Re: firewall "hardware" vs firewall software

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao!
Personalmente credo che alla fine dipenda molto da quanto hai a disposizione 
(in termini di budget) e del livello di complessità dela tua rete. Le mie 
esperienze dirette sono relative a iptables e Checkpoint (per NT) come fw 
software, PIX come hardware. Queste sono considerazioni personali, quindi è 
molto probabile che molti possano non essere d'accordo com me...
Solitamente, un firewall è un "single point of failure", e in generale un 
dispositivo hw dedicato (un appliance) è più affidabile. Vabbè, esistono 
hardware ridondati, ma in genere sono meno affidabili... Puoi sempre fare un 
cluster di fw software, ma a quel punto la manutenzione diventa maggiore.. e 
poi, a riguardo è già passato in thread in passato.
Per contro, i fw hardware sono abbastanza costosi, e lo diventano sempre di 
più all'aumentare della complessità della rete (es, al crescere delle 
"zone"). La loro configurazione è spesso effettuata attraverso interfacce 
grafiche o web, tutto molto carino finchè fai cose standard...Al solito, se 
hai operazioni particolari sputi sangue! 
Tempo fa gestivo una rete con 5 zone più internet, con una serie di redirect e 
port forwarding....Tutto con checkpoint. Abbiamo abbandonato tutto per 
passare a iptables, a me risultava più "duttile"... Forse solo perchè di 
checkpoint non conoscevo molto. Chissà!
Personalmente, preferisco quindi fw software, ma è comunque sempre una 
valutazione da fare di volta in volta...
Dido


On Monday 02 September 2002 14:09, gurutech wrote:
> Ciao a tutti,
>
> sto cercando di capire quali sono i vantaggi/svantaggi dei firewall
> hardware a confronto con quelli software.
>
> giusto per chiarezza, per firewall hardware intendo cose come Cisco PIX,
> per firewall software cose come iptables di Linux
>
> Tra le cose da chiarire:
>
> - I firewall hardware sono più o meno suscettibili ai problemi di sicurezza
> ? - E' più facile trovare aggiornamento per quelli software o quelli
> hardware ? - Sapete di documenti in rete che illustrino il TCO delle due
> soluzioni con casi pratici a confronto ?
> - ci sono difficoltà di gestione maggiore nell'una o nell'altra soluzione ?
>
> grazie a tutti quelli che mi vorranno aiutare
>
> Gianluca 'gurutech' Mascolo

- -- 
- -------------------------------------
Dido

PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9dSU9Qe/GGXXd6zQRAnlxAJ9iTEvT/QbtqfV2a3uLJJMXUNvKMgCglrDw
dbIH/tmpTC0af7LPYIyW/ys=
=yrrz
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List