Мы используем 2 Cisco PIX 501 перед парой наших веб-серверов в дата-центре (две отдельные установки на разных диапазонах IP).
Touchwood они в порядке, но если бы нам пришлось их заменить - каковы наши варианты эквивалентной замены сегодня? Когда мы их покупали, я помню, как в спецификации говорилось, что они без проблем поддерживают 10 000 одновременных подключений. Это ASA5505 эквивалент сегодня?
[править] Я не против других производителей - просто пикс - это то, что у нас есть, и мы знаем CCNA (?), хотя и сертифицированный в 2003 году, который настраивает и управляет нашими пикселями.
Как показывает практика, брандмауэры Juniper обычно дешевле с тем же набором функций. Однако у меня нет большого прямого опыта с ними. Если вы придерживаетесь Cisco, то лучшим выбором для замены будет ASA 5505. Что касается линейки продуктов, 5505 является эквивалентом pix501. Однако на самом деле 5505 ближе к спецификациям, чем 515e. То есть 5505 поддерживает пропускную способность 150 Мбит / с, в отличие от 170 (?) У pix515e. Кроме того, с опцией «Security Plus» ASA поддерживает больше VLANS (с транкингом), H / A и еще несколько соединений.
Если вам удобно работать с PIX 501, возьмите ASA 5505. У вас останется тот же интерфейс CLI. ASA 5505 примерно в 2 раза лучше, чем PIX 501, максимальное количество подключений - 10 000 (7500 на PIX 501), макс. пропускная способность 150 мбит / с (60 на PIX 501). Я бы порекомендовал вам проверить использование ЦП, количество подключений и пропускную способность вашего текущего брандмауэра, чтобы проверить, хватит ли 5505 для длительного использования. Если вы приближаетесь к максимальной емкости 501, вы можете выбрать ASA 5510.
Я не знаю брандмауэра Juniper, но Nokia лучше / проще в использовании (с моей точки зрения), когда у вас много интерфейса.
У меня был большой опыт работы с M1n1wall от Netgate и очень рекомендую pfSense. Пропускная способность намного лучше, чем у Pix, а надежность идеальна. Ни одной проблемы за год в моем офисе, где у нас есть бизнес-соединение и 5 статических внешних IP-адресов.
У меня все еще есть дома Pix 501 с 10 лицензиями, и у меня заканчиваются лицензии для локального хоста. Теперь, когда у моих детей есть собственные ноутбуки, мобильные телефоны, подключаемые через Wi-Fi, телевизор в Интернете, потоковая передача Popcorn Hour, сервер, NAS и настольный компьютер, мне приходится очищать локальные хосты почти ежедневно потому что я не могу получить исходящее соединение. На этой неделе я собираюсь заменить его на M1n1wall и включить беспроводной комплект, чтобы я мог выбросить маршрутизатор Verizon и мою старую точку доступа Linksys. Представьте, что это сделает и с моим счетом за электричество.
Я буду скучать по интерфейсу командной строки Pix. Освоив его, я почувствовал себя частью эксклюзивного клуба, но я также потратил много часов на устранение неполадок. К счастью, это останется в прошлом, поскольку веб-интерфейс pfSense завершен и прост в использовании.
Переход на Juniper или любого другого поставщика обойдется вам в целом дороже из-за затраченных часов, поэтому я вам советую оставаться на продуктах Cisco.
У нас есть несколько ASA5505, расположенных в удаленных офисах, они работают безупречно и обеспечивают отличную производительность. Настоятельно рекомендуется (но не забывайте соглашение TAC).
Я бы посоветовал не использовать Watchguard Edges. Мы сделали все возможное на наших удаленных сайтах, и либо у них низкая производительность, либо наши поставщики плохо поработали над настройкой. Увидев впоследствии значительно более медленное соединение по сравнению с PIX501. Полная версия Watchguard x5500e, тем не менее, хороша, а графический интерфейс для обычных задач означает, что нам лишь изредка нужен сетевой специалист от нашего поставщика для более сложных задач. Мы не используем некоторые функции, но у него есть возможность для балансировки нагрузки с двумя и для аварийного переключения в случае проблем.
Если вы не против альтернативы OpenSource: http://www.vyatta.com/downloads/index.php
Мне очень нравится линейка брандмауэров / устройств безопасности Fortinet.
http://davidhazar.blogspot.com/2009/10/why-cisco-fortinet-fortigate.html
Недавно я был очень впечатлен линейкой межсетевых экранов Juniper.
http://www.juniper.net/us/en/products-services/security/ssg-series/
Отличная цена, функции корпоративного класса и производительность.
Я БОЛЬШОЙ фанат брандмауэров Nokia, способный и безопасный.
Не бойтесь рассматривать альтернативы. Вятта http://www.vyatta.com/ или Juniper заслуживают вашего времени как с точки зрения функциональности, так и надежности.
Мы удалили как можно больше старых моделей 501 и заменили их на SnapGear 310 или SnapGear 560. В основном это было потому, что 501 не могут хорошо обрабатывать VOIP.
Линия SnapGear - это устройства на базе Linux, которые используют внутренние IP-таблицы, так что это может быть плюсом, если вы действительно хотите запачкать руки. Их, как правило, вдвое меньше, чем у Sonicwalls, и на треть меньше, чем у Cisco (особенно, если вы учитываете годовую поддержку - у вас есть поддержка от Cisco, верно ...?), А веб-интерфейсы намного лучше, чем ASA или Sonicwalls. Конечно, никакого добра под iOS.
Если у вас есть 501, и сеть не вырастет за пределы 10 офисов, это действительно хороший выбор. 560 могут выполнять аварийное переключение или балансировку нагрузки для до четырех линий и могут практически все, что вы можете делать с 501, а также могут определять приоритеты трафика VOIP и т. Д.
Cisco 5505 великолепны, но я думаю, вы найдете их излишними для ваших целей, и я действительно не знаю, что они могут сделать, а SG560 не могут. Я думаю, что два 560 в режиме высокой доступности будут работать очень хорошо, и вы даже можете настроить их самостоятельно. Если у кого-то есть комментарии о том, что могут делать ASA, чего не могут эти SnapGears, мне было бы интересно услышать.