200ドルと1,000ドル以上のファイアウォールの違いは何ですか？

Question

特定のハードウェアの長所と短所について尋ねるのではなく、もっと広い範囲の質問をすると思いました。本当に高価なファイアウォールと安価なファイアウォールの違いは何ですか？通常、どのような追加機能/サポートを取得しますか？ファイアウォール（ハードウェア）を実行するにはソフトウェアが必要ですが、標準のOSのファイアウォールを使用する必要はありますか？

ここ（シナリオ3）では、複数のファイアウォールが大企業（500人以上）にとってより有益であることが示唆されました。ファイアウォールの数が多いほど、保護が強化されるのはなぜですか。

この質問は 今週のITセキュリティの質問 でした。
詳細については、2012年1月6日 ブログエントリ をお読みください。または 自分で送信 今週の質問。

tylerl · Accepted Answer

ファイアウォールハードウェア間の最大かつ最も重要な要素の1つは、最大スループットと通常の遅延です。低コストのファイアウォールハードウェアの最大スループットは、理論的にはネットワークアダプターがそれ以上をサポートしている場合でも、通常100メガビット/秒未満です。これは、ファイアウォールが多くのシナリオでネットワークのボトルネックになることを意味します。ファイアウォールのスループットを決定するには、ポート速度を調べるだけでは不十分です。

データを迅速に処理するには、高速のCPU、高速の相互接続、大量の高速RAM、および非常に高品質のネットワークアダプターが必要です。最小限の検査で1ギガビット/秒でデータを渡すことができるファイアウォールのハードウェアだけでも、数百ドルの範囲に収まる可能性があります。さらに、トラフィックの通過についてより多くの調査を行うほど、より多くのCPUパワーとメモリを消費します。複雑なフィルタリングロジックを追加すると、CPUとRAM=使用率が大幅に増加します。リソースが枯渇すると、遅延やパケットのドロップが発生します。

ステートフルパケットインスペクション、特にアプリケーションレベルのプロトコルロジックを60ドルのホームルーターでも実行できますが、使用率が高い場合のパフォーマンスへの影響は深刻です。

ハードウェアのインターフェースは一般的に大きな費用ではありませんが、ほとんどの人はインターフェースの品質をハードウェアの品質と同等とみなしているため、製品の存続に深い関心を寄せている企業は、使いやすいインターフェース。少なくとも、それは理論です。時々、ジュニパーやシスコのような会社は私にその仮定を疑わせます。

また、一部の企業は、ファイアウォールのハードウェアとソフトウェアを提供するだけでなく、OS、フィルタリングルール、スパムとマルウェアのパターンなどを定期的に更新することでビジネス全体を構築していることにも留意してください。この種のサービスが必要な場合は、サービスを提供する人の給与を支払う必要があります。

Paul Ackerman · Answer

安価なホーム/スモールビジネスファイアウォールは、NAT、VPN、IPSec、DNSなどのサポートが非常に制限される傾向があり、低スループットと非常に少ない同時接続数（多くの場合、実際の問題）向けに設計されています。エンタープライズファイアウォールは最近、シャーシを購入し、必要な機能のライセンスを購入する統合脅威モデルに移行しています。ほとんどは、ディープパケットインスペクションだけでなく、ライセンスに応じて侵入防止、Webコンテンツフィルタリング、アンチスパム、VPNなども実行できます。速いほど確かに高価になりますが、デザイン自体のいくつかの根本的な違いを説明したいと思いました。

David Yu · Answer

ファイアウォールは、ユーザー/組織が必要とする機能に応じて、さまざまな層で利用できます。

1-最も基本的なレベルは、ホームまたは非常に小規模なビジネスユーザー向けであり、ポートアドレス変換、基本的なNAT、単一のWAN不十分、限られたネットワークポート、および多くの場合ワイヤレスです。

2-中小企業/中小企業は通常、シンプルからセミパワフルなGUI、1から2のwanポート、VPN機能（サイトからサイト、クライアントからサイト）、柔軟なNAT/PAT構成を備えており、その多くは、スパム、アンチウイルス、IPS、およびWebコンテンツフィルタリング（通常は月額料金）。多くの場合、ワイヤレスはオプションであり、ハイエンドモデルで使用可能な高可用性/ロードバランシング機能がある場合があります。

3-大規模なエンタープライズモデルには、内部/外部、VPN機能、強力なGUI、高速バックプレーン、より強力なプロセッサと大量のRAM、高可用性/負荷分散サポート、アドオンの多くとして自由に指定できるポートがあります前の段階で言及された機能。

大規模な企業の観点からファイアウォールを見る場合、高可用性が必要です。つまり、高可用性または複数のISP接続をサポートするクラスタリングモードの複数のファイアウォールが必要です。ハードウェアが増えるだけでなく、年間のメンテナンスはかなりの額になります。

AviD · Answer

NAT、VPN、コンテンツフィルタリング、IPSなどの「アドオン」モジュールに加えて、帯域幅とスループットに正しく焦点を当てた以前の回答に加えて.

また、ハイエンド製品には、既存のLDAPとの統合や、ユーザー認証のためのRADIUSサーバー、より簡単なPKI構成と統合、マシンを追加するための「ブートストラップ」メカニズム。
また、優れたFWクラスター管理、ワークフローの変更、ポリシーの委任など、見栄えのよいUIを超えたいくつかの優れた管理ユーティリティ.
最後に、より高度なファイアウォールのいくつかは、拡張性フックを提供します（ボトムエンドでは、オープンソースFWでもこれを実行できます-一種）。

Robert · Answer

リンクのセットアップ3のインスタンスでは、複数のファイアウォールを使用する方が安全です。これは、ネットワークをセグメント化し、特定のアクセスのみを許可する特別なルールを作成し、トラフィックを検査してそれが実際に行われていることを確認できるためです。

シナリオ1と比較すると、1つのシステムにアクセスすることで、ファーム全体のキーが得られる可能性があります。そして、その1つのシステムは、これら3つのサーバーの1つではなく、LAN上のランダムなデスクトップかもしれません。私たちのネットワークでは、複数のファイアウォールを使用して、ネットワークをLAN、DMZ、およびサーバーのセクションと、特別なデータへのアクセスが必要な領域のその他のいくつかのセクションに分割しています。基本的に、Webから保護するファイアウォールが1つあり、次に自分から保護するファイアウォールが1つあります。 :)

Lucas Kauffman · Answer

帯域幅はファイアウォールの機能を測定する非常に悪い方法だと思います。処理できるパケット数を確認することをお勧めします。ほとんどの企業はファイアウォールが1 Gb/sを処理できると言っているので、どのサイズであるかは明記されていません。

ネットワークパッケージとして7Bから64kBの範囲で使用できます。ファイアウォールのオーバーヘッドを7Bパッケージで処理すると、64kBパッケージよりも9倍多くなります。

したがって、1 Gb /秒で処理できる2つのファイアウォールがあり、なぜ1倍のコストがかかるのか疑問に思っているとします。それがこの理由のためであるかもしれないことを心に留めてください。

（ファイアウォールを購入する場合も、ファイアウォールを比較するために帯域幅ではなくパケットについて尋ねます）