Vraag Waarom high end hardwarefirewalls kopen?


Er bestaan ​​firewalls van Juniper en Cisco die meer kosten dan een huis.

Dus ik vraag me af: wat krijg je van een firewall van $ 10.000 + in vergelijking met een 2U-server met 4x 10 Gbit-netwerkkaarten die bijvoorbeeld worden uitgevoerd. OpenBSD / FreeBSD / Linux?

De hardware-firewalls hebben waarschijnlijk een webinterface.

Maar wat krijg je nog meer voor een firewall van $ 10.000 of $ 100.000 ???


13
2017-10-13 22:09


oorsprong


Zie ook serverfault.com/questions/82522/... - John Gardeniers
Webinterface? Waarschijnlijker een opdrachtregelinterface via serieel of telnet. - Cristian Ciupitu
"Onze $ 200 miljoen Business crashte voor 4 uur omdat je deed WAT ???" - Stefan Lasiewski
... kun je een huis krijgen voor $ 100.000, waar je woont? Ik ga daarheen. - Mark Henderson♦
@ Cristian- Telnet? Dat protocol zou niet eens meer moeten bestaan, laat staan ​​op een firewall. - John Gardeniers


antwoorden:


Het is gewoon een kwestie van schaal. De duizenden dollars firewalls hebben functies en capaciteit waardoor ze kunnen opschalen en wereldwijd beheerd kunnen worden. Een groot aantal functies die iedereen die ze niet gebruikt, vrij veel onderzoek zou moeten doen voordat ze (wij) hun individuele verdiensten zouden kunnen waarderen.

Uw standaard thuisrouter hoeft niet echt een aantal apparaten of meerdere ISP-verbindingen aan te kunnen, dus het is goedkoper. Zowel in het aantal / type interfaces als in de hardwarecapaciteit (RAM, enz.). De kantoorfirewall heeft mogelijk ook wat QoS nodig en mogelijk wilt u dat deze een VPN-verbinding met een extern kantoor kan maken. U wilt ook iets beter loggen voor dat kleine kantoor dan u voor de firewall thuis nodig zou hebben.

Blijf dit opschalen totdat je een paar honderd of duizend gebruikers / apparaten per site nodig hebt, verbinding maakt met tientallen / honderden andere firewalls die het bedrijf wereldwijd heeft en alles met een klein team op één locatie beheert.

(Ik vergat te vermelden IOS-updates, ondersteuningscontracten, hardwaregaranties - en er zijn waarschijnlijk een paar dozijn andere overwegingen waarvan ik niet eens op de hoogte ben ... maar je begrijpt het wel)


16
2017-10-13 22:27





Meestal krijgt u, samen met de hardwarefirewall, een terugkerende jaarlijkse onderhoudskosten en de belofte van een toekomstige datum waarop "hardware-ondersteuning" niet meer beschikbaar zal zijn en u de uitrusting moet uitrusten en vervangen (al de Cisco PIX naar ASA-transitie). Je komt ook vast te zitten met een relatie met een enkele leverancier. Probeer software-updates te krijgen voor uw Cisco PIX 515E van bijvoorbeeld een ander Cisco-systeem.

U kunt waarschijnlijk zeggen dat ik vrij negatief ben over speciaal gebouwde firewall-hardware.

Gratis en open source (FOSS) besturingssystemen voeden een aantal bekende "hardware" firewall-apparaten en zijn geen onbewezen technologie in geen geval. U kunt software-ondersteuningsovereenkomsten voor FOSS kopen bij veel verschillende partijen. U kunt elke gewenste hardware aanschaffen met elke reserve- / serviceovereenkomst die u kiest.

Als je werkelijk veel dingen rondduwen, misschien zou een speciaal gebouwd hardwarefirewallapparaat nodig zijn. FOSS kan u echter in veel situaties dekken en u enorme flexibiliteit, prestaties en totale eigendomskosten bieden.


12
2017-10-13 22:45



+1, Meestal kun je met de vinger wijzen naar iemand anders als er iets misgaat ... - Chris S
Ik heb 'hardware'-firewalls gezien die slechts een BSD-box zijn met een paar relatief dure netwerkkaarten (glasvezelinterfaces, zorgvuldig geselecteerde competente ethernetkaarten of andere ongebruikelijke interfaces) en een factuur van vele duizenden ponden / dollars / euro's. Je betaalt echt voor iemand anders om het te testen en te ondersteunen, en FOSS-oplossingen kunnen bijna altijd dezelfde prestaties en betrouwbaarheid bieden - het heeft gewoon een behoorlijke hoeveelheid testwerk nodig om daar te komen. - David Gardner


Je hebt enkele goede antwoorden gehad die al over technische zaken en ondersteuning spraken. Alle belangrijke dingen.

Laat me een ander ding introduceren om te overwegen: Uw tijd voor het intern aanmaken, configureren en ondersteunen van een "roll your own" hardwarefirewall is een investering voor uw werkgever. Zoals alle dingen, moet het bedrijf beslissen of die investering het waard is.

Waar u / uw manager rekening mee moet houden, is waar uw tijd het best besteed kan worden. De vraag of het 'de moeite waard is om zelf te rollen' kan de moeite waard zijn, kan volledig veranderen als u een gespecialiseerde netwerkbeveiligingspersoon bent en / of uw werkgever speciale firewallvereisten heeft die niet gemakkelijk in een off-shelf product kunnen worden ingesteld in vergelijking met iemand die heeft veel te overwegen taken naast netwerkbeveiliging en aan de behoeften van gebruikers kan gemakkelijk worden voldaan door een netwerkapparaat aan te sluiten.

Niet alleen in dit specifieke geval, maar in het algemeen zijn er een paar keer dat ik een oplossing 'van de plank' heb gekocht of in een adviesbureau heb ingehuurd voor iets dat ik best zelf kan doen omdat mijn werkgever liever mijn tijd zou besteden ergens anders. Dit kan een veel voorkomend geval zijn, vooral als u een deadline ziet en tijdwinst belangrijker is dan geld te besparen.

En geef geen afbreuk aan de mogelijkheid om iemand de schuld te geven. Als je 's ochtends om 3 uur' s ochtends een grote storing hebt opgespoord tegen een bug in de firewall, is het erg leuk om met de leverancier te kunnen praten en te zeggen "Ik doe" t zorg als zijn software of hardware jouw probleem is, hoe dan ook ".


8
2017-10-13 22:59



"Ondersteuning contract" luidt als "Maak het hun probleem" in mijn playbook ... - gWaldo
Ondersteuningscontract kan ook 'besteed uren aan een telefoon lezen waar je nu bent'. Ik vind 'ingenieursbezoek van een expert' best leuk. - The Unix Janitor


hoe zal uw zelfgebouwde firewall omgaan met in-service hardware-onderhoud?

hoe zal uw zelfgebouwde firewall opstaan ​​wanneer u een verwerkingscapaciteit van 40 + Gbps bereikt?

hoe zullen uw homebrew firewall-segmentrechten voor beheerders in verschillende bedrijfseenheden zodanig zijn dat ze alleen hun eigen delen van de regelbasis kunnen beheren?

hoe gaat u uw regelbasis beheren wanneer u meer dan 15.000 regels heeft?

wie steunt je als het in de greppel komt?

hoe zal het een gemeenschappelijke criteriaaudit ondersteunen?

tussen haakjes, $ 100k is niet in de buurt van "high-end" voor firewalls. een andere nul zou je daarheen krijgen. en het is echt een druppel in de bak voor de middelen die ze beschermen


3
2017-10-14 19:17





Er is duidelijk geen eenduidig ​​antwoord op deze vraag, dus ik zal beschrijven wat ik heb gedaan en waarom.

Om een ​​beeld te schetsen: we zijn een vrij klein bedrijf met ongeveer 25 kantoorpersoneel en misschien hetzelfde aantal op de productievloer. Onze primaire activiteit is als gespecialiseerde drukkers die ooit een monopolie hadden, maar nu een steeds grotere hoeveelheid oppositie tegen goedkope invoer bestrijden, voornamelijk uit China. Dit betekent dat, hoewel we dol zijn op service en hardware van Rolls Royce, we over het algemeen genoegen moeten nemen met iets meer op Volkswagon-niveau.

In onze situatie zijn de kosten van iets als Cisco of vergelijkbaar gewoon niet te rechtvaardigen, vooral omdat ik er geen ervaring mee heb (ik ben een eenmans IT-afdeling). Ook bieden de dure commerciële eenheden geen echt voordeel voor ons.

Nadat ik had gekeken naar wat het bedrijf had en wat ze nodig hadden, koos ik ervoor om een ​​oude pc te gebruiken en Smoothwall Express te installeren, deels omdat ik dat product al een aantal jaren had gebruikt en er al voldoende vertrouwen in had. Dit betekent natuurlijk dat er geen externe ondersteuning is voor de firewall, die een zekere mate van risico met zich meebrengt, maar het is een risico waar het bedrijf zich prettig bij voelt. Ik zal hier gewoon aan toevoegen dat Smoothwall net zo goed is als ik heb gezien voor onze soort schaal, maar het hoeft niet noodzakelijk de beste keuze te zijn voor een veel grotere organisatie.

Die oplossing werkt voor ons. Het kan wel of niet voor u werken. Alleen jij kunt die beslissing nemen.


2
2017-10-13 23:53





Als je een firewall met het merk XXXisco hebt met een pakketratio van 95%, kun je iemand aanklagen; als je dezelfde druppelverhouding op je doos hebt (wat niet zelden voorkomt, onder een goede oude simpele ICMP-overstroming), nou, je staat op het punt om van het schip af te stappen om te zien dat je salaris op het punt staat in een nieuwe firewall te worden geplaatst .


1
2017-10-13 22:24



Het argument "juridische actie" ten gunste van eigen oplossingen wordt overgespeeld, IMO. Er zijn gewoonlijk softwarelicentieovereenkomsten verbonden aan de firmware op netwerkhardware die de meeste aansprakelijkheid van de fabrikant voor prestaties afwijzen. Tenzij uw bedrijf een aanzienlijke investering in de gebrekkige uitrusting heeft gedaan of omdat het een groepsactie is, is het onwaarschijnlijk dat enige juridische actie tegen de fabrikant echt winstgevend zou zijn. - Evan Anderson
Ik ben het ermee eens dat juridisch handelen in mijn ervaring vrij zeldzaam is, maar een voortdurende relatie met de leverancier en / of ondersteuningsorganisatie kan resulteren in een goede hefboom om problemen op te lossen als de dingen zijwaarts gaan. Ik zie het over het algemeen als "hulp zoeken", maar ik heb het ook gezien als "iemand's bureau hebben om op te beuken" als er een probleem is. - damorg


Tot op zekere hoogte is er het argument "Het werkt gewoon". Geen zorgen te maken over hardware-eigenaardigheden en weinig gedoe over softwarefouten.

Ik gebruik een paar PIXes aan het werk in een hot-standby-configuratie en ze zijn nog nooit mislukt. Sluit aan, voer de nodige regels in en laat deze aan. Veel van de rompslomp en moeite die gemoeid zijn met het beheren van een eigen rollendoos is volledig gedekt. We hebben wel enkele OpenBSD-boxes rond die wel pf gebruiken voor wat filteren, en ik heb 10x zoveel tijd op tijd besteed aan het onderhouden van de boxes en firewalls als ik de PIXes heb. We hebben ook bij gelegenheid vastgesteld dat we harde limieten hebben bereikt in OpenBSD voor verkeer.

Het is ook de moeite waard om erop te wijzen dat een PIX veel meer is dan, laten we zeggen, iptables. PIXes bevatten ook enkele elementen die vaak worden gebruikt in Intrusion Detection Systems (IDS), samen met andere bits. Firewall-hardware is over het algemeen ook veel specialistischer om pakketten met hoge snelheid te verwerken in plaats van de meer algemene aard van een standaard bog-server.

Dat gezegd hebbende, er zijn andere leveranciers die net zo de moeite waard zijn als Cisco, en je kunt het allemaal zelf herscheppen. Je moet gewoon afwegen of je tijd en eventuele ruzies de moeite waard zijn.

Voor firewalls heb ik liever de zin om te weten dat ik een degelijk en betrouwbaar apparaat heb.


1
2017-10-14 00:46





Ongetwijfeld komt een deel hiervan neer op hetzelfde argument over "Roll your own" versus het gebruik van een apparaat

Alle apparatuur faalt uiteindelijk. Als u het systeem hebt gebouwd en het mislukt, is dit uw probleem. Als u een systeem van de leverancier koopt en het faalt, is dat het hun probleem.

Met goede ondersteuning heb je getrainde mensen klaar om je te steunen. Bedrijven zoals Cisco, Juniper, NetApp, enz. Zijn succesvol omdat ze kwaliteitsproducten bieden die worden ondersteund met kwaliteitsondersteuning. Wanneer ze falen (en soms doen ze), is hun bedrijf geschaad.

Hoogwaardige apparatuur kan worden geleverd met een goed ondersteuningscontract. Als de firewall om 3 uur 's ochtends op de zaterdag na oudejaarsavond crasht, kan ik binnen vijf minuten een verkoper-technicus aan de telefoon krijgen. Binnen twee uur kan een technicus ter plaatse zijn en het defecte onderdeel voor mij vervangen. Als de router een groot bedrijf ondersteunt waar downtime dure verliezen kan veroorzaken, is het misschien de moeite waard om een ​​high-end router te krijgen. $ 10.000 of $ 100.000 lijkt niet zo duur als het een bedrijf van $ 20 miljoen of $ 200 miljoen ondersteunt, waarbij downtime het bedrijf duizenden dollars per uur kan kosten.

In veel gevallen zijn deze high-end routers te duur of onnodig, of kun je om budget- of politieke redenen geen high-end router krijgen. Soms een aangepaste pizzadoos of een Soekris vak is meer geschikt.


1
2017-10-13 22:49





Na vele jaren is het nog steeds een interessante vraag. Laten we het verdelen in twee deelvragen:

  1. waarom een ​​eigen firewall kopen in plaats van een opensource-versie te gebruiken (gebaseerd op Linux, FreeBSD, RouterOS, enz.)? Het hangt allemaal af van uw behoeften:

    • Opensource-firewalls presteren over het algemeen zeer goed voor hun lage kosten en bieden geen leveranciersvergrendeling. Ze bieden echter zelden geavanceerd transparant UTM (unified thread management) functies, zoals Content Filtering, Application Filtering, Gateway Antivirus, SSL-decodering en dergelijke. Dit betekent niet dat de opensource-firewall dat niet kan doen, maar ze vereisen vaak het gebruik van proxy-services die moeten worden geconfigureerd aan de clientzijde (dat wil zeggen: in de browser). Twee goede, verschillende voorbeelden zijn Mikrotik (Op basis van RouterOS, Linux) en endian: de eerste heeft performante, low-cost, firewall-only (geen UTM) producten; de laatste bieden meestal proxy-gebaseerde, volledige UTM-producten. Voorbeeld: terwijl de firewall-communityversie van Endian een gratis product is, is de UTM-suite gebaseerd op licenties (en die zijn niet supergoedkoop).
    • Een ander punt om te overwegen is de WebUI: propriëtaire firewalls hebben over het algemeen een redelijk goede gebruikersinterface, terwijl gratis / opensource-degenen soms een minder intuïtieve gebruikersinterface hebben (di: Mikrotik).
    • Eigen firewalls hebben vaak aanvullende beheerservices bij zich. Ze kunnen bijvoorbeeld een beheerconsole bevatten om alle configuratiewijzigingen naar meerdere apparaten te repliceren, of om een ​​grondige rapportage te geven.
    • Ten slotte bieden firewall-leveranciers over het algemeen diensten als hardware-vervanging en support-ticketing. Met de zelfgebouwde opensource-firewall bent u over het algemeen alleen in het vervangen van hardware en is ondersteuning niet altijd gratis beschikbaar. Aan de andere kant is het veel eenvoudiger om een ​​probleem te diagnosticeren (en op te lossen) wanneer het platform open-source is in plaats van gesloten.
  2. als het kopen van een gepatenteerde firewall, waarom het kopen van een high-end firewall eerder dan een product met lagere prestaties? Het komt allemaal neer op de vereisten voor prestaties en functies:

    • Als u van plan bent UTM-services in te schakelen, niet alleen op WAN-koppelingen (waar bandbreedte vaak beperkt is), maar ook op interne links (bijv. DMZ, tussen VLAN's, enz.), hebt u een firewall met hoge doorvoer nodig, vooral als u veel clients hebt. Bovendien hebben low-end firewalls vaak (soms kunstmatige) beperkingen op het aantal gelijktijdige gebruikers, VPN-tunnels, enz.
    • low-end firewall mist mogelijk enkele extra functies (zoals: hoge beschikbaarheid, WAN-failover, linkaggregatie, 10 Gb-poorten, enz.) die vereist zijn in uw omgeving.

Persoonlijke ervaring: met het wegen van alle bovengenoemde factoren, besluit ik vaak (maar niet altijd) om eigen firewalls te gebruiken met zelfs een eenvoudige hardware-vervangingsservice of op zijn minst het eindgebruik voorzien van een reserveonderdeel. Wanneer budget is werkelijk strakke en geen geavanceerde functies zijn vereist, ik gebruik opensource (Mikrotik) -producten.


0
2018-01-09 11:13





Hier is een perspectief met iets andere hardware, maar het concept is nog steeds van toepassing. We hadden verschillende modemservers op een netwerk met een ietwat goedkope 8-poorts 10/100 "switch" die alles samenbracht. Op een dag begon de schakelaar te bevriezen en moesten we hem uit en weer inschakelen. We hebben dat verschillende keren gedaan, totdat het daadwerkelijk is uitgebrand. Dat moderne verkeer was erg spraakzaam en het ding kon de hitte gewoon niet aan.

We hebben een gebruikte cisco 2924-switch gekocht en het werkte allemaal zo soepel ... de botsingen gingen ver beneden. Blijkt dat de oude switch een 10 Mbit hub was die naar een 100 Mbit hub was geschakeld. Subtiel verschil, maar dat verklaart het verschil in kosten.


-4
2017-10-14 20:06



Wat? Dit klopt niet! - ewwhite
Wat klopt niet? Het is de waarheid. - DGM
Ik zou je bedrijf @DGM niet inhuren - Orphans