Nå må jeg tilstå at jeg aldri har testet ut noen Pix til hundre tusen kroner, men til gjengjeld diverse varianter av Linux/Netfilter baserte firewalls. Min kjenskap til Pix firewall er således begrenset til det som framgår av alminnelig fagliteratur rundt Firewalls og nettverksikkerhet og ellers de tekniske data for diverse Cisco Pix firewall.
Ellers så kan man vel ikke sammenlikne Shorewall som er et stykke softeware, et program for konfigurering av Linux Firewall, med Cisco Pix som er er en en elektronisk boks med hardware og programmer som er laget for et bestemt formål.
Man kan jo vende litt om på problemstillingen:
Kan en hardware firewall basert på alminnelig PC teknologi og Linux operativsystem matche de tekniske spesifikasjonene for en Pix firewall (Hvilken Pix ?)
Svaret på dette spørsmålet må vel bli et noenlunde klart: Ja det kan den.
Linux firewall ivaretar selvfølgelig statefull inspection og de fleste andre kjente firewall prinsipper.
Når det gjelder den praktiske tilnærmingen så finnes det jo en lang rekke varianter av Linux firewall fra produkter som har en meget enkel konfigurering via web til prdukter som bare kan konfigureres "manuelt" fra console.
Enkle:
http://www.smoothwall.org/ http://www.m0n0.ch/wall/ (Egentlig FreeBSD)
Litt mer krevende:
http://www.zelow.no/floppyfw/ (Men ikke veldig krevende.)
Skal man optimalisere i forhold til en "teoretisk sikkerhet" så er vel en minimalistisk Linux a la Floppyfw tingen. Her finnes det ikke en eneste server funksjon og ingen mulighet for remote pålogging. Kan også eventuelt settes opp i bridge mode slik at det ikke finnes noen ip å rette et angrep mot.
Ellers så er det vel riktig at en firewall i seg selv bare er en del av en hel sikkerhetsproblematikk. Den support man kan få fra en kommersiell leverandør kan vel være verdt hele prisdiferansen.
Den totale design av nettverket og den innebygde sikkerhet som helhet kan vel ha større betydning enn akkurat hvilken type hardware firewall man har valgt. En feil (forkert) konfigurert firewall kan jo også være lik med ingen firewall. Ved å ta utgangspunkt i rimelig utstyr så kan man på den annen side ta seg råd til å sette opp flere firewalls og dele inn i flere sikkerhetssoner, hvis man ønsker det.
Ellers så må man vel kunne si at man får meget kraftig hardware til firewallbruk ved å ta utgangspunkt i en alminnelig Pentium 4 PC og Linux.