Warum High-End-Hardware-Firewalls kaufen?

Es gibt Firewalls von Juniper und Cisco, die mehr kosten als ein Haus.

Ich frage mich also: Was bringt eine Firewall über 10.000 US-Dollar im Vergleich zu einem 2U-Server mit 4x 10-Gbit-Netzwerkkarten, auf denen z. B. OpenBSD / FreeBSD / Linux ausgeführt wird?

Die Hardware-Firewalls haben wahrscheinlich ein Webinterface.

Aber was bekommt man sonst noch für eine $ 10.000 oder $ 100.000 Firewall ???

Es ist nur eine Frage des Maßstabs. Die Tausende von Dollar teuren Firewalls verfügen über Funktionen und Kapazitäten, mit denen sie skaliert und global verwaltet werden können. Eine Vielzahl von Funktionen, die jeder, der sie nicht nutzt, noch ausführlich untersuchen muss, bevor er / sie (wir) ihre individuellen Vorzüge einschätzen kann.

Ein typischer Heimrouter muss nicht wirklich in der Lage sein, eine Vielzahl von Geräten oder mehrere ISP-Verbindungen zu verwalten, daher ist er billiger. Sowohl bei der Anzahl / Art der Schnittstellen als auch bei der Hardwarekapazität (RAM usw.). Die Office-Firewall benötigt möglicherweise auch eine gewisse QoS, und Sie möchten möglicherweise, dass sie eine VPN-Verbindung zu einem Remote-Office herstellen kann. Sie möchten eine etwas bessere Protokollierung für dieses kleine Büro als für die Heim-Firewall.

Skalieren Sie dies so lange, bis Sie einige hundert oder tausend Benutzer / Geräte pro Standort verwalten, eine Verbindung zu Dutzenden / Hunderten anderer Firewalls des Unternehmens herstellen und alles mit einem kleinen Team an einem Standort verwalten müssen.

(Ich habe vergessen, IOS-Updates, Support-Verträge und Hardwaregarantien zu erwähnen - und es gibt wahrscheinlich ein paar Dutzend andere Überlegungen, die ich nicht einmal kenne ... aber Sie haben die Idee)

In der Regel erhalten Sie zusammen mit der Hardware-Firewall eine wiederkehrende jährliche Wartungsgebühr und das Versprechen eines zukünftigen Datums, an dem "Hardware-Support" nicht mehr verfügbar ist, und Sie müssen die Ausrüstung herausnehmen und austauschen (ua Cisco PIX) zum ASA-Übergang). Sie stecken auch in einer Beziehung mit einem einzelnen Anbieter fest. Versuchen Sie, Software-Updates für Ihre Cisco PIX 515E beispielsweise von anderen Cisco-Systemen zu erhalten.

Sie können wahrscheinlich feststellen, dass ich mit zweckgebauter Firewall-Hardware ziemlich negativ umgehen kann.

Free- und Open-Source-Betriebssysteme (FOSS) unterstützen einige bekannte "Hardware" -Firewall-Geräte und sind keine unerprobte Technologie. Sie können Software-Support-Verträge für FOSS von vielen verschiedenen Parteien kaufen. Sie können die von Ihnen gewünschte Hardware mit einem von Ihnen gewählten Ersatzteil- / Servicevertrag erwerben.

Wenn Sie wirklich eine Menge Daten austauschen, ist möglicherweise ein speziell entwickeltes Hardware-Firewall-Gerät erforderlich. FOSS kann Sie jedoch in vielen Situationen abdecken und bietet Ihnen enorme Flexibilität, Leistung und Gesamtbetriebskosten.

Sie haben bereits gute Antworten auf technische Fragen und Support erhalten. Alle wichtigen Dinge.

Lassen Sie mich eine weitere Überlegung anstellen: Ihre Zeit zum Erstellen, Konfigurieren und Unterstützen einer "Roll your own" -Hardware-Firewall ist eine Investition für Ihren Arbeitgeber. Wie bei allen Dingen muss das Unternehmen entscheiden, ob sich diese Investition lohnt.

Was Sie / Ihr Manager berücksichtigen muss, ist, wo Ihre Zeit am besten verbracht wird. Die Frage, ob sich "Rolling Your Own" lohnt oder nicht, kann sich grundlegend ändern, wenn Sie ein Spezialist für Netzwerksicherheit sind und / oder wenn Ihr Arbeitgeber spezielle Firewall-Anforderungen hat, die in einem Standardprodukt nicht einfach einzurichten sind hat neben der Netzwerksicherheit eine Menge zu berücksichtigender Aufgaben und deren Anforderungen können leicht durch Anschließen einer Netzwerk-Appliance erfüllt werden.

Nicht nur in diesem speziellen Fall, sondern im Allgemeinen gab es einige Male, in denen ich eine Lösung "von der Stange" gekauft oder in einer Beratungsfirma für etwas angestellt habe, zu dem ich durchaus in der Lage bin, weil mein Arbeitgeber es vorzieht, meine Zeit zu verbringen anderswo. Dies ist häufig der Fall, insbesondere wenn Sie vor einer Deadline stehen und Zeit sparen wichtiger ist als Geld sparen.

Und scheuen Sie nicht die Möglichkeit, "jemand anderem die Schuld zu geben" - wenn Sie morgens um 3 Uhr morgens einen schwerwiegenden Ausfall auf einen Fehler in der Firewall zurückgeführt haben, ist es sehr schön, mit dem Anbieter sprechen zu können und zu sagen: "I don ' Es ist egal, ob es sich um Software oder Hardware handelt.

Wie handhabt Ihre Homebrew-Firewall die Wartung der Hardware während des Betriebs?

Wie hält sich Ihre Homebrew-Firewall, wenn Sie einen Durchsatz von über 40 Gbit / s erreichen?

Wie werden die Berechtigungen Ihres Homebrew-Firewall-Segments für Administratoren in verschiedenen Geschäftsbereichen festgelegt, sodass diese nur ihre eigenen Teile der Regelbasis verwalten können?

Wie werden Sie Ihre Regelbasis verwalten, wenn Sie mehr als 15.000 Regeln haben?

Wer unterstützt dich, wenn es in den Graben geht?

Wie wird es einem gemeinsamen Kriterienaudit standhalten?

Übrigens: 100.000 US-Dollar sind für Firewalls nicht annähernd "High-End". Eine weitere Null würde dich dahin bringen. und es ist wirklich ein Tropfen auf den heißen Stein für die Ressourcen, die sie schützen

Natürlich gibt es keine einheitliche Antwort auf diese Frage, daher beschreibe ich, was ich getan habe und warum.

Um das Bild zu bestimmen: Wir sind ein relativ kleines Unternehmen mit etwa 25 Mitarbeitern im Büro und vielleicht der gleichen Anzahl in der Produktion. Unser Hauptgeschäft sind spezialisierte Druckereien, die früher ein Monopol hatten, jetzt aber zunehmend gegen Billigimporte kämpfen, vor allem aus China. Dies bedeutet, dass wir Rolls-Royce-Level-Service und Hardware zwar lieben würden, uns aber im Allgemeinen mit etwas mehr auf Volkswagon-Level zufrieden geben müssen.

In unserer Situation konnten die Kosten für so etwas wie Cisco oder ähnliches einfach nicht gerechtfertigt werden, zumal ich keine Erfahrung damit habe (ich bin eine Ein-Mann-IT- "Abteilung"). Auch die teuren Gewerbeeinheiten bieten uns keinen wahren Nutzen.

Nachdem ich mir angesehen hatte, was die Firma besaß und was sie brauchte, entschied ich mich, einen alten PC zu verwenden und Smoothwall Express zu installieren, zum Teil, weil ich dieses Produkt schon einige Jahre benutzt hatte und bereits sicher und vertraut damit war. Dies bedeutet natürlich, dass es keine externe Unterstützung für die Firewall gibt, die ein gewisses Risiko birgt, aber das Unternehmen ist mit diesem Risiko einverstanden. Ich füge nur hinzu, dass als Firewall Smoothwall so gut ist, wie ich es für unsere Art von Skalierung gesehen habe, aber es ist möglicherweise nicht die beste Wahl für eine viel größere Organisation.

Diese Lösung funktioniert bei uns. Es kann für Sie arbeiten oder nicht. Nur Sie können diese Entscheidung treffen.

Wenn Sie eine Firewall der Marke XXXisco mit einer Paketverlustrate von 95% haben, können Sie jemanden verklagen. Wenn Sie die gleiche Drop-Ratio auf Ihrer Box haben (das ist auch unter einer guten alten einfachen ICMP-Flut nicht selten), werden Sie gleich vom Schiff aussteigen, um zu sehen, dass Ihr Gehalt in eine neue Firewall gesteckt wird .

In gewissem Maße gibt es das Argument "Es funktioniert einfach". Keine Angst vor Hardware-Macken und wenig Aufhebens um Softwarefehler.

In einer Hot-Standby-Konfiguration verwende ich bei der Arbeit ein Paar PIX-Dateien, die nie ausgefallen sind. Stecken Sie ein, geben Sie die erforderlichen Regeln ein und überlassen Sie diese. Ein Großteil der Probleme und des Aufwands bei der Verwaltung einer Roll-Your-Own-Box wird vollständig abgedeckt. Wir haben einige OpenBSD-Boxen, die pf für einige Filter verwenden, und ich habe ohne weiteres 10-mal so viel Zeit damit verbracht, die Boxen und Firewalls zu warten, wie ich die PIX-Dateien habe. Wir haben auch gelegentlich festgestellt, dass wir in OpenBSD harte Grenzen für den Datenverkehr erreicht haben.

Es ist auch erwähnenswert, dass ein PIX viel mehr ist als beispielsweise iptables. PIX-Dateien enthalten neben anderen Elementen auch einige Elemente, die in Intrusion Detection-Systemen (IDS) häufig vorkommen. Firewall-Hardware ist im Allgemeinen auch viel spezialisierter für den Zweck der Verarbeitung von Paketen mit hoher Geschwindigkeit als für die allgemeinere Natur eines Moor-Standard-Servers.

Es gibt jedoch auch andere Anbieter, die sich genauso lohnen wie Cisco, und Sie können alles selbst neu erstellen. Sie müssen nur abwägen, ob sich Ihre Zeit und eventuelle Probleme lohnen.

Für Firewalls wäre es mir lieber, zu wissen, dass ich ein solides und zuverlässiges Gerät habe.

Ein Teil davon ist wahrscheinlich auf dasselbe Argument zurückzuführen, bei dem es um "Roll your own" im Vergleich zur Verwendung eines Geräts geht

Alle Geräte fallen irgendwann aus. Wenn Sie das System erstellt haben und es fehlschlägt, ist es Ihr Problem. Wenn Sie ein System vom Anbieter kaufen und es fehlschlägt, liegt das an seinem Problem .

Mit guter Unterstützung haben Sie Leute geschult, die bereit sind, Sie zu unterstützen. Unternehmen wie Cisco, Juniper, NetApp usw. sind erfolgreich, weil sie Qualitätsprodukte mit Qualitätsunterstützung anbieten. Wenn sie scheitern (und manchmal auch), wird ihr Geschäft beeinträchtigt.

High-End-Geräte können mit einem guten Supportvertrag geliefert werden. Wenn die Firewall am Samstag nach Silvester um 3 Uhr morgens abstürzt, kann ich in 5 Minuten einen Vendor-Techniker ans Telefon holen. Ein Techniker kann in 2 Stunden vor Ort sein und die ausgefallene Komponente für mich austauschen. Wenn der Router ein großes Unternehmen unterstützt, bei dem Ausfallzeiten teure Verluste verursachen können, lohnt es sich möglicherweise, einen High-End-Router zu erwerben. 10.000 oder 100.000 USD scheinen nicht so teuer zu sein, wenn es um die Unterstützung eines 20- oder 200-Millionen-USD-Geschäfts geht, bei dem Ausfallzeiten das Unternehmen Tausende von Dollar pro Stunde kosten können.

In vielen Fällen sind diese High-End-Router zu teuer oder unnötig, oder Sie können aus budgetären oder politischen Gründen keinen High-End-Router erwerben. Manchmal ist eine benutzerdefinierte Pizzaschachtel oder eine Soekris- Schachtel besser geeignet.

Nach vielen Jahren ist es immer noch eine interessante Frage. Teilen wir es in zwei Unterfragen auf:

1. Warum eine proprietäre Firewall kaufen, anstatt eine OpenSource- Firewall zu verwenden (basierend auf Linux, FreeBSD, RouterOS usw.)? Es hängt alles von Ihren Bedürfnissen ab:

   • OpenSource-Firewalls sind für ihre geringen Kosten im Allgemeinen sehr leistungsfähig und bieten keine Lieferantenbindung. Sie bieten jedoch selten erweiterte transparente UTM-Funktionen (Unified Thread Management) wie Inhaltsfilterung, Anwendungsfilterung, Gateway Antivirus, SSL-Entschlüsselung und dergleichen. Dies bedeutet nicht, dass die opensource-Firewall dies nicht kann, erfordert jedoch häufig die Verwendung von Proxy-Diensten, die clientseitig konfiguriert werden müssen (dh im Browser). Zwei gute, unterschiedliche Beispiele sind Mikrotik (RouterOS, Linux-basiert) und Endian: Ersteres bietet leistungsstarke, kostengünstige Nur-Firewall-Produkte (keine UTM-Produkte). Letztere bieten überwiegend Proxy-basierte, vollständige UTM-Produkte. Ein typisches Beispiel: Während die Community-Edition von Endian, die nur über eine Firewall verfügt, ein kostenloses Produkt ist, basiert die UTM-Suite auf Lizenzen (und sie sind nicht besonders günstig).
   • Ein weiterer zu berücksichtigender Punkt ist das WebUI: proprietäre Firewalls haben im Allgemeinen eine recht gute Benutzeroberfläche, während kostenlose / OpenSource-Firewalls manchmal eine weniger intuitive Benutzeroberfläche haben (z. B. Mikrotik).
   • In proprietären Firewalls sind häufig zusätzliche Verwaltungsdienste enthalten. Beispielsweise können sie eine Verwaltungskonsole enthalten, um alle Konfigurationsänderungen auf mehrere Geräte zu replizieren oder ausführliche Berichte zu erstellen.
   • Schließlich bieten Firewall-Anbieter in der Regel Services als Hardware-Ersatz und Support-Ticketing an. Mit einer selbst erstellten OpenSource-Firewall sind Sie im Allgemeinen allein, wenn es darum geht, Hardware zu ersetzen, und der Support ist nicht immer kostenlos verfügbar. Andererseits ist es viel einfacher, ein Problem zu diagnostizieren (und zu lösen), wenn die Plattform Open Source ist, als geschlossen.

2. Wenn Sie eine proprietäre Firewall kaufen, warum sollten Sie dann eine High-End-Firewall anstelle eines Produkts mit geringerer Leistung kaufen? Auf die Leistung und die Anforderungen an die Funktionen kommt es an:

   • Wenn Sie UTM-Dienste nicht nur für WAN-Verbindungen (bei denen die Bandbreite häufig begrenzt ist), sondern auch für interne Verbindungen (z. B. DMZ, zwischen VLANs usw.) aktivieren möchten, benötigen Sie eine Firewall mit hohem Durchsatz, insbesondere, wenn Sie viele Clients haben. Darüber hinaus ist die Anzahl der gleichzeitig angemeldeten Benutzer, der VPN-Tunnel usw. von Low-End-Firewalls häufig (manchmal künstlich) begrenzt.
   • Bei einer Low-End-Firewall fehlen möglicherweise einige zusätzliche Funktionen (z. B. Hochverfügbarkeit, WAN-Failover, Link-Aggregation, 10-Gbit-Ports usw.), die in Ihrer Umgebung erforderlich sind.

Persönliche Erfahrung: Wenn ich alle oben genannten Faktoren abwäge, entscheide ich mich oft (aber nicht immer), proprietäre Firewalls mit einem einfachen Hardware-Austauschservice zu verwenden oder zumindest dem Endverbraucher ein Ersatzteil zur Verfügung zu stellen. Wenn das Budget sehr knapp ist und keine erweiterten Funktionen erforderlich sind, verwende ich OpenSource-Produkte (Mikrotik).

Hier ist eine Perspektive mit etwas anderer Hardware, aber das Konzept gilt immer noch. Wir haben mehrere Modem-Server in einem Netzwerk mit einem etwas billigen 8-Port-10/100-Switch betrieben, der alles zusammenhält. Eines Tages begann der Schalter einzufrieren und wir mussten ihn aus- und wieder einschalten. Wir haben das mehrmals gemacht, bis es tatsächlich ausgebrannt ist. Dieser Modemverkehr war sehr gesprächig, und das Ding konnte einfach nicht mit der Hitze umgehen.

Wir haben einen gebrauchten Cisco 2924-Switch gekauft, und alles hat so viel reibungsloser funktioniert ... die Kollisionen gingen deutlich zurück. Es stellte sich heraus, dass der alte Switch ein 10-Mbit-Hub war, der auf einen 100-Mbit-Hub umgestellt wurde. Subtiler Unterschied, aber das erklärt den Kostenunterschied.