有没有人有从Cisco PIX迁移到所谓的非企业级防火墙/路由器/ VPN的经验?
我是一个非联网的专业人员(开发人员),这个专业人员(CCNA)只有730名,并且发现自己错过了使用家庭防火墙/路由器产品获得configuration的简单性。
环境是一个有远程办公室的小办公室。
据我所知,D-LINK DFL-CPG310将做我们需要的东西 :
我们不需要的东西 :
我对任何其他产品都有成功的开放。
我已经使用Linksys(现在思科的小企业,但不要让这吓倒你)RV042路由器做你需要做的很大的成功。
我使用的模型是RV042 ,它是一个4端口的模型,每个模块大约200美元(最后我检查了一下)。
就像我所说的那样,我把主办公室连接到3个分支机构,使用在VPN之间build立VPN到路由器之间的VPN。 所有的办公室都在RV042上。
它易于configuration,100%通过networking浏览器。 即使你现在有了PIX,我也会切换到这个状态,但是我怀疑这将会保证你在将来的configuration时间,并且为此付出代价。
我会使用这些,直到他们停止制作它们。 我从来没有和他们有任何问题,多年来共有10个运行,目前有4个。 (减小尺寸,现在减less分支机构)
站点到站点VPN(将远程办公室连接到本地办公室)
是的 – 我使用这个IPSec,很容易configuration
DHCP服务器(与PIX不同,您不需要额外支付许可证费用)
是 – 这是networking的DHCP,最多255台电脑
将数据包路由出入接口(因此通过VPN连接到本地办公室的家庭用户可以看到远程办公室局域网上的资源)。 PIX不会这样做。
不能确认这一点,因为我不需要它,但你可以设置路由规则,所以可能这样做,我不得不做一些类似的工作站来看交换服务器。
VPN服务器(Vista的支持将是一个不错的加)
是的 – 使用包含的Windows客户端的PPTP或使用Linksys快速VPN的IPSec(但我已经得到这个工作较less的成功)
内置DMZ支持。
是 – 为此有一个单独的WAN端口,第二个WAN端口可以是DMZ或第二个ISP连接
基于Web的configuration界面(更喜欢没有命令行作为选项的方式,以保证所有事情都可以通过web进行configuration)
是的 – 我从来没有使用过这个命令行
系统日志支持。 因此,我们可以将连续的日志stream转储到PC,直到我们需要硬盘驱动器空间并删除它们。
我这么认为,但我从来没有这样做过,但看着日志屏幕似乎是可以的。
访问控制具有足够的function是有用的。 例如,我们可以阻止对站点的访问,或者完全由MAC地址阻止访问,而不需要编写像ifconfig这样的一行。 一个链接到用户手册的网站。
是的 – MAC地址,IP访问,站点等。我也不使用我的ISP的DNS服务器,而是使用OpenDNS的,并以这种方式阻止访问。 您可以使用来自ISP的DHCP,并设置静态DNS服务器来覆盖您的ISP。 我已经阻止了特定的计算机,同时给予其余的办公室访问权限。
大多数中小企业产品都有您描述的function。 我认为即使是更新版本的Cisco PIX也有基于Web的configuration界面,但与那些从头开始将其产品devise为供SMB使用的公司相比,并不那么光鲜。
其他防火墙制造商,你可能要检查出来包括:
Sonicwall (他们的TZ系列)
检查点 (他们的Safe @ Office线)
我仍然会build议你坚持使用思科产品。 我意识到它有几个function,你不说你需要,但你得到一个首屈一指的可靠性水平。 你可以select像Cisco ASA 5505这样的产品。实际上这不是很贵。 ASDM接口非常易于使用,您尝试过的CCNA可能对许多以前已经设置过类似设备的人有优势。 思科VPN客户端与Vista兼容,但有点挑剔。 在远程办公室之间运行站点到站点vpn将允许您在办公室之间和vpn所在的家庭用户之间共享资源。
这是我的意见,它是一个意见。 我有2 5505,至less有6个月的正常运行时间,这就是我build议的基础上。
思科PIX在许多情况下是矫枉过正的 – 但是因为你拥有了它,所以我build议保留它。 这就是说 – 如果维护成本(有人为你configuration)使得它值得用SOHO路由器来替代,并且你意识到了这一点,并且适应SOHO性能,偶尔重新启动,那就去做吧。