Lösung 1:
Es ist nur eine Frage des Maßstabs. Die Tausende von Dollar teuren Firewalls verfügen über Funktionen und Kapazitäten, die es ihnen ermöglichen, global zu skalieren und verwaltet zu werden. Eine Vielzahl von Funktionen, die jeder, der sie nicht verwendet, ziemlich lange recherchieren müsste, bevor er (wir) ihre individuellen Vorzüge einschätzen könnte.
Ihr typischer Heimrouter muss nicht wirklich in der Lage sein, ein Büro voller Geräte oder mehrere ISP-Verbindungen zu verwalten, also ist er billiger. Sowohl in der Anzahl/Art der Schnittstellen als auch in der Hardwarekapazität (RAM usw.). Die Büro-Firewall benötigt möglicherweise auch etwas QoS, und Sie möchten möglicherweise, dass sie eine VPN-Verbindung zu einem Remote-Büro herstellen kann. Sie werden auch für dieses kleine Büro eine etwas bessere Protokollierung wünschen als für die Heim-Firewall.
Skalieren Sie dies weiter, bis Sie ein paar hundert oder tausend Benutzer/Geräte pro Standort verwalten, eine Verbindung zu Dutzenden/Hunderten anderer Firewalls des Unternehmens weltweit herstellen und alles mit einem kleinen Team an einem Standort verwalten müssen.
(Ich habe vergessen, IOS-Updates, Support-Verträge, Hardware-Garantien zu erwähnen - und es gibt wahrscheinlich noch ein paar Dutzend andere Überlegungen, von denen ich nicht einmal etwas weiß ... aber Sie verstehen schon)
Lösung 2:
In der Regel erhalten Sie zusammen mit der Hardware-Firewall eine wiederkehrende jährliche Wartungsgebühr und das Versprechen eines zukünftigen Datums, an dem "Hardware-Support" nicht mehr verfügbar sein wird und Sie die Ausrüstung herausheben und ersetzen müssen (also die Cisco PIX zum ASA-Übergang). Sie bleiben auch in einer Beziehung mit einem einzelnen Anbieter stecken. Versuchen Sie beispielsweise, Softwareaktualisierungen für Ihren Cisco PIX 515E von einigen anderen Cisco-Systemen zu erhalten.
Sie können wahrscheinlich feststellen, dass ich speziell entwickelter Firewall-Hardware ziemlich negativ gegenüberstehe.
Freie und Open-Source-Betriebssysteme (FOSS) treiben einige bekannte „Hardware“-Firewall-Geräte an und sind keineswegs unbewiesene Technologie. Sie können Software-Supportverträge für FOSS von vielen verschiedenen Anbietern erwerben. Sie können jede gewünschte Hardware mit einem beliebigen Ersatzteil-/Servicevertrag Ihrer Wahl erwerben.
Wenn Sie wirklich sind viele Bits herumschieben, dann wäre vielleicht ein speziell angefertigtes Hardware-Firewall-Gerät notwendig. FOSS kann Sie jedoch in vielen Situationen unterstützen und Ihnen enorme Flexibilität, Leistung und Gesamtbetriebskosten bieten.
Lösung 3:
Sie haben bereits einige gute Antworten erhalten, als Sie über technische Dinge und Support gesprochen haben. Alles Wichtige.
Lassen Sie mich eine weitere zu berücksichtigende Sache einführen:Ihre Zeit zum Erstellen, Konfigurieren und Unterstützen einer internen Hardware-Firewall ist eine Investition für Ihren Arbeitgeber. Wie bei allen Dingen muss das Unternehmen entscheiden, ob sich diese Investition lohnt.
Was Sie/Ihr Vorgesetzter berücksichtigen müssen, ist, womit Sie Ihre Zeit am besten verbringen. Die Frage, ob sich „selbst rollen“ lohnt, kann sich komplett ändern, wenn Sie ein Spezialist für Netzwerksicherheit sind und/oder Ihr Arbeitgeber spezielle Firewall-Anforderungen hat, die in einem handelsüblichen Produkt im Vergleich zu jemandem, der es tut, nicht einfach einzurichten sind neben der Netzwerksicherheit noch viele weitere Aufgaben zu erfüllen hat und deren Anforderungen leicht durch den Anschluss einer Netzwerkanwendung erfüllt werden können.
Nicht nur in diesem speziellen Fall, sondern im Allgemeinen habe ich einige Male eine Lösung "von der Stange" gekauft oder bei einer Beratungsfirma für etwas angeheuert, das ich durchaus selbst erledigen kann, weil mein Arbeitgeber es vorziehen würde, meine Zeit zu verbringen anderswo. Dies kann ein ziemlich häufiger Fall sein, besonders wenn Sie vor einer Frist stehen und Zeitersparnis wichtiger ist als Geld zu sparen.
Und vernachlässigen Sie nicht die Möglichkeit, "jemand anderem die Schuld zu geben" - wenn Sie um 3 Uhr morgens einen größeren Ausfall auf einen Fehler in der Firewall zurückführen, ist es sehr angenehm, mit dem Anbieter sprechen und sagen zu können:"Ich weiß es nicht t Pflege Wenn es Software oder Hardware ist, ist es so oder so Ihr Problem".
Lösung 4:
Wie handhabt Ihre Homebrew-Firewall die Hardwarewartung während des Betriebs?
Wie hält sich Ihre Homebrew-Firewall, wenn Sie einen Durchsatz von 40+ Gbit/s erreichen?
Wie segmentiert Ihre Homebrew-Firewall Berechtigungen für Administratoren in verschiedenen Geschäftsbereichen, sodass sie nur ihre eigenen Teile der Regelbasis verwalten können?
Wie verwalten Sie Ihre Regeldatenbank, wenn Sie über 15.000 Regeln haben?
Wer unterstützt dich, wenn es in den Graben geht?
wie wird es einem Audit nach gemeinsamen Kriterien standhalten.
Übrigens sind 100.000 US-Dollar für Firewalls nicht annähernd "High-End". Eine weitere Null würde Sie dorthin bringen. und es ist wirklich ein Tropfen auf den heißen Stein für die Ressourcen, die sie schützen
Lösung 5:
Natürlich gibt es auf diese Frage keine allgemeingültige Antwort, also beschreibe ich, was ich getan habe und warum.
Um es vorwegzunehmen:Wir sind ein ziemlich kleines Unternehmen mit etwa 25 Mitarbeitern im Innendienst und vielleicht der gleichen Anzahl in der Produktion. Unser Hauptgeschäft sind spezialisierte Druckereien, die einst eine Monopolstellung innehatten, nun aber gegen zunehmenden Widerstand billiger Importe, hauptsächlich aus China, ankämpfen. Das bedeutet, dass wir zwar Service und Hardware auf Rolls Royce-Niveau lieben würden, uns aber im Allgemeinen mit etwas mehr auf Volkswagen-Niveau zufrieden geben müssen.
In unserer Situation waren die Kosten für so etwas wie Cisco oder ähnliches einfach nicht zu rechtfertigen, zumal ich keine Erfahrung damit habe (ich bin eine Ein-Mann-IT-"Abteilung"). Auch die teuren Gewerbeeinheiten bieten uns keinen wirklichen Nutzen.
Nachdem ich mir angesehen hatte, was das Unternehmen hatte und was es brauchte, entschied ich mich für einen alten PC und installierte Smoothwall Express, teilweise weil ich dieses Produkt seit einigen Jahren verwende und bereits sicher und vertraut damit war. Das bedeutet natürlich, dass es keinen externen Support für die Firewall gibt, was ein gewisses Risiko birgt, aber es ist ein Risiko, mit dem das Unternehmen zufrieden ist. Ich möchte nur hinzufügen, dass Smoothwall als Firewall so gut ist, wie ich es für unsere Größenordnung gesehen habe, aber es ist möglicherweise nicht unbedingt die beste Wahl für eine viel größere Organisation.
Diese Lösung funktioniert für uns. Es kann für Sie funktionieren oder nicht. Nur Sie können diese Entscheidung treffen.