Есть ли у кого-нибудь опыт перехода с Cisco PIX на так называемый межсетевой экран / маршрутизатор / vpn не корпоративного уровня?
Я не являюсь сетевым профессионалом (разработчик), который завалил CCNA (получил только 730) и обнаружил, что мне не хватает простоты настройки, которую вы получаете с домашними продуктами межсетевого экрана / маршрутизатора.
Среда - небольшой офис с удаленным офисом.
Насколько я могу судить, D-LINK DFL-CPG310 будет делаем то, что нам нужно:
Вещи, которые нам не нужны:
Я открыт для любых других продуктов, с которыми люди добились успеха.
Cisco PIX является излишним для многих сценариев, но, поскольку он у вас есть, я бы рекомендовал оставить его на месте. При этом - если стоимость обслуживания (если кто-то настроит его для вас) делает его достойным замены маршрутизатором SOHO, и вы знаете о компромиссах этого и чувствуете себя комфортно с производительностью SOHO, периодическими перезагрузками, тогда сделайте это.
Я все равно рекомендую вам придерживаться продукта Cisco. Я понимаю, что у него есть несколько функций, которые вы не говорите, что вам нужны, но вы получаете непревзойденный уровень надежности. Вы могли бы выбрать что-то вроде Cisco ASA 5505. Что на самом деле не так уж и дорого. Интерфейс ASDM довольно прост в использовании, с вашей попыткой CCNA вы, вероятно, получите преимущество перед многими людьми, у которых в прошлом были такие устройства. Клиент Cisco VPN совместим с Vista, но немного привередлив. Запуск VPN-подключения между вашими удаленными офисами позволит вам обмениваться ресурсами между офисами и домашними пользователями, подключенными к VPN.
Это мое мнение, как раз то, что есть мнение. У меня есть 2 модели 5505, которые на данный момент работают не менее 6 месяцев, и именно на этом я основываю эту рекомендацию.
Большинство продуктов для малого и среднего бизнеса имеют описанные вами функции. Я думаю, что даже более новые версии Cisco PIX имеют веб-интерфейсы конфигурации, но они не такие удобные, как у компаний, которые разрабатывали свои продукты с нуля для использования в SMB.
Другие производители брандмауэров, которых вы, возможно, захотите проверить, включают:
Sonicwall (их серия TZ)
Пропускной пункт (их линия Safe @ Office)
Я использовал маршрутизаторы Linksys (теперь Cisco Small Business, но пусть это вас не пугает) RV042, чтобы делать все, что вам нужно, с большим успехом.
Я выбрал модель RV042 это модель с 4 портами примерно по 200 долларов каждая (последняя проверка).
Как я уже сказал, все делает, я подключаю к нему главный офис с 3 филиалами, используя встроенный VPN для VPN между маршрутизаторами. Все офисы находятся на RV042.
Его легко настроить на 100% через веб-браузер. Я бы переключился на него, даже если у вас есть PIX сейчас, я подозреваю, что это сэкономит вам часы настройки в будущем и, следовательно, окупит себя.
Я буду использовать их, пока они не перестанут их делать. У меня никогда не было проблем с ними, и за эти годы у меня было около 10 запусков, из которых 4 сейчас. (Уменьшение размеров, теперь меньше филиалов)
Site to Site VPN (для подключения удаленного офиса к локальному офису)
ДА - я использую этот IPSec, легко настраивается
DHCP-сервер (в отличие от PIX вы не платите дополнительно за лицензии)
ДА - Это DHCP для сети, до 255 компьютеров
Маршрутизирует пакеты в исходный интерфейс и из него (чтобы домашние пользователи, подключенные к локальному офису через VPN, могли видеть ресурсы в локальной сети удаленного офиса). PIX этого не сделает.
Не могу подтвердить это, поскольку мне это не нужно, но вы можете настроить правила маршрутизации, так что, скорее всего, это можно сделать, мне пришлось сделать что-то похожее, чтобы рабочие станции увидели сервер обмена.
VPN-сервер (поддержка Vista будет хорошим плюсом)
ДА - PPTP с использованием включенного клиента Windows или IPSec с использованием быстрой VPN Linksys (но мне не удалось заставить это работать)
Встроенная поддержка DMZ.
ДА - для этого есть отдельный порт WAN, второй порт WAN может быть DMZ или вторым подключением к интернет-провайдеру
Веб-интерфейс конфигурации (предпочел бы тот, у которого не было командной строки в качестве опции, чтобы гарантировать, что все может быть настроено через Интернет)
ДА - я никогда не использовал для этого командную строку
поддержка системного журнала. Таким образом, мы можем выгружать непрерывный поток журналов на ПК, пока нам не понадобится место на жестком диске, и удалить их.
Я так думаю, но мне никогда не приходилось этого делать, но, глядя на экран регистрации, кажется, что это возможно.
Элементы управления доступом с достаточной мощностью, чтобы быть полезными. Например, мы можем заблокировать доступ к сайту или полностью заблокировать доступ с помощью MAC-адреса, даже не написав ни одной строки, подобной ifconfig. Сайт со ссылкой на руководство пользователя.
ДА - MAC-адрес, IP-доступ, к сайтам и т. Д. Я также не использую DNS-серверы своего интернет-провайдера, а вместо этого использую серверы OpenDNS и таким образом блокирую доступ. Вы можете использовать DHCP от вашего интернет-провайдера и настроить статические DNS-серверы для переопределения ваших интернет-провайдеров. Я заблокировал определенные компьютеры, предоставив доступ остальному офису.