왜 고급 하드웨어 방화벽을 구입해야합니까?

주니퍼와 시스코의 방화벽은 집보다 더 비쌉니다.

그래서 궁금합니다 : OpenBSD / FreeBSD / Linux와 같은 4x 10Gbit 네트워크 카드가있는 2U 서버와 비교할 때 10.000 + 방화벽에서 얻는 것은 무엇입니까?

하드웨어 방화벽에는 아마도 웹 인터페이스가있을 것입니다.

그러나 $ 10.000 또는 $ 100.000 방화벽을 위해 또 다른 것은 무엇입니까 ???

규모의 문제 일뿐입니다. 수천 달러의 방화벽에는 기능과 용량이있어 전 세계적으로 확장 및 관리 할 수 ​​있습니다. 그것들을 사용하지 않는 사람은 무수히 많은 기능을 가지고 있어야합니다.

일반적인 홈 라우터는 사무실 장치 나 여러 ISP 연결을 실제로 처리 할 필요가 없으므로 저렴합니다. 인터페이스의 수 / 유형 및 하드웨어 용량 (RAM 등). 사무실 방화벽에는 일부 QoS가 필요할 수 있으며 원격 사무실에 VPN 연결을 만들 수 있기를 원할 수 있습니다. 홈 방화벽에 필요한 것보다 소규모 사무실에 대해 약간 더 나은 로깅을 원할 것입니다.

사이트 당 수십 또는 수천 명의 사용자 / 장치를 처리하고 회사가 전 세계적으로 보유한 수십 / 수백 개의 다른 방화벽에 연결하고 한 곳에서 소규모 팀으로 관리 할 때까지 확장 성을 유지하십시오.

(IOS 업데이트, 지원 계약, 하드웨어 보증에 대해 언급하는 것을 잊어 버렸습니다. 아마도 수십 가지 다른 고려 사항이 있지만 아이디어를 얻었을 것입니다)

일반적으로 하드웨어 방화벽과 함께 반복적 인 유지 관리 비용과 "하드웨어 지원"을 더 이상 사용할 수없는 미래 날짜에 대한 약속이 있으며 장비를 지게차로 교체해야합니다 (Cisco PIX ASA 로의 전환). 또한 단일 공급 업체와의 관계에 갇혀 있습니다. 예를 들어, 다른 Cisco 시스템에서 Cisco PIX 515E에 대한 소프트웨어 업데이트를 시도하십시오.

목적에 맞게 구축 된 방화벽 하드웨어에 대해 상당히 부정적이라고 말할 수 있습니다.

FOSS (Free and Open Source) 운영 체제는 잘 알려진 "하드웨어"방화벽 장치에 전원을 공급하며 입증 된 기술이 아닙니다. 여러 당사자로부터 FOSS에 대한 소프트웨어 지원 계약을 구입할 수 있습니다. 예비 부품 / 서비스 계약을 선택하여 원하는 하드웨어를 구입할 수 있습니다.

당신이 있다면 정말 주위에 다음 비트를 많이 밀어, 아마도, 목적 내장 하드웨어 방화벽 장치가 필요하다. 그러나 FOSS는 많은 상황에서 귀하를 보호 할 수 있으며 엄청난 유연성, 성능 및 총 소유 비용을 제공합니다.

기술적 인 내용과 지원에 대해 이미 좋은 답변을 받았습니다. 모든 중요한 것들.

고려해야 할 또 다른 사항을 소개하겠습니다. 내부적으로 "자신의 롤"하드웨어 방화벽을 생성, 구성 및 지원하는 시간은 고용주를위한 투자입니다. 다른 모든 것들과 마찬가지로, 기업은 투자 가치가 있는지 결정해야합니다.

관리자가 고려해야 할 것은 시간이 가장 많이 소비되는 곳입니다. "자신의 롤링"이 가치가 있는지에 대한 질문은 전문적인 네트워크 보안 담당자이거나 고용주가 다른 사람과 비교하여 기성품 제품에 설치하기 쉽지 않은 전문 방화벽 요구 사항이있는 경우 완전히 변경 될 수 있습니다. 네트워크 보안 외에 고려해야 할 많은 임무가 있으며 네트워크 어플라이언스를 연결하여 쉽게 요구를 충족시킬 수 있습니다.

이 특정한 경우뿐만 아니라 일반적으로, "선반에서"솔루션을 구입했거나 고용주가 내 시간을 보냈기 때문에 내가 스스로 할 수있는 일에 대한 컨설팅을 고용 한 경우가 몇 번있었습니다. 다른 곳. 마감일이 다가오고 돈을 저축하는 것보다 시간을 절약하는 것이 더 중요한 경우에 특히 그렇습니다.

그리고 "다른 사람을 비난"하는 능력을 할인하지 마십시오. 오전 3시에 방화벽의 버그로 인한 주요 중단을 추적했을 때 공급 업체와 대화를 나눌 수있는 것이 매우 좋습니다. t는 신경 의 소프트웨어 나 하드웨어의 문제 중 하나의 방법 "합니다.

homebrew 방화벽은 서비스 중 하드웨어 유지 관리를 어떻게 처리합니까?

40 + Gbps 처리량에 도달하면 홈브류 방화벽이 어떻게 유지됩니까?

자택 방화벽은 다른 사업부에서 관리자가 자신 만의 룰베이스 부분 만 관리 할 수 ​​있도록 권한을 어떻게 분할합니까?

15,000 개 이상의 규칙이있을 때 규칙베이스를 어떻게 관리합니까?

도랑에 들어갈 때 누가 당신을 백업합니까?

공통 기준 감사를 어떻게 유지할 것인가?

그건 그렇고, $ 100k는 방화벽의 "고급"근처에 있지 않습니다. 또 다른 0은 당신을 거기에 도착할 것입니다. 그리고 그들이 보호하는 자원에 대한 버킷의 하락입니다.

분명히이 질문에 대한 모든 답이 없기 때문에 내가 한 일과 이유를 설명하겠습니다.

그림을 설정하려면 : 우리는 약 25 명의 사무실 직원과 아마도 생산 현장에 같은 수의 소규모 비즈니스입니다. 우리의 주요 사업은 한때 독점권을 누렸지 만 현재는 대부분 중국에서 싼 수입으로 인해 점점 더 많은 반대에 맞서고있는 전문 프린터입니다. 이것은 롤스 로이스 레벨 서비스와 하드웨어를 좋아하지만 일반적으로 폭스 바겐 레벨을 따라 더 많은 것을 해결해야한다는 것을 의미합니다.

우리의 상황에서 시스코 나 이와 유사한 비용은 특히 경험이 없기 때문에 정당화 될 수 없었습니다 (1 인 IT "부서"입니다). 또한 값 비싼 상업 시설은 우리에게 진정한 혜택을 제공하지 않습니다.

회사의 요구 사항과 요구 사항을 살펴본 후 오래된 PC를 사용하고 Smoothwall Express를 설치하기로 선택했습니다. 그 이유는 그 제품을 몇 년 동안 사용해 왔으며 이미 자신감을 가지고 있었기 때문입니다. 이것은 물론 방화벽에 대한 외부 지원이 없기 때문에 어느 정도의 위험이 따르지만 회사가 편안하게 사용할 수있는 위험이 있습니다. 방화벽 으로서는 Smoothwall이 우리의 규모에서 본 것만 큼 우수하지만 훨씬 더 큰 조직에 반드시 최선의 선택은 아닐 수도 있습니다.

그 해결책은 우리에게 효과적입니다. 그것은 당신을 위해 작동하거나 작동하지 않을 수 있습니다. 오직 당신 만이 그 결정을 내릴 수 있습니다.

패킷 드롭 비율이 95 % 인 XXXisco 브랜드 방화벽을 사용하는 경우 누군가를 고소 할 수 있습니다. 상자에 드롭 비율이 같으면 (이것은 드문 일이 아니며, 단순하고 오래된 ICMP 홍수에서도 드물지 않습니다), 월급이 새로운 방화벽에 들어 가려고 함을 알기 위해 배에서 내리려고합니다. .

어느 정도는 "그냥 작동합니다"라는 주장이 있습니다. 하드웨어 문제와 소프트웨어 버그에 대한 걱정이 거의 없습니다.

핫-스탠바이 구성에서 직장에서 한 쌍의 PIX를 사용하는데 결코 실패하지 않았습니다. 연결하고 필요한 규칙을 입력 한 후 그대로 두십시오. 롤업 상자 관리와 관련된 많은 번거 로움과 노력이 완전히 포함됩니다. 우리는 필터링을 위해 pf를 사용하는 OpenBSD 상자를 가지고 있으며 PIX와 마찬가지로 상자와 방화벽을 유지 관리하는 데 10 배나 많은 시간을 소비했습니다. 우리는 때때로 트래픽에 대한 OpenBSD의 한계에 도달 한 것을 발견했습니다.

PIX가 iptables보다 훨씬 더 중요하다는 점도 지적 할 가치가 있습니다. PIX에는 또한 침입 탐지 시스템 (IDS)에서 일반적으로 보이는 일부 요소와 다른 비트가 포함되어 있습니다. 방화벽 하드웨어는 일반적으로 bog 표준 서버의보다 일반적인 특성보다는 고속으로 패킷을 처리 할 목적으로 훨씬 더 전문화되어 있습니다.

즉, Cisco와 같은 가치가있는 다른 공급 업체가 있으며 모든 것을 직접 만들 수 있습니다. 당신은 당신의 시간과 가능한 번거 로움이 가치가 있는지 여부를 측정해야합니다.

방화벽의 경우 견고하고 안정적인 장치를 가지고 있다는 사실을 알기 원합니다.

논란의 여지가 있지만,이 중 일부는 어플라이언스를 사용하는 것과 "자신의 역할을 롤링"하는 것과 같은 주장에 해당합니다.

모든 장비는 결국 고장납니다. 시스템을 구축했는데 실패하면 문제입니다. 공급 업체로부터 시스템을 구입했는데 실패하면 문제 입니다.

훌륭한 지원을 받으면 백업 할 준비가 된 사람들을 훈련 시켰습니다. Cisco, Juniper, NetApp 등과 같은 회사는 품질 지원이 지원되는 고품질 제품을 제공하므로 성공합니다. 그들이 실패 할 때 (때로는 그렇게 할 때), 그들의 사업은 피해를 입습니다.

고급 장비에는 적절한 지원 계약이 제공 될 수 있습니다. 새해 전날 토요일 토요일 오전 3시에 방화벽이 충돌하면 5 분 안에 공급 업체 기술자에게 전화를 걸 수 있습니다. 기술자는 2 시간 내에 현장에있을 수 있으며 고장난 구성품을 교체 할 수 있습니다. 라우터가 다운 타임으로 인해 손실이 발생할 수있는 대기업을 지원하는 경우 고급 라우터를 얻는 것이 좋습니다. 가동 중지 시간으로 인해 시간당 수천 달러의 비용이 발생하는 2 천만 달러 또는 2 억 달러 규모의 비즈니스를 지원할 때 10,000 달러 또는 10 만 달러는 그렇게 비싸지 않습니다.

대부분의 경우 이러한 고급 라우터는 너무 비싸거나 불필요하거나 예산 또는 정치적 이유로 인해 고급 라우터를 얻을 수 없습니다. 때로는 맞춤형 피자 상자 나 수 크리스 상자가 더 적합합니다.

몇 년이 지난 후에도 여전히 흥미로운 질문입니다. 두 가지 하위 질문으로 나누겠습니다.

1. 오픈 소스 방화벽을 사용하지 않고 독점 방화벽을 구매해야하는 이유 (Linux, FreeBSD, RouterOS 등)? 그것은 모두 당신의 필요에 달려 있습니다 :

   • 오픈 소스 방화벽은 일반적으로 적은 비용으로 성능이 우수하며 공급 업체 잠금 기능을 제공하지 않습니다. 그러나 콘텐츠 필터링, 응용 프로그램 필터링, 게이트웨이 바이러스 백신, SSL 암호 해독 등과 같은 고급 투명 UTM (통합 스레드 관리) 기능은 거의 제공하지 않습니다 . 이것은 오픈 소스 방화벽이 그렇게 할 수 없다는 것을 의미하지는 않지만, 종종 클라이언트 측 (예 : 브라우저)에서 구성해야하는 프록시 서비스를 사용해야합니다. 두 가지 좋은 예는 Mikrotik (RouterOS, Linux 기반)과 Endian입니다.전자는 성능이 뛰어나고 저렴한 방화벽 전용 (UTM 없음) 제품을 보유하고 있습니다. 후자는 대부분 프록시 기반의 풀 UTM 제품을 제공합니다. 적절한 예 : Endian의 방화벽 전용 커뮤니티 에디션은 무료 제품이지만 UTM 제품군은 라이센스 기반입니다 (그리고 저렴한 가격은 아닙니다).
   • 고려해야 할 또 다른 사항은 WebUI입니다. 독점적 방화벽은 일반적으로 상당히 좋은 UI를 가지고 있으며, 무료 / 오픈 소스 방화벽은 때때로 직관적 UI가 적습니다 (예 : Mikrotik).
   • 독점 방화벽에는 종종 추가 관리 서비스가 번들로 제공됩니다. 예를 들어, 관리 콘솔을 포함하여 모든 구성 변경 사항을 여러 장치에 복제하거나 심층적 인보고를 제공 할 수 있습니다.
   • 마지막으로 방화벽 공급 업체는 일반적으로 하드웨어 교체 및 티켓팅 지원 서비스를 제공합니다. 자체 구축 된 오픈 소스 방화벽을 사용하면 일반적으로 하드웨어 교체만으로도 가능하며 항상 무료로 지원할 수있는 것은 아닙니다. 반면에 플랫폼이 폐쇄 형이 아닌 오픈 소스 인 경우 문제를 진단 (및 해결)하기가 훨씬 쉽습니다.

2. 독점 방화벽을 구입하는 경우 성능이 낮은 제품이 아닌 고급 방화벽을 구입해야하는 이유는 무엇입니까? 그것은 모두 성능 및 기능 요구 사항으로 요약됩니다.

   • WAN 링크 (대역폭이 종종 제한되는 경우)뿐만 아니라 내부 링크 (예 : DMZ, VLAN 간 등)에서 UTM 서비스를 사용하려면 특히 많은 클라이언트가있는 경우 처리량이 많은 방화벽이 필요합니다. 또한 저급 방화벽에는 종종 동시 사용자 수, VPN 터널 등에 대한 제한이 있습니다 (때로는 인공적인).
   • 저사양 방화벽은 환경에 필요한 일부 추가 기능 (예 : 고 가용성, WAN 장애 조치, 링크 집계, 10Gb 포트 등)을 놓칠 수 있습니다.

개인적 경험 : 위의 모든 요소를 ​​고려할 때 기본 하드웨어 교체 서비스와 함께 독점 방화벽을 사용 하거나 최소한 최종 부품에 예비 부품을 제공 하기로 결정하는 경우가 종종 있습니다. 예산이되면 정말 단단하고 더 고급 기능이 필요하지 않습니다, 나는 오픈 소스 (미크로 틱) 제품을 사용합니다.

하드웨어가 약간 다른 관점이 있지만이 개념은 여전히 ​​적용됩니다. 우리는 8 포트 10/100 "스위치"를 모두 하나로 묶어 네트워크상에서 여러 모뎀 서버를 운영하고있었습니다. 어느 날 스위치가 멈추기 시작했고 전원을 껐다 켜야했습니다. 실제로 다 태워 질 때까지 여러 번 해냈습니다. 그 모뎀 트래픽은 매우 혼잡했으며 열을 처리 할 수 ​​없었습니다.

우리는 사용 된 시스코 2924 스위치를 샀으며, 훨씬 더 원활하게 작동했습니다. 충돌이 줄었습니다. 이전 스위치는 10Mbit 허브가 100Mbit 허브로 전환되었습니다. 미묘한 차이이지만 비용 차이를 설명합니다.