Solución 1:
Es solo una cuestión de escala. Los firewalls de miles de dólares tienen características y capacidad que les permiten escalar y administrarse globalmente. Una miríada de características que cualquiera que no las use tendría que investigar un poco antes de que ellos (nosotros) pudiéramos apreciar sus méritos individuales.
Su enrutador doméstico típico realmente no necesita poder manejar una oficina llena de dispositivos o múltiples conexiones ISP, por lo que es más económico. Tanto en el número/tipo de interfaces, como en la capacidad del hardware (RAM, etc). El firewall de la oficina también puede necesitar QoS, y es posible que desee que pueda establecer una conexión VPN con una oficina remota. También querrá un registro un poco mejor para esa pequeña oficina de lo que necesitaría para el firewall doméstico.
Continúe escalando hasta que necesite manejar unos pocos cientos o miles de usuarios/dispositivos por sitio, conéctese a docenas/cientos de otros firewalls que la empresa tiene en todo el mundo y administre todo con un pequeño equipo en una ubicación.
(Olvidé mencionar las actualizaciones de IOS, los contratos de soporte, las garantías de hardware, y probablemente haya algunas docenas de otras consideraciones que ni siquiera conozco... pero se entiende la idea)
Solución 2:
Por lo general, junto con el firewall de hardware, obtiene una tarifa de mantenimiento anual recurrente y la promesa de una fecha futura en la que el "soporte de hardware" ya no estará disponible y tendrá que levantar el equipo y reemplazarlo (como el Cisco PIX a la transición ASA). También se queda atascado en una relación con un solo proveedor. Pruebe y obtenga actualizaciones de software para su Cisco PIX 515E de otros Cisco Systems, por ejemplo.
Probablemente se dé cuenta de que soy bastante negativo sobre el hardware de firewall especialmente diseñado.
Los sistemas operativos gratuitos y de código abierto (FOSS, por sus siglas en inglés) alimentan algunos dispositivos de firewall de "hardware" bien conocidos y no son una tecnología no comprobada de ninguna manera. Puede comprar acuerdos de soporte de software para FOSS de muchas partes diferentes. Puede comprar el hardware que desee con el acuerdo de repuestos/servicio que elija.
Si eres realmente empujando muchos bits entonces, tal vez, sería necesario un dispositivo de firewall de hardware especialmente diseñado. Sin embargo, FOSS puede cubrirlo en muchas situaciones y brindarle una gran flexibilidad, rendimiento y costo total de propiedad.
Solución 3:
Ya ha recibido algunas buenas respuestas hablando de aspectos técnicos y soporte. Todas las cosas importantes.
Permítame presentarle otra cosa a tener en cuenta:su tiempo para crear, configurar y admitir internamente un firewall de hardware "incorpore su propio" es una inversión para su empleador. Como todas las cosas, la empresa tiene que decidir si esa inversión vale la pena.
Lo que usted o su gerente deben considerar es dónde se gasta mejor su tiempo. La cuestión de si vale la pena o no "hacer el suyo propio" podría cambiar por completo si usted es una persona especializada en seguridad de redes y/o su empleador tiene requisitos de firewall especializados que no son fáciles de configurar en un producto estándar en comparación con alguien que tiene muchos deberes que considerar además de la seguridad de la red y cuyas necesidades se pueden satisfacer fácilmente conectando un dispositivo de red.
No solo en este caso específico, sino en general, ha habido algunas veces que compré una solución "listo para usar" o contraté una consultoría para algo que soy muy capaz de hacer yo mismo porque mi empleador preferiría que mi tiempo fuera invertido. en otra parte. Este puede ser un caso bastante común, especialmente si se enfrenta a una fecha límite y ahorrar tiempo es más importante que ahorrar dinero.
Y no descarte la capacidad de "culpar a alguien más":cuando ha rastreado una interrupción importante a un error en el firewall a las 3 am de la mañana, es muy bueno poder hablar con el proveedor y decir "No t cuidado si es software o hardware, es tu problema de cualquier manera".
Solución 4:
¿Cómo manejará su cortafuegos homebrew el mantenimiento de hardware en servicio?
¿Cómo resistirá su cortafuegos casero cuando alcance un rendimiento de más de 40 Gbps?
¿Cómo segmentará su cortafuegos casero los permisos para administradores en diferentes unidades comerciales, de modo que solo puedan administrar sus propias partes de la base de reglas?
¿Cómo administrará su base de reglas cuando tenga más de 15 000 reglas?
¿Quién te respalda cuando se va a la zanja?
cómo resistirá una auditoría de criterios comunes.
por cierto, $ 100k no está ni cerca de "gama alta" para firewalls. otro cero te llevaría allí. y es realmente una gota en el océano por los recursos que protegen
Solución 5:
Claramente, no hay una respuesta única para esta pregunta, así que describiré lo que hice y por qué.
Para establecer la imagen:somos una empresa bastante pequeña con alrededor de 25 empleados de oficina y quizás el mismo número en la planta de producción. Nuestro negocio principal es como imprentas especializadas que alguna vez disfrutaron de un monopolio, pero ahora luchan contra una creciente oposición de las importaciones baratas, principalmente de China. Esto significa que aunque nos encantaría el nivel de servicio y hardware de Rolls Royce, generalmente tenemos que conformarnos con algo más a nivel de Volkswagen.
En nuestra situación, el costo de algo como Cisco o similar simplemente no podría justificarse, especialmente porque no tengo experiencia con él (soy un "departamento" de TI de una sola persona). Además, las costosas unidades comerciales no nos ofrecen ningún beneficio real.
Después de ver lo que tenía la empresa y lo que necesitaban, opté por usar una PC vieja e instalar Smoothwall Express, en parte porque había estado usando ese producto durante varios años y ya estaba seguro y cómodo con él. Por supuesto, esto significa que no hay soporte externo para el firewall, lo que conlleva cierto grado de riesgo, pero es un riesgo con el que la empresa se siente cómoda. Solo agregaré que, como firewall, Smoothwall es tan bueno como he visto para nuestro tipo de escala, pero puede que no sea necesariamente la mejor opción para una organización mucho más grande.
Esa solución funciona para nosotros. Puede o no funcionar para usted. Solo tú puedes tomar esa decisión.