Pourquoi acheter des pare-feu matériels haut de gamme?

Il existe des pare-feu de Juniper et Cisco qui coûtent plus cher qu'une maison.

Je me demande donc: qu'obtient-on d'un pare-feu de 10 000 $ + par rapport à un serveur 2U avec des cartes réseau 4x 10 Gbit fonctionnant par exemple OpenBSD / FreeBSD / Linux?

Les pare-feu matériels ont probablement une interface Web.

Mais qu'obtient-on d'autre pour un pare-feu de 10 000 $ ou 100 000 $ ???

C'est juste une question d'échelle. Les pare-feu de milliers de dollars ont des fonctionnalités et une capacité leur permettant d'évoluer et d'être gérés globalement. Une myriade de fonctionnalités que quiconque ne les utilise pas aurait un peu de recherche à faire avant qu'ils (nous) puissent apprécier leurs mérites individuels.

Votre routeur domestique typique n'a pas vraiment besoin de pouvoir gérer une multitude d'appareils ou plusieurs connexions FAI, c'est donc moins cher. Tant dans le nombre / type d'interfaces que dans la capacité matérielle (RAM, etc.). Le pare-feu du bureau peut également avoir besoin d'une certaine QoS, et vous voudrez peut-être qu'il puisse établir une connexion VPN à un bureau distant. Vous souhaiterez également une journalisation légèrement meilleure pour ce petit bureau que pour le pare-feu domestique.

Continuez à évoluer jusqu'à ce que vous ayez besoin de gérer quelques centaines ou milliers d'utilisateurs / appareils par site, connectez-vous à des dizaines / centaines d'autres pare-feu de la société dans le monde et gérez le tout avec une petite équipe en un seul endroit.

(J'ai oublié de mentionner les mises à jour IOS, les contrats de support, les garanties matérielles - et il y a probablement quelques dizaines d'autres considérations que je ne connais même pas ... mais vous avez l'idée)

En règle générale, avec le pare-feu matériel, vous obtenez des frais de maintenance annuels récurrents et la promesse d'une date future où le "support matériel" ne sera plus disponible et vous devrez transporter le matériel par chariot élévateur et le remplacer (ala Cisco PIX à la transition ASA). Vous êtes également coincé avec une relation avec un seul fournisseur. Essayez d'obtenir des mises à jour logicielles pour votre Cisco PIX 515E à partir d'autres systèmes Cisco, par exemple.

Vous pouvez probablement dire que je suis assez négatif sur le matériel de pare-feu spécialement conçu.

Les systèmes d'exploitation libres et open source (FOSS) alimentent certains pare-feu "matériels" bien connus et ne sont en aucun cas une technologie non éprouvée. Vous pouvez acheter des contrats de support logiciel pour FOSS auprès de nombreuses parties différentes. Vous pouvez acheter le matériel que vous voulez avec les pièces de rechange / contrat de service que vous choisissez.

Si vous poussez vraiment beaucoup de bits, alors, un périphérique de pare-feu matériel spécialement conçu pourrait être nécessaire. Les logiciels libres peuvent cependant vous couvrir dans de nombreuses situations et vous offrir une flexibilité, des performances et un coût total de possession incroyables.

Vous avez déjà eu de bonnes réponses en parlant de choses techniques et de support. Toutes choses importantes.

Permettez-moi de vous présenter une autre chose à considérer: votre temps pour créer, configurer et prendre en charge un pare-feu matériel "roll your own" en interne est un investissement pour votre employeur. Comme toutes choses, l'entreprise doit décider si cet investissement en vaut la peine.

Ce que vous / votre manager devez considérer, c'est où votre temps est le mieux dépensé. La question de savoir si «rouler le vôtre» en vaut la peine peut changer complètement si vous êtes un spécialiste de la sécurité réseau et / ou si votre employeur a des exigences de pare-feu spécialisées qui ne sont pas faciles à configurer dans un produit standard par rapport à quelqu'un qui a de nombreuses tâches à considérer en plus de la sécurité du réseau et dont les besoins peuvent facilement être satisfaits en branchant une appliance réseau.

Pas seulement dans ce cas spécifique, mais en général, il y a eu quelques fois où j'ai acheté une solution «sur étagère» ou embauché dans un cabinet de conseil pour quelque chose que je suis tout à fait capable de faire moi-même parce que mon employeur préfère que mon temps soit consacré autre part. Cela peut être un cas assez courant, surtout si vous êtes confronté à un délai et que gagner du temps est plus important que d'économiser de l'argent.

Et ne négligez pas la possibilité de "blâmer quelqu'un d'autre" - lorsque vous avez identifié une panne majeure à un bug dans le pare-feu à 3 heures du matin, il est très agréable de pouvoir parler au vendeur et de dire "je ne le fais pas". t se soucie si son logiciel ou matériel, c'est votre problème de toute façon ".

Comment votre pare-feu homebrew gérera-t-il la maintenance matérielle en service?

comment votre pare-feu homebrew tiendra-t-il lorsque vous atteindrez un débit de 40 + Gbps?

Comment votre pare-feu homebrew segmentera-t-il les autorisations pour les administrateurs de différentes unités commerciales, de sorte qu'ils ne puissent gérer que leurs propres parties de la base de règles?

comment allez-vous gérer votre base de règles lorsque vous aurez plus de 15 000 règles?

qui vous soutient quand il va dans le fossé?

comment tiendra-t-il à un audit de critères communs.

par ailleurs, 100 000 $ n'est pas du tout "haut de gamme" pour les pare-feu. un autre zéro vous y mènerait. et c'est vraiment une goutte d'eau pour les ressources qu'ils protègent

De toute évidence, il n'y a pas de réponse unique à cette question, je vais donc décrire ce que j'ai fait et pourquoi.

Pour donner l'image: nous sommes une assez petite entreprise avec environ 25 employés de bureau et peut-être le même nombre sur le plancher de production. Notre activité principale est celle des imprimeurs spécialisés qui, à une époque, jouissaient d'un monopole, mais qui luttent désormais contre une opposition croissante des importations bon marché, principalement en provenance de Chine. Cela signifie que bien que nous aimions le service et le matériel de niveau Rolls Royce, nous devons généralement nous contenter de quelque chose de plus le long des niveaux de Volkswagen.

Dans notre situation, le coût de quelque chose comme Cisco ou similaire ne pouvait tout simplement pas être justifié, d'autant plus que je n'en ai aucune expérience (je suis un "département" informatique unipersonnel). De plus, les unités commerciales coûteuses ne nous offrent aucun avantage réel.

Après avoir examiné ce que l'entreprise avait et ce dont elle avait besoin, j'ai choisi d'utiliser un ancien PC et d'installer Smoothwall Express, en partie parce que j'utilisais ce produit depuis un certain nombre d'années et que j'étais déjà confiant et à l'aise avec lui. Cela signifie bien sûr qu'il n'y a pas de support externe pour le pare-feu, qui comporte un certain degré de risque, mais c'est un risque avec lequel l'entreprise est à l'aise. J'ajouterai simplement qu'un pare-feu Smoothwall est aussi bon que je l'ai vu pour notre type d'échelle, mais ce n'est pas nécessairement le meilleur choix pour une organisation beaucoup plus grande.

Cette solution fonctionne pour nous. Cela peut ou peut ne pas fonctionner pour vous. Vous seul pouvez prendre cette décision.

Si vous disposez d'un pare-feu de marque XXXisco avec un taux de rejet de paquets de 95%, vous pouvez poursuivre quelqu'un; si vous avez le même taux de chute sur votre boîte (ce qui n'est pas rare, sous une bonne vieille inondation ICMP aussi), eh bien, vous êtes sur le point de descendre du navire pour voir que votre salaire est sur le point d'être placé dans un nouveau pare-feu .

Dans une certaine mesure, il y a l'argument "Ça marche juste". Ne vous inquiétez pas des bizarreries matérielles et ne vous souciez pas des bogues logiciels.

J'utilise une paire de PIX au travail dans une configuration de secours automatique et ils n'ont jamais échoué. Branchez-vous, entrez les règles nécessaires et laissez-les. Une grande partie des tracas et des efforts impliqués dans la gestion d'une boîte à rouler est entièrement couverte. Nous avons quelques boîtes OpenBSD qui utilisent pf pour certains filtrages, et j'ai passé facilement 10 fois plus de temps à entretenir les boîtes et les pare-feu que j'ai les PIX. Nous avons également constaté à l'occasion que nous atteignions des limites strictes dans OpenBSD pour le trafic.

Il convient également de souligner qu'un PIX est beaucoup plus que, disons, iptables. Les PIX incluent également certains éléments couramment observés dans les systèmes de détection d'intrusion (IDS), ainsi que d'autres bits. Le matériel de pare-feu est également généralement beaucoup plus spécialisé dans le but de traiter des paquets à grande vitesse, plutôt que la nature plus généralisée d'un serveur standard de tourbière.

Cela dit, il existe d'autres fournisseurs aussi intéressants que Cisco, et vous pouvez tout recréer vous-même. Vous n'avez qu'à peser si votre temps et les éventuels tracas en valent la peine.

Pour les pare-feu, je préfère la raison de savoir que j'ai un appareil solide et fiable.

Sans doute, une partie de cela se résume au même argument à propos de "Roll your own" vs l'utilisation d'un appareil

Tout l'équipement tombe finalement en panne. Si vous avez construit le système et qu'il échoue, c'est votre problème. Si vous achetez un système auprès du fournisseur et qu'il échoue, c'est leur problème .

Avec un bon soutien, vous avez formé des personnes prêtes à vous soutenir. Des entreprises comme Cisco, Juniper, NetApp, etc. réussissent car elles fournissent des produits de qualité soutenus par un support de qualité. Quand ils échouent (et parfois ils le font), leur entreprise est mise à mal.

L'équipement haut de gamme peut être accompagné d'un bon contrat de support. Si le pare-feu tombe en panne à 3 heures du matin le samedi après le nouvel an, je peux obtenir un technicien vendeur par téléphone en 5 minutes. Un technicien peut être sur place en 2 heures et remplacer le composant défectueux pour moi. Si le routeur prend en charge une grande entreprise où les temps d'arrêt peuvent entraîner des pertes coûteuses, il peut être utile d'obtenir un routeur haut de gamme. 10000 $ ou 100000 $ ne semblent pas si chers lorsqu'ils soutiennent une entreprise de 20 ou 200 millions de dollars, où les temps d'arrêt peuvent coûter à l'entreprise des milliers de dollars par heure.

Dans de nombreux cas, ces routeurs haut de gamme sont trop chers ou inutiles, ou vous ne pouvez pas obtenir un routeur haut de gamme pour des raisons budgétaires ou politiques. Parfois, une boîte à pizza personnalisée ou une boîte Soekris est plus appropriée.

Après de nombreuses années, c'est toujours une question intéressante. Divisons-le en deux sous-questions:

1. pourquoi acheter un pare-feu propriétaire plutôt que d'utiliser un pare-feu open source (basé sur Linux, FreeBSD, RouterOS, etc.)? Tout dépend de vos besoins:

   • Les pare-feu opensource fonctionnent généralement très bien pour leur faible coût et ne fournissent pas de verrouillage des fournisseurs. Cependant, ils offrent rarement des fonctionnalités UTM transparentes avancées (gestion unifiée des threads), comme le filtrage de contenu, le filtrage des applications, Gateway Antivirus, le décryptage SSL, etc. Cela ne signifie pas que le pare-feu opensource ne peut pas faire cela, mais ils nécessitent souvent l'utilisation de services proxy qui doivent être configurés côté client (c'est-à-dire: dans le navigateur). Deux bons exemples différents sont Mikrotik (RouterOS, basé sur Linux) et Endian: le premier propose des produits performants, à faible coût, pare-feu uniquement (sans UTM); ces derniers fournissent des produits UTM complets basés sur un proxy. Exemple: alors que l'édition communautaire uniquement par pare-feu d'Endian est un produit gratuit, la suite UTM est basée sur une licence (et elle n'est pas très bon marché).
   • Un autre point à considérer est la WebUI: les pare-feu propriétaires ont généralement une assez bonne interface utilisateur, tandis que ceux gratuits / open source ont parfois une interface utilisateur moins intuitive (par exemple: Mikrotik).
   • Les pare-feu propriétaires sont souvent accompagnés de services de gestion supplémentaires. Par exemple, ils peuvent inclure une console de gestion pour répliquer toutes les modifications de configuration sur plusieurs appareils ou pour fournir des rapports détaillés.
   • Enfin, les fournisseurs de pare-feu fournissent généralement des services de remplacement de matériel et de prise en charge des tickets. Avec le pare-feu open source auto-construit, vous êtes généralement le seul à remplacer le matériel, et le support n'est pas toujours disponible gratuitement. D'un autre côté, il est beaucoup plus facile de diagnostiquer (et de résoudre) un problème lorsque la plate-forme est open-source plutôt que fermée.

2. si vous achetez un pare-feu propriétaire, pourquoi acheter un pare-feu haut de gamme plutôt qu'un produit moins performant? Tout se résume aux exigences de performances et de fonctionnalités:

   • si vous prévoyez d'activer les services UTM non seulement sur les liaisons WAN (où la bande passante est souvent limitée) mais également sur les liaisons internes (par exemple: DMZ, entre VLAN, etc.), vous avez besoin d'un pare-feu à haut débit, surtout si vous avez de nombreux clients. De plus, le pare-feu bas de gamme a souvent des limitations (parfois artificielles) sur le nombre d'utilisateurs simultanés, de tunnels VPN, etc.
   • le pare-feu bas de gamme peut manquer certaines fonctionnalités supplémentaires (par exemple: haute disponibilité, basculement WAN, agrégation de liens, ports 10 Go, etc.) requises dans votre environnement.

Expérience personnelle: en pesant tous les facteurs ci-dessus, je décide souvent (mais pas toujours) d'utiliser des pare-feu propriétaires avec même un service de remplacement de matériel de base ou au moins de fournir à l'utilisateur final une pièce de rechange. Lorsque le budget est vraiment serré et qu'aucune fonctionnalité avancée n'est requise, j'utilise des produits opensource (Mikrotik).

Voici une perspective avec un matériel légèrement différent, mais le concept s'applique toujours. Nous exécutions plusieurs serveurs de modem sur un réseau avec un "commutateur" 8 ports 10/100 quelque peu bon marché qui le liait. Un jour, l'interrupteur a commencé à geler et nous avons dû le redémarrer. Nous l'avons fait plusieurs fois, jusqu'à ce que cela brûle. Ce trafic de modem était très bavard, et la chose ne pouvait tout simplement pas gérer la chaleur.

Nous avons acheté un commutateur Cisco 2924 d'occasion, et tout a fonctionné beaucoup plus facilement ... les collisions ont considérablement diminué. Il s'avère que l'ancien commutateur était un concentrateur 10 Mbits commuté sur un concentrateur 100 Mbits. Différence subtile, mais cela explique la différence de coût.