¿Cuál es la diferencia entre $ 200 y $ 1,000 + cortafuegos?

Uno de los factores más grandes e importantes entre el hardware del firewall es el rendimiento máximo y la latencia típica. El hardware de firewall de bajo costo por lo general tiene un rendimiento máximo de menos de 100 Mbit / seg, aunque en teoría los adaptadores de red pueden admitir más. Esto significa que el cortafuegos se convierte en el cuello de botella de su red en muchos escenarios. La determinación del rendimiento de su firewall implica algo más que simplemente observar la velocidad del puerto.

El procesamiento de datos rápidamente requiere CPU rápidas, interconexiones de alta velocidad y mucha memoria RAM rápida, y adaptadores de red de muy alta calidad. Solo el hardware para un firewall capaz de pasar datos a 1 Gbit / seg con un examen mínimo puede ponerlo en el rango de varios cientos de dólares. Además, cuanto más examina el tráfico, más potencia de CPU y memoria consume. Agregar lógica compleja de filtrado aumentará significativamente la utilización de la CPU y la memoria RAM. Y cualquier agotamiento de recursos resultará en retrasos o paquetes caídos.

La inspección de paquetes con estado y particularmente la lógica del protocolo a nivel de la aplicación es posible incluso en un enrutador doméstico de $ 60, pero el impacto en el rendimiento a una alta utilización sería grave.

La interfaz para su hardware generalmente no es un gasto importante, pero como la mayoría de las personas equipara la calidad de la interfaz con la calidad del hardware en general, las empresas con gran interés en la supervivencia de su producto generalmente harán un esfuerzo adicional. en hacer que la interfaz sea más fácil de usar. Al menos, esa es la teoría. A veces, compañías como Juniper y Cisco me hacen dudar de esa suposición.

También tenga en cuenta que algunas empresas construyen una empresa completa no solo proporcionando hardware y software de firewall, sino también brindando actualizaciones periódicas del sistema operativo, las reglas de filtrado, los patrones de spam y malware, etc. Si desea ese tipo de servicio, debe ayudar a pagar los salarios de las personas que lo prestan.

Los firewalls económicos para el hogar / pequeñas empresas tienden a tener un soporte muy limitado para cosas como NAT, VPN, IPSec, DNS, etc. y están diseñados para un bajo rendimiento y un número muy bajo de conexiones concurrentes (a menudo el problema real). Los firewalls empresariales últimamente se han movido hacia un modelo de amenaza unificado donde compra un chasis y compra licencias para las funciones que desea. La mayoría son capaces de realizar no solo la inspección profunda de paquetes, sino también la prevención de intrusiones, el filtrado de contenido web, el antispam, la VPN, etc., según la licencia. Más rápido es definitivamente más caro, pero quería ilustrar algunas diferencias fundamentales en los diseños mismos.

Los firewalls están disponibles en diferentes niveles dependiendo de las características y capacidades que necesita el usuario / organización.

1: el nivel más básico es para usuarios domésticos o de pequeñas empresas, que proporciona traducción de direcciones de puertos, NAT básica, un único puerto WAN, puertos de red limitados y, a menudo, inalámbricos.

2 - Las pequeñas empresas / pequeñas empresas generalmente tienen interfaces gráficas de usuario sencillas o semi-potentes, 1-2 puertos wan, funcionalidad VPN (sitio a sitio y cliente a sitio), configuraciones flexibles de NAT / PAT, y muchos tienen funciones adicionales tales como como anti-spam, anti-virus, IPS y filtrado de contenido web (generalmente por una tarifa mensual). A menudo, la tecnología inalámbrica es una opción y puede haber funciones de alta disponibilidad / equilibrio de carga disponibles para los modelos de mayor nivel.

3 - Los modelos Enterprise más grandes tendrán puertos que puede designar a voluntad como internos / externos, funcionalidad VPN, GUI potentes, backplanes de alta velocidad, procesadores más potentes y mayores cantidades de RAM, soporte de alta disponibilidad / equilibrio de carga, muchos de las características adicionales que se mencionan en el nivel anterior.

Si observa los firewalls desde una perspectiva empresarial más amplia, necesita una alta disponibilidad, lo que significa múltiples firewalls en alta disponibilidad o en modo de agrupación de servidores compatibles con múltiples conexiones ISP. No solo se suma el hardware, sino que su mantenimiento anual es un centavo bonito.

En la instancia de la instalación 3 en el enlace, tener varios firewalls podría ser más seguro. Esto se debe a que puede segmentar la red y crear reglas especiales para permitir solo cierto acceso e inspeccionar el tráfico para asegurarse de que eso es lo que está sucediendo.

Al comparar con el escenario 1, obtener acceso a un sistema probablemente le dará las claves para toda la granja. Y ese sistema puede ser un escritorio aleatorio en la LAN en lugar de uno de esos 3 servidores. En nuestra red, usamos múltiples firewalls para segmentar nuestra red en secciones para LAN, DMZ y servidores, así como un par de otras secciones para áreas que necesitan acceso a datos especiales. Esencialmente, usted tiene 1 servidor de seguridad para proteger de la web y luego otros servidores de seguridad para protegerse de usted mismo. :)

Creo que el ancho de banda es una forma muy mala de medir la capacidad de un firewall. Es mejor verificar cuántos paquetes puede manejar. Como la mayoría de las empresas dicen que su firewall puede procesar 1 Gb / s, no se dice en qué tamaño.

Como un paquete de red puede oscilar entre 7B y 64kB. Un firewall tendrá una sobrecarga 9 veces mayor al procesar una secuencia con paquetes 7B que con paquetes de 64kB.

Entonces, si ve dos firewalls que pueden procesarse a 1 Gb / sy se está preguntando por qué uno cuesta el doble. Ten en cuenta que podría ser por esta razón.

(también cuando compre un firewall, pregunte sobre paquetes en lugar de ancho de banda para comparar firewalls)

Además de las respuestas anteriores, que se enfocaron correctamente en el ancho de banda y el rendimiento, además de los módulos "complementarios" como NAT, VPN, filtrado de contenido, IPS y etc.

También quiero señalar que los productos de gama alta tienen muchas características listas para la implementación, como la integración con el servidor LDAP o RADIUS existente, para la autenticación del usuario; configuración e integración PKI más fácil; Mecanismos de "bootstrap" para agregar máquinas.
También algunas mejores utilidades de administración, más allá de una IU bonita, como mejor administración de clúster de FW, cambio de flujo de trabajo, delegación de políticas, etc. Por último, algunos de los cortafuegos más avanzados proporcionan enlaces de extensibilidad (aunque en el extremo inferior, el FW de código abierto también le permitiría hacer esto, más o menos).