web-dev-qa-db-ja.com

ハイエンドのハードウェアファイアウォールを購入する理由

ジュニパーネットワークスとシスコのファイアウォールがあり、家よりもコストがかかります。

だから私は疑問に思います:4x 10Gbitネットワークカードを実行している2Uサーバーと比較して、$ 10.000+ファイアウォールから何が得られますか? OpenBSD/FreeBSD/Linux?

ハードウェアファイアウォールには、おそらくWebインターフェイスがあります。

しかし、$ 10.000または$ 100.000のファイアウォールで他に何が得られますか?

13
Sandra

それは規模の問題です。数千ドル規模のファイアウォールには、グローバルに拡張および管理できる機能と容量があります。それらを使用していない人が個々のメリットを理解する前に、かなりの調査を行う必要がある無数の機能。

通常のホームルーターは、オフィス一杯のデバイスや複数のISP接続を処理できる必要がないため、安価です。インターフェイスの数/タイプ、およびハードウェア容量(RAMなど)の両方。オフィスファイアウォールにもある程度のQoSが必要な場合があり、リモートオフィスへのVPN接続を確立できるようにする必要がある場合があります。その小さなオフィスでは、ホームファイアウォールに必要なログよりもわずかに優れたログが必要になります。

サイトごとに数百または数千のユーザー/デバイスを処理し、会社がグローバルに持つ数十/数百の他のファイアウォールに接続し、1つの場所で小さなチームですべてを管理する必要があるまで、それを拡大し続けます。

(私はIOSアップデート、サポート契約、ハードウェア保証について言及するのを忘れました-そしておそらく私が知らない他の数十の考慮事項があります...しかしあなたは考えを理解します)

16
Kara Marfia

通常、ハードウェアファイアウォールに加えて、定期的な年間メンテナンス料金と、「ハードウェアサポート」が利用できなくなり、ギアをフォークリフトして交換する必要がある将来の日付が約束されます(Cisco PIXなど)。 ASAへの移行)。また、単一のベンダーとの関係に行き詰まります。たとえば、他のシスコシステムからCisco PIX 515Eのソフトウェアアップデートを入手してください。

専用のファイアウォールハードウェアについてはかなり否定的だと言えるでしょう。

フリーでオープンソース(FOSS)のオペレーティングシステムは、いくつかの有名な「ハードウェア」ファイアウォールデバイスに電力を供給します。 FOSSのソフトウェアサポート契約は、さまざまな関係者から購入できます。選択したスペア/サービス契約を使用して、必要なハードウェアを購入できます。

本当に多くのビットをプッシュしている場合は、おそらく、専用のハードウェアファイアウォールデバイスが必要になります。ただし、FOSSは多くの状況でお客様をカバーし、驚異的な柔軟性、パフォーマンス、および総所有コストを提供します。

12
Evan Anderson

あなたはすでに技術的なものとサポートについて話しているいくつかの良い答えを持っています。すべての重要なこと。

もう1つ考慮すべきことを紹介しましょう。「独自の」ハードウェアファイアウォールを内部で作成、構成、およびサポートする時間は、雇用主にとっての投資です。すべてのものと同様に、ビジネスはその投資がそれに値するかどうかを決定する必要があります。

あなた/あなたのマネージャーが考慮する必要があるのはあなたの時間が最もよく費やされる場所です。あなたが専門のネットワークセキュリティ担当者であるか、雇用主が専門のファイアウォール要件を持っている場合、「自分でロールすること」に価値があるかどうかの問題は、既製の製品に比べて市販の製品で簡単に設定できない場合、完全に変わる可能性があります。には、ネットワークセキュリティ以外にも考慮すべき多くの義務があり、そのニーズはネットワークアプライアンスを接続することで簡単に満たすことができます。

この特定のケースだけでなく、一般に、「既製」のソリューションを購入したり、コンサルタントが雇うことができるのは、雇用主が自分の時間を費やすよりも自分でできることのためにコンサルタントに雇ったことです。他の場所。これは非常に一般的なケースです。特に、締め切りに直面していて、お金を節約するよりも時間を節約することが重要な場合はそうです。

そして、「誰かを非難する」機能を軽視しないでください-朝の午前3時にファイアウォールのバグが原因で重大な機能停止を追跡したとき、ベンダーに話しかけて「私は知らない」と言うのはとてもいいことです。 t careソフトウェアまたはハードウェアの場合、どちらの方法でも問題が発生します。」.

8
Rob Moir

自作ファイアウォールは稼働中のハードウェアメンテナンスをどのように処理しますか?

40 + Gbpsのスループットに達したとき、自作のファイアウォールはどのように耐えますか?

独自のファイアウォールが、さまざまなビジネスユニットの管理者のアクセス許可をどのようにセグメント化し、ルールベースの自分の部分のみを管理できるようにしますか?

15,000以上のルールがある場合、ルールベースをどのように管理しますか?

それが溝に入ったとき、誰があなたをバックアップしていますか?

コモンクライテリア監査にどのように耐えますか。

ちなみに、$ 100kはファイアウォールの「ハイエンド」に近いものではありません。別のゼロはあなたをそこに連れて行くでしょう。そしてそれは本当に彼らが保護するリソースのためのバケツの低下です

3
fianchetto

明らかに、この質問に対する万能の答えはないので、私が何をしたのか、そしてその理由を説明します。

全体像を把握するには:私たちはかなり小規模な企業であり、約25人のオフィススタッフがいて、おそらく生産現場にも同じ数のスタッフがいます。私たちの主な事業は、かつて独占を享受していたが、現在は主に中国からの安価な輸入品からのますます多くの反対と戦っている専門の印刷業者としてです。これは、ロールスロイスレベルのサービスとハードウェアが大好きですが、通常、フォルクスワゴンレベルに沿った何かに落ち着く必要があることを意味します。

私たちの状況では、特に私はそれを経験したことがないので、シスコなどのようなもののコストは正当化できませんでした(私は一人のIT「部門」です)。また、高価な商用ユニットは私たちに真のメリットを提供しません。

会社が何を持っているのか、何が必要なのかを調べた後、古いPCを使用してSmoothwall Expressをインストールすることにしました。これは、その製品を何年も使用していて、すでに自信を持って快適に使用できたためです。もちろん、これはある程度のリスクを伴うファイアウォールの外部サポートがないことを意味しますが、それは会社が安心できるリスクです。ファイアウォールとして、Smoothwallは私たちの種類の規模で見たものと同じくらい優れていますが、はるかに大規模な組織にとって必ずしも最良の選択であるとは限りません。

その解決策は私たちのために働きます。それはあなたのために働くかもしれないし、しないかもしれません。あなただけがその決定をすることができます。

2
John Gardeniers

間違いなく、これの一部は、「自分で転がす」とアプライアンスの使用についての同じ議論に帰着します

最終的にすべての機器が故障します。システムを構築して失敗した場合、それはあなたの問題です。ベンダーからシステムを購入して失敗した場合、それは問題です。

良いサポートで、あなたはあなたをバックアップする準備ができている人々を訓練しました。シスコ、ジュニパー、ネットアップなどの企業は、高品質のサポートに裏打ちされた高品質の製品を提供しているため、成功しています。彼らが失敗すると(時には失敗する)、彼らのビジネスは害を受ける。

ハイエンド機器には、適切なサポート契約が付いている場合があります。大晦日後の土曜日の午前3時にファイアウォールがクラッシュした場合、5分以内にベンダーの技術者に電話をかけることができます。技術者が2時間で現場に出向き、故障したコンポーネントを交換してくれます。ルーターがダウンタイムによって高額な損失を引き起こす可能性がある大規模なビジネスをサポートしている場合、ハイエンドのルーターを入手する価値はあります。 10,000ドルまたは100,000ドルは、ダウンタイムによって1時間あたり数千ドルのコストがかかる可能性がある2,000万ドルまたは2億ドルのビジネスをサポートしている場合、それほど高価ではないようです。

多くの場合、これらのハイエンドルーターは高すぎるか不要であるか、予算上または政治上の理由でハイエンドルーターを入手できません。カスタムピザボックスまたは Soekris ボックスの方が適切な場合があります。

1

「ある程度うまくいく」という議論もあります。ハードウェアの癖やソフトウェアのバグについてのちょっとした騒ぎについて心配する必要はありません。

ホットスタンバイ構成で作業中のPIXのペアを使用していますが、失敗したことはありません。プラグインし、必要なルールを入力して、そのままにしておきます。ロール・ユア・オウン・ボックスの管理に伴う多くの面倒と労力は完全にカバーされています。いくつかのフィルタリングにpfを使用するOpenBSDボックスがいくつかありますが、ボックスやファイアウォールの維持に費やす時間は、PIXの数の10倍です。また、OpenBSDのトラフィックがハードリミットに達している場合もあります。

PIXは、たとえばiptablesよりもはるかに優れていることも指摘しておく価値があります。 PIXには、他のビットとともに、侵入検知システム(IDS)で一般的に見られるいくつかの要素も含まれています。ファイアウォールハードウェアは、一般に、沼地の標準サーバーのより一般化された性質というよりも、パケットを高速で処理する目的のためにはるかに特化しています。

とはいえ、シスコと同等の価値のある他のベンダーもあり、すべて自分で作成し直すことができます。あなたはあなたの時間とあらゆる可能な面倒がそれに値するかどうかを比較検討する必要があります。

ファイアウォールについては、確実で信頼性の高いデバイスがあることを知っているという正気よりもむしろ望みます。

1
Twirrim

パケットドロップ率が95%のXXXiscoブランドのファイアウォールを使用している場合は、誰かを訴えることができます。ボックスに同じドロップ率がある場合(これは珍しいことではありませんが、古き良き単純なICMPフラッドの下でも)、船から降りて、給与が新しいファイアウォールに入れられようとしていることを確認します。 。

1
kagali-san

何年も経った今でも、興味深い質問です。それを2つのサブ質問に分けましょう:

  1. オープンソースのファイアウォールを使用するのではなく、プロプライエタリファイアウォールを購入する理由(Linux、FreeBSD、RouterOSなどに基づく)?それはすべてあなたのニーズに依存します:

    • オープンソースファイアウォールは一般に、低コストで非常に優れたパフォーマンスを発揮し、ベンダーロックインを提供しません。ただし、コンテンツフィルタリング、アプリケーションフィルタリング、ゲートウェイアンチウイルス、SSL復号化など、高度な透過UTM(統合スレッド管理)機能を提供することはめったにありません。これは、オープンソースファイアウォールがそれを実行できないことを意味するものではありませんが、多くの場合、クライアント側で(つまり、ブラウザーで)構成する必要のあるプロキシサービスを使用する必要があります。 2つの良い、異なる例は Mikrotik (RouterOS、Linuxベース)と Endian です。前者は高性能で低コストのファイアウォールのみ(UTMなし)の製品です。後者は、ほとんどがプロキシベースの完全なUTM製品を提供します。適例:エンディアンのファイアウォールのみのコミュニティエディションは無料の製品ですが、UTMスイートはライセンスベースです(そして、それらは非常に安価ではありません)。
    • 考慮すべきもう1つのポイントは、WebUIです。プロプライエタリファイアウォールは一般的に非常に優れたUIを備えていますが、フリー/オープンソースのファイアウォールは、直感的でないUI(Mikrotikなど)を備えている場合があります。
    • 独自のファイアウォールには、多くの場合、追加の管理サービスがバンドルされています。たとえば、すべての構成変更を複数のデバイスに複製したり、詳細なレポートを作成したりするための管理コンソールを含めることができます。
    • 最後に、ファイアウォールベンダーは通常、ハードウェアの交換およびサポートチケットとしてサービスを提供します。自作のオープンソースファイアウォールを使用すると、ハードウェアの交換は通常1人で行うことができ、いつでも無料でサポートを利用できるとは限りません。一方、プラットフォームがクローズドではなくオープンソースの場合、問題の診断(および解決)がはるかに簡単になります。
  2. 独自のファイアウォールを購入する場合、なぜパフォーマンスの低い製品ではなくハイエンドのファイアウォールを購入するのですか?それはすべてパフォーマンスと機能の要件に要約されます。

    • WANリンク(帯域幅が制限されることが多い)だけでなく、内部リンク(DMZ、VLAN間など)でもUTMサービスを有効にする場合は、高いファイアウォールが必要です。特にクライアントが多い場合は、スループット。さらに、ローエンドファイアウォールでは、同時ユーザー数、VPNトンネルなどに(人為的な場合もある)制限があることがよくあります。
    • ローエンドファイアウォールは、環境に必要ないくつかの追加機能(つまり、高可用性、WANフェイルオーバー、リンクアグリゲーション、10Gbポートなど))を見逃す可能性があります。

個人的な経験:上記のすべての要素を考慮して、私はしばしば(常にではありませんが)基本的なハードウェア交換サービスまたはでさえ少なくとも提供する独自のファイアウォールを使用することにしますスペアパーツ付きの最終用途。予算が本当にタイトで、高度な機能が必要ない場合は、オープンソース(Mikrotik)製品を使用します。

0
shodanshok