Lo que no menciona, y lo que generalmente es importante para este tipo de preguntas, es específicamente qué tipo de hardware tiene, cuáles son sus requisitos (rendimiento, conexiones concurrentes, carga de criptografía, etc.). ¿Cómo se ve una instantánea de su tráfico, de dónde viene y qué, idealmente, debería entrar y salir?
(Y también debe preocuparse por los peores escenarios de casos, dependiendo de a quién apoye: el mundo, clientes externos con SLA, clientes internos, dos personas en una oficina, es posible que tenga que preocuparse por en el peor de los casos, solo un poco, o potencialmente podría estar en el centro de su diseño).
Con eso faltante, aquí hay algunas razones generales por las que evitaría las soluciones todo en uno:
- los dispositivos todo en uno te dejan con un único punto de falla (o al menos una ruta de datos colapsada que es más propensa a ser deshabilitada por falla)
-
la mayoría de los dispositivos de rol (enrutadores, o conmutadores, o firewalls), especialmente una vez que se sale de la materia básica de productos básicos, están optimizados para sus roles principales.
-
Esto significa que hardware está optimizado: la criptografía para IPSec u otra VPN se descarga a los ASIC, los backplanes de conmutadores se convierten en autopistas (o no), los chips especializados manejan los flujos de la capa 2, etc. Los switches de Cisco han usado ASICS desde siempre. Juniper y Cisco han estado haciendo enrutamiento durante mucho tiempo y saben cómo descargar el hardware de manera adecuada.
-
... y software están optimizados. Los componentes pueden funcionar, pero si son adiciones, no integradas desde el principio, verás el resultado en flexibilidad, resistencia y estabilidad. En muchos casos, las empresas han adquirido porque tienen dispositivos que apuntalan una debilidad y hacen una o dos cosas muy bien: con el tiempo se han agregado (y agregado y agregado), generalmente solo en software, para que usted, el cliente puede comprar un buen producto "bien redondeado". Puede ver las consecuencias de esto en todo, desde interfaces de usuario básicas hasta la rigidez de las herramientas de informes para algunos componentes en comparación con otros. Si tiene una ACL reflexiva y VPN e IPSec y la captura de paquetes y la inspección profunda de paquetes en un dispositivo: alguien tiene que configurarlo, alguien debe monitorearlo y alguien tendrá que, en algún momento, solucionarlo. ¿Son estas cosas que surgen naturalmente, se derivan del diseño de la interfaz de usuario, o tiene que llamar al servicio de asistencia solo para explicar el lenguaje del menú, o para analizar un volcado de datos?
Analogía ridícula número uno: puedes poner un spoiler en un civic, e incluso podría hacer algo little , pero ese spoiler es solo una decoración. (Si su seguridad tiene que ver con golpear las casillas correctas para las auditorías, a veces puede "salirse" con decoraciones. Pero esto no es una seguridad real, y lo sabemos).
Tener un producto que hace demasiado puede aparecer también en el soporte del producto. Si tiene un problema en su dispositivo Everything, ¿cuánto soporte hay para él? ¿Cuánto tiempo llevan soportando la capacidad complementaria 96 y 97 de este dispositivo? Si es una ocurrencia tardía, esto podría ser un problema. ¿Cuántos desarrolladores tiene el proveedor involucrado en las pruebas de regresión, corrección de errores y nuevas versiones de código?
Para el hardware, a menudo puede agregar módulos que le brindan energía adicional en algunas áreas. Cisco vende una gran cantidad de tarjetas y módulos que descargarán criptografía, o 'anti-X', o trabajo de IDS / IPS, y estos van en todo, desde ASA hasta 6500 switches centrales. ¿Gran idea? Eso depende. ¿Puede comprar otro dispositivo o va a hacer más con menos?
Y los enrutadores siguen siendo los mejores en el tráfico de enrutamiento, los conmutadores centrales generalmente son mejores para no confundirse con las listas de acceso, los firewalls son mejores para no ejecutar OSPF y BGP.
Para terminar, aquí hay otra analogía ridícula: un atleta puede ser un fantástico nadador, un jugador de baloncesto o un gimnasta, pero eso no significa que el mismo atleta también deba ocupar una posición en la lista de fútbol o rugby. Si usted es una persona de TI y tiene una serie de requisitos, puede hacer que un dispositivo ocupe todas las casillas de verificación de su lista: ocupe todos los puestos disponibles en su lista. Pero si tiene el presupuesto y los recursos para comprar y desplegar una solución más sólida para cada una de las necesidades que tenga, ciertamente iría lejos como una estrategia más sostenible.