Программный VS аппаратный межсетевой экан

Вестимо что программный может быть допилен производителем как угодно, а аппаратный только в рамках аппаратных возможностей своего процика (точнее то, что проц позволяет делать аппаратно будет работать быстро, то что мелкопроц будет делать программно - будет работать хуже чем у программного на большой проце - простой пример микротики, где прям в мануальчике указано что будет шустро и железно, а что с падением производительности на порядок и программно

Обратный нюанс - аппаратный не требует возни с безопасностью операционки, торчащей голой попкой в интернет

у аппаратного - аппаратные узявимости ;-)

как ни странно и наоборот :)
плюс нередко не только аппаратные уязвимости, а косяки погромиста, неадекватно использующего аппаратные возможности.

Давно уже ни в чем. Весь смысл «аппаратного» - еще более «огородить», тивоизировать, завендорлочить - и в итоге вытащить еще больше денег из кармана пользователя.

Аппаратный если что не пропатчить, надо новый покупать

Аппаратные глюки ( возможно ) исправляются покупкой нового оборудования.
Программные глюки ( могут исправлятся ) чисто программными средствами.

Аппаратный имеет еще один чип ASIX который аппаратно молотит трафик. ASIX дорогой. Что тебе надо молотить и что умеет конкретный ASIX надо рассматривать.

Советую первым межсетевым экраном брать обычный сарвак на 2U и втыкать в него хорошие PCI-E сетевушки low-профиль, которые умеют аппаратно вычислять контрольные суммы пакетов, тегировать VLAN… Есть серверные low-профиль сетевухи с поддержкой 4хRG45.

За OS брать GNU/Linux или OpenBSD.

может ASIC?

в количестве PPS, которое эти решения способны переварить.
ну и как сам понимаешь, меньше кода - меньше багов.

Да, в посте выше имел ввиду ASIC и RJ45.