हाई एंड हार्डवेयर फायरवॉल क्यों खरीदें?

जुनिपर और सिस्को के फायरवॉल मौजूद हैं जिनकी कीमत एक घर से अधिक है।

इसलिए मुझे आश्चर्य है: 4x 10Gbit नेटवर्क कार्ड के साथ 2U सर्वर की तुलना में $ 10.000 + फ़ायरवॉल से किसी को क्या मिलता है जैसे OpenBSD / FreeBSD / Linux?

हार्डवेयर फ़ायरवॉल में संभवतः एक वेब इंटरफ़ेस है।

लेकिन एक $ 10.000 या $ 100.000 फ़ायरवॉल के लिए और क्या मिलता है ???

यह सिर्फ पैमाने की बात है। हजारों डॉलर के फायरवॉल में विशेषताएं और क्षमता होती है जो उन्हें वैश्विक स्तर पर स्केल और प्रबंधित करने की अनुमति देती है। सुविधाओं का एक असंख्य जो उन्हें उपयोग नहीं करता है उनके (हम) उनके व्यक्तिगत गुणों की सराहना कर सकते हैं इससे पहले कि उनके पास करने के लिए काफी शोध होगा।

आपके विशिष्ट होम राउटर को वास्तव में एक कार्यालय उपकरण या कई आईएसपी कनेक्शनों को संभालने में सक्षम होने की आवश्यकता नहीं है, इसलिए यह सस्ता है। इंटरफ़ेस की संख्या / प्रकार और हार्डवेयर क्षमता (RAM, आदि) दोनों में। कार्यालय फ़ायरवॉल को कुछ QoS की भी आवश्यकता हो सकती है, और आप चाहते हैं कि यह किसी दूरस्थ कार्यालय में वीपीएन कनेक्शन बनाने में सक्षम हो। आप चाहते हैं कि घर के फ़ायरवॉल के लिए, साथ ही साथ उस छोटे से कार्यालय के लिए आप थोड़ा बेहतर प्रवेश कर सकें।

स्केलिंग को बनाए रखें जब तक आपको प्रति साइट कुछ सौ या हजार उपयोगकर्ता / डिवाइस को संभालने की आवश्यकता न हो, दर्जनों / सैकड़ों अन्य फायरवॉल से कनेक्ट करें जो कंपनी के पास विश्व स्तर पर हैं, और एक स्थान पर एक छोटी टीम के साथ यह सब प्रबंधित करें।

(मैं IOS अपडेट्स, सपोर्ट कॉन्ट्रैक्ट्स, हार्डवेयर वारंटियों का उल्लेख करना भूल गया - और संभवत: कुछ दर्जन अन्य विचार हैं जिनके बारे में मुझे भी जानकारी नहीं है ... लेकिन आपको इसका अंदाजा है)

आमतौर पर, हार्डवेयर फ़ायरवॉल के साथ, आपको एक आवर्ती वार्षिक रखरखाव शुल्क और भविष्य की तारीख का वादा मिलता है जब "हार्डवेयर समर्थन" अब उपलब्ध नहीं होगा और आपको गियर को फोर्कलिफ्ट करना होगा और इसे प्रतिस्थापित करना होगा (जैसे कि सिस्को पीएक्स एएसए संक्रमण के लिए)। आप एक भी विक्रेता के साथ एक रिश्ते के साथ फंस जाते हैं। उदाहरण के लिए, कुछ अन्य सिस्को सिस्टम्स से अपने सिस्को PIX 515E के लिए सॉफ़्टवेयर अपडेट आज़माएं और प्राप्त करें।

आप शायद बता सकते हैं कि मैं उद्देश्य से निर्मित फ़ायरवॉल हार्डवेयर के बारे में काफी नकारात्मक हूं।

नि: शुल्क और खुला स्रोत (एफओएसएस) ऑपरेटिंग सिस्टम कुछ प्रसिद्ध "हार्डवेयर" फ़ायरवॉल डिवाइसों को शक्ति देता है और किसी भी खिंचाव द्वारा अप्रमाणित तकनीक नहीं है। आप कई अलग-अलग पार्टियों से FOSS के लिए सॉफ़्टवेयर समर्थन समझौते खरीद सकते हैं। आप जो भी पुर्जों / सेवा अनुबंध को चुनते हैं, उसके साथ आप जो भी हार्डवेयर चाहते हैं, खरीद सकते हैं।

यदि आप वास्तव में बहुत सारे बिट्स को चारों ओर धकेल रहे हैं , तो शायद, एक उद्देश्य-निर्मित हार्डवेयर फ़ायरवॉल डिवाइस आवश्यक होगा। FOSS आपको कई स्थितियों में कवर कर सकता है, हालांकि, और आपको जबरदस्त लचीलापन, प्रदर्शन और स्वामित्व की कुल लागत देता है।

आपके पास तकनीकी सामान और समर्थन के बारे में पहले से ही कुछ अच्छे उत्तर हैं। सभी महत्वपूर्ण बातें।

मुझे एक और बात पर विचार करने के लिए परिचय दें: आंतरिक रूप से "फ़ायरफ़ॉक्स" का "रोल रोल" बनाने, कॉन्फ़िगर करने और समर्थन करने का आपका समय आपके नियोक्ता के लिए एक निवेश है। सभी चीजों की तरह, व्यवसाय को यह तय करना होगा कि क्या निवेश इसके लायक है।

आपको / आपके प्रबंधक को क्या विचार करने की आवश्यकता है, जहां आपका समय सबसे अच्छा व्यतीत होता है। यह सवाल है कि "अपना खुद का रोल करना" सार्थक है या नहीं, यदि आप एक विशेषज्ञ नेटवर्क सुरक्षा व्यक्ति हैं और / या आपके नियोक्ता के पास विशेषज्ञ फ़ायरवॉल आवश्यकताएं हैं, तो यह पूरी तरह से बदल सकती है, जो किसी की तुलना में एक ऑफ शेल्फ उत्पाद में सेटअप करना आसान नहीं है। नेटवर्क सुरक्षा के अलावा विचार करने के लिए बहुत सारे कर्तव्य हैं और जिनकी आवश्यकताओं को नेटवर्क उपकरण में प्लग करके आसानी से पूरा किया जा सकता है।

न केवल इस विशिष्ट मामले में, बल्कि सामान्य तौर पर, कुछ समय हो गया है जब मैंने "शेल्फ से" एक समाधान खरीदा है या कुछ परामर्श के लिए किराए पर लिया है जो मैं खुद करने में काफी सक्षम हूं क्योंकि मेरे नियोक्ता ने अपना समय बिताया था कहीं। यह काफी सामान्य मामला हो सकता है, खासकर यदि आप समय सीमा का सामना कर रहे हैं और समय की बचत पैसे बचाने की तुलना में अधिक महत्वपूर्ण है।

और "किसी और को दोष देने" की क्षमता को छूट न दें - जब आपने सुबह 3 बजे फ़ायरवॉल में बग के लिए एक प्रमुख आउटेज का पता लगाया है, तो यह विक्रेता से बात करने और "आई डॉन" कहने में सक्षम होने के लिए बहुत अच्छा है टी परवाह अपने सॉफ्टवेयर या हार्डवेयर, अपनी अपनी समस्या का किसी भी तरह से "यदि।

आपके होमब्रेव फ़ायरवॉल इन-सर्विस हार्डवेयर रखरखाव को कैसे संभालेंगे?

जब आप 40 + Gbps थ्रूपुट पर पहुंचेंगे तो आपका होमब्रेव फ़ायरवॉल कैसे होगा?

विभिन्न व्यावसायिक इकाइयों में व्यवस्थापकों के लिए आपके होमब्रेव फ़ायरवॉल सेगमेंट की अनुमति कैसे होगी, जैसे कि वे केवल नियम आधार के अपने स्वयं के भागों का प्रबंधन कर सकते हैं?

जब आप 15,000+ नियम रखते हैं तो आप अपने नियम का प्रबंधन कैसे करेंगे?

जब आप खाई में जाते हैं तो कौन आपको समर्थन दे रहा है?

यह एक सामान्य मापदंड ऑडिट के लिए कैसे होगा।

वैसे, फायरवॉल के लिए $ 100k कहीं भी "उच्च अंत" के पास नहीं है। एक और शून्य आपको वहां मिलेगा। और यह वास्तव में उन संसाधनों के लिए बाल्टी में एक बूंद है जो वे रक्षा करते हैं

स्पष्ट रूप से इस सवाल का कोई एक आकार-फिट-सभी जवाब नहीं है, इसलिए मैं वर्णन करूंगा कि मैंने क्या किया है और क्यों।

चित्र सेट करने के लिए: हम लगभग 25 कार्यालय के कर्मचारियों के साथ एक काफी छोटा व्यवसाय हैं और शायद उत्पादन तल पर भी यही संख्या है। हमारा प्राथमिक व्यवसाय विशेषीकृत प्रिंटर के रूप में है, जो एक समय में एकाधिकार का आनंद लेते थे, लेकिन अब सस्ते आयात के विरोध की बढ़ती मात्रा से लड़ रहे हैं, ज्यादातर चीन से। इसका मतलब यह है कि जब हम रोल्स रॉयस स्तर की सेवा और हार्डवेयर पसंद करेंगे, तो हमें आमतौर पर वोक्सवैगन के स्तर के साथ कुछ और के लिए व्यवस्थित होना होगा।

हमारी स्थिति में सिस्को या इससे मिलती-जुलती चीज की कीमत को उचित नहीं ठहराया जा सकता है, खासकर जब मुझे इसका कोई अनुभव नहीं है (मैं एक-व्यक्ति आईटी "विभाग" हूं)। इसके अलावा, महंगी वाणिज्यिक इकाइयाँ हमें कोई सच्चा लाभ नहीं देती हैं।

यह देखने के बाद कि कंपनी के पास क्या था और उन्हें जिस चीज की आवश्यकता थी, मैंने एक पुराने पीसी का उपयोग करने और स्मूथवॉल एक्सप्रेस को स्थापित करने के लिए चुना, आंशिक रूप से क्योंकि मैं कई वर्षों से उस उत्पाद का उपयोग कर रहा था और पहले से ही आश्वस्त और इसके साथ सहज था। इसका मतलब यह है कि फ़ायरवॉल के लिए कोई बाहरी समर्थन नहीं है, जो जोखिम की एक डिग्री वहन करता है, लेकिन यह एक जोखिम है जिसके साथ कंपनी सहज है। मैं सिर्फ इतना जोड़ूंगा कि एक फ़ायरवॉल स्मूथवॉल उतना ही अच्छा है जितना मैंने अपने तरह के पैमाने के लिए देखा है, लेकिन यह बहुत बड़े संगठन के लिए सबसे अच्छा विकल्प नहीं हो सकता है।

वह समाधान हमारे लिए काम करता है। यह आपके लिए काम कर भी सकता है और नहीं भी। केवल आप ही यह निर्णय ले सकते हैं।

यदि आपके पास 95% पैकेट ड्रॉप अनुपात वाला XXXisco- ब्रांडेड फ़ायरवॉल है, तो आप किसी पर मुकदमा कर सकते हैं; यदि आपके पास अपने बॉक्स पर समान ड्रॉप अनुपात है (जो कि एक पुराने पुराने ICMP बाढ़ के तहत भी दुर्लभ नहीं है), ठीक है, आप जहाज से उतरने वाले हैं यह देखने के लिए कि आपका वेतन नए फ़ायरवॉल में डाला जाएगा। ।

कुछ हद तक "यह सिर्फ काम करता है" तर्क है। सॉफ़्टवेयर की गड़बड़ी और सॉफ़्टवेयर बग्स के बारे में कोई चिंता नहीं है।

मैं एक हॉट-स्टैंडबाय कॉन्फ़िगरेशन में PIXes की एक जोड़ी का उपयोग करता हूं और वे कभी भी विफल नहीं हुए हैं। प्लग इन करें, आवश्यक नियम दर्ज करें और उन्हें उस पर छोड़ दें। रोल-योर-बॉक्स के प्रबंधन में शामिल बहुत सी परेशानियाँ और प्रयास पूरी तरह से कवर हो गए हैं। हमारे पास कुछ OpenBSD बक्से पड़े हुए हैं जो कुछ फ़िल्टरिंग के लिए pf का उपयोग करते हैं, और मैंने आसानी से 10x खर्च किया है जितना कि समय पर बक्से और फ़ायरवॉल को बनाए रखना है क्योंकि मेरे पास PIXes है। हमने इस अवसर पर यह भी पाया है कि हमने ट्रैफिक के लिए ओपनबीएसडी में कठोर सीमाएँ मार दी हैं।

यह भी इंगित करने योग्य है कि एक PIX, iptables, की तुलना में बहुत अधिक है। PIXes में कुछ तत्व भी शामिल हैं जिन्हें आमतौर पर घुसपैठ का पता लगाने वाले सिस्टम (IDS) में देखा जाता है, अन्य बिट्स के साथ। फ़ायरवॉल हार्डवेयर आमतौर पर उच्च गति पर पैकेट प्रसंस्करण के उद्देश्य से बहुत अधिक विशिष्ट है, बजाय एक सामान्य मानक सर्वर के अधिक सामान्यीकृत प्रकृति के।

उन्होंने कहा कि सिस्को के समान ही अन्य विक्रेता भी हैं, और आप इसे अपने आप को फिर से बना सकते हैं। आपको बस अपना समय या नहीं तौलना है और किसी भी संभावित झंझट के लायक है।

फायरवॉल के लिए मैं यह जानना चाहूंगा कि मुझे एक ठोस और विश्वसनीय उपकरण मिल गया है।

यकीनन, इसका एक हिस्सा एक उपकरण का उपयोग करके "अपने स्वयं के रोल" बनाम के समान तर्क के लिए नीचे आता है

सभी उपकरण अंततः विफल हो जाते हैं। यदि आपने सिस्टम बनाया है और यह विफल हो जाता है, तो यह आपकी समस्या है। यदि आप विक्रेता से एक सिस्टम खरीदते हैं, और यह विफल रहता है, तो यह उनकी समस्या है ।

अच्छे समर्थन के साथ, आपने लोगों को प्रशिक्षित करने के लिए तैयार किया है। सिस्को, जुनिपर, नेटएपी, आदि जैसी कंपनियां सफल हैं क्योंकि वे गुणवत्ता वाले उत्पादों को गुणवत्ता के समर्थन के साथ प्रदान करती हैं। जब वे असफल हो जाते हैं (और कभी-कभी वे ऐसा करते हैं), तो उनके व्यवसाय को नुकसान होता है।

उच्च अंत उपकरण एक अच्छे समर्थन अनुबंध के साथ आ सकते हैं। अगर न्यू ईयर ईव के बाद शनिवार को फायरवॉल 3AM पर क्रैश हो जाता है, तो मुझे फोन पर 5 मिनट में वेंडर तकनीशियन मिल सकता है। एक तकनीशियन 2 घंटे में साइट पर हो सकता है और मेरे लिए असफल घटक को स्वैप कर सकता है। यदि राउटर एक बड़े व्यवसाय का समर्थन करता है जहां डाउनटाइम महंगे नुकसान का कारण बन सकता है, तो उच्च अंत राउटर प्राप्त करने के लिए इसके लायक हो सकता है। $ २०,००० या $ १००,००० डॉलर के २० मिलियन डॉलर या २०० मिलियन डॉलर के व्यापार का समर्थन करने पर यह महंगा नहीं लगता, जहां डाउनटाइम पर कंपनी को प्रति घंटे हजारों डॉलर खर्च हो सकते हैं।

कई मामलों में ये उच्च अंत राउटर बहुत महंगे हैं या अनावश्यक हैं, या आपको बजटीय या राजनीतिक कारणों से उच्च अंत राउटर नहीं मिल सकता है। कभी-कभी, कस्टम पिज्जा बॉक्स या सोइक्रिस बॉक्स अधिक उपयुक्त होता है।

कई सालों के बाद, यह अभी भी एक दिलचस्प सवाल है। आइए इसे दो उप-प्रश्नों में विभाजित करें:

1. क्यों एक के बजाय एक मालिकाना फ़ायरवॉल खरीदने के लिए एक ( एक Linux, FreeBSD, RouterOS, आदि के आधार पर) का उपयोग करें? यह सब आपकी आवश्यकताओं पर निर्भर करता है:

   • Opensource फ़ायरवॉल आमतौर पर अपनी छोटी लागत के लिए बहुत अच्छा प्रदर्शन करता है, और कोई विक्रेता लॉक-इन प्रदान नहीं करता है। हालांकि, वे शायद ही कभी पारदर्शी पारदर्शी UTM (एकीकृत धागा प्रबंधन) सुविधाएँ प्रदान करते हैं , जैसे कि कंटेंट फ़िल्टरिंग, एप्लिकेशन फ़िल्टरिंग, गेटवे एंटीवायरस, एसएसएल डिक्रिप्शन और पसंद। इसका मतलब यह नहीं है कि ओपनसोर्स फ़ायरवॉल ऐसा नहीं कर सकता है, हालांकि उन्हें अक्सर प्रॉक्सी सेवाओं के उपयोग की आवश्यकता होती है जो क्लाइंट-साइड कॉन्फ़िगर किया जाना चाहिए (यानी ब्राउज़र में)। दो अच्छे, अलग-अलग उदाहरण हैं मिकरोटिक (राउटरओएस, लिनक्स आधारित) और एंडियन: पूर्व में निष्पादनकर्ता, कम लागत, फ़ायरवॉल-केवल (कोई UTM) उत्पाद हैं; बाद वाला ज्यादातर प्रॉक्सी-आधारित, पूर्ण UTM उत्पाद प्रदान करता है। बिंदु में मामला: जबकि एंडियन का फ़ायरवॉल-ओनली कम्युनिटी एडिशन एक मुफ्त उत्पाद है, UTM सुइट लाइसेंस-आधारित है (और ये सुपर-सस्ते नहीं हैं)।
   • वेबयूआई पर विचार करने के लिए एक और बिंदु है: मालिकाना फ़ायरवॉल में आमतौर पर काफी अच्छा यूआई होता है, जबकि मुफ्त / ओपनसोर्स वाले कभी-कभी कम सहज यूआई (यानी: मिकरोटिक) होते हैं।
   • मालिकाना फ़ायरवॉल में अक्सर अतिरिक्त प्रबंधन सेवाएं होती हैं जो उनके साथ जुड़ी होती हैं। उदाहरण के लिए, वे कई उपकरणों में सभी कॉन्फ़िगरेशन परिवर्तनों को दोहराने या गहराई से रिपोर्टिंग देने के लिए एक प्रबंधन कंसोल शामिल कर सकते हैं।
   • अंत में, फ़ायरवॉल विक्रेता आमतौर पर हार्डवेयर प्रतिस्थापन और समर्थन टिकटिंग के रूप में सेवाएं प्रदान करते हैं। स्व-निर्मित ओपनसोर्स फ़ायरवॉल के साथ आप आमतौर पर हार्डवेयर को बदलने में अकेले होते हैं, और समर्थन हमेशा मुफ्त में उपलब्ध नहीं होता है। दूसरी तरफ, एक समस्या का निदान करना (और हल करना) बहुत आसान है जब मंच खुला-स्रोत है, बजाय बंद होने के।

2. यदि मालिकाना फ़ायरवॉल खरीदते हैं, तो कम-प्रदर्शन वाले उत्पाद के बजाय उच्च-अंत फ़ायरवॉल क्यों खरीद रहे हैं? यह सभी प्रदर्शन और सुविधाओं की आवश्यकताओं को पूरा करता है:

   • यदि आप UTM सेवाओं को न केवल WAN लिंक (जहां बैंडविड्थ अक्सर सीमित है) पर बल्कि आंतरिक लिंक (जैसे: DMZ, VLANs, आदि के बीच) पर भी सक्षम करने की योजना बनाते हैं, तो आपको उच्च थ्रूपुट के साथ फ़ायरवॉल की आवश्यकता होती है, खासकर यदि आपके पास कई क्लाइंट हैं। इसके अलावा, कम अंत फ़ायरवॉल में अक्सर समवर्ती उपयोगकर्ताओं, वीपीएन सुरंगों आदि की संख्या पर (कभी-कभी कृत्रिम) सीमाएँ होती हैं।
   • निम्न-अंत फ़ायरवॉल आपके वातावरण में आवश्यक कुछ अतिरिक्त सुविधाओं (जैसे: उच्च-उपलब्धता, WAN विफलता, लिंक एकत्रीकरण, 10Gb पोर्ट, आदि) को याद कर सकता है।

व्यक्तिगत अनुभव: उपरोक्त सभी कारकों का वजन, मैं अक्सर (लेकिन हमेशा नहीं) एक बुनियादी हार्डवेयर प्रतिस्थापन सेवा के साथ मालिकाना फ़ायरवॉल का उपयोग करने का निर्णय लेता हूं या कम से कम एक स्पेयर पार्ट के साथ अंतिम-उपयोग प्रदान करता हूं । जब बजट वास्तव में तंग होता है और कोई उन्नत सुविधाओं की आवश्यकता नहीं होती है, तो मैं ओपनसोर्स (मिकरोटिक) उत्पादों का उपयोग करता हूं।

यहां थोड़ा अलग हार्डवेयर के साथ एक परिप्रेक्ष्य है, लेकिन अवधारणा अभी भी लागू होती है। हम कुछ सस्ते 8 पोर्ट 10/100 "स्विच" के साथ एक नेटवर्क पर कई मॉडेम सर्वर चला रहे थे, यह सब एक साथ बांध रहा था। एक दिन, स्विच को फ्रीज करना शुरू कर दिया, और हमें इसे चक्र करना था। हमने ऐसा कई बार किया, जब तक कि यह वास्तव में जल नहीं गया। यह मॉडेम ट्रैफिक बहुत ही चटपटी थी, और यह बात सिर्फ गर्मी को नहीं रोक सकती थी।

हम एक इस्तेमाल किया सिस्को 2924 स्विच खरीदा है, और यह सब इतना अधिक सुचारू रूप से काम किया ... टकराव रास्ता नीचे चला गया। पुराने स्विच को चालू करता है 10Mbit हब को 100Mbit हब में बदल दिया गया था। सूक्ष्म अंतर, लेकिन यह लागत अंतर बताता है।