GNU/Linux >> Belajar Linux >  >> Linux

Mengapa membeli firewall perangkat keras kelas atas?

Solusi 1:

Ini hanya masalah skala. Firewall ribuan dolar memiliki fitur &kapasitas yang memungkinkan mereka untuk menskalakan &dikelola secara global. Segudang fitur yang tidak digunakan oleh siapa pun yang harus melakukan sedikit penelitian sebelum mereka (kami) dapat menghargai kelebihan masing-masing.

Perute rumah tipikal Anda tidak benar-benar harus dapat menangani banyak perangkat atau beberapa koneksi ISP, jadi lebih murah. Baik dalam jumlah/jenis interface, maupun kapasitas hardware (RAM, dll). Firewall kantor juga mungkin memerlukan beberapa QoS, dan Anda mungkin menginginkannya untuk dapat membuat koneksi VPN ke kantor jarak jauh. Anda akan menginginkan logging yang sedikit lebih baik untuk kantor kecil itu daripada yang Anda perlukan untuk firewall rumah.

Terus tingkatkan hingga Anda perlu menangani beberapa ratus atau ribuan pengguna/perangkat per situs, sambungkan ke lusinan/ratusan firewall lain yang dimiliki perusahaan secara global, dan kelola semuanya dengan tim kecil di satu lokasi.

(Saya lupa menyebutkan pembaruan IOS, kontrak dukungan, jaminan perangkat keras - dan mungkin ada beberapa lusin pertimbangan lain yang bahkan tidak saya ketahui...tetapi Anda mengerti)

Solusi 2:

Biasanya, bersama dengan firewall perangkat keras, Anda mendapatkan biaya pemeliharaan tahunan berulang dan janji tanggal di masa mendatang ketika "dukungan perangkat keras" tidak akan tersedia lagi dan Anda harus mengeluarkan peralatan dan menggantinya (ala Cisco PIX ke transisi ASA). Anda juga terjebak dengan hubungan dengan satu vendor. Coba dan dapatkan pembaruan perangkat lunak untuk Cisco PIX 515E Anda dari beberapa Sistem Cisco lainnya, misalnya.

Anda mungkin dapat mengatakan bahwa saya cukup negatif tentang perangkat keras firewall yang dibuat khusus.

Sistem operasi gratis dan sumber terbuka (FOSS) memberi daya pada beberapa perangkat firewall "perangkat keras" yang terkenal dan bukan teknologi yang belum terbukti sama sekali. Anda dapat membeli perjanjian dukungan perangkat lunak untuk FOSS dari berbagai pihak. Anda dapat membeli perangkat keras apa pun yang Anda inginkan dengan suku cadang / perjanjian layanan apa pun yang Anda pilih.

Jika Anda benar-benar mendorong banyak bit saat itu, mungkin, perangkat firewall perangkat keras yang dibuat khusus akan diperlukan. Namun, FOSS dapat melindungi Anda dalam banyak situasi, dan memberi Anda fleksibilitas, performa, dan total biaya kepemilikan yang luar biasa.

Solusi 3:

Anda sudah memiliki beberapa jawaban bagus yang sudah berbicara tentang hal-hal teknis dan dukungan. Semua hal penting.

Izinkan saya memperkenalkan hal lain untuk dipertimbangkan:Waktu Anda untuk membuat, mengonfigurasi, dan mendukung firewall perangkat keras "putar sendiri" secara internal merupakan investasi bagi perusahaan Anda. Seperti semua hal lainnya, bisnis harus memutuskan apakah investasi itu sepadan.

Apa yang Anda/manajer Anda perlu pertimbangkan adalah di mana waktu Anda paling baik dihabiskan. Pertanyaan apakah "menggelindingkan milik Anda sendiri" bermanfaat atau tidak dapat berubah sepenuhnya jika Anda adalah orang spesialis keamanan jaringan dan/atau atasan Anda memiliki persyaratan firewall spesialis yang tidak mudah disiapkan dalam produk rak dibandingkan dengan seseorang yang memiliki banyak tugas untuk dipertimbangkan selain keamanan jaringan dan yang kebutuhannya dapat dipenuhi dengan mudah dengan mencolokkan peralatan jaringan.

Tidak hanya dalam kasus khusus ini tetapi secara umum, ada beberapa kali saya membeli solusi "dari rak" atau menyewa di beberapa konsultan untuk sesuatu yang saya cukup mampu lakukan sendiri karena majikan saya lebih suka waktu saya dihabiskan. di tempat lain. Ini bisa menjadi kasus yang cukup umum, terutama jika Anda menghadapi tenggat waktu dan menghemat waktu lebih penting daripada menghemat uang.

Dan jangan abaikan kemampuan untuk "menyalahkan orang lain" - ketika Anda telah melacak pemadaman besar ke bug di firewall pada jam 3 pagi, sangat menyenangkan untuk dapat berbicara dengan vendor dan mengatakan "Saya tidak ' t peduli jika itu perangkat lunak atau perangkat keras, itu masalah Anda".

Solusi 4:

bagaimana firewall homebrew Anda akan menangani pemeliharaan perangkat keras dalam layanan?

bagaimana firewall homebrew Anda akan bertahan saat Anda mencapai throughput 40+Gbps?

bagaimana izin segmen firewall homebrew Anda untuk administrator di unit bisnis yang berbeda, sehingga mereka hanya dapat mengelola bagian mereka sendiri dari basis aturan?

bagaimana Anda akan mengelola basis aturan saat Anda memiliki 15.000+ aturan?

siapa yang mendukung Anda saat masuk ke selokan?

bagaimana itu akan bertahan hingga audit kriteria umum.

omong-omong, $100k tidak mendekati "kelas atas" untuk firewall. nol lainnya akan membawa Anda ke sana. dan itu benar-benar setetes air untuk sumber daya yang mereka lindungi

Solusi 5:

Jelas tidak ada jawaban yang cocok untuk semua pertanyaan ini, jadi saya akan menjelaskan apa yang telah saya lakukan dan alasannya.

Untuk mengatur gambarannya:Kami adalah bisnis yang cukup kecil dengan sekitar 25 staf kantor dan mungkin jumlah yang sama di lantai produksi. Bisnis utama kami adalah sebagai pencetak khusus yang pada suatu waktu menikmati monopoli tetapi sekarang menghadapi perlawanan yang semakin meningkat dari impor murah, kebanyakan dari China. Ini berarti bahwa meskipun kami menyukai layanan dan perangkat keras tingkat Rolls Royce, kami biasanya harus puas dengan sesuatu yang lebih sejalan dengan tingkat Volkswagon.

Dalam situasi kami, biaya sesuatu seperti Cisco atau sejenisnya tidak dapat dibenarkan, terutama karena saya tidak memiliki pengalaman dengannya (saya adalah "departemen" TI satu orang). Selain itu, unit komersial yang mahal tidak memberikan manfaat nyata bagi kami.

Setelah melihat apa yang dimiliki perusahaan dan apa yang mereka butuhkan, saya memilih untuk menggunakan PC lama dan menginstal Smoothwall Express, sebagian karena saya telah menggunakan produk itu selama beberapa tahun dan sudah percaya diri serta nyaman dengannya. Ini tentu saja berarti tidak ada dukungan eksternal untuk firewall, yang memiliki tingkat risiko tertentu, tetapi ini adalah risiko yang nyaman bagi perusahaan. Saya hanya akan menambahkan bahwa sebagai firewall, Smoothwall sebaik yang pernah saya lihat untuk skala kami, tetapi mungkin belum tentu menjadi pilihan terbaik untuk organisasi yang jauh lebih besar.

Solusi itu bekerja untuk kita. Ini mungkin atau mungkin tidak bekerja untuk Anda. Hanya Anda yang dapat membuat keputusan itu.


Linux
  1. Memulai dengan firewall Linux

  2. Memecahkan masalah perangkat keras di Linux

  3. Perbedaan antara firewall Perangkat Keras Bersama dan firewall Perangkat Keras Khusus

  1. Mengapa Cd Bukan Program?

  2. Mengapa kita membutuhkan mktemp?

  3. Mengapa data ditulis ke file dibuka dengan flag O_APPEND, selalu ditulis di akhir, bahkan dengan `lseek`?

  1. Df Vs. Du:Mengapa Begitu Banyak Perbedaan??

  2. Perbedaan Antara Perangkat Keras dan Perangkat Lunak Firewall

  3. Mengapa NTP memerlukan akses firewall dua arah ke port UDP 123?