Solution 1 :
C'est juste une question d'échelle. Les pare-feux de plusieurs milliers de dollars ont des fonctionnalités et une capacité leur permettant d'évoluer et d'être gérés à l'échelle mondiale. Une myriade de fonctionnalités que quiconque ne les utilise pas aurait beaucoup de recherches à faire avant de (nous) pouvoir apprécier leurs mérites individuels.
Votre routeur domestique typique n'a pas vraiment besoin d'être capable de gérer un bureau d'appareils ou plusieurs connexions FAI, il est donc moins cher. Tant par le nombre/type d'interfaces que par la capacité matérielle (RAM, etc.). Le pare-feu du bureau peut également avoir besoin d'une certaine qualité de service, et vous souhaiterez peut-être qu'il puisse établir une connexion VPN avec un bureau distant. Vous souhaiterez également une journalisation légèrement meilleure pour ce petit bureau que pour le pare-feu domestique.
Continuez à faire évoluer cela jusqu'à ce que vous deviez gérer quelques centaines ou milliers d'utilisateurs/appareils par site, vous connecter à des dizaines/centaines d'autres pare-feu de l'entreprise dans le monde et gérer le tout avec une petite équipe au même endroit.
(J'ai oublié de mentionner les mises à jour IOS, les contrats de support, les garanties matérielles - et il y a probablement quelques dizaines d'autres considérations que je ne connais même pas... mais vous voyez l'idée)
Solution 2 :
En règle générale, avec le pare-feu matériel, vous obtenez des frais de maintenance annuels récurrents et la promesse d'une date future à laquelle le "support matériel" ne sera plus disponible et vous devrez retirer l'équipement et le remplacer (ala le Cisco PIX à la transition ASA). Vous êtes également coincé avec une relation avec un seul fournisseur. Essayez d'obtenir des mises à jour logicielles pour votre Cisco PIX 515E auprès d'autres systèmes Cisco, par exemple.
Vous pouvez probablement dire que je suis assez négatif à propos du matériel de pare-feu spécialement conçu.
Les systèmes d'exploitation libres et open source (FOSS) alimentent certains dispositifs de pare-feu "matériels" bien connus et ne sont en aucun cas une technologie non éprouvée. Vous pouvez acheter des contrats de support logiciel pour FOSS auprès de nombreuses parties différentes. Vous pouvez acheter le matériel que vous voulez avec le contrat de pièces de rechange/service de votre choix.
Si vous êtes vraiment pousser beaucoup de bits alors, peut-être, un dispositif de pare-feu matériel spécialement conçu serait nécessaire. Cependant, FOSS peut vous couvrir dans de nombreuses situations et vous offrir une flexibilité, des performances et un coût total de possession exceptionnels.
Solution 3 :
Vous avez déjà eu de bonnes réponses en parlant de choses techniques et de support. Toutes les choses importantes.
Permettez-moi de vous présenter une autre chose à prendre en compte :votre temps pour créer, configurer et prendre en charge un pare-feu matériel "déployez votre propre" en interne est un investissement pour votre employeur. Comme pour toutes choses, l'entreprise doit décider si cet investissement en vaut la peine.
Ce que vous/votre responsable devez prendre en compte, c'est là où votre temps est le mieux dépensé. La question de savoir s'il vaut la peine de "rouler le vôtre" peut changer complètement si vous êtes un spécialiste de la sécurité réseau et/ou si votre employeur a des exigences de pare-feu spécialisées qui ne sont pas faciles à configurer dans un produit standard par rapport à quelqu'un qui a de nombreuses tâches à prendre en compte en plus de la sécurité du réseau et dont les besoins peuvent être facilement satisfaits en branchant une appliance réseau.
Pas seulement dans ce cas précis, mais en général, il y a eu plusieurs fois où j'ai acheté une solution "prête à l'emploi" ou embauché dans un cabinet de conseil pour quelque chose que je suis tout à fait capable de faire moi-même parce que mon employeur préférerait que mon temps soit passé autre part. Cela peut être un cas assez courant, surtout si vous êtes confronté à une échéance et que gagner du temps est plus important que d'économiser de l'argent.
Et ne négligez pas la possibilité de "blâmer quelqu'un d'autre" - lorsque vous avez retracé une panne majeure à un bogue dans le pare-feu à 3 heures du matin, c'est très agréable de pouvoir parler au fournisseur et de dire "je ne t attention si c'est du logiciel ou du matériel, c'est votre problème de toute façon".
Solution 4 :
comment votre pare-feu homebrew gérera-t-il la maintenance matérielle en service ?
comment votre pare-feu homebrew résistera-t-il lorsque vous atteindrez un débit de plus de 40 Gbit/s ?
comment votre pare-feu homebrew segmentera-t-il les autorisations pour les administrateurs de différentes unités commerciales, de sorte qu'ils ne peuvent gérer que leurs propres parties de la base de règles ?
comment allez-vous gérer votre base de règles lorsque vous avez plus de 15 000 règles ?
qui vous soutient quand il va dans le fossé ?
comment résistera-t-il à un audit de critères communs.
Soit dit en passant, 100 000 $ n'est pas du tout proche du "haut de gamme" pour les pare-feu. un autre zéro vous y amènerait. et c'est vraiment une goutte d'eau dans l'océan pour les ressources qu'ils protègent
Solution 5 :
De toute évidence, il n'y a pas de réponse unique à cette question, je vais donc décrire ce que j'ai fait et pourquoi.
Pour définir l'image :Nous sommes une entreprise assez petite avec environ 25 employés de bureau et peut-être le même nombre sur le plancher de production. Notre activité principale est celle d'imprimeurs spécialisés qui, à un moment donné, jouissaient d'un monopole, mais qui se heurtent désormais à une opposition croissante de la part d'importations bon marché, principalement en provenance de Chine. Cela signifie que même si nous aimerions le service et le matériel de niveau Rolls Royce, nous devons généralement nous contenter de quelque chose de plus proche des niveaux de Volkswagen.
Dans notre situation, le coût de quelque chose comme Cisco ou similaire ne pouvait tout simplement pas être justifié, d'autant plus que je n'en ai aucune expérience (je suis un "département" informatique composé d'une seule personne). De plus, les unités commerciales coûteuses ne nous offrent aucun véritable avantage.
Après avoir examiné ce que l'entreprise avait et ce dont elle avait besoin, j'ai choisi d'utiliser un ancien PC et d'installer Smoothwall Express, en partie parce que j'utilisais ce produit depuis plusieurs années et que j'étais déjà confiant et à l'aise avec lui. Cela signifie bien sûr qu'il n'y a pas de support externe pour le pare-feu, ce qui comporte un certain risque, mais c'est un risque avec lequel l'entreprise est à l'aise. J'ajouterai simplement qu'en tant que pare-feu, Smoothwall est aussi bon que ce que j'ai vu pour notre type d'échelle, mais ce n'est pas nécessairement le meilleur choix pour une organisation beaucoup plus grande.
Cette solution fonctionne pour nous. Cela peut ou non fonctionner pour vous. Vous seul pouvez prendre cette décision.