Soluzione 1:
È solo una questione di scala. I firewall da migliaia di dollari hanno funzionalità e capacità che consentono loro di scalare e essere gestiti a livello globale. Una miriade di funzionalità che chiunque non le utilizzi dovrebbe fare un bel po' di ricerche prima che loro (noi) possano apprezzarne i meriti individuali.
Il tuo tipico router domestico non ha davvero bisogno di essere in grado di gestire un ufficio pieno di dispositivi o più connessioni ISP, quindi è più economico. Sia nel numero/tipo di interfacce, sia nella capacità hardware (RAM, ecc.). Anche il firewall dell'ufficio potrebbe richiedere un certo QoS e potresti volere che sia in grado di stabilire una connessione VPN a un ufficio remoto. Avrai bisogno di una registrazione leggermente migliore per quel piccolo ufficio rispetto a quella necessaria anche per il firewall di casa.
Continua a ridimensionarlo fino a quando non avrai bisogno di gestire poche centinaia o migliaia di utenti/dispositivi per sito, connetterti a dozzine/centinaia di altri firewall che l'azienda ha a livello globale e gestire tutto con un piccolo team in un'unica posizione.
(Ho dimenticato di menzionare gli aggiornamenti IOS, i contratti di supporto, le garanzie hardware - e probabilmente ci sono alcune dozzine di altre considerazioni che non conosco nemmeno... ma hai capito)
Soluzione 2:
In genere, insieme al firewall hardware si ottiene una quota di manutenzione annuale ricorrente e la promessa di una data futura in cui il "supporto hardware" non sarà più disponibile e si dovrà estrarre l'attrezzatura e sostituirla (come il Cisco PIX alla transizione ASA). Rimani anche bloccato con una relazione con un singolo fornitore. Prova ad ottenere gli aggiornamenti software per il tuo Cisco PIX 515E da altri sistemi Cisco, ad esempio.
Probabilmente puoi dire che sono abbastanza negativo riguardo all'hardware firewall appositamente costruito.
I sistemi operativi gratuiti e open source (FOSS) alimentano alcuni noti dispositivi firewall "hardware" e non sono una tecnologia non provata in alcun modo. È possibile acquistare accordi di supporto software per FOSS da molte parti diverse. Puoi acquistare l'hardware che desideri con qualsiasi ricambio/contratto di assistenza che scegli.
Se sei davvero spingendo un sacco di bit in giro allora, forse, sarebbe necessario un dispositivo firewall hardware appositamente costruito. FOSS può coprirti in molte situazioni, tuttavia, e offrirti un'enorme flessibilità, prestazioni e costo totale di proprietà.
Soluzione 3:
Hai già avuto alcune buone risposte parlando di cose tecniche e supporto. Tutte cose importanti.
Consentitemi di introdurre un'altra cosa da considerare:il vostro tempo per creare, configurare e supportare internamente un firewall hardware "roll your own" è un investimento per il vostro datore di lavoro. Come tutte le cose, l'azienda deve decidere se vale la pena investire.
Quello che tu/il tuo manager dovete considerare è dove è meglio spendere il vostro tempo. La questione se valga o meno la pena "fare il proprio" potrebbe cambiare completamente se sei una persona specializzata in sicurezza di rete e/o il tuo datore di lavoro ha requisiti firewall specifici che non sono facili da configurare in un prodotto off-shelf rispetto a qualcuno che ha molti doveri da considerare oltre alla sicurezza della rete e le cui esigenze possono essere facilmente soddisfatte collegando un'appliance di rete.
Non solo in questo caso specifico, ma in generale, ci sono state alcune volte in cui ho acquistato una soluzione "pronta all'uso" o assunto in qualche società di consulenza per qualcosa che sono perfettamente in grado di fare da solo perché il mio datore di lavoro preferirebbe che il mio tempo fosse speso altrove. Questo può essere un caso piuttosto comune, specialmente se devi affrontare una scadenza e risparmiare tempo è più importante che risparmiare denaro.
E non sottovalutare la possibilità di "incolpare qualcun altro" - quando hai fatto risalire una grave interruzione a un bug nel firewall alle 3 del mattino è molto bello poter parlare con il fornitore e dire "Non lo so t cura se si tratta di software o hardware, è comunque un tuo problema".
Soluzione 4:
in che modo il tuo firewall homebrew gestirà la manutenzione dell'hardware in servizio?
come reggerà il tuo firewall homebrew quando raggiungi un throughput di oltre 40 Gbps?
in che modo il tuo firewall homebrew segmenterà le autorizzazioni per gli amministratori in diverse unità aziendali, in modo tale che possano gestire solo le proprie parti della base di regole?
come gestirai il tuo gruppo di regole quando avrai più di 15.000 regole?
chi ti sostiene quando finisce nel fosso?
come reggerà a un controllo dei criteri comuni.
a proposito, $ 100k non sono neanche lontanamente "di fascia alta" per i firewall. un altro zero ti porterebbe lì. ed è davvero una goccia nel secchio per le risorse che proteggono
Soluzione 5:
Chiaramente non esiste una risposta univoca a questa domanda, quindi descriverò cosa ho fatto e perché.
Per impostare il quadro:siamo un'azienda piuttosto piccola con circa 25 dipendenti in ufficio e forse lo stesso numero nel reparto di produzione. La nostra attività principale è quella di stampatori specializzati che un tempo godevano di un monopolio, ma ora stanno combattendo una crescente opposizione da parte delle importazioni a basso costo, principalmente dalla Cina. Ciò significa che mentre ci piacerebbe un servizio e un hardware di livello Rolls Royce, in genere dobbiamo accontentarci di qualcosa di più simile ai livelli di Volkswagon.
Nella nostra situazione il costo di qualcosa come Cisco o simili non potrebbe essere giustificato, soprattutto perché non ho esperienza con esso (sono un "dipartimento" IT individuale). Inoltre, le costose unità commerciali non ci offrono alcun vero vantaggio.
Dopo aver esaminato ciò che l'azienda aveva e ciò di cui aveva bisogno, ho scelto di utilizzare un vecchio PC e installare Smoothwall Express, in parte perché utilizzavo quel prodotto da diversi anni ed ero già sicuro e a mio agio con esso. Ciò significa ovviamente che non esiste un supporto esterno per il firewall, il che comporta un certo grado di rischio, ma è un rischio con cui l'azienda è a suo agio. Aggiungo solo che come firewall Smoothwall è buono come ho visto per il nostro tipo di scala, ma potrebbe non essere necessariamente la scelta migliore per un'organizzazione molto più grande.
Questa soluzione funziona per noi. Potrebbe funzionare o meno per te. Solo tu puoi prendere questa decisione.