为什么要购买高端硬件防火墙？

瞻博网络和思科提供的防火墙价格不菲。

所以我想知道：与运行4个10Gbit网卡（例如OpenBSD / FreeBSD / Linux）的2U服务器相比，从10.000美元以上的防火墙中可以获得什么？

硬件防火墙可能具有Web界面。

但是，对于价值10.000美元或100.000美元的防火墙，还能得到什么呢？？？

这只是规模问题。数千美元的防火墙具有功能和容量，可让它们在全球范围内扩展和管理。许多功能，任何不使用它们的人，在他们（我们）欣赏他们各自的优点之前，都需要做大量的研究。

您的典型家庭路由器实际上并不需要能够处理办公室设备或多个ISP连接，因此价格便宜。接口的数量/类型和硬件容量（RAM等）均如此。办公室防火墙可能还需要一些QoS，并且您可能希望它能够与远程办公室建立VPN连接。您也希望该小型办公室的日志记录比家庭防火墙要好。

不断扩大规模，直到您需要每个站点处理数百或数千个用户/设备，连接到公司在全球范围内拥有的数百/数百个其他防火墙，并在一个位置的小型团队来管理所有防火墙。

（我忘了提到IOS更新，支持合同，硬件保修-甚至还有几十个我不知道的其他注意事项...但是您知道了）

通常，与硬件防火墙一起，您将获得定期的年度维护费用，并承诺不再提供“硬件支持”，并且您将不得不撤出设备并进行更换（例如Cisco PIX）到ASA过渡）。您还会陷入与单一供应商的关系中。例如，尝试从其他一些Cisco Systems获得Cisco PIX 515E的软件更新。

您可能会说，我对专用防火墙硬件相当否定。

自由和开放源（FOSS）操作系统为某些著名的“硬件”防火墙设备提供了动力，并且也不是未经证实的技术。您可以从许多不同的方面购买FOSS的软件支持协议。您可以通过选择的任何备件/服务协议购买所需的任何硬件。

如果您确实要花很多精力，那么也许需要专用的硬件防火墙设备。FOSS可以在很多情况下为您提供服务，并为您提供极大的灵活性，性能和总拥有成本。

您已经在谈论技术和支持方面获得了一些不错的答案。所有重要的事情。

让我介绍一下要考虑的另一件事：您在内部创建，配置和支持“自行构建”硬件防火墙的时间对您的雇主来说是一笔投资。像所有事物一样，企业必须决定这项投资是否值得。

您/您的经理需要考虑的是您最适合在哪里度过的时间。如果您是专业的网络安全人员和/或您的雇主有专业的防火墙要求，而与现成的产品相比，他们不容易在现成的产品中进行设置，那么“滚动自己”是否值得的问题可能会完全改变。除网络安全性外，还有许多职责要考虑，并且通过插入网络设备可以轻松满足其需求。

不仅在这种特定情况下，而且总的来说，有几次我是“现成”购买解决方案或聘请一些咨询公司来做一些我自己有能力做的事情，因为我的雇主宁愿花我的时间别处。这可能是很常见的情况，尤其是当您面临最后期限并且节省时间比节省金钱更重要时。

并且不要低估“责备他人”的能力-当您在早上3点发现重大故障导致防火墙中的错误时，很高兴能够与供应商交谈并说“我不愿意”牛逼关心，如果它的软件或硬件，这是你的问题，无论哪种方式”。

您的自制防火墙将如何处理在线硬件维护？

当您达到40 + Gbps的吞吐量时，您的自制防火墙将如何承受？

您对不同业务部门的管理员的自制防火墙段权限将如何管理，以便他们只能管理自己的规则库部分？

当您拥有15,000多个规则时，如何管理规则库？

谁在沟里支持你？

如何进行通用标准的审核。

顺便说一句，对于防火墙来说，10万美元远不是“高端”。另一个零将使您到达那里。而它们所保护的资源实在是九牛一毛

显然，这个问题没有一个千篇一律的答案，因此，我将描述自己的工作以及原因。

举例说明：我们是一家规模很小的企业，拥有约25名办公室员工，生产车间的人数可能相同。我们的主要业务是作为专业印刷商，他们曾一度享有垄断地位，但现在正与来自廉价进口商品（主要是来自中国）的越来越多的反对者作斗争。这意味着，尽管我们会喜欢劳斯莱斯级别的服务和硬件，但我们通常不得不适应大众汽车级别的更多要求。

在我们的情况下，思科或类似公司的成本根本无法证明，尤其是因为我没有经验（我是一个人的IT“部门”）。同样，昂贵的商业单位也没有给我们真正的好处。

在查看了公司的功能和他们的需求之后，我选择使用一台旧PC并安装Smoothwall Express，部分原因是我已经使用该产品很多年了，并且已经对它感到自信和满意。当然，这的确意味着防火墙没有外部支持，这会带来一定程度的风险，但这是公司可以接受的风险。我要补充一点，因为防火墙防火墙Smoothwall的规模和我所见的一样好，但是对于大型组织而言，它不一定是最佳选择。

该解决方案对我们有效。它可能对您不起作用。只有您才能做出决定。

如果您拥有XXXisco品牌的防火墙，其丢包率为95％，则可以起诉某人。如果您的机器上有相同的丢包率（这在罕见的ICMP泛滥环境下也很常见），那么，您将下船查看您的薪水将被放入新的防火墙中。

在某种程度上，存在“ It just works”的说法。不用担心硬件怪癖，也不必担心软件错误。

我在热备份配置中使用一对PIX，但它们从未失败。插入电源，输入必要的规则并将其保留。完全解决了管理自带包装盒的许多麻烦和工作。我们周围确实有一些OpenBSD框，它们确实使用pf进行了一些过滤，而与PIX相比，我在框和防火墙上的维护时间轻松节省了10倍。我们还偶尔发现我们在OpenBSD中遇到了流量限制。

值得指出的是，PIX比iptables还多。PIX还包括其他在入侵检测系统（IDS）中常见的元素。防火墙硬件通常也更专门用于高速处理数据包，而不是沼泽标准服务器的更一般性。

就是说，还有其他供应商与思科一样值得，您可以自己重新创建它。您只需要权衡一下您的时间和任何可能的麻烦是否值得。

对于防火墙，我宁愿知道自己拥有一个可靠的可靠设备。

可以说，部分原因归结为关于“自己动手”与使用设备的同一论点

所有设备最终都会故障。如果您构建了系统，但它失败了，那是您的问题。如果您从供应商那里购买了一个系统，但它失败了，那是他们的问题。

在良好的支持下，您已训练好了准备备份您的人员。像Cisco，Juniper，NetApp等公司之所以成功，是因为它们提供有质量支持的优质产品。当他们失败时（有时会失败），他们的业务就会受到损害。

高端设备可以附带良好的支持合同。如果除夕夜周六凌晨3点防火墙崩溃，我可以在5分钟内让供应商技术人员通过电话联系。技术人员可以在2小时内到现场，为我更换发生故障的组件。如果路由器支持大型企业，在这种情况下停机会导致高昂的损失，那么购买高端路由器可能是值得的。当$ 10,000或$ 100,000支持一个价值2000万或2亿美元的业务时，停机时间可能使公司每小时损失数千美元，这似乎并不昂贵。

在许多情况下，这些高端路由器过于昂贵或不必要，或者由于预算或政治原因而无法获得高端路由器。有时，定制披萨盒或Soekris盒更合适。

多年后，这仍然是一个有趣的问题。让我们将其分为两个子问题：

1. 为什么要购买专用防火墙而不使用开放源防火墙（基于Linux，FreeBSD，RouterOS等）？这完全取决于您的需求：

   • 开源防火墙通常以很小的成本就能很好地运行，并且不提供任何厂商锁定。但是，它们很少提供高级透明的 UTM（统一线程管理）功能，例如内容过滤，应用程序过滤，网关防病毒，SSL解密等。这并不意味着开源防火墙无法做到这一点，但是它们通常需要使用需要在客户端（即在浏览器中）配置的代理服务。两个很好的不同示例是Mikrotik（基于Linux的RouterOS）和Endian：前者具有高性能，低成本，仅防火墙（无UTM）产品；后者提供主要基于代理的完整UTM产品。恰当的例子：虽然Endian的仅防火墙社区版是免费产品，但UTM套件是基于许可证的（而且它们不是超级便宜）。
   • 需要考虑的另一点是WebUI：专有防火墙通常具有相当好的UI，而自由/开源防火墙有时则具有较不直观的UI（即：Mikrotik）。
   • 专用防火墙通常捆绑有其他管理服务。例如，它们可以包括管理控制台，以将所有配置更改复制到多个设备，或提供深入的报告。
   • 最后，防火墙供应商通常提供硬件更换和支持票证等服务。使用自行构建的开源防火墙，通常您自己一个人就需要更换硬件，而且并非总是免费提供支持。另一方面，当平台是开源的而不是封闭的时，更容易诊断（和解决）问题。

2. 如果购买专有防火墙，为什么要购买高端防火墙而不是性能较低的产品？归结为性能和功能要求：

   • 如果您打算不仅在WAN链接（带宽通常受限制的地方）上而且在内部链接（例如DMZ，VLAN之间等）上启用UTM服务，则需要具有高吞吐量的防火墙，尤其是在有许多客户端的情况下。而且，低端防火墙通常对并发用户数，VPN隧道等具有（有时是人为的）限制。
   • 低端防火墙可能会缺少您环境中所需的某些其他功能（即：高可用性，WAN故障转移，链路聚合，10Gb端口等）。

个人经验：权衡上述所有因素后，我经常（但并非总是）决定使用专有防火墙甚至提供基本的硬件更换服务，或者至少为最终用户提供备件。当预算真的很紧张并且不需要高级功能时，我会使用开源（Mikrotik）产品。

这是硬件稍有不同的一种观点，但该概念仍然适用。我们在网络上运行了几台调制解调器服务器，这些服务器的价格相对便宜一些，是8端口10/100“交换机”，将它们捆绑在一起。一天，交换机开始冻结，我们必须重新启动它。我们做了几次，直到它完全烧毁。那个调制解调器的流量非常闲谈，事情根本无法解决。

我们购买了一个二手的cisco 2924交换机，它的运行非常顺畅...冲突逐渐减少。原来的交换机是将10Mbit集线器切换到100Mbit集线器。细微的差异，但这可以解释成本差异。