Dlaczego warto kupować zapory sprzętowe wysokiej klasy?

Istnieją zapory ogniowe Juniper i Cisco, które kosztują więcej niż dom.

Zastanawiam się więc: co można uzyskać z zapory sieciowej o wartości 10 000 $ + w porównaniu do serwera 2U z 4 kartami sieciowymi 10Gbit, np. OpenBSD / FreeBSD / Linux?

Zapory sprzętowe prawdopodobnie mają interfejs sieciowy.

Ale co jeszcze można uzyskać za zaporę sieciową o wartości 10 000 $ lub 100 000 $ ???

To tylko kwestia skali. Zapory o wartości tysięcy dolarów mają funkcje i pojemność, które umożliwiają skalowanie i zarządzanie nimi na całym świecie. Mnóstwo funkcji, z których każdy, kto ich nie korzysta, musiałby przeprowadzić sporo badań, zanim (my) doceniliby ich indywidualne zalety.

Twój typowy router domowy tak naprawdę nie musi być w stanie obsłużyć wielu urządzeń lub wielu połączeń ISP, więc jest tańszy. Zarówno pod względem liczby / rodzaju interfejsów, jak i pojemności sprzętowej (RAM itp.). Zapora biurowa może również wymagać pewnej ilości QoS i możesz chcieć nawiązać połączenie VPN ze zdalnym biurem. Będziesz potrzebował nieco lepszego logowania do tego małego biura niż do zapory domowej.

Kontynuuj skalowanie, aż będziesz musiał obsłużyć kilkaset lub tysiące użytkowników / urządzeń na witrynę, połącz się z dziesiątkami / setkami innych zapór ogniowych firmy na całym świecie i zarządzaj wszystkim z małym zespołem w jednym miejscu.

(Zapomniałem wspomnieć o aktualizacjach IOS, umowach wsparcia, gwarancjach na sprzęt - i prawdopodobnie jest jeszcze kilkadziesiąt innych kwestii, o których nawet nie wiem ... ale masz pomysł)

Zazwyczaj wraz ze sprzętową zaporą ogniową otrzymujesz cykliczną roczną opłatę za konserwację i obietnicę przyszłej daty, w której „wsparcie sprzętowe” nie będzie już dostępne i będziesz musiał podnieść sprzęt i wymienić go (np. Cisco PIX do przejścia na ASA). Utkniesz także w relacji z jednym dostawcą. Spróbuj na przykład uzyskać aktualizacje oprogramowania dla swojego Cisco PIX 515E z innych systemów Cisco.

Prawdopodobnie możesz powiedzieć, że jestem dość negatywnie nastawiony do specjalnie zaprojektowanego sprzętu zapory ogniowej.

Wolne i otwarte systemy operacyjne (FOSS) zasilają niektóre dobrze znane „sprzętowe” zapory ogniowe i nie są w żaden sposób sprawdzoną technologią. Możesz kupić umowy wsparcia oprogramowania dla FOSS od wielu różnych stron. Możesz kupić dowolny sprzęt z dowolną wybraną umową części zamiennych / usług.

Jeśli naprawdę przepychasz wiele bitów, być może konieczne będzie specjalnie zbudowane sprzętowe urządzenie zapory ogniowej. FOSS może jednak obejmować Cię w wielu sytuacjach i zapewnia ogromną elastyczność, wydajność i całkowity koszt posiadania.

Masz już dobre odpowiedzi, które mówią o rzeczach technicznych i wsparciu. Wszystkie ważne rzeczy.

Pozwól, że przedstawię jeszcze jedną rzecz do rozważenia: Twój czas na stworzenie, skonfigurowanie i obsługę wewnętrznej zapory sprzętowej „stwórz własny” to inwestycja dla twojego pracodawcy. Jak wszystkie rzeczy, firma musi zdecydować, czy ta inwestycja jest tego warta.

To, co Ty / Twój menedżer powinni wziąć pod uwagę, to, gdzie najlepiej spędzić czas. Pytanie, czy warto „zrzucić własne”, może się całkowicie zmienić, jeśli jesteś specjalistą ds. Bezpieczeństwa sieci i / lub pracodawca ma specjalistyczne wymagania dotyczące zapory ogniowej, które nie są łatwe do skonfigurowania w gotowym produkcie w porównaniu z kimś, kto ma wiele obowiązków do rozważenia oprócz bezpieczeństwa sieci i których potrzeby można łatwo zaspokoić, podłączając urządzenie sieciowe.

Nie tylko w tym konkretnym przypadku, ale ogólnie kilka razy kupiłem rozwiązanie „z półki” lub zatrudniłem się w jakiejś firmie doradczej w związku z czymś, co jestem w stanie sam zrobić, ponieważ mój pracodawca wolałby spędzać czas gdzie indziej. Może to być dość powszechny przypadek, szczególnie jeśli zbliża się termin, a oszczędność czasu jest ważniejsza niż oszczędzanie pieniędzy.

I nie pomijaj możliwości „obwiniania kogoś innego” - kiedy wykryłeś poważną awarię błędu w zaporze ogniowej o 3 nad ranem, bardzo miło jest móc porozmawiać z dostawcą i powiedzieć „nie” t obchodzi, czy jego oprogramowanie lub sprzęt, to twój problem tak czy inaczej.

w jaki sposób zapora sieciowa homebrew poradzi sobie z utrzymaniem sprzętu podczas pracy?

jak utrzyma się zapora sieciowa homebrew, gdy osiągniesz przepustowość 40 + Gb / s?

w jaki sposób uprawnienia segmentu zapory domowej dla segmentów firewall dla administratorów w różnych jednostkach biznesowych, aby mogli zarządzać tylko własnymi częściami reguł?

jak będziesz zarządzać bazą reguł, gdy będziesz mieć ponad 15 000 reguł?

kto cię wspiera, gdy idzie do rowu?

jak wytrzyma wspólny audyt kryteriów.

Nawiasem mówiąc, 100 000 $ nie jest w żadnym razie blisko „wysokiej klasy” zapór ogniowych. kolejne zero doprowadziłoby cię tam. i to naprawdę kropla w zasobniku dla chronionych zasobów

Najwyraźniej nie ma jednej uniwersalnej odpowiedzi na to pytanie, więc opiszę, co zrobiłem i dlaczego.

Aby ustawić obraz: jesteśmy dość małą firmą, zatrudniającą około 25 pracowników biurowych i być może taką samą liczbę pracowników na hali produkcyjnej. Naszą podstawową działalnością są wyspecjalizowane drukarki, które kiedyś cieszyły się monopolem, ale teraz walczą z rosnącą ilością sprzeciwu ze strony taniego importu, głównie z Chin. Oznacza to, że choć chcielibyśmy obsługiwać poziom sprzętu Rolls Royce i sprzęt, ogólnie musimy zadowolić się czymś więcej niż poziom Volkswagon.

W naszej sytuacji koszt czegoś takiego jak Cisco lub podobny po prostu nie mógł być uzasadniony, zwłaszcza, że ​​nie mam z tym doświadczenia (jestem jednoosobowym „działem IT”). Również drogie jednostki komercyjne nie dają nam prawdziwych korzyści.

Po zapoznaniu się z tym, co firma miała i czego potrzebowali, zdecydowałem się użyć starego komputera i zainstalować Smoothwall Express, częściowo dlatego, że korzystałem z tego produktu od wielu lat i już byłem z nim pewny i wygodny. To oczywiście oznacza, że ​​nie ma zewnętrznego wsparcia dla zapory ogniowej, co niesie ze sobą pewne ryzyko, ale jest to ryzyko, z którym firma nie ma problemu. Dodam tylko, że jako firewall Smoothwall jest tak dobry, jak widziałem dla naszej skali, ale niekoniecznie może być najlepszym wyborem dla znacznie większej organizacji.

To rozwiązanie działa dla nas. To może, ale nie musi, działać. Tylko Ty możesz podjąć tę decyzję.

Jeśli masz zaporę marki XXXisco z 95% współczynnikiem upuszczania pakietów, możesz kogoś pozwać; jeśli masz taki sam współczynnik upuszczenia na swoim pudełku (co nie jest rzadkie, w przypadku dobrej starej prostej powodzi ICMP), cóż, zaraz zejdziesz ze statku, aby zobaczyć, że twoja pensja zostanie wkrótce wprowadzona do nowej zapory ogniowej .

Do pewnego stopnia istnieje argument „Po prostu działa”. Nie martw się o dziwactwa sprzętowe i kłopoty związane z błędami oprogramowania.

Używam pary PIX-ów w pracy w konfiguracji „gorącej gotowości” i nigdy nie zawiodły. Podłącz, wprowadź niezbędne reguły i pozostaw je temu. Wiele kłopotów i wysiłków związanych z zarządzaniem własnym pudełkiem jest całkowicie pokryte. Mamy kilka pudełek OpenBSD, które używają pf do filtrowania, i spędziłem łatwo 10 razy tyle czasu na utrzymywaniu pudeł i zapór ogniowych, jak mam PIX. Od czasu do czasu okazało się, że w OpenBSD przekroczyliśmy twarde limity ruchu.

Warto również zauważyć, że PIX to znacznie więcej niż, powiedzmy, iptables. PIX zawiera także niektóre elementy powszechnie spotykane w systemach wykrywania włamań (IDS), a także inne bity. Sprzęt zapory ogniowej jest również znacznie bardziej wyspecjalizowany w celu przetwarzania pakietów z dużą szybkością, a nie bardziej uogólnionego charakteru standardowego serwera bagien.

To powiedziawszy, istnieją inni dostawcy równie cenni jak Cisco i możesz to wszystko odtworzyć samodzielnie. Musisz tylko zastanowić się, czy Twój czas i ewentualne problemy są tego warte.

W przypadku zapór wolałbym rozsądnie wiedzieć, że mam solidne i niezawodne urządzenie.

Prawdopodobnie część tego sprowadza się do tego samego argumentu dotyczącego „Rzuć własnym” a używaniem urządzenia

Ostatecznie cały sprzęt zawiedzie. Jeśli zbudowałeś system i nie działa, to twój problem. Jeśli kupisz system od dostawcy i nie powiedzie się, to jego problem .

Dzięki dobremu wsparciu przeszkoliłeś ludzi gotowych cię poprzeć. Firmy takie jak Cisco, Juniper, NetApp itp. Odnoszą sukcesy, ponieważ zapewniają wysokiej jakości produkty wspierane przez wysokiej jakości wsparcie. Kiedy zawodzą (a czasem tak się dzieje), ich działalność jest zagrożona.

Sprzęt wysokiej klasy może zawierać dobrą umowę wsparcia. Jeśli zapora ulegnie awarii o godzinie 3:00 w sobotę po sylwestrze, mogę skontaktować się z technikiem dostawcy w telefonie w ciągu 5 minut. Technik może być na miejscu w ciągu 2 godzin i wymienić dla mnie uszkodzony komponent. Jeśli router obsługuje dużą firmę, w której przestoje mogą powodować kosztowne straty, warto kupić router wysokiej klasy. 10 000 USD lub 100 000 USD nie wydaje się tak drogie, jeśli wspiera działalność o wartości 20 milionów USD lub 200 milionów USD, a przestoje mogą kosztować firmę tysiące dolarów na godzinę.

W wielu przypadkach te routery wysokiej klasy są zbyt drogie lub niepotrzebne, lub nie można uzyskać routera wysokiej klasy z powodów budżetowych lub politycznych. Czasami bardziej odpowiednie jest niestandardowe pudełko do pizzy lub pudełko Soekris .

Po wielu latach wciąż jest to interesujące pytanie. Podzielmy to na dwa pytania częściowe:

1. dlaczego kupować zastrzeżoną zaporę ogniową zamiast korzystać z otwartego źródła (opartego na Linux, FreeBSD, RouterOS itp.)? Wszystko zależy od twoich potrzeb:

   • Zapory ogniowe opensource generalnie działają bardzo dobrze przy ich niewielkich kosztach i nie zapewniają blokady dostawcy. Jednak rzadko zapewniają zaawansowane funkcje przezroczystego UTM (ujednoliconego zarządzania wątkami), takie jak Filtrowanie treści, Filtrowanie aplikacji, Gateway Antivirus, deszyfrowanie SSL i tym podobne. Nie oznacza to, że zapora typu open source nie może tego zrobić, jednak często wymagają one użycia usług proxy, które muszą być skonfigurowane po stronie klienta (tj. W przeglądarce). Dwa dobre, różne przykłady to Mikrotik (RouterOS, oparty na Linuksie) i Endian: ten pierwszy ma wydajne, tanie, tylko zapory ogniowe (bez UTM); te ostatnie zapewniają głównie pełne UTM produkty oparte na proxy. Przykład: wersja społecznościowa zapory ogniowej Endian jest produktem darmowym, pakiet UTM jest oparty na licencji (i nie są one bardzo tanie).
   • Inną kwestią do rozważenia jest WebUI: zastrzeżone zapory ogniowe mają ogólnie całkiem niezły interfejs użytkownika, podczas gdy darmowe / open source czasami mają mniej intuicyjny interfejs użytkownika (np. Mikrotik).
   • Własne zapory ogniowe często zawierają dodatkowe usługi zarządzania. Mogą na przykład zawierać konsolę zarządzania do replikacji wszystkich zmian konfiguracji na wielu urządzeniach lub do szczegółowego raportowania.
   • Wreszcie, zapora ogniowa zazwyczaj świadczy usługi wymiany sprzętu i sprzedaży biletów. Dzięki samodzielnie zbudowanej zaporze sieciowej typu open source generalnie jesteś sam w wymianie sprzętu, a wsparcie nie zawsze jest dostępne za darmo. Z drugiej strony znacznie łatwiej jest zdiagnozować (i rozwiązać) problem, gdy platforma jest typu open source, a nie zamknięta.

2. jeśli kupujesz zastrzeżoną zaporę ogniową, dlaczego kupujesz zaporę wysokiej klasy, a nie produkt o niższej wydajności? Wszystko sprowadza się do wymagań dotyczących wydajności i funkcji:

   • jeśli planujesz włączyć usługi UTM nie tylko na łączach WAN (gdzie przepustowość jest często ograniczona), ale także na łączach wewnętrznych (np .: DMZ, między VLAN itp.), potrzebujesz zapory ogniowej o dużej przepustowości, szczególnie jeśli masz wielu klientów. Ponadto zapora ogniowa niskiej jakości często ma (kiedyś sztuczne) ograniczenia liczby jednoczesnych użytkowników, tuneli VPN itp.
   • zapora ogniowa niskiej jakości może nie mieć niektórych dodatkowych funkcji (np. wysoka dostępność, przełączanie awaryjne WAN, agregacja łączy, porty 10 Gb itp.) wymaganych w twoim środowisku.

Osobiste doświadczenie: biorąc pod uwagę wszystkie powyższe czynniki, często (ale nie zawsze) decyduję się na używanie zastrzeżonych zapór ogniowych nawet z podstawową usługą wymiany sprzętu lub przynajmniej zapewnianiem części końcowej części zamiennej. Kiedy budżet jest naprawdę napięty i nie są wymagane żadne zaawansowane funkcje, korzystam z produktów opensource (Mikrotik).

Oto perspektywa z nieco innym sprzętem, ale koncepcja nadal obowiązuje. Pracowaliśmy w kilku serwerach modemowych w sieci z dość tanim 8-portowym „przełącznikiem” 10/100, który to wszystko łączy. Pewnego dnia przełącznik zaczął się zamrażać i musieliśmy go wyłączyć. Robiliśmy to kilka razy, aż się wypaliło. Ten ruch modemowy był bardzo rozmowny, a ta rzecz po prostu nie mogła znieść upału.

Kupiliśmy używany przełącznik cisco 2924 i wszystko działało o wiele sprawniej ... kolizje spadły. Okazuje się, że stary przełącznik był hubem 10Mbit przełączonym na hub 100Mbit. Subtelna różnica, ale to wyjaśnia różnicę kosztów.