Juniper 和 Cisco 的防火墙价格比房子还贵。
所以我想知道:与运行 OpenBSD/FreeBSD/Linux 等操作系统的配备 4 个 10Gbit 网卡的 2U 服务器相比,10,000 美元以上的防火墙能带来什么?
硬件防火墙可能有一个网络界面。
但是价值 10,000 美元或 100,000 美元的防火墙还能提供什么呢?
答案1
这只是规模问题。价值数千美元的防火墙具有可在全球范围内扩展和管理的功能和容量。任何不使用它们的人都需要进行大量研究才能体会到它们各自的优点。
您的典型家用路由器实际上不需要能够处理办公室的设备或多个 ISP 连接,因此更便宜。无论是接口数量/类型,还是硬件容量(RAM 等)。办公室防火墙也可能需要一些 QoS,您可能希望它能够与远程办公室建立 VPN 连接。与家用防火墙相比,您还需要为小型办公室提供稍微好一点的日志记录。
继续扩大规模,直到您需要处理每个站点的几百或几千个用户/设备,连接到公司在全球范围内的数十/数百个其他防火墙,并由一个小团队在一个地方管理这一切。
(我忘了提到 IOS 更新、支持合同、硬件保修 - 可能还有几十个我不知道的其他考虑因素......但你明白我的意思)
答案2
通常,除了硬件防火墙,您还会获得每年定期的维护费,以及未来某个日期不再提供“硬件支持”的承诺,届时您将不得不拆除设备并进行更换(例如 Cisco PIX 到 ASA 的转换)。您还会与单一供应商建立关系。例如,尝试从其他 Cisco Systems 获取 Cisco PIX 515E 的软件更新。
您可能已经看出来我对专用防火墙硬件持相当消极的态度。
一些知名的“硬件”防火墙设备采用免费开源 (FOSS) 操作系统,而且绝不是未经证实的技术。您可以从许多不同的方购买 FOSS 软件支持协议。您可以购买任何您想要的硬件以及您选择的任何备件/服务协议。
如果你是真的如果需要传输大量数据,那么可能需要专门构建硬件防火墙设备。不过,FOSS 可以在很多情况下为您提供保障,并为您提供极大的灵活性、性能和总体拥有成本。
答案3
您已经就技术方面和支持方面给出了一些很好的答案。这些都是很重要的事情。
让我介绍另一件需要考虑的事情:您花在内部创建、配置和支持“自行开发”硬件防火墙上的时间是雇主的一项投资。与所有事情一样,企业必须决定这项投资是否值得。
您/您的经理需要考虑的是您的时间花在了哪里最值得。如果您是网络安全专家,并且/或者您的雇主有专门的防火墙要求,而这些要求在现成的产品中不容易设置,那么“自己动手”是否值得的问题可能会完全改变,而相比之下,除了网络安全之外,还有很多职责需要考虑,并且只需插入网络设备即可轻松满足需求。
不仅仅是在这个特定情况下,而是一般情况下,有几次我购买了“现成的”解决方案或聘请了一些咨询公司来完成我自己完全有能力完成的事情,因为我的雇主宁愿让我把时间花在其他地方。这可能是一个相当常见的情况,特别是当你面临最后期限并且节省时间比节省金钱更重要的时候。
不要低估“责怪他人”的能力——当你在凌晨 3 点将重大中断追溯到防火墙的一个错误时,能够与供应商交谈并说“我不关心如果是软件或硬件,那这都是你的问题”。
答案4
显然,这个问题没有放之四海而皆准的答案,所以我将描述我做了什么以及为什么这样做。
先说一下:我们是一家规模相当小的公司,办公室员工大约有 25 人,生产车间员工可能也差不多。我们的主要业务是专业印刷厂,我们曾经享有垄断地位,但现在正面临来自廉价进口产品(主要是中国)的越来越多的抵制。这意味着,虽然我们想要劳斯莱斯级别的服务和硬件,但我们通常不得不满足于大众级别的产品。
在我们的情况下,思科或类似产品的成本根本无法接受,尤其是因为我没有这方面的经验(我是一个个人 IT“部门”)。此外,昂贵的商业产品并没有给我们带来真正的好处。
在了解了公司现有产品和需求后,我选择使用旧 PC 并安装 Smoothwall Express,部分原因是我已经使用该产品多年,对它已经很有信心和适应了。当然,这意味着防火墙没有外部支持,这会带来一定风险,但公司可以接受这种风险。我只想补充一点,就我们这种规模而言,Smoothwall 是我见过的最好的防火墙,但对于规模大得多的组织来说,它可能不一定是最好的选择。
这个解决方案对我们来说是可行的。但对你来说可能有用,也可能没用。只有你才能做出决定。