратний брандмауер. FOSS може охопити вас у багатьох ситуаціях, і дасть вам величезну гнучкість, продуктивність та загальну вартість володіння.

Ви мали кілька хороших відповідей, вже говорили про технічні речі та підтримку. Усі важливі речі.

Дозвольте запропонувати ще одне, що слід врахувати: Ваш час на створення, налаштування та підтримку внутрішнього «апаратного» брандмауера - це інвестиція для вашого роботодавця. Як і всі речі, бізнес повинен вирішити, чи варто цього інвестувати.

Що ви / ваш менеджер повинні врахувати, це те, де найкраще проводити свій час. Питання про те, чи варто "прокручувати свій власний", може змінитися повністю, якщо ви спеціаліст із питань мережевої безпеки та / або ваш роботодавець має спеціальні вимоги щодо брандмауеру, які непросто налаштувати в позаставний продукт порівняно з тим, хто Окрім безпеки мережі, необхідно враховувати багато обов'язків, чиї потреби легко задовольнити, підключивши мережевий прилад.

Не тільки в цьому конкретному випадку, але в цілому, я вже кілька разів купував рішення "з полиці" або наймався на консультації на те, що я цілком здатний зробити сам, тому що мій роботодавець вважає за краще витратити мій час в іншому місці. Це може бути досить поширеним випадком, особливо якщо ви стикаєтесь із терміном, а економія часу важливіша, ніж економія грошей.

І не варто знижувати можливість "звинувачувати когось іншого" - коли ви обстежили серйозну несправність на помилку в брандмауері о 3 годині ранку, дуже приємно мати можливість поговорити з продавцем і сказати "я не хочу" t байдуже, чи його програмне забезпечення або обладнання, так чи інакше ваша проблема ".

як ваш домашній брандмауер обробляє технічне обслуговування апаратного забезпечення?

як ваш домашній брандмауер затримається, коли ви отримаєте 40 + Гбіт / с?

як дозволить сегмент брандмауера для домашнього брандмауера для адміністраторів різних бізнес-підрозділів, щоб вони могли керувати лише своїми частинами бази правил?

як ти будеш керувати своєю базою правил, коли у тебе 15000+ правил?

хто підкріплює вас, коли йде в кювет?

як він буде дотримуватися загального аудиту критеріїв.

до речі, 100 000 доларів не є десь поблизу "високого класу" для брандмауерів. ще один нуль приведе вас туди. і це справді крапля відра для ресурсів, які вони захищають

Очевидно, що на це запитання немає відповіді, що відповідає всім розмірам, тому я опишу, що я зробив і чому.

Для встановлення картини: Ми досить малий бізнес з близько 25 офісних працівників і, можливо, стільки ж на виробничому майданчику. Наш основний бізнес - це спеціалізовані друкарі, які свого часу користувалися монополією, але зараз борються зі все більшим протидією дешевого імпорту, переважно з Китаю. Це означає, що, хоча ми любимо рівень обслуговування Rolls Royce та обладнання, ми, як правило, мусимо вирішити щось більше на рівні Volkswagen.

У нашій ситуації вартість чогось подібного Cisco або подібного просто не виправдана, тим більше що я не маю досвіду з цим (я єдиний ІТ-"відділ"). Крім того, дорогі комерційні одиниці не дають нам справжньої вигоди.

Подивившись, що у компанії є і що їм потрібно, я вирішив використати старий ПК та встановити Smoothwall Express, почасти тому, що я користувався цим продуктом протягом багатьох років і вже був впевнений і комфортний з ним. Це, звичайно, означає, що не існує зовнішньої підтримки брандмауера, яка несе певний ризик, але це ризик, з яким компанія комфортна. Я просто додам, що як брандмауер Smoothwall настільки ж хороший, як я бачив для нашого масштабу, але це не обов'язково може бути найкращим вибором для значно більшої організації.

Це рішення працює для нас. Це може чи не може працювати для вас. Тільки ви можете прийняти таке рішення.

Якщо у вас є брандмауер XXXisco з брендовим співвідношенням 95%, ви можете подати позов до когось; якщо у вас на коробці однаковий коефіцієнт падіння (що не рідко, під старим добрим простим потоком ICMP також), ви збираєтесь зійти з корабля, щоб побачити, що ваша зарплата збирається перевести в новий брандмауер .

Певною мірою є аргумент "Це просто працює". Не турбуйтеся про апаратні химерності та невелику метушню щодо програмних помилок.

Я використовую пару PIXes на роботі в режимі гарячої очікування, і вони ніколи не виходили з ладу. Підключіться, введіть необхідні правила і залиште їх до нього. Дуже багато клопоту та зусиль, пов'язаних з управлінням власної коробки, повністю покрито. У нас є кілька вікон OpenBSD, які використовують pf для фільтрації, і я витратив 10 разів стільки часу на підтримку коробки і брандмауерів, як у мене PIXes. Ми також іноді виявили, що ми досягли жорстких обмежень у OpenBSD для трафіку.

Варто також зазначити, що PIX - це набагато більше, ніж, скажімо, iptables. PIXes також включає деякі елементи, які зазвичай зустрічаються в системах виявлення вторгнень (IDS), а також інші біти. Апаратне забезпечення брандмауера, як правило, набагато більш спеціалізоване для обробки пакетів з високою швидкістю, а не для більш узагальненого характеру стандартного сервера.

Однак, є інші постачальники, настільки ж варті, як і Cisco, і ви можете відтворити все це самостійно. Ви просто повинні зважити, чи вартий ваш час і будь-які можливі клопоти.

Що стосується брандмауерів, то я краще вважаю, що у мене надійний і надійний пристрій.

Імовірно, частина цього зводиться до того ж аргументу про "скачуй своє" проти використання приладу

З часом все виходить з ладу. Якщо ви створили систему, і вона виходить з ладу, це ваша проблема. Якщо ви купуєте систему у постачальника, і вона не вдається, це їхня проблема .

Маючи добру підтримку, ви навчили людей, готових підтримати вас. Такі компанії, як Cisco, Juniper, NetApp тощо, мають успіх, оскільки вони надають якісну продукцію з підтримкою якості. Коли вони зазнають невдач (а іноді й роблять), їхній бізнес шкодить.

Обладнання високого класу може забезпечити хороший договір підтримки. Якщо брандмауер вийде з ладу в 3 ранку в суботу після новорічної ночі, я можу зателефонувати техніку продавця за телефон за 5 хвилин. Технік може завітати на майданчик за 2 години і замінити невдалий компонент для мене. Якщо маршрутизатор підтримує великий бізнес, де простої можуть спричинити дорогі втрати, то, можливо, варто того, щоб отримати маршрутизатор високого рівня. 10 000 або 100 000 доларів не здаються такими дорогими, коли підтримують 20-мільйонний або 200-мільйонний бізнес, коли простої можуть коштувати компанії тисячі доларів на годину.

У багатьох випадках ці маршрутизатори високого класу занадто дорогі або непотрібні, або ви не можете отримати маршрутизатор високого класу через бюджетні чи політичні причини. Іноді підходить спеціальна коробка для піци або коробка Soekris .

Після багатьох років це все ще цікаве питання. Розділимо це на два підпитання:

1. чому купувати власний брандмауер, а не використовувати відкритий джерело (заснований на Linux, FreeBSD, RouterOS тощо)? Все залежить від ваших потреб:

   • Брандмауери з відкритими джерелами, як правило, працюють дуже добре за їх невеликих витрат і не забезпечують блокування постачальника. Однак вони рідко надають розширені прозорі функції UTM (уніфікованого управління потоками), як фільтрування вмісту, фільтрація додатків, антивірус шлюзу, розшифрування SSL тощо. Це не означає, що брандмауер з відкритим кодом не може цього зробити, однак вони часто вимагають використання проксі-сервісів, які потрібно налаштувати на стороні клієнта (тобто: у браузері). Два хороших, різні приклади - Mikrotik (RouterOS, Linux) та Endian: перший має продуктивні, недорогі, лише брандмауери (без UTM); останні пропонують в основному повну UTM продукцію на основі проксі. Справа в суті: хоча спільне видання Endian для брандмауера є безкоштовним продуктом, пакет UTM заснований на ліцензії (і вони не надто дешеві).
   • Ще один момент, на який слід звернути увагу, - це WebUI: власні брандмауери, як правило, мають досить хороший інтерфейс користувача, тоді як у вільних / відкритих джерел іноді є менш інтуїтивний інтерфейс (тобто: Mikrotik).
   • Власні брандмауери часто мають додаткові сервісні послуги з ними. Наприклад, вони можуть включати консоль управління для копіювання всіх змін конфігурації на декілька пристроїв або надання глибокої звітності.
   • Нарешті, постачальники брандмауера зазвичай надають такі послуги, як заміна обладнання та підтримка квитків. Завдяки самостійно вбудованому брандмауеру з відкритим кодом ви зазвичай замінюєте апаратне забезпечення самостійно, і підтримка не завжди доступна безкоштовно. З іншого боку, набагато простіше діагностувати (і вирішити) проблему, коли платформа відкрита, а не закрита.

2. якщо купуєте фірмовий брандмауер, навіщо купувати брандмауер високого класу, а не продукт низької продуктивності? Все це зводиться до вимог щодо продуктивності та особливостей:

   • якщо ви плануєте включити послуги UTM не лише на посилання WAN (де частота пропускної здатності часто обмежена), але і на внутрішніх посиланнях (наприклад: DMZ, між VLAN та ін.), вам потрібен брандмауер з високою пропускною здатністю, особливо якщо у вас багато клієнтів. Більше того, брандмауер низького рівня часто має (колись штучний) обмеження щодо кількості одночасних користувачів, VPN тунелів тощо.
   • брандмауер низького класу може пропустити деякі додаткові функції (наприклад, висока доступність, відмова WAN, агрегація посилань, порти 10 Гбіт тощо), необхідні у вашому середовищі.

Особистий досвід: зважуючи всі перераховані вище фактори, я часто (але не завжди) вирішую використовувати власні брандмауери навіть з базовою послугою заміни обладнання або принаймні забезпечувати кінцеве використання запасною частиною. Коли бюджет дійсно обмежений і не потрібні додаткові функції, я використовую продукти open source (Mikrotik).

Ось перспектива з дещо іншим обладнанням, але концепція все-таки застосовується. Ми працювали декількома серверами модему в мережі, дещо дешевим 8-портовим 10/100 «комутатором», зв’язуючи все це разом. Одного разу перемикач почав застигати, і нам довелося перемикати його. Ми робили це кілька разів, поки насправді не вигоріло. Цей модемний трафік був дуже балакучим, і річ просто не могла впоратися з теплом.

Ми купили вживаний вимикач cisco 2924, і все це спрацювало набагато більш плавно ... зіткнення пішли вниз. Виявляється, старий комутатор був 10Мбітним концентратором, переключеним на 100Мбітний концентратор. Тонка різниця, але це пояснює різницю у вартості.