Я работаю над планом по замене ряда маршрутизаторов / брандмауэров в сетях нашей компании и клиентов. У нас есть 2 офиса и несколько серверов, размещенных в центре обработки данных, которые имеют связи IPSec VPN с примерно 100 сайтами клиентов. В главном офисе нам нужна локальная сеть и 2 DMZ, а в центре обработки данных - 3 LAN и DMZ.
Большинство клиентских сайтов имеют брандмауэры Gnatbox или Zywall, но новые сайты могут работать с более дешевой версией того же брандмауэра, что и в главном офисе / центре обработки данных.
Я планировал использовать Zywall USG 200 для главного офиса, но при тестировании он оказался непригодным. При полной настройке загрузка занимает более 30 минут!
У меня есть список
Cisco ASA 5510
Часы Watchguard XTM 520
Sonicwall NSA 3500
Можжевельник SRX240
Может ли кто-нибудь порекомендовать какое-либо оборудование или конфигурации?
В настоящее время наша компания использует Sonicwall NSA 4500. Мы перешли на него с Watchguard X1000. (предшественник выбранной вами модели XTM) Если честно, я не доволен переключением. (и это был мой звонок - ой) У Sonicwall лучший (веб) интерфейс. Он может создавать причудливые графики и круговые диаграммы и красиво обновляться в браузере. Интерфейс Watchguard был определенно более громоздким и толстым клиентом, но я считаю, что предпочитаю это.
Watchguard также более четко объяснил, что делает и почему. Это значительно упростило определение причины отбрасывания пакетов. При этом, может быть, это палка о двух концах, ведь администраторам с менее техническими знаниями его будет сложнее разобрать? У меня было несколько проблем, связанных с тем, что Sonicwall бесшумно разрывает соединения и замечал это только при захвате пакетов через устройство. Служба поддержки Sonicwall тогда все еще не могла точно определить, что происходит, несмотря на коды отбрасывания от устройства. (Итак, если кто-нибудь знает, почему мой Sonicwall продолжает случайным образом убивать репликацию NetApp Snapmirror, дайте мне знать!)
Когда мы использовали Watchguard (~ два года назад), их поддержка была ужасной. Он был передан в Индию, и в результате приходилось преодолевать языковой барьер при каждом звонке. Обычно человек, записывающий исходную информацию о тикете, не улавливал нюансов проблемы. Их продавец утверждал, что ситуация меняется, но мы не стали это выяснять. Все сотрудники службы поддержки Sonicwall говорят по-английски. Однако, как упоминалось выше, они не могут помочь с некоторыми из более сложных проблем, которые я поднял. Время ожидания с обеими компаниями было довольно болезненным.
Я не могу претендовать на опыт работы с оборудованием Juniper или Cisco в этой роли. Но обе эти компании - очень большие компании, как и многие их клиенты. И WatchGuard, и Sonicwall нацелены на рынок малого и среднего бизнеса. Так что об этом стоит или не думать, в зависимости от размера вашей компании.
- Кристофер Карел
Я заказал Juniper SRX210, поскольку он, вероятно, подойдет для нашего главного офиса и центра обработки данных. Если все пойдет хорошо, я надеюсь, что еще одна пара займется кластеризацией. SRX100 подойдет клиентам и нашему второстепенному офису.
Спасибо тем, кто прислал ответы.
Я работал как с ASA, так и с SRX. На обоих этих устройствах есть разумная кривая обучения (хотя на ASA она выше, чем на SRX), а SRX немного проще в управлении, имо. Оба они довольно надежны, хотя в недавнем прошлом у SRX были проблемы, если вы включили его более удобные функции (фильтрация URL-адресов и антивирус - это те, которые укусили меня. Тем не менее, проблемы, похоже, решены в последней прошивке. Мне никогда не приходилось иметь дело с поддержкой Cisco, но я в целом считаю, что JTAC достаточно хорош (хотя стоит рассказать им все, что вы знаете о проблеме, иначе они иногда упускают важные детали).