Neden yüksek kaliteli donanım güvenlik duvarları satın almalı?

Juniper ve Cisco'dan bir evden daha pahalıya mal olan güvenlik duvarları var.

Merak ediyorum: 10.000 $ 'lık güvenlik duvarından, OpenBSD / FreeBSD / Linux gibi çalışan 4x 10Gbit ağ kartlarına sahip 2U sunucusuna kıyasla ne elde edilir?

Donanım güvenlik duvarlarının muhtemelen bir web arayüzü vardır.

Ancak 10.000 dolar veya 100.000 dolar güvenlik duvarı için başka ne elde edilir ???

Bu sadece bir ölçek meselesi. Binlerce dolarlık güvenlik duvarları, küresel ölçekte ölçeklenmelerine ve yönetilmesine olanak tanıyan özelliklere ve kapasiteye sahiptir. Onları kullanmayan herkesin, bireysel değerlerini takdir etmeden önce yapacakları çok fazla araştırmaya sahip olacağı sayısız özellik.

Tipik ev yönlendiricinizin gerçekten bir ofis cihazını veya birden çok ISS bağlantısını işleyebilmesi gerekmez, bu yüzden daha ucuzdur. Hem arayüzlerin sayısı / tipi hem de donanım kapasitesi (RAM, vb.) Ofis güvenlik duvarının da QoS'ye ihtiyacı olabilir ve uzak bir ofise VPN bağlantısı yapabilmesini isteyebilirsiniz. Bu küçük ofis için, ev güvenlik duvarına ihtiyacınız olandan biraz daha iyi günlük kaydı isteyeceksiniz.

Site başına birkaç yüz veya bin kullanıcı / cihazı ele almanız gerekene kadar ölçeklendirmeye devam edin, şirketin küresel olarak düzinelerce / yüzlerce diğer güvenlik duvarına bağlanın ve hepsini tek bir yerde küçük bir ekiple yönetin.

(IOS güncellemelerinden, destek sözleşmelerinden, donanım garantilerinden bahsetmeyi unuttum - ve muhtemelen bilmediğim birkaç düzine husus daha var ... ama fikri anlıyorsunuz)

Tipik olarak, donanım güvenlik duvarı ile birlikte tekrarlayan yıllık bakım ücreti ve "donanım desteği" nin artık kullanılamayacağı ve vitesin kaldırılması ve değiştirilmesi gerekeceği gelecekteki bir tarih sözü alırsınız (ala Cisco PIX) ASA geçişine). Ayrıca, tek bir satıcıyla bir ilişkiye saplanabilirsiniz. Örneğin, bazı diğer Cisco Sistemlerinden Cisco PIX 515E yazılım güncellemelerini deneyin.

Muhtemelen amaca uygun oluşturulan güvenlik duvarı donanımı hakkında oldukça olumsuz olduğumu söyleyebilirsiniz.

Ücretsiz ve açık kaynaklı (FOSS) işletim sistemleri, iyi bilinen bazı "donanım" güvenlik duvarı cihazlarına güç sağlar ve herhangi bir esneme ile kanıtlanmamış teknoloji değildir. FOSS için yazılım destek sözleşmelerini birçok farklı partiden satın alabilirsiniz. Seçtiğiniz yedek parça / servis sözleşmesi ile istediğiniz donanımı satın alabilirsiniz.

Eğer gerçekten çok fazla bit atıyorsanız, belki de amaca uygun bir donanım güvenlik duvarı cihazı gerekli olacaktır. FOSS, sizi birçok durumda kapsayabilir ve size muazzam esneklik, performans ve toplam sahip olma maliyeti sunar.

Teknik konular ve destek hakkında konuşurken iyi yanıtlar aldınız. Tüm önemli şeyler.

Dikkate alacağım başka bir şey daha sunmama izin verin: Dahili olarak kendi güvenlik donanımınızı oluşturmak, yapılandırmak ve desteklemek için zamanınız işvereniniz için bir yatırımdır. Her şey gibi, işletme de bu yatırımın buna değip değmeyeceğine karar vermek zorundadır.

Sizin / yöneticinizin dikkate alması gereken şey, zamanınızın en iyi nerede harcandığıdır. Uzman bir ağ güvenlik görevlisiyseniz ve / veya işvereniniz hazır olmayan bir üründe kurulumu kolay olmayan özel güvenlik duvarı gereksinimlerine sahipse, "kendinizinkini yuvarlamanın" faydalı olup olmadığı sorusu tamamen değişebilir ağ güvenliğinin yanı sıra dikkate alınması gereken çok sayıda görevi vardır ve bir ağ cihazını takarak ihtiyaçları kolayca karşılanabilir.

Sadece bu özel durumda değil, genel olarak, birkaç kez "raftan" bir çözüm satın aldım veya kendimi yapabileceğim bir şey için bazı danışmanlıklarda işe aldım çünkü işverenim zamanımı harcayacaktı başka yerde. Bu oldukça yaygın bir durum olabilir, özellikle de bir son teslim tarihiyle karşı karşıyaysanız ve zaman kazanmak para biriktirmekten daha önemlidir.

Ve "başkasını suçlama" yeteneğini indirmeyin - sabah 3'te güvenlik duvarında bir hata için büyük bir kesinti izlediğinizde, satıcıyla konuşabilmek ve "Yapmıyorum" demek çok güzel t care onun yazılım veya donanım, onun sorununuza ya yolu" eğer.

Homebrew güvenlik duvarınız hizmet içi donanım bakımını nasıl idare edecek?

40 + Gbps üretim hızına ulaştığınızda homebrew güvenlik duvarınız nasıl duracak?

Homebrew güvenlik duvarı farklı iş birimlerindeki yöneticiler için izinleri nasıl kuracak, böylece kural tabanının yalnızca kendi bölümlerini yönetebilecekler?

15.000'den fazla kuralınız olduğunda yönetici tabanınızı nasıl yöneteceksiniz?

hendekte gittiğinde seni kim destekliyor?

ortak bir ölçüt denetimine nasıl dayanacaktır.

bu arada, $ 100k güvenlik duvarları için "yüksek son" yakın bir yerde değil. başka bir sıfır seni oraya götürür. ve korudukları kaynaklar için gerçekten bir damla var

Açıkçası bu soruya tek bedenli bir cevap yok, bu yüzden ne yaptığımı ve nedenini açıklayacağım.

Resmi ayarlamak için: Yaklaşık 25 ofis çalışanı ve belki de üretim katında aynı sayı olan oldukça küçük bir işletmeyiz. Birincil işimiz, bir zamanlar tekelden zevk alan ancak şimdi Çin'den olmak üzere ucuz ithalatlardan artan miktarda muhalefetle mücadele eden uzmanlaşmış yazıcılar. Bu, Rolls Royce seviyesi hizmetini ve donanımını sevsek de, genellikle Volkswagon seviyeleri boyunca daha fazla şey yapmak zorunda kalmamız gerektiği anlamına gelir.

Bizim durumumuzda, Cisco ya da benzeri bir şeyin maliyeti haklı çıkartılamadı, özellikle onunla hiç deneyimim olmadığından (ben tek kişilik bir BT "departmanıyım). Ayrıca, pahalı ticari birimler bize gerçek bir fayda sağlamaz.

Şirketin neye ve neye ihtiyaç duyduklarına baktıktan sonra, eski bir PC kullanmayı ve Smoothwall Express'i kurmayı seçtim, çünkü kısmen bu ürünü birkaç yıldır kullanıyordum ve zaten kendinden emin ve rahattım. Bu, elbette, bir dereceye kadar risk taşıyan güvenlik duvarı için harici bir destek olmadığı anlamına gelir, ancak şirketin rahat etmesi bir risktir. Sadece bir güvenlik duvarı olarak Smoothwall'un bizim türümüz için gördüğüm kadar iyi olduğunu ekleyeceğim, ancak çok daha büyük bir organizasyon için mutlaka en iyi seçim olmayabilir.

Bu çözüm bizim için işe yarıyor. Sizin için işe yarayıp yaramayabilir. Bu kararı sadece siz verebilirsiniz.

% 95 paket düşme oranına sahip bir XXXisco markalı güvenlik duvarınız varsa, birine dava açabilirsiniz; kutunuzda aynı düşme oranınız varsa (bu da eski, basit bir ICMP selinin altında nadir değildir), maaşınızın yeni güvenlik duvarına konmak üzere olduğunu görmek için gemiden inmek üzeresiniz .

Bir dereceye kadar "Sadece işe yarıyor" iddiası var. Hiçbir donanım tuhaflıkları ve yazılım hataları üzerinde küçük yaygara hakkında endişelenmenize gerek yok.

Bir çalışma bekleme yapılandırmasında bir çift PIX kullanın ve asla başarısız olmadı. Takın, gerekli kuralları girin ve kurallara uyun. Kendi vals kutunuzu yönetme konusundaki zorlukların ve çabaların çoğu tamamen kapsanmaktadır. Bazı filtreleme için pf kullanan bazı OpenBSD kutularımız var ve PIX'lere sahip olduğum için kutuları ve güvenlik duvarlarını korumak için 10 kat daha fazla zaman harcadım. Ayrıca, trafik için OpenBSD'de zor sınırlara ulaştığımızı da tespit ettik.

Ayrıca, bir PIX'in iptables'dan çok daha fazlası olduğunu belirtmek gerekir. PIX'ler ayrıca Saldırı Tespit Sistemlerinde (IDS) yaygın olarak görülen bazı elementlerin yanı sıra diğer bitleri de içerir. Güvenlik duvarı donanımı, bataklık standart sunucusunun daha genelleştirilmiş doğasından ziyade, paketleri yüksek hızda işlemek amacıyla genellikle çok daha uzmanlaşmıştır.

Bu, Cisco kadar eşit değerli başka satıcılar olduğunu ve hepsini kendiniz yeniden oluşturabileceğinizi söyledi. Sadece zamanınızın ve olası sorunların buna değip değmeyeceği konusunda tartmanız gerekir.

Güvenlik duvarları için sağlam ve güvenilir bir cihazım olduğunu bilmenin mantıklı olmasını tercih ederim.

Tartışmalı olarak, bunun bir kısmı, bir cihaz kullanmakla "Kendinizi toplayın" hakkında aynı tartışmaya geliyor

Sonunda tüm ekipman arızalanır. Sistemi oluşturduysanız ve başarısız olursa, sorun sizin demektir. Satıcıdan bir sistem satın alırsanız ve başarısız olursa, bu onların problemidir .

İyi bir destekle sizi desteklemeye hazır insanları eğitmişsinizdir. Cisco, Juniper, NetApp vb. Şirketler başarılıdır, çünkü kaliteli destek ile kaliteli ürünler sunarlar. Başarısız olduklarında (ve bazen yaparlar), işleri zarar görür.

Üst düzey ekipman iyi bir destek sözleşmesi ile birlikte gelebilir. Güvenlik duvarı Yeni Yıl Arifesi'nden sonra Cumartesi günü sabah saat 3'te çökerse, 5 dakika içinde telefonda bir satıcı teknisyeni bulabilirim. Bir teknisyen 2 saat içinde yerinde olabilir ve arızalı bileşeni benim için değiştirebilir. Yönlendirici, çalışmama süresinin pahalı kayıplara neden olabileceği büyük bir işletmeyi destekliyorsa, yüksek kaliteli bir yönlendirici almak buna değebilir. 10.000 veya 100.000 dolar, kesintilerin şirkete saatte binlerce dolara mal olabileceği 20 milyon dolar veya 200 milyon dolarlık bir işi desteklediğinde pahalı görünmüyor.

Çoğu durumda bu üst düzey yönlendiriciler çok pahalıdır veya gereksizdir veya bütçe veya siyasi nedenlerden dolayı üst düzey bir yönlendirici alamazsınız. Bazen özel bir pizza kutusu veya bir Soekris kutusu daha uygundur.

Yıllar sonra hala ilginç bir soru. İki alt soruya ayıralım:

1. neden açık kaynaklı bir tane kullanmak yerine özel bir güvenlik duvarı satın almalısınız (Linux, FreeBSD, RouterOS vb.) Her şey ihtiyaçlarınıza bağlıdır:

   • Açık kaynaklı güvenlik duvarları genellikle küçük maliyetleri için çok iyi performans gösterir ve hiçbir satıcı kilitlemesi sağlamaz. Bununla birlikte, nadiren İçerik Filtreleme, Uygulama Filtreleme, Ağ Geçidi Antivirüs, SSL şifre çözme ve benzeri gibi gelişmiş şeffaf UTM (birleşik iş parçacığı yönetimi) özellikleri sağlarlar . Bu, açık kaynak güvenlik duvarının bunu yapamayacağı anlamına gelmez, ancak genellikle istemci tarafında yapılandırılması gereken proxy hizmetlerinin kullanılmasını gerektirir (yani: tarayıcıda). İki güzel, farklı örnek Mikrotik (RouterOS, Linux tabanlı) ve Endian: ilkinde performans, düşük maliyetli, yalnızca güvenlik duvarı (UTM yok) ürünleri var; ikincisi çoğunlukla proxy tabanlı, tam UTM ürünleri sağlar. Dikkat çeken nokta: Endian'ın sadece güvenlik duvarı topluluk sürümü ücretsiz bir ürünken, UTM paketi lisans tabanlıdır (ve süper ucuz değildir).
   • Dikkate alınması gereken bir diğer nokta da WebUI: özel güvenlik duvarları genellikle oldukça iyi bir kullanıcı arayüzüne sahipken, serbest / açık kaynaklı olanların bazen daha az sezgisel kullanıcı arayüzü vardır (yani: Mikrotik).
   • Özel güvenlik duvarlarında genellikle bunlarla birlikte gelen ek yönetim hizmetleri bulunur. Örneğin, tüm yapılandırma değişikliklerini birden çok cihaza çoğaltmak veya derinlemesine rapor vermek için bir yönetim konsolu içerebilir.
   • Son olarak, güvenlik duvarı satıcıları genellikle donanım değiştirme ve destek biletleme olarak hizmet sağlar. Kendi kendine oluşturulmuş açık kaynaklı güvenlik duvarı ile donanımı değiştirmek konusunda genellikle yalnızsınız ve destek her zaman ücretsiz olarak sunulmuyor. Diğer taraftan, platform açık kaynak kodluyken kapalı olmaktan çok bir sorunu teşhis etmek (ve çözmek) çok daha kolaydır.

2. tescilli bir güvenlik duvarı satın alıyorsanız, neden daha düşük performanslı bir ürün yerine yüksek kaliteli bir güvenlik duvarı satın alıyorsunuz? Her şey performans ve özellik gereksinimlerine dayanır:

   • UTM hizmetlerini yalnızca WAN bağlantılarında (bant genişliğinin genellikle sınırlı olduğu yerlerde) değil, aynı zamanda dahili bağlantılarda da (örneğin: DMZ, VLAN'lar arasında vb.) etkinleştirmeyi planlıyorsanız, özellikle çok sayıda istemciniz varsa, yüksek iş hacmine sahip bir güvenlik duvarına ihtiyacınız vardır. Ayrıca, düşük uçlu güvenlik duvarında, eşzamanlı kullanıcı sayısı, VPN tünelleri vb. Üzerinde genellikle (bazen yapay) sınırlamalar vardır.
   • alt uç güvenlik duvarı, ortamınızda gerekli bazı ek özellikleri (ör. yüksek kullanılabilirlik, WAN yük devretme, bağlantı toplama, 10 Gb bağlantı noktaları, vb.)

Kişisel deneyim: yukarıdaki tüm faktörleri tartarak, genellikle (ancak her zaman değil), özel bir güvenlik değiştirme duvarını temel bir donanım değiştirme hizmetiyle bile kullanmaya veya en azından son kullanımı yedek parça sağlamaya karar veririm . Bütçe çok sıkı olduğunda ve gelişmiş özelliklere gerek olmadığında, açık kaynaklı (Mikrotik) ürünler kullanıyorum.

İşte biraz farklı donanıma sahip bir perspektif, ancak konsept hala geçerli. Biraz ucuz 8 portlu 10/100 "switch" ile birbirine bağlayan bir ağ üzerinde birkaç modem sunucusu çalıştırıyorduk. Bir gün, anahtar donmaya başladı ve onu kapatmamız gerekiyordu. Bunu birkaç kez yaptık, aslında yanana kadar. Bu modem trafiği çok konuşkandı ve bu şey ısıyı kaldıramadı.

Kullanılmış bir cisco 2924 anahtarı aldık ve hepsi çok daha sorunsuz çalıştı ... çarpışmalar azaldı. Eski anahtarın 100Mbit hub'a bağlı 10Mbit hub olduğu anlaşıldı. İnce fark, ama bu maliyet farkını açıklıyor.