Qual è la differenza tra $ 200 e $ 1,000 + Firewall?

Uno dei maggiori e più importanti fattori tra l'hardware del firewall è il throughput massimo e la latenza tipica. L'hardware firewall a basso costo di solito ha un throughput massimo inferiore a 100 Mbit / sec anche se gli adattatori di rete potrebbero teoricamente supportare più di quello. Ciò significa che il firewall diventa il collo di bottiglia della rete in molti scenari. Determinare il throughput del tuo firewall richiede molto più della semplice velocità della porta.

L'elaborazione dei dati richiede rapidamente CPU veloci, interconnessioni ad alta velocità e molta RAM veloce e adattatori di rete di altissima qualità. Solo l'hardware da solo per un firewall in grado di trasmettere dati a 1 Gbit / sec con un esame minimo può metterti nelle diverse centinaia di dollari. Inoltre, più esami fai sul traffico, più potenza e memoria della CPU consumi. L'aggiunta di una complessa logica di filtraggio aumenterà in modo significativo l'utilizzo della CPU e della RAM. E ogni esaurimento delle risorse si tradurrà in ritardi o pacchetti abbandonati.

Effettuare un'ispezione dei pacchetti con stato e in particolare la logica del protocollo a livello di applicazione è possibile anche su un router domestico da $ 60, ma l'impatto sulle prestazioni ad alto utilizzo sarebbe grave.

L'interfaccia per il tuo hardware non è generalmente una spesa importante, ma dal momento che la maggior parte delle persone identifica la qualità dell'interfaccia con la qualità dell'hardware in generale, le aziende con un profondo interesse per la sopravvivenza del loro prodotto generalmente metteranno un ulteriore sforzo per rendere l'interfaccia più facile da usare. Almeno, questa è la teoria. A volte aziende come Juniper e Cisco mi fanno dubitare di questa ipotesi.

Ricorda inoltre che alcune aziende creano un'intera azienda non solo fornendo hardware e software firewall, ma anche fornendo aggiornamenti regolari al sistema operativo, regole di filtro, schemi per spam e malware e così via. Se vuoi questo tipo di servizio, devi contribuire a pagare gli stipendi per le persone che lo forniscono.

I firewall a basso costo di casa / piccole imprese tendono ad avere un supporto molto limitato per cose come NAT, VPN, IPSec, DNS, ecc. e sono progettati per un basso throughput e un numero molto basso di connessioni simultanee (spesso il vero problema). I firewall aziendali si sono recentemente spostati verso un modello di minaccia unificato in cui si acquista uno chassis e si acquistano le licenze per le funzionalità desiderate. La maggior parte sono in grado di eseguire non solo l'ispezione deep packet ma anche la prevenzione delle intrusioni, il filtraggio dei contenuti Web, l'anti-spam, la VPN, ecc. A seconda della licenza. Più veloce è sicuramente più costoso, ma volevo illustrare alcune differenze fondamentali nei disegni stessi.

I firewall sono disponibili in diversi livelli in base alle funzionalità e alle funzionalità richieste dall'utente / organizzazione.

1 - Il livello più elementare è per gli utenti domestici o di piccole aziende che fornisce la conversione dell'indirizzo della porta, il NAT di base, un singolo poort WAN, porte di rete limitate e spesso wireless.

2 - Piccole imprese / piccole imprese di solito hanno interfacce grafiche semplici o semi-potenti, 1-2 porte wan, funzionalità VPN (da sito a sito e da client a sito), configurazioni NAT / PAT flessibili e molte hanno funzioni aggiuntive come come anti-spam, anti-virus, IPS e filtro dei contenuti web (di solito a pagamento mensile). Spesso il wireless è un'opzione e potrebbero esserci disponibilità di alta disponibilità / funzionalità di bilanciamento del carico disponibili per i modelli di fascia più alta.

3 - I modelli Enterprise più grandi avranno porte che è possibile designare a volontà come funzionalità VPN interna / esterna, potenti GUI, backplane ad alta velocità, processori più potenti e maggiori quantità di RAM, supporto alta disponibilità / bilanciamento del carico, molti dei le funzioni di aggiunta citate nel livello precedente.

Se si guardano i firewall da una prospettiva aziendale più ampia, è necessaria una disponibilità elevata che significa più firewall in alta disponibilità o in modalità cluster che supportano più connessioni ISP. L'hardware non solo si somma ma la manutenzione annuale è un bel penny.

Nell'istanza del setup 3 nel link, avere più firewall potrebbe essere più sicuro. Questo perché è possibile segmentare la rete e creare regole speciali per consentire solo determinati accessi e ispezionare il traffico per assicurarsi che sia ciò che sta accadendo.

Quando si confronta con lo scenario 1, ottenere l'accesso a un sistema probabilmente ti darà le chiavi dell'intera fattoria. E quell'unico sistema potrebbe essere un desktop casuale sulla LAN piuttosto che uno di quei 3 server. Nella nostra rete utilizziamo più firewall per segmentare la nostra rete in sezioni per LAN, DMZ e server, nonché un paio di altre sezioni per le aree che richiedono l'accesso a dati speciali. Essenzialmente hai 1 firewall per proteggere dal web, quindi altri firewall per proteggere te stesso. :)

Penso che la larghezza di banda sia un pessimo modo per misurare la capacità di un firewall. È meglio controllare quanti pacchetti può gestire. Poiché la maggior parte delle aziende afferma che il firewall può elaborare circa 1 Gb / s, non è detto a quale dimensione.

Come pacchetto di rete può variare tra 7B e 64kB. Un firewall avrà un overhead 9 volte superiore durante l'elaborazione di uno stream con pacchetti 7B rispetto ai pacchetti 64kB.

Quindi, se vedete due firewall che possono elaborare a 1 Gb / se vi state chiedendo perché uno costa il doppio. Ricorda che potrebbe essere per questo motivo.

(anche quando acquisti un firewall, chiedi dei pacchetti piuttosto che della larghezza di banda per confrontare i firewall)

Oltre alle risposte precedenti, che si concentravano correttamente sulla larghezza di banda e sulla velocità effettiva, oltre ai moduli "aggiuntivi" come NAT, VPN, filtro dei contenuti, IPS ed ecc.

Voglio anche sottolineare che i prodotti di fascia alta hanno molte funzioni pronte all'implementazione, come l'integrazione con il server LDAP o RADIUS esistente, per l'autenticazione dell'utente; configurazione e integrazione PKI più semplici; Meccanismi "bootstrap" per aggiungere macchine.
Anche alcune migliori utility di gestione, oltre a una semplice interfaccia utente, come una migliore gestione dei cluster FW, cambiamento del flusso di lavoro, delega delle policy, ecc.
Infine alcuni dei firewall più avanzati forniscono ganci di estensibilità (anche se nella parte inferiore, l'open source FW ti permetterebbe anche di fare questo - tipo di).