Por que comprar firewalls de hardware de ponta?

Existem firewalls da Juniper e da Cisco que custam mais do que uma casa.

Então, eu me pergunto: o que se obtém de um firewall de US $ 10.000 + em comparação com um servidor 2U com placas de rede de 4x 10Gbit em execução, por exemplo, OpenBSD / FreeBSD / Linux?

Os firewalls de hardware provavelmente têm uma interface da web.

Mas o que mais se obtém por um firewall de US $ 10.000 ou US $ 100.000 ???

É apenas uma questão de escala. Os firewalls de milhares de dólares têm recursos e capacidade que permitem escalar e ser gerenciados globalmente. Uma infinidade de recursos que qualquer pessoa que não os utilize teria bastante pesquisa para fazer antes que pudéssemos apreciar seus méritos individuais.

Seu roteador doméstico típico não precisa realmente lidar com vários dispositivos ou várias conexões ISP, portanto é mais barato. Tanto no número / tipo de interfaces quanto na capacidade do hardware (RAM, etc). O firewall do escritório também pode precisar de alguma QoS e você pode querer fazer uma conexão VPN com um escritório remoto. Você desejará um registro um pouco melhor para esse pequeno escritório do que o necessário para o firewall doméstico.

Continue escalando até que você precise lidar com algumas centenas ou milhares de usuários / dispositivos por site, conecte-se a dezenas / centenas de outros firewalls que a empresa possui globalmente e gerencie tudo isso com uma pequena equipe em um local.

(Esqueci de mencionar atualizações do IOS, contratos de suporte, garantias de hardware - e provavelmente há algumas dezenas de outras considerações que eu nem conheço ... mas você entendeu)

Normalmente, junto com o firewall do hardware, você recebe uma taxa de manutenção anual recorrente e a promessa de uma data futura em que o "suporte ao hardware" não estará mais disponível e você terá que retirar o equipamento e substituí-lo (por exemplo, o Cisco PIX para transição ASA). Você também fica preso a um relacionamento com um único fornecedor. Experimente e obtenha atualizações de software para o Cisco PIX 515E de outros sistemas Cisco, por exemplo.

Provavelmente, você pode dizer que sou bastante negativo em relação ao hardware de firewall criado para esse fim.

Os sistemas operacionais de código aberto e gratuito (FOSS) alimentam alguns conhecidos dispositivos de firewall de "hardware" e não são de todo comprovados a tecnologia não comprovada. Você pode comprar contratos de suporte de software para o FOSS de várias partes diferentes. Você pode comprar qualquer hardware que desejar com qualquer contrato de serviço / reposição que escolher.

Se você está realmente dando uma grande quantidade de bits, talvez seja necessário um dispositivo de firewall de hardware específico. O FOSS pode cobri-lo em várias situações e oferecer uma enorme flexibilidade, desempenho e custo total de propriedade.

Você já teve boas respostas falando sobre material e suporte técnico. Todas as coisas importantes.

Deixe-me apresentar outra coisa a considerar: seu tempo para criar, configurar e oferecer suporte interno a um firewall de hardware "faça seu próprio" é um investimento para seu empregador. Como tudo, a empresa precisa decidir se esse investimento vale a pena.

O que você / seu gerente precisa considerar é onde o seu tempo é melhor gasto. A questão de saber se vale a pena ou não mudar pode mudar completamente se você é um especialista em segurança de rede e / ou seu empregador possui requisitos de firewall especializados que não são fáceis de configurar em um produto pronto para uso em comparação com alguém que tem muitos deveres a serem considerados além da segurança da rede e cujas necessidades podem ser facilmente atendidas ao conectar um dispositivo de rede.

Não apenas nesse caso específico, mas em geral, houve algumas vezes em que comprei uma solução "pronta para uso" ou contratei alguma consultoria para algo que sou capaz de fazer, porque meu empregador prefere que meu tempo seja gasto em outro lugar. Esse pode ser um caso bastante comum, especialmente se você estiver cumprindo um prazo e economizar tempo for mais importante do que economizar dinheiro.

E não descarte a capacidade de "culpar outra pessoa" - quando você identifica uma falha grave em um bug no firewall às 3 da manhã, é muito bom poder falar com o fornecedor e dizer "eu não". não importa se é software ou hardware, é problema seu de qualquer maneira ".

como seu firewall de homebrew lidará com a manutenção de hardware em serviço?

como seu firewall de homebrew se manterá quando você atingir uma taxa de transferência de 40 + Gbps?

como seu firewall de homebrew segmentará permissões para administradores em diferentes unidades de negócios, de forma que eles possam gerenciar apenas suas próprias partes da base de regras?

como você gerenciará sua base de regra quando tiver mais de 15.000 regras?

quem está apoiando você quando entra na vala?

como ele aguentará uma auditoria de critérios comuns.

a propósito, US $ 100 mil não estão nem perto do "high-end" para firewalls. outro zero o levaria até lá. e é realmente uma gota no balde para os recursos que eles protegem

Claramente, não há uma resposta única para essa pergunta, então descreverei o que fiz e por quê.

Para definir a situação: somos uma empresa relativamente pequena, com cerca de 25 funcionários e talvez o mesmo número na área de produção. Nosso negócio principal é como impressoras especializadas que, ao mesmo tempo, desfrutavam do monopólio, mas agora lutam contra uma quantidade crescente de oposição de importações baratas, principalmente da China. Isso significa que, embora gostássemos do serviço e do hardware da Rolls Royce, geralmente temos que nos contentar com algo mais nos níveis da Volkswagon.

Em nossa situação, o custo de algo como Cisco ou similar simplesmente não poderia ser justificado, especialmente porque eu não tenho experiência com isso (sou um "departamento" de TI individual). Além disso, as caras unidades comerciais não oferecem nenhum benefício real para nós.

Depois de analisar o que a empresa tinha e o que eles precisavam, eu escolhi usar um PC antigo e instalar o Smoothwall Express, em parte porque eu estava usando esse produto há vários anos e já estava confiante e confortável com ele. Obviamente, isso significa que não há suporte externo para o firewall, o que implica um certo risco, mas é um risco com o qual a empresa se sente confortável. Vou acrescentar que, como um firewall, o Smoothwall é o melhor que já vi para o nosso tipo de escala, mas pode não ser necessariamente a melhor opção para uma organização muito maior.

Essa solução funciona para nós. Pode ou não funcionar para você. Somente você pode tomar aquela decisão.

Se você possui um firewall da marca XXXisco com uma taxa de queda de pacotes de 95%, poderá processar alguém; se você tiver a mesma taxa de queda em sua caixa (isso não é raro, também sob uma boa e simples inundação de ICMP), bem, você está prestes a sair do navio para ver que seu salário está prestes a ser colocado em um novo firewall .

Até certo ponto, existe o argumento "Simplesmente funciona". Não se preocupe com peculiaridades de hardware e pouco barulho por bugs de software.

Eu uso um par de PIXs no trabalho em uma configuração hot-standby e eles nunca falharam. Conecte-se, insira as regras necessárias e deixe-as. Muitos dos aborrecimentos e esforços envolvidos no gerenciamento de uma caixa de enrolar são totalmente cobertos. Nós temos algumas caixas do OpenBSD por aí que usam o pf para filtragem, e eu gastei 10 vezes mais tempo mantendo as caixas e firewalls do que os PIXs. Também descobrimos que, ocasionalmente, atingimos limites rígidos no OpenBSD para tráfego.

Também vale ressaltar que um PIX é muito mais do que, digamos, iptables. Os PIXs também incluem alguns elementos comumente vistos nos Sistemas de detecção de intrusão (IDS), além de outros bits. O hardware do firewall também é geralmente muito mais especializado com a finalidade de processar pacotes em alta velocidade, em vez da natureza mais generalizada de um servidor padrão de pântano.

Dito isto, existem outros fornecedores igualmente valiosos como a Cisco, e você pode recriar tudo sozinho. Você só precisa avaliar se vale a pena o seu tempo e quaisquer possíveis aborrecimentos.

Para firewalls, prefiro a sanidade de saber que tenho um dispositivo sólido e confiável.

Pode-se argumentar que parte disso se resume ao mesmo argumento sobre "Role o seu próprio" vs. uso de um appliance

Todo o equipamento falha eventualmente. Se você construiu o sistema e ele falhou, o problema é seu. Se você compra um sistema do fornecedor, e ele falha, é problema deles .

Com um bom suporte, você treinou pessoas prontas para fazer o backup. Empresas como Cisco, Juniper, NetApp etc. são bem-sucedidas porque fornecem produtos de qualidade com suporte de qualidade. Quando eles falham (e às vezes o fazem), seus negócios são prejudicados.

O equipamento de ponta pode vir com um bom contrato de suporte. Se o firewall travar às 3 da manhã no sábado após a véspera do ano novo, posso entrar em contato com um técnico do fornecedor em 5 minutos. Um técnico pode estar no local em 2 horas e trocar o componente com falha por mim. Se o roteador suportar uma grande empresa em que o tempo de inatividade possa causar perdas caras, pode valer a pena adquirir um roteador de ponta. US $ 10.000 ou US $ 100.000 não parecem tão caros quando estão apoiando um negócio de US $ 20 milhões ou US $ 200 milhões, onde o tempo de inatividade pode custar à empresa milhares de dólares por hora.

Em muitos casos, esses roteadores de ponta são muito caros ou desnecessários, ou você não pode obter um roteador de ponta por motivos orçamentários ou políticos. Às vezes, uma caixa de pizza personalizada ou uma caixa de Soekris é mais apropriada.

Depois de muitos anos, ainda é uma pergunta interessante. Vamos dividi-lo em duas sub-perguntas:

1. por que comprar um firewall proprietário em vez de usar um de código aberto (baseado em Linux, FreeBSD, RouterOS, etc)? Tudo depende das suas necessidades:

   • Os firewalls de código-fonte aberto geralmente têm um desempenho muito bom por seu pequeno custo e não fornecem dependência de fornecedor. No entanto, eles raramente fornecem recursos avançados de UTM transparente (gerenciamento unificado de encadeamentos), como Filtragem de conteúdo, Filtragem de aplicativos, Antivírus de gateway, descriptografia de SSL e afins. Isso não significa que o firewall de código aberto não possa fazer isso; no entanto, geralmente eles exigem o uso de serviços de proxy que precisam ser configurados no lado do cliente (ou seja: no navegador). Dois bons exemplos diferentes são Mikrotik (RouterOS, Linux) e Endian: o primeiro possui produtos de alto desempenho, baixo custo e somente firewall (sem UTM); os últimos fornecem produtos UTM completos, principalmente baseados em proxy. Caso em questão: enquanto a edição da comunidade somente de firewall do Endian é um produto gratuito, o pacote UTM é baseado em licença (e não é muito barato).
   • Outro ponto a considerar é a WebUI: os firewalls proprietários geralmente têm uma interface do usuário muito boa, enquanto os gratuitos / de código-fonte algum dia têm uma interface do usuário menos intuitiva (por exemplo: Mikrotik).
   • Os firewalls proprietários geralmente têm serviços de gerenciamento adicionais incluídos. Por exemplo, eles podem incluir um console de gerenciamento para replicar todas as alterações de configuração em vários dispositivos ou fornecer relatórios detalhados.
   • Por fim, os fornecedores de firewall geralmente fornecem serviços como substituição de hardware e suporte à emissão de bilhetes. Com o firewall de código aberto auto-construído, você geralmente fica sozinho na substituição de hardware, e o suporte nem sempre está disponível gratuitamente. Por outro lado, é muito mais fácil diagnosticar (e resolver) um problema quando a plataforma é de código aberto e não fechada.

2. se você está comprando um firewall proprietário, por que comprar um firewall de alta qualidade em vez de um produto de desempenho inferior? Tudo se resume a requisitos de desempenho e recursos:

   • se você planeja habilitar serviços UTM não apenas em links WAN (onde a largura de banda geralmente é limitada), mas também em links internos (por exemplo: DMZ, entre VLANs, etc), você precisa de um firewall com alto rendimento, especialmente se tiver muitos clientes. Além disso, o firewall low-end geralmente tem limitações (algumas vezes artificiais) no número de usuários simultâneos, túneis VPN etc.
   • o firewall low-end pode perder alguns recursos adicionais (ex .: alta disponibilidade, failover de WAN, agregação de link, portas de 10 Gb, etc.) necessários em seu ambiente.

Experiência pessoal: pesando todos os fatores acima, muitas vezes (mas nem sempre) decido usar firewalls proprietários mesmo com um serviço básico de substituição de hardware ou pelo menos fornecendo ao usuário final uma peça de reposição. Quando o orçamento é realmente apertado e nenhum recurso avançado é necessário, eu uso produtos de código aberto (Mikrotik).

Aqui está uma perspectiva com hardware ligeiramente diferente, mas o conceito ainda se aplica. Estávamos executando vários servidores de modem em uma rede com um "switch" de 8 portas 10/100 um tanto barato, unindo tudo. Um dia, o interruptor começou a congelar, e tivemos que desligá-lo. Fizemos isso várias vezes, até que realmente se esgotou. O tráfego do modem era muito falador, e a coisa simplesmente não aguentava o calor.

Compramos um switch Cisco 2924 usado, e tudo funcionou muito mais suavemente ... as colisões foram muito baixas. Acontece que o switch antigo era um hub de 10 Mbits alternado para um hub de 100 Mbits. Diferença sutil, mas isso explica a diferença de custo.