Наш ИТ-директор уехал на более зеленые пастбища, а я исполняю обязанности временного директора, пока мы ищем кого-то нового (я руковожу службой поддержки). Однако он заложил в бюджет около 20 тысяч долларов на новый интерфейс для наших подключений к Интернету, и я хотел бы начать работу раньше, чем позже.
В текущей настройке используются два Ecessa Powerlink 100 для объединения двух наших WAN-соединений для аварийного переключения и два Fortigate 300As в качестве дополнительных межсетевых экранов.
В принципе:
WAN - Ecessas - DMZ - Fortigates - LAN
Мы перешли на Lync 2010 для наших телефонов, и он забивает фортис и powerlinks ... Мы хотели бы консолидироваться, но я просто мало что знаю о межсетевых экранах Cisco, кроме PIX, лежащего в куче электронных отходов. У нас есть Catalyst 4510R, 6509, 4500 и т.д. внутри, но ничего по периметру.
Может ли кто-нибудь порекомендовать хороший риг, который может заменить наши нынешние 4 штуки на одну (а лучше две в HA)?
Мы находимся в процессе замены всех наших Cisco ASA на Juniper SRX 220 .. тот факт, что они действительно могут маршрутизировать, заставляет их заменять и маршрутизаторы, и межсетевые экраны для нас. Мы никогда не смогли бы заставить наши 5510 хорошо справляться с аварийным переключением. К тому же, больше портов, кластеризация очень проста (фактический активный / активный кластер, а не только аварийное переключение), и они стоят около 25% от цены Cisco ASA (не считая маршрутизаторов, которые могут вам понадобиться заранее. Помните, что ASA - это не маршрутизатор. Он будет выполнять базовую маршрутизацию, а затем укусит вас под зад, когда вы захотите сделать что-либо, что должно быть выше абсолютного базового уровня)
У нас есть кластер SRX, действующий как маршрутизатор и брандмауэр для 4 различных подключений к Интернету, входящих в здание, для 2 разных внутренних сетей. Восстановление после отказа было потрясающим. Мы можем отключить любые внешние ссылки, и наши VPN останутся доступными для наших удаленных сайтов.
Ходят слухи (например, от Gartner), что Cisco выпустит межсетевой экран следующего поколения, который заменит линейку продуктов ASA в 2012 году. Текущие межсетевые экраны Cisco обеспечивают «традиционную» сетевую безопасность на основе портов, но не предлагают никаких видов «следующего поколения». «защита от угроз на уровне приложений.
С бюджетом, который вы упомянули, я бы рассмотрел Palo Alto Networks PA-2050 или, возможно, кластер из двух PA-500 или PA-2020. Конкретные потребности вашей организации в отношении пропускной способности, одновременных сеансов и портов брандмауэра / маршрутизатора повлекут за собой более конкретный выбор в рамках заявленного вами бюджета.
Если вы менеджер службы поддержки, вы, вероятно, хорошо знакомы с реальностью, что определенные типы угроз могут пройти через ваши существующие устройства периметра, и что ваши существующие журналы брандмауэра предоставляют только очень ограниченную информацию о характере вашего сетевого трафика. . Например, вы можете видеть, что устройство установило исходящее соединение с портом 80 или 443 на IP-адрес WAN, но вы можете не знать, действительно ли приложение просматривало веб-страницы.
Переход на межсетевой экран нового поколения - это дневная разница:
johnd только что отправил файл под названием "Заметки о деловых секретных встречах CONFIDENTIAL.docx" на FTP-сайт в Китае, этот пользователь jerrytкомпьютер генерирует трафик, указывая на то, что он заражен червем BirdFlu, и этот пользователь florencen (который, возможно, имеет доступ к сайтам социальных сетей в маркетинговых целях) рассылает огромное количество сообщений в чате Facebook.По состоянию на январь 2012 года Cisco даже не претендует на предложение межсетевого экрана с таким типом видимости на уровне приложений. Sonicwall и Watchguard очень стараются продвигать свои межсетевые экраны как имеющие аналогичный набор функций, но они не выдерживают параллельного сравнения. Пока что единственными поставщиками межсетевых экранов, которые предложили действительно убедительные реализации глубокой проверки пакетов на уровне приложений, являются Palo Alto и, возможно, Check Point (с которыми у меня очень ограниченный личный опыт).
Личный опыт: компания, в которой я работал, имеет пару PA-500, и я могу лично засвидетельствовать, что ничто другое, что я видел, даже близко не подходит. Они касались двух участков, на одном из которых работает около 80 сотрудников, а на другом - около 120 человек; у каждого сайта было по 2 подключения к Интернету, что обеспечивало примерно 60 Мбит / с пропускной способности WAN. Я не зарабатываю на жизнь продажей межсетевых экранов, но клиенты часто платят мне за установку новых межсетевых экранов и / или их настройку для обеспечения безопасности и соответствия требованиям аудита.