Řešení 1:
Je to jen otázka měřítka. Firewally za tisíce dolarů mají funkce a kapacitu, které jim umožňují škálovat a spravovat je globálně. Nesčetné množství funkcí, které by každý, kdo je nepoužívá, musel udělat docela dost výzkumu, než by (my) mohli ocenit jejich individuální přednosti.
Váš typický domácí router ve skutečnosti nemusí být schopen obsluhovat řadu zařízení nebo více připojení ISP, takže je levnější. Jak v počtu/typu rozhraní, tak v kapacitě hardwaru (RAM atd.). Firewall v kanceláři také může vyžadovat určitou QoS a možná budete chtít, aby byl schopen vytvořit připojení VPN ke vzdálené kanceláři. Pro tuto malou kancelář budete chtít o něco lepší protokolování, než byste potřebovali pro domácí firewall.
Pokračujte v škálování, dokud nebudete potřebovat obsluhovat několik stovek nebo tisíc uživatelů/zařízení na webu, připojit se k desítkám/stovkám dalších firewallů, které má společnost globálně, a spravovat to vše s malým týmem na jednom místě.
(Zapomněl jsem zmínit aktualizace IOS, smlouvy o podpoře, záruky na hardware - a pravděpodobně existuje několik desítek dalších úvah, o kterých ani nevím...ale chápete to)
Řešení 2:
Obvykle spolu s hardwarovým firewallem získáte opakující se roční poplatek za údržbu a příslib budoucího data, kdy už nebude dostupná „hardwarová podpora“ a budete muset zařízení vyzvednout a vyměnit (také Cisco PIX přechod na ASA). Také uvíznete ve vztahu s jediným dodavatelem. Zkuste získat aktualizace softwaru pro váš Cisco PIX 515E například od jiných systémů Cisco.
Pravděpodobně můžete říci, že jsem k účelově vytvořenému hardwaru firewallu poměrně negativní.
Volně dostupné a open source (FOSS) operační systémy pohánějí některá známá „hardwarová“ firewallová zařízení a v žádném případě se nejedná o neověřenou technologii. Smlouvy o softwarové podpoře pro FOSS si můžete zakoupit od mnoha různých stran. Můžete si zakoupit jakýkoli hardware, který chcete, s jakýmikoli náhradními díly / servisní smlouvou, kterou si vyberete.
Pokud skutečně protlačit spoustu bitů, pak by možná bylo nutné účelové hardwarové firewallové zařízení. FOSS vás však může pokrýt v mnoha situacích a poskytnout vám obrovskou flexibilitu, výkon a celkové náklady na vlastnictví.
Řešení 3:
Už jste dostali několik dobrých odpovědí, které hovořily o technických věcech a podpoře. Všechny důležité věci.
Dovolte mi představit další věc, kterou je třeba zvážit:Váš čas na vytvoření, konfiguraci a podporu interního hardwarového firewallu „zavedení vlastního“ je investicí vašeho zaměstnavatele. Stejně jako všechny ostatní věci se musí firma rozhodnout, zda se tato investice vyplatí.
Vy/váš manažer musíte zvážit, kde nejlépe trávíte svůj čas. Otázka, zda se vyplatí „zabalit si vlastní“ nebo ne, se může úplně změnit, pokud jste odborník na zabezpečení sítě a/nebo váš zaměstnavatel má speciální požadavky na firewall, které není snadné nastavit v běžném produktu ve srovnání s někým, kdo má spoustu povinností, které je třeba zvážit kromě zabezpečení sítě a jejichž potřeby lze snadno splnit připojením síťového zařízení.
Nejen v tomto konkrétním případě, ale obecně se mi několikrát stalo, že jsem si koupil řešení „z regálu“ nebo najal v nějaké konzultační firmě něco, co jsem docela schopný udělat sám, protože můj zaměstnavatel by byl raději, kdybych strávil můj čas. někde jinde. To může být docela běžný případ, zvláště pokud čelíte termínu a úspora času je důležitější než úspora peněz.
A nepodceňujte možnost „obviňovat někoho jiného“ – když ve 3 hodiny ráno vysledujete velký výpadek chyby ve firewallu, je velmi příjemné, když můžete mluvit s prodejcem a říct „Nevím“. t péče pokud jde o software nebo hardware, je to váš problém tak či tak."
Řešení 4:
jak váš homebrew firewall zvládne údržbu hardwaru během provozu?
jak obstojí váš homebrew firewall, když se dostanete na propustnost 40+Gb/s?
jak bude váš homebrew firewall segmentovat oprávnění pro administrátory v různých obchodních jednotkách tak, aby mohli spravovat pouze své vlastní části základny pravidel?
jak budete spravovat svou databázi pravidel, když máte více než 15 000 pravidel?
kdo tě podporuje, když to jde do příkopu?
jak obstojí při auditu společných kritérií.
mimochodem, 100 000 $ není u firewallů zdaleka "high end". další nula by vás tam dostala. a je to opravdu kapka za zdroje, které chrání
Řešení 5:
Je zřejmé, že na tuto otázku neexistuje univerzální odpověď, takže popíšu, co jsem udělal a proč.
Pro představu:Jsme poměrně malá firma s přibližně 25 zaměstnanci v kanceláři a možná stejným počtem ve výrobě. Naší hlavní činností jsou specializované tiskárny, které se kdysi těšily monopolu, ale nyní bojují se stále větším odporem levného dovozu, většinou z Číny. To znamená, že i když bychom rádi služby a hardware na úrovni Rolls Royce, obecně se musíme spokojit s něčím více na úrovních Volkswagen.
V naší situaci se náklady na něco jako Cisco nebo podobné prostě nedaly ospravedlnit, zvlášť když s tím nemám žádné zkušenosti (jsem IT "oddělení" jednoho muže). Také drahé komerční jednotky nám nenabízejí žádnou skutečnou výhodu.
Poté, co jsem se podíval na to, co společnost má a co potřebuje, jsem se rozhodl použít starý počítač a nainstalovat Smoothwall Express, částečně proto, že jsem tento produkt používal několik let a byl jsem s ním již jistý a pohodlný. To samozřejmě znamená, že pro firewall neexistuje žádná externí podpora, což s sebou nese určitou míru rizika, ale je to riziko, se kterým je společnost spokojená. Jen dodám, že jako firewall je Smoothwall tak dobrý, jak jsem viděl v našem měřítku, ale nemusí být nutně nejlepší volbou pro mnohem větší organizace.
To řešení nám funguje. Může a nemusí vám to fungovat. Toto rozhodnutí můžete učinit pouze vy.