מחשבות על חומת אש ורעיון קטן

כל אחד שיש לו מחשב שמשרת אותו ו/או אחרים צריך חומת אש. בעסק שלי, לדוגמא, הלקוחות מוגנים ע"י חומת אש שהיא בעצם קופסא פיזית קטנה שנותנת שרות לא רע של חסימת כל מיני דברים. הקופסא עובדת טוב ומעבירה את הנתונים בצורה משביעת רצון (יחסית, יחסית). הקופסא עצמה לא יכולה להתחרות בפתרונות של עשרות אלפי דולרים כמובן, אבל ללקוחות שלי אני יכול לתת מגוון פתרונות שחוסמים כל מיני דברים, בהתאם לצרכי הלקוח (כל הלקוחות מוגנים במס' שכבות, לתוהים מביניכם).

מדוע אני מספר לכם את זה? הסיבה פשוטה: תעבורה. ברשותכם, אפרט..

רוב הקופסאות המשמשות היום כחומות אש עבור שרתים ותחנות עבודה בנויים פחות או יותר אותו דבר. הם בעצם PC עם לוח אם קטנטן, ומספר חיבורים. מה שרץ על ה-PC זו מערכת הפעלה כלשהי (ברוב המקרים זה לינוקס, בשאר זה BSD) ומעליה "שכבה" שכוללת ממשק וובי וכל מיני תוספות, בהתאם לסוג המוצר והחברה המייצרת אותו.

אבל ההבדל הגדול ביותר בין הקופסאות, היכן שההבדל מגיע ממחיר של 1000-3000$ למחירים של 10,000 דולר ומעלה – הוא הבדל התעבורה. קופסא קטנה יודעת להעביר תעבורה של כמה עשרות מגהביטים בשניה (כולל תקשורת VPN), קופסא בינונית יודעת להעביר מאות עד משהו כמו 8 ג'גהביט בשניה, וקופסאות יותר גדולות מתחילות ב-6 ג'יגהביט לשניה ומטפסות בהתאם, כולל מחיר שמזניק בחופשיות כלפי מעלה.

בעסק שלי, לדוגמא, אני נתקל ב"בעיה" די מבורכת: בהתאם לכמות הלקוחות אני מגדיל את הקווים (כרגע זה עומד על 300 מגהביט סימטרי, לסקרנים) ואם אזמין לדוגמא עכשיו קופסא הרבה יותר רצינית שתשמש כחומת אש, אני אצטרך לשלם בסביבות ה-2000-3000 דולר, אבל אם קצב הגדילה שלי ימשיך להיות כמו שהוא כרגע, אני מאמין שעוד מס' חודשים יהיה לי רוחב פס של ג'יגה פלוס בקו סימטרי וכאן תצוץ בעיה: אותה קופסא לא רק שלא יכולה לעזור לי עם התעבורה, אלא שאני אפסיד בעצם את הסכום ששילמתי, שלא לדבר על הסכום שאצטרך לשלם על קופסת חומת אש שיודעת לנתב תקשורת ברוחב פס של ג'יגה ומעלה. המחירים לדברים כאלו למוצרים מוכרים וידועים מתחילים ב-10,000$, ואם אני אגדל ליותר מ-5-8 ג'יגהביט תעבורה, שוב אמצא את עצמי באותו מצב. נכון, אפשר להשתמש במס' קופסאות של חומות אש להגן על קבוצות שונות של שרתים, אבל זה לא תמיד הדבר הכי יעיל.

מה שחסר (לדעתי) בשוק הוא קופסת חומת אש, אבל לא קופסאות כמו שיש היום, אלא קופסא יותר מודולרית. קופסא שאני יכול לרכוש נניח ב-1000-2000 דולר, והרשיון שלה הוא מודולרי. ברמה הבסיסית לדוגמא היא יכולה לנתב כמה עשרות מגהביטים בשניה. רמה יותר גבוהה – מאות מגהביטים, רמה יותר גבוהה ג'יגהביטים ורמה הכי גבוהה – עשרות ג'יגהביט בשניה. הקופסא עצמה היא מכונת PC חזקה אבל היא תהיה "מוחלשת" ע"י התוכנה בהתאם לרשיון, כך שברשיון הכי גבוה, המכונה לא תהיה מוחלשת כלל.

מבחינת רווחים, דבר כזה יכול להיות מאוד רווחי לחברה שמייצרת קופסא כזו מסיבה מאוד פשוטה: כיום הקופסאות המתחרות קבועות בכמות תעבורת הנתונים שהן מעבירות ואז הצרכן של הקופסא אם הוא מגדיל את הקו מעבר למכסה שהקופסא יכולה לנתב, צריך לכתת את רגליו ולשוטט באינטרנט על מנת לחפש קופסא נוספת ולראות אם יש הצעות מפתות. קופסא מודולרית כזו רחוקה מרחק של רכישת רשיון מהגדלת הכח שלה, כלומר הלקוח לא צריך לחפש קופסא אחרת, הוא רוכש רשיון נוסף, מקליד אותו למכונה ונגמר העניין, כך שלחברה יהיה כדאי בעצם לגרום ללקוח להישאר איתה עם הקופסא ואולי למכור לו מוצרים נוספים (אנטי וירוס, אנטי ספאם, חומת אש שבודקת תכנים ועוד ועוד), ואז הלקוח נשאר עם החברה.

קופסא כזו לי היה יותר קל לרכוש ולהצדיק את ההשקעה בה ואני בטוח שאני לא היחיד שחושב כך.

מישהו רוצה להרים את הכפפה? 🙂

Comments

comments

15 תגובות בנושא “מחשבות על חומת אש ורעיון קטן

  1. מה עם vyatta ‏?

    יש להם קופסאות, ואם לא חשקה נפשך בקופסה אלא ברצונך להשתמש בקופסה משלך אשר תוכל להרחיב כאוות נפשך, תוכל להוריד גרסה של המערכת (גרסה פתוחה ללא תמיכה, או גרסאות קנייניות בעלות תוספות ותמיכה).

    אם תרצה מידע נוסף תוכל להאזין לפודקאסט של floss weekly אודות vyatta.

    • מכיר את Vyatta. רק לפני מס' ימים ביקשתי מהם הצעת מחיר להתקנת הגירסה החופשית שלהם (אני עם השרתים לא יכול לעבוד עם NAT רגיל כי לקוחות רוצים כתובות רגילות). מה התגובה שלהם? תחתום קודם על רשיון שנתי של 750$ לשנה (וזה עדיין בכלל לא דובר על התקנה).
      הקופסאות שלהם נחמדות, אבל הם בדיוק עם אותה בעיה שציינתי בפוסט הזה: אין שום מודולריות, למרות שאני מודה שהמחיר שלהם לקופסאות לניתוב ג'יגות תעבורה בהחלט מפתה.

  2. מה הפיתרון שאתה מציע ?
    לפתח מערכת RT (מבוססת VxWorks או כל דבר אחר שמתיימר להיות RT )
    שיכולה ל"הסתכל" על פאקטים בצורה חכמה (DPI ?) עם ממשקים שאתה יכול להתקין/להפעיל לפי רשיון ?
    תוך כמה זמן אתה רואה את זה פרוץ בשוק ?:/ יומיים ?  

  3. pfsense שימש אותי בייצור, כולל אפשרות ל- redundancy, פילטרים ומוגבל רק על ידי החומרה שאתה מתקין אותו עליו. קוד פתוח. בשל.

    ויש גם את ipcop ששמעתי עליו דברים טובים.

  4. חץ, הרעיון שאתה מציע הגיוני מבחינתך, אבל ממש לא מבחינת פורץ.
    1. זה פריץ בקלות.
    2. אין שום הגיון לאסור עלי לפרוץ דבר שנמצא אצלי. (אם המכירה מותנית, אני יכול לפרוץ ואז המכירה מתבטלת… ואופס, קיבלתי חזרה מזומן)
    3. אם אתם מספקים לי משהו טוב, מה אכפת לכם לאפשר לי בו שימוש מקסימלי?
    זה בגדול, אפשר לחרוש על העניין הרבה.

    מה שאני לא מבין, זה למה אתה מעוניין בקופסה בודדת.
    אם יש לך כמה מכונות פיזיות, אתה מחבר חלק לקופסה אחת, וחלק לאחרת.

  5. הי חץ,
    בלי קשר לרעיון המסחרי שהעלית, למה אתה לא לוקח מכונה, מתכין בה linux/BSD ויוצר לעצמך את הFW שאתה זקוק לו (מבלי לשלם לחברה קניינית אחרת)?
    למישהו עם היכולות שלך, זה בטוח לא יהיה קשה כ"כ…

        • תראה, מאוד קל להרים מכונת לינוקס וירטואלית, עם 2 כרטיסי רשת וירטואליים, כתובות מ-2 סגמנטים שונים ולהתחיל לכתוב חוקים עם iptables, וזה טוב אם יש לך שרת פיזי אחד או 2 ואתה מעביר את התקשורת כולה דרך יציאת רשת אחת (או 2) של המכונה הפיזית ויש לך רוחב פס של כמה עשרות מגה.

          אבל מה קורה כשיש לך 6 שרתים (ועוד בדרך) עם רוחב פס שמתקרב לחצי ג'יגהביט סימטרי? היציאות רשת של המכונה הפיזית בה רצה מכונת ה-Firewall פשוט יהיו חנוקות, שלא לדבר על כך שהביצועים של אותו שרת פיזי ירדו בגלל העומס על אותן יציאות.

          אני יכול לקנות לי שרת 1U פשוט ולעשות אותו כ-Firewall אבל עלות של שרת 1U הכי פשוט היא בסביבות ה-6000 שקלים ועוד לא כללתי את העבודה של כל כתיבת חוקים והוספת כל מיני דברים, כך שבמקרה כזה עדיף כבר להשקיע ב-Firewall appliance של יצרן טוב כמו Fortigate, כך כל התקשורת עוברת דרכו, יש עדכונים נגד כל מיני חולירות שיוצאים, וזה נותן הגנה לא רעה בכלל לכל השרתים.

          • פורטיגייט 110 (נקרא לו בסיסי כיום) עולה 2500$ ללא מעמ שזה 'קצת' יותר מ6000ש"ח, אבל נכון הוא מגיע עם anti כל דבר.
            לעומתו, המקביל שלו מCisco עולה 3000$ ומגיע ללא anti כלום. ההבדל הוא שאפשר להוסיף כרטיסי anti שכל אחד מהם עולה כ1500$.

            והשאלה היא, האם זה עדיין נותן לך מענה לתעבורה שלך, או שאתה צריך לעלות לFWים שעולים אלפי דולרים יותר.
            וכמובן, מה עושים במקרה של תקלה – שאף אחד מאיתנו לא מייחל להגיע למצב הזה, אבל מרפי אף פעם לא נחמד כשפוגשים אותו. האם תיהיה מושבת לNSD (בהנחה שיש לך) או אפילו ל4hour המעולה של Cisco…?

          • הלכתי על 110C 🙂
            השגתי אותו ב-2300 דולר, שזה כמובן יותר מ-6K אבל הוא נותן לי הרבה יותר מסתם PC בסיסי.

            110C בהחלט נותן מענה לתעבורה שלי כיום ובעתיד הקרוב. לגבי השבתה, זה יהיה כמו השאר הציוד של העסק שלי: 4 שעות.

          • קודם כל, זה טוב שאתה מודע לעניין/ים ולוקח דברים בחשבון.
            אם מבחינתך 4 שעות זה בסדר, אז אין שום סיבה שללקוחות זה לא יהיה.

            ובלי קשר, אשמח לשמוע על הנחת 100$ האלו… 🙂

  6. את ה-FW לא קניתי ב-100$. קניתי ב-2300
    הייתי בשמחה נותן את שם המפיץ, אם הוא לא היה חונק אותי מיידית (הוא ביקש שלא אפרסם)
    אגב, יש את הפס הכחול, אתה יכול ללחוץ עליו ולשוחח איתי שם 🙂

סגור לתגובות.