Mengapa membeli firewall perangkat keras kelas atas?

Ada firewall dari Juniper dan Cisco yang harganya lebih dari satu rumah.

Jadi saya bertanya-tanya: apa yang didapat dari firewall $ 10.000 + dibandingkan dengan server 2U dengan kartu jaringan 4x 10Gbit yang berjalan misalnya OpenBSD / FreeBSD / Linux?

Firewall perangkat keras mungkin memiliki antarmuka web.

Tapi apa lagi yang didapat dengan firewall $ 10.000 atau $ 100.000 ???

Ini hanya masalah skala. Firewall ribuan dolar memiliki fitur & kapasitas yang memungkinkan mereka untuk mengukur & dikelola secara global. Segudang fitur yang tidak digunakan oleh siapa pun akan memiliki sedikit riset yang harus dilakukan sebelum mereka (kami) dapat menghargai kelebihan masing-masing.

Router rumah khas Anda tidak benar-benar harus dapat menangani banyak perangkat atau beberapa koneksi ISP, jadi lebih murah. Baik dalam jumlah / jenis antarmuka, dan kapasitas perangkat keras (RAM, dll). Firewall kantor juga mungkin memerlukan beberapa QoS, dan Anda mungkin ingin bisa membuat koneksi VPN ke kantor jauh. Anda akan ingin login sedikit lebih baik untuk kantor kecil itu daripada yang Anda perlukan untuk firewall rumah.

Terus tingkatkan hingga Anda perlu menangani beberapa ratus atau ribuan pengguna / perangkat per situs, sambungkan ke puluhan / ratusan firewall lain yang dimiliki perusahaan secara global, dan kelola semuanya dengan tim kecil di satu lokasi.

(Saya lupa menyebutkan pembaruan iOS, kontrak dukungan, jaminan perangkat keras - dan mungkin ada beberapa lusin pertimbangan lain yang bahkan tidak saya ketahui tentang ... tetapi Anda dapat gagasannya)

Biasanya, bersama dengan firewall perangkat keras Anda mendapatkan biaya pemeliharaan tahunan berulang dan janji masa depan ketika "dukungan perangkat keras" tidak akan tersedia lagi dan Anda harus mengeluarkan forklift dan menggantinya (ala Cisco PIX untuk transisi ASA). Anda juga terjebak dengan hubungan dengan satu vendor. Coba dan dapatkan pembaruan perangkat lunak untuk Cisco PIX 515E Anda dari beberapa Sistem Cisco lainnya, misalnya.

Anda mungkin dapat mengatakan bahwa saya cukup negatif tentang perangkat keras firewall yang dibuat khusus.

Sistem operasi bebas dan open source (FOSS) memberi daya pada beberapa perangkat firewall "perangkat keras" yang terkenal dan bukan merupakan teknologi yang tidak terbukti. Anda dapat membeli perjanjian dukungan perangkat lunak untuk FOSS dari banyak pihak. Anda dapat membeli perangkat keras apa pun yang Anda inginkan dengan suku cadang / perjanjian layanan apa pun yang Anda pilih.

Jika Anda benar - benar mendorong banyak bit di sekitar itu, mungkin, perangkat firewall perangkat keras yang dibuat khusus akan diperlukan. FOSS dapat melindungi Anda dalam banyak situasi, dan memberi Anda fleksibilitas luar biasa, kinerja, dan total biaya kepemilikan.

Anda sudah memiliki jawaban yang bagus sudah berbicara tentang hal-hal teknis dan dukungan. Semua hal penting.

Izinkan saya memperkenalkan hal lain untuk dipertimbangkan: Waktu Anda untuk membuat, mengonfigurasi, dan mendukung firewall perangkat keras "roll your own" secara internal merupakan investasi bagi perusahaan Anda. Seperti semua hal lainnya, bisnis harus memutuskan apakah investasi itu sepadan.

Yang perlu Anda / manajer Anda pertimbangkan adalah di mana waktu Anda dihabiskan dengan sebaik-baiknya. Pertanyaan tentang apakah "menggulirkan milik Anda" layak atau tidak dapat berubah sepenuhnya jika Anda adalah seorang pakar keamanan jaringan spesialis dan / atau perusahaan Anda memiliki persyaratan firewall spesialis yang tidak mudah dipasang di produk yang tidak disimpan di rak dibandingkan dengan seseorang yang memiliki banyak tugas yang harus dipertimbangkan selain keamanan jaringan dan yang kebutuhannya dapat dengan mudah dipenuhi dengan memasang alat jaringan.

Tidak hanya dalam kasus khusus ini tetapi secara umum, sudah ada beberapa kali saya membeli solusi "dari rak" atau disewa dalam beberapa konsultasi untuk sesuatu yang saya cukup mampu lakukan sendiri karena majikan saya lebih suka menghabiskan waktu saya dihabiskan di tempat lain. Ini bisa menjadi kasus yang cukup umum, terutama jika Anda menghadapi tenggat waktu dan menghemat waktu lebih penting daripada menghemat uang.

Dan jangan mengabaikan kemampuan untuk "menyalahkan orang lain" - ketika Anda melacak kesalahan besar pada firewall pukul 3 pagi, sangat menyenangkan untuk dapat berbicara dengan vendor dan mengatakan "Saya tidak tahu" t peduli apakah perangkat lunak atau perangkat kerasnya, ini masalah Anda ".

bagaimana firewall homebrew Anda menangani pemeliharaan perangkat keras dalam-layanan?

bagaimana firewall homebrew Anda akan bertahan ketika Anda mendapatkan throughput 40 + Gbps?

bagaimana izin segmen firewall homebrew Anda untuk administrator di unit bisnis yang berbeda, sehingga mereka hanya dapat mengelola bagian basis aturan mereka sendiri?

bagaimana Anda mengelola basis aturan ketika Anda memiliki 15.000+ aturan?

siapa yang mendukung Anda ketika masuk ke dalam parit?

bagaimana ia akan tahan hingga audit kriteria umum.

omong-omong, $ 100k tidak mendekati "high end" untuk firewall. nol lagi akan membuat Anda di sana. dan itu benar-benar setetes dalam ember untuk sumber daya yang mereka lindungi

Jelas tidak ada jawaban satu ukuran untuk semua pertanyaan ini, jadi saya akan menjelaskan apa yang telah saya lakukan dan mengapa.

Untuk mengatur gambar: Kami adalah bisnis yang cukup kecil dengan sekitar 25 staf kantor dan mungkin jumlah yang sama di lantai produksi. Bisnis utama kami adalah sebagai printer khusus yang pada suatu waktu menikmati monopoli tetapi sekarang berjuang melawan peningkatan jumlah oposisi dari impor murah, kebanyakan dari Cina. Ini berarti bahwa sementara kita akan menyukai layanan dan perangkat keras tingkat Rolls Royce kita umumnya harus puas dengan sesuatu yang lebih di tingkat Volkswagon.

Dalam situasi kami, biaya untuk sesuatu seperti Cisco atau sejenisnya tidak dapat dibenarkan, terutama karena saya tidak memiliki pengalaman dengannya (saya adalah "departemen" TI satu orang). Juga, unit komersial yang mahal tidak memberikan manfaat nyata bagi kami.

Setelah melihat apa yang dimiliki perusahaan dan apa yang mereka butuhkan saya memilih untuk menggunakan PC lama dan menginstal Smoothwall Express, sebagian karena saya telah menggunakan produk itu selama beberapa tahun dan sudah yakin dan nyaman dengan itu. Ini tentu saja berarti tidak ada dukungan eksternal untuk firewall, yang memiliki tingkat risiko, tetapi risiko yang nyaman bagi perusahaan. Saya hanya akan menambahkan bahwa sebagai firewall, Smoothwall sama baiknya dengan yang saya lihat untuk skala kami, tetapi itu mungkin bukan pilihan terbaik untuk organisasi yang jauh lebih besar.

Solusi itu bekerja untuk kita. Ini mungkin atau mungkin tidak bekerja untuk Anda. Hanya Anda yang bisa membuat keputusan itu.

Jika Anda memiliki firewall bermerek XXXisco dengan rasio penurunan paket 95%, Anda dapat menuntut seseorang; jika Anda memiliki rasio drop yang sama pada kotak Anda (itu tidak jarang, di bawah banjir ICMP sederhana lama yang baik juga), well, Anda akan turun dari kapal untuk melihat bahwa gaji Anda akan dimasukkan ke firewall baru .

Sampai batas tertentu ada argumen "Itu hanya bekerja". Jangan khawatir tentang kebiasaan perangkat keras dan sedikit keributan tentang bug perangkat lunak.

Saya menggunakan sepasang PIX di tempat kerja dalam konfigurasi hot-standby dan mereka tidak pernah gagal. Hubungkan, masukkan aturan yang diperlukan dan biarkan begitu saja. Banyak kerepotan dan upaya yang terlibat dalam mengelola roll-your-box Anda sepenuhnya tertutup. Kami memang memiliki beberapa kotak OpenBSD yang ada di sekitar yang menggunakan pf untuk beberapa penyaringan, dan saya telah menghabiskan 10x dengan mudah untuk merawat kotak dan firewall seperti halnya dengan PIX. Kami juga menemukan kadang-kadang kami mencapai batas keras di OpenBSD untuk lalu lintas.

Ini juga layak menunjukkan bahwa PIX jauh lebih dari, katakanlah, iptables. PIXes juga menyertakan beberapa elemen yang biasa terlihat di Intrusion Detection Systems (IDS), bersama dengan bit lainnya. Perangkat keras Firewall juga umumnya jauh lebih khusus untuk keperluan pemrosesan paket dengan kecepatan tinggi, daripada sifat yang lebih umum dari server standar rawa.

Yang mengatakan ada vendor lain yang sama berharganya dengan Cisco, dan Anda dapat menciptakan semuanya sendiri. Anda hanya perlu mempertimbangkan apakah waktu Anda dan kerepotan yang ada layak untuk dilakukan.

Untuk firewall saya lebih suka kewarasan mengetahui saya punya perangkat yang solid dan dapat diandalkan.

Arguably, bagian dari ini bermuara pada argumen yang sama tentang "Gulung milikmu" vs. menggunakan alat

Semua peralatan akhirnya gagal. Jika Anda membangun sistem dan gagal, itu masalah Anda. Jika Anda membeli sistem dari vendor, dan gagal, itu masalah mereka .

Dengan dukungan yang baik, Anda telah melatih orang-orang yang siap mendukung Anda. Perusahaan seperti Cisco, Juniper, NetApp, dll sukses karena mereka menyediakan produk-produk berkualitas yang didukung dengan dukungan kualitas. Ketika mereka gagal (dan terkadang mereka melakukannya), bisnis mereka dirugikan.

Peralatan kelas atas dapat datang dengan kontrak dukungan yang baik. Jika firewall macet pukul 3 dini hari pada hari Sabtu setelah Malam Tahun Baru, saya bisa mendapatkan teknisi Vendor di telepon dalam 5 menit. Seorang teknisi dapat berada di lokasi dalam 2 jam dan menukar komponen yang gagal untuk saya. Jika router mendukung bisnis besar di mana downtime dapat menyebabkan kerugian yang mahal, maka mungkin layak untuk mendapatkan router high-end. $ 10.000 atau $ 100.000 tampaknya tidak mahal ketika mendukung bisnis $ 20 juta atau $ 200 juta, di mana downtime dapat merugikan perusahaan ribuan dolar per jam.

Dalam banyak kasus, router kelas atas ini terlalu mahal atau tidak perlu, atau Anda tidak bisa mendapatkan router kelas atas karena alasan anggaran atau politik. Terkadang, kotak pizza khusus atau kotak Soekris lebih tepat.

Setelah bertahun-tahun, itu masih merupakan pertanyaan yang menarik. Mari kita bagi dalam dua sub-pertanyaan:

1. mengapa membeli firewall berpemilik daripada menggunakan yang opensource (berbasis Linux, FreeBSD, RouterOS, dll)? Itu semua tergantung pada kebutuhan Anda:

   • Firewall opensource umumnya berkinerja sangat baik dengan biaya kecil, dan tidak menyediakan vendor lock-in. Namun, mereka jarang memberikan fitur transparan UTM (unified thread management) canggih, seperti Penyaringan Konten, Penyaringan Aplikasi, Gateway Antivirus, dekripsi SSL, dan sejenisnya. Ini tidak berarti bahwa firewall opensource tidak dapat melakukan itu, namun mereka seringkali memerlukan penggunaan layanan proxy yang perlu dikonfigurasi sisi klien (yaitu: di browser). Dua contoh bagus dan berbeda adalah Mikrotik (RouterOS, berbasis Linux) dan Endian: yang pertama memiliki produk yang performan, murah, hanya firewall (tanpa UTM); yang terakhir menyediakan sebagian besar produk UTM berbasis proxy dan lengkap. Contoh kasus: sementara edisi komunitas khusus firewall Endian adalah produk gratis, paket UTM berbasis lisensi (dan tidak super murah).
   • Hal lain yang perlu dipertimbangkan adalah WebUI: firewall berpemilik umumnya memiliki UI yang cukup baik, sedangkan yang bebas / opensource kadang-kadang memiliki UI yang kurang intuitif (yaitu: Mikrotik).
   • Firewall kepemilikan eksklusif seringkali memiliki layanan manajemen tambahan yang dibundel dengannya. Misalnya, mereka dapat menyertakan konsol manajemen untuk mereplikasi semua perubahan konfigurasi ke beberapa perangkat, atau untuk memberikan pelaporan yang mendalam.
   • Akhirnya, vendor firewall umumnya menyediakan layanan sebagai penggantian perangkat keras dan dukungan tiket. Dengan firewall opensource yang dibangun sendiri, Anda biasanya sendirian dalam mengganti perangkat keras, dan dukungan tidak selalu tersedia secara gratis. Di sisi lain, jauh lebih mudah untuk mendiagnosis (dan menyelesaikan) masalah ketika platform open-source, bukan tertutup.

2. jika membeli firewall berpemilik, mengapa membeli firewall kelas atas dan bukan produk dengan kinerja lebih rendah? Semuanya bermuara pada persyaratan kinerja dan fitur:

   • jika Anda berencana untuk mengaktifkan layanan UTM tidak hanya pada tautan WAN (di mana bandwidth sering terbatas) tetapi juga pada tautan internal (misalnya: DMZ, antara VLAN, dll.), Anda memerlukan firewall dengan throughput tinggi, terutama jika Anda memiliki banyak klien. Selain itu, firewall low-end sering memiliki (kadang-kadang buatan) keterbatasan jumlah pengguna bersamaan, terowongan VPN, dll.
   • firewall low-end mungkin kehilangan beberapa fitur tambahan (yaitu: ketersediaan tinggi, failover WAN, agregasi tautan, port 10Gb, dll) yang diperlukan di lingkungan Anda.

Pengalaman pribadi: menimbang semua faktor di atas, saya sering (tetapi tidak selalu) memutuskan untuk menggunakan firewall milik bahkan dengan layanan penggantian perangkat keras dasar atau setidaknya menyediakan suku cadang untuk penggunaan akhir. Ketika anggaran sangat ketat dan tidak ada fitur canggih yang diperlukan, saya menggunakan produk opensource (Mikrotik).

Inilah perspektif dengan perangkat keras yang sedikit berbeda, tetapi konsepnya masih berlaku. Kami menjalankan beberapa server modem pada jaringan dengan 8 port 10/100 "switch" yang agak murah yang menyatukan semuanya. Suatu hari, saklar mulai membeku, dan kami harus menyalakannya. Kami melakukannya beberapa kali, sampai benar-benar terbakar. Lalu lintas modem itu sangat cerewet, dan masalahnya tidak bisa mengatasi panasnya.

Kami membeli switch cisco 2924 bekas, dan semuanya bekerja jauh lebih lancar ... tabrakan turun. Ternyata saklar lama adalah hub 10Mbit yang beralih ke hub 100Mbit. Perbedaan yang halus, tetapi itu menjelaskan perbedaan biaya.