ハイエンドハードウェアファイアウォールを購入する理由

ジュニパーネットワークスとシスコのファイアウォールは、家よりも高価です。

だから私は疑問に思う：例えばOpenBSD / FreeBSD / Linuxを実行している4x 10Gbitネットワークカードを搭載した2Uサーバーと比較して$ 10.000 +のファイアウォールから何が得られるのか？

ハードウェアファイアウォールには、おそらくWebインターフェイスがあります。

しかし、10.000ドルまたは100.000ドルのファイアウォールで他に何が得られますか？

それは単なる規模の問題です。数千ドルのファイアウォールには、グローバルに拡張および管理できる機能と容量があります。それらを使用していない人が、個々のメリットを評価する前に、かなりの研究が必要になる無数の機能。

一般的なホームルーターは、オフィス一杯のデバイスや複数のISP接続を実際に処理できる必要はないため、安価です。インターフェイスの数/タイプ、およびハードウェア容量（RAMなど）の両方。また、オフィスのファイアウォールにはQoSが必要な場合があり、リモートオフィスへのVPN接続を可能にしたい場合があります。小規模なオフィスでは、ホームファイアウォールに必要なログよりもわずかに優れたログが必要です。

サイトごとに数百または数千のユーザー/デバイスを処理し、世界中にある数十/数百の他のファイアウォールに接続し、1つの場所で小さなチームですべてを管理する必要があるまで、それを拡大し続けます。

（IOSの更新、サポート契約、ハードウェア保証について言及するのを忘れました-おそらく私が知らない他の考慮事項がいくつかあります...しかし、あなたはアイデアを得ます）

通常、ハードウェアファイアウォールとともに、定期的な年間メンテナンス料金と、「ハードウェアサポート」が利用できなくなり、ギアをフォークリフトして交換する必要があるという将来の約束を得ることができます（Cisco PIX ASAへの移行）。また、単一のベンダーとの関係に悩まされます。たとえば、他のシスコシステムズからCisco PIX 515Eのソフトウェアアップデートを試してみてください。

おそらく、私は専用のファイアウォールハードウェアについてかなり否定的だと言えるでしょう。

フリーでオープンソース（FOSS）のオペレーティングシステムは、いくつかの有名な「ハードウェア」ファイアウォールデバイスを強化し、一気に実証されていない技術ではありません。FOSSのソフトウェアサポート契約は、さまざまな関係者から購入できます。選択したスペア/サービス契約で、必要なハードウェアを購入できます。

あなたが本当にたくさんのビットをプッシュしているなら、おそらく、専用のハードウェアファイアウォールデバイスが必要になるでしょう。しかし、FOSSは多くの状況でお客様をカバーし、非常に高い柔軟性、パフォーマンス、および総所有コストを提供します。

技術的なものとサポートについてすでにお話しした良い答えがいくつかあります。すべての重要なこと。

考慮すべきもう1つのことを紹介しましょう。「独自のロール」ハードウェアファイアウォールを内部で作成、構成、およびサポートする時間は、雇用主の投資です。すべてのものと同様に、企業はその投資が価値があるかどうかを判断する必要があります。

あなた/あなたの上司が考慮する必要があるのは、あなたの時間が最も費やされる場所です。あなたが専門のネットワークセキュリティ担当者であるか、雇用主が専門のファイアウォール要件を持っている場合、「独自のローリング」が価値があるかどうかの質問は完全に変わる可能性があります。ネットワークセキュリティ以外にも考慮すべき多くの義務があり、そのニーズはネットワークアプライアンスを接続することで簡単に満たすことができます。

この特定の場合だけでなく、一般に、「既製の」ソリューションを購入したり、コンサルタントが自分でできることのためにコンサルタントを雇ったことが何度かありました。他の場所。これは非常に一般的なケースです。特に期限が迫っている場合、お金を節約するよりも時間を節約することが重要です。

そして、「他の人を非難する」能力を軽視しないでください-朝の午前3時にファイアウォールのバグの重大な停止を追跡した場合、ベンダーと話して「私は」と言うことができるのは非常に良いことです。 tは気にそのソフトウェアまたはハードウェア、その問題のいずれかの方法」場合。

自作のファイアウォールは、インサービスのハードウェアメンテナンスをどのように処理しますか？

40 Gbpsを超えるスループットに達したとき、自作のファイアウォールはどのように耐えますか？

自作のファイアウォールは、ルールベースの自分の部分しか管理できないように、異なるビジネスユニットの管理者にどのように許可をセグメント化しますか？

15,000以上のルールがある場合、ルールベースをどのように管理しますか？

それが溝に行くとき、誰があなたをバックアップしていますか？

共通の基準監査をどのように保持しますか。

ちなみに、$ 10万はファイアウォールの「ハイエンド」に近い場所ではありません。別のゼロはそこに到達します。そして、それは本当に彼らが保護するリソースのためのバケツのドロップです

明らかに、この質問に対する万能の答えはないので、私がしたこととその理由を説明します。

構想を立てるには：私たちは約25人のオフィススタッフがいるかなり小規模な企業であり、おそらく生産フロアに同じ人数がいます。私たちの主な事業は、かつて独占を享受していたが、現在は主に中国からの安価な輸入品からの反対の増加と戦っている専門のプリンターとしてです。これは、ロールスロイスレベルのサービスとハードウェアを愛する一方で、一般的にはフォルクスワーゲンレベルに沿って何かを解決する必要があることを意味します。

私たちの状況では、特に私が経験がないので、シスコなどのようなもののコストを正当化することはできませんでした（私は一人のIT部門です）。また、高価な商業ユニットは、私たちに真の利益を提供しません。

会社が何を持っているのか、何が必要なのかを見た後、古いPCを使用してSmoothwall Expressをインストールすることにしました。もちろん、これは、ある程度のリスクを伴うファイアウォールの外部サポートがないことを意味しますが、それは会社が安心できるリスクです。ファイアウォールとして追加するだけです。Smoothwallは、この種の規模で見たのと同じくらい優れていますが、大規模な組織には必ずしも最適な選択肢とは限りません。

その解決策は私たちにとって有効です。動作する場合と動作しない場合があります。あなただけがその決定を下すことができます。

パケットドロップ率が95％のXXXiscoブランドのファイアウォールがある場合、誰かを訴えることができます。ボックスに同じドロップ率がある場合（古くて単純なICMPフラッドの下でも珍しいことではありません）、よく、船から降りて給与が新しいファイアウォールに入ろうとしていることを確認します。

ある程度までは「うまくいく」という議論があります。ハードウェアの癖について心配する必要はなく、ソフトウェアのバグについては大騒ぎしません。

ホットスタンバイ構成で職場で1組のPIXを使用しましたが、失敗することはありませんでした。プラグインし、必要なルールを入力して、そのままにします。Roll-your-ownボックスの管理に伴う多くの手間と労力は完全にカバーされています。いくつかのフィルタリングにpfを使用するOpenBSDのボックスがいくつかあり、PIXの場合と同じくらい簡単にボックスとファイアウォールのメンテナンスに10倍の時間を費やしました。また、OpenBSDのトラフィックが厳しい制限に達することもあります。

また、PIXは、たとえばiptablesよりもはるかに大きいことを指摘する価値があります。PIXには、侵入検知システム（IDS）で一般的に見られるいくつかの要素と、他のビットも含まれています。ファイアウォールハードウェアは、一般に、沼地の標準サーバーのより一般化された性質よりも、高速でパケットを処理する目的に特化しています。

それは、シスコと同等の価値がある他のベンダーがあり、すべて自分でそれを再作成できるということです。あなたの時間と起こりうる面倒がそれだけの価値があるかどうか、あなたはただ秤量する必要があります。

ファイアウォールの場合は、堅実で信頼性の高いデバイスを持っていることを知って正気になります。

おそらく、これの一部は、「独自のロール」とアプライアンスの使用に関する同じ議論に帰着します

最終的にすべての機器が故障します。システムを構築して失敗した場合、それはあなたの問題です。ベンダーからシステムを購入し、それが失敗した場合、それは彼らの問題です。

良いサポートにより、あなたはあなたをバックアップする準備ができている人々を訓練しました。シスコ、ジュニパー、NetAppなどの企業は、質の高いサポートが付いた質の高い製品を提供しているため成功しています。彼らが失敗する（そして時々失敗する）とき、彼らのビジネスは傷つけられます。

ハイエンド機器には、適切なサポート契約が付属しています。大firewall日の翌土曜日の午前3時にファイアウォールがクラッシュした場合、5分でベンダーの技術者に電話をかけることができます。技術者が2時間以内に現場にいて、故障したコンポーネントを交換してくれます。ダウンタイムが高価な損失を引き起こす可能性がある大規模なビジネスをルーターがサポートしている場合、ハイエンドのルーターを入手する価値があります。10,000ドルまたは100,000ドルは、2,000万ドルまたは2億ドルのビジネスをサポートしている場合、それほど高価ではないように思われます。

多くの場合、これらのハイエンドルーターは高価すぎるか不要であるか、予算や政治上の理由によりハイエンドルーターを入手できません。時々、カスタムピザボックスまたはSoekrisボックスがより適切な場合があります。

何年も経った今でも、それは興味深い質問です。2つのサブ質問に分けましょう。

1. オープンソースのファイアウォールを使用するのではなく、独自のファイアウォールを購入する理由（Linux、FreeBSD、RouterOSなどに基づく）をそれはすべてあなたのニーズに依存します：

   • 一般に、オープンソースファイアウォールは、低コストで非常に優れたパフォーマンスを発揮し、ベンダーロックインを提供しません。ただし、高度な透過性を提供することはほとんどありませんコンテンツフィルタリング、アプリケーションフィルタリング、ゲートウェイアンチウイルス、SSL復号化など、 UTM（統合スレッド管理）機能を。これは、オープンソースファイアウォールがそれを実行できないことを意味するものではありませんが、多くの場合、クライアント側（つまり、ブラウザ内）で構成する必要があるプロキシサービスを使用する必要があります。2つの良い異なる例は、Mikrotik（RouterOS、Linuxベース）とEndianです。：前者には、高性能で低コストのファイアウォール専用（UTMなし）製品があります。後者は、主にプロキシベースの完全なUTM製品を提供します。適切な例：Endianのファイアウォールのみのコミュニティエディションは無料の製品ですが、UTMスイートはライセンスベースです（そして、それらは超安価ではありません）。
   • 考慮すべきもう1つのポイントは、WebUIです。一般に、プロプライエタリファイアウォールは一般的に非常に優れたUIを備えていますが、フリー/オープンソースファイアウォールは直観的でないUIを備えています（例：Mikrotik）。
   • 独自のファイアウォールには、多くの場合、追加の管理サービスがバンドルされています。たとえば、すべての構成変更を複数のデバイスに複製したり、詳細なレポートを提供したりする管理コンソールを含めることができます。
   • 最後に、ファイアウォールベンダーは通常、ハードウェアの交換およびチケットのサポートとしてサービスを提供します。自作のオープンソースファイアウォールを使用すると、ハードウェアを交換するのは一般的にあなただけであり、サポートは常に無料で利用できるとは限りません。一方、プラットフォームが閉じられているのではなくオープンソースである場合、問題の診断（および解決）がはるかに簡単です。

2. 独自仕様のファイアウォールを購入する場合、パフォーマンスの低い製品ではなくハイエンドのファイアウォールを購入する理由は何ですか？すべては、パフォーマンスと機能の要件に要約されます。

   • WANリンク（帯域幅が制限されることが多い）だけでなく、内部リンク（例：DMZ、VLAN間など）でUTMサービスを有効にする場合、特に多数のクライアントがある場合は、高いスループットのファイアウォールが必要です。さらに、ローエンドファイアウォールには、同時ユーザー、VPNトンネルなどの数に（しばしば人為的な）制限があります。
   • ローエンドファイアウォールは、環境に必要な追加機能（高可用性、WANフェールオーバー、リンクアグリゲーション、10Gbポートなど）を欠く場合があります。

個人的な経験：上記のすべての要因を考慮して、私はしばしば（常にではないが）基本的なハードウェア交換サービスでさえも独自のファイアウォールを使用するか、少なくとも最終部品に予備部品を提供することにします。予算が非常に厳しく、高度な機能が必要ない場合は、オープンソース（Mikrotik）製品を使用します。

ハードウェアがわずかに異なるパースペクティブを次に示しますが、概念は引き続き適用されます。私たちは、ネットワーク上でいくつかのモデムサーバーを実行していましたが、それらはすべて安価な8ポート10/100「スイッチ」で接続されていました。ある日、スイッチがフリーズし始め、電源を入れ直さなければなりませんでした。実際に燃え尽きるまで、それを数回繰り返しました。そのモデムのトラフィックは非常におしゃべりで、熱を処理できませんでした。

使用済みのCisco 2924スイッチを購入しましたが、それはすべて非常にスムーズに機能しました...衝突はずっと少なくなりました。古いスイッチは、100Mbitハブに切り替えられた10Mbitハブでした。微妙な違いですが、それはコストの違いを説明しています。