我们的IT主pipe已经离开了更加绿色的牧场,而我正在担任临时主pipe,同时我们find了一个新的(我pipe理帮助台)。 尽pipe如此,他预算大概有20K的时间来为我们的互联网连接build立一个新的前端,而且我希望尽快到位。
当前的设置使用两个Ecessa Powerlink 100来汇总我们的两个WAN连接以进行故障切换,两个Fortigate 300A作为辅助防火墙。
基本上:
广域网 – Ecessas – DMZ – Fortigates – 局域网
我们已经为我们的手机推出了Lync 2010,并且它扼杀了强大的财富和权力……我们希望整合,但除了坐在这个垃圾堆中的PIX,我对思科防火墙的了解不多。 我们有内部的Catalyst 4510R,6509,4500等,但没有在外围。
任何人都可以推荐一个好的钻机,可以代替我们目前的4件(或最好两个HA)?
据传(例如Gartner),思科将在2012年发布下一代防火墙产品以取代ASA产品线。目前思科防火墙提供“传统”基于端口的networking安全,但不提供任何种类的“下一代“防范应用层威胁。
根据您提到的预算,我会考虑帕洛阿尔托networking公司PA-2050或者两个PA-500或PA-2020的集群。 在吞吐量,同步会话和防火墙/路由器端口方面,您所在组织的特定需求将在您所述的预算内推动更具体的select。
如果您是服务台pipe理员,则可能非常熟悉某些types的威胁能够通过现有外围设备的现实,并且您现有的防火墙日志仅提供关于networking通信性质的非常有限的信息。 例如,您可以看到设备出站连接到端口80或443到WAN IP地址,但您可能不知道该应用程序是否实际上是网页浏览。
切换到下一代防火墙是一个日夜的差异:
johnd只是向中国的一个FTP站点发送一个名为“Trade Secret Meeting Notes CONFIDENTIAL.docx”的文件,那么用户jerryt的计算机正在产生stream量,表明它已经感染了BirdFlu蠕虫病毒,而那个用户florencen (可能有权访问社交网站用于营销目的)发送了很多Facebook聊天消息。 截至2012年1月,思科甚至不假装提供具有这种types的应用层可见性的防火墙。 Sonicwall和Watchguard正在努力推销他们的防火墙,因为它们具有相似的function,但是它们并没有经过并行的比较。 到目前为止,唯一提出真正引人注目的应用层深度包检测的防火墙供应商是Palo Alto,可能还有Check Point(我个人的经验非常有限)。
个人背景:我曾经工作的一家公司有一对PA-500,我可以亲自certificate,我所见过的其他东西甚至都没有接近。 这些是为两个站点,一个有大约80名员工和另一个大约120; 每个站点有2个互联网连接加起来约60Mbps的WAN带宽。 我并不是为了销售防火墙而生活,但是客户经常支付我安装新的防火墙和/或为了安全和审计合规性而对其进行configuration。
我们正在用Juniper SRX 220来代替我们所有的Cisco ASA。他们实际上可以路由的事实是让他们替代我们的路由器和防火墙。 我们永远无法让我们的5510完全处理故障转移。 此外,更多的端口,群集是非常简单的(一个实际的主动/主动群集,而不仅仅是故障转移),它们的成本大约是思科ASA价格的25%(不包括前面可能需要的任何路由器。 ASA不是一个路由器,它会做基本的路由select,然后当你想做任何超过绝对基本级别的事情的时候咬你)
我们将SRX集群作为4个不同Internet连接的路由器和防火墙,用于2个不同的内部networking。 故障转移一直很棒。 我们可以拆除任何外部链接,我们的VPN保持在我们的远程站点。