Close Topic Options

[valja]

Планируется замена ASA 5510 + CSC SSM 10 на более продуктивное устройство. Требуется:
1. Минимум 5 (желательно больше) 1G портов
2. Пропускная способность min 2G
3. Число сетевых устройств 300+
4. Content Analyse - анти-спам, антивирус итд

Если оставаться с Cisco, то из серии ASA технически вполне подходит ASA 5545-X + CSC SSM 20.
+ Остаемся с знакомым продуктом - Cisco
- Пока неясна цена возможных лицензий итп, ОЧЕНЬ не нравится жестко встроенныый NAT, борьба с которым создает кучу проблем.

Отсюда вопрос: На каких других производителей (и их продукты) стоит обратить внимание, их плюсы (цена, легкость когнфигурации, эффективный анти-спам итд).

[heineken man]

Не понял насчет NAT - вроде в ASA с версий 8.3 это херь (NAT-Control) убрали?

Насчет коробок - если денюх много - то глянь на Palo Alto (нету антиспама, но зато в остальном километры впереди всех). Особенно если задачи соответствуют эпохе: интегрироваться с AD, "подглядывать" в SSL/ssh трафик, работать с апликациями а не с портами, видеть все что в сети происходит, анализировать данные.

Checkpoint коробки неплохи, но он жадный до денег как до, так и после покупки.

Но по деньгам ASA впереди планеты. К головняку конфигурирования сисковские админы привычны.

[valja]

QUOTE (heineken man @ 04-10-2014, 06:56)

Не понял насчет NAT - вроде в ASA с версий 8.3 это херь (NAT-Control) убрали?

Теперь я глубоко задумался. Похоже, что я не совсем правильно понимал переход 8.2 -> 8.3+ (да и вообще политику NAT). Получили мы свой 5510 с софтом 7.2.3 (попутно сделан апгрейд до 8.2). По умолчанию между всеми интерфейсами NAT, который реально нужен только на внешний интерфейс, посему пршлось его везде выключать используя NAT Exempt (nat 0). Для перехода 8.2 -> 8.3+ рекомендуют до перехода ввести команду "no nat-control".
Но тогда получается, что в конфиге по умолчанию где то стоит "nat-control" и всей камасутры с NAT Exempt я мог бы избежать с самого начала, прописав в начале конфига "no nat-control"? И в версиях 8.3+ между интерфейсам NAT по умалчанию нету нету вовсе?

QUOTE

Насчет коробок - если денюх много - то глянь на Palo Alto (нету антиспама, но зато в остальном километры впереди всех). Особенно если задачи соответствуют эпохе: интегрироваться с AD, "подглядывать" в SSL/ssh трафик, работать с апликациями а не с портами, видеть все что в сети происходит, анализировать данные. Checkpoint коробки неплохи, но он жадный до денег как до, так и после покупки. Но по деньгам ASA впереди планеты. К головняку конфигурирования сисковские админы привычны.

Спасибо, взглянем. Жаль, если придется отдельный анти-спам искать.

[heineken man]

Да, была команда nat-control и ее теперь нет.

QUOTE

The nat-control command is deprecated

QUOTE

И в версиях 8.3+ между интерфейсам NAT по умалчанию нету нету вовсе?

Ага. Пляски с бубнами вокруг extempt, no-nat и т.п. больше не нужны.

Все еще есть привязка к интерфейсам - например, если xосты за 50 разными нтерфейсами должны ходить в домейн контроллер, то на Сиске это будет 50 аксес-листов, на всех остальных - 1 рул.

Но тут уж ничего сделать нельзя, так заложено в основание.

[valja]

QUOTE (heineken man @ 04-10-2014, 11:18)

QUOTE И в версиях 8.3+ между интерфейсам NAT по умалчанию нету нету вовсе? Ага. Пляски с бубнами вокруг extempt, no-nat и т.п. больше не нужны.

Лично для меня это плюсик в пользу Сиски. Но с другими возможностями ознакомлюсь обязательно.

[valja]

Ситуация слегка проясняется. Поступили ответы на запросы. Как и ожидалось, Palo Alto дорог, не помещается в бюджет, да и антиспама нет, так что выпадает из конкуренции. Предложений на Checkpoint не поступило - одна фирма ответла, что Checkpoint дорого, и предлажила взамен SonicWall, которая оказалась не сильно дешевле Palo Alto. Предложенная Cisco ASA 5545-X + FirePower (новая штука вместо CSC SSM) и FortiGate помещаются в бюджет.

Так что вопрос теперь в том, кого из них предпочесть.
Для Cisco главный плюс в том, что система давно знакома, легко переходить, причем уже CSC SSM мне нравилась, а теперь взамен новая система - FirePower, надеюсь, что еще лучше. А вот FortiGate мне не знакома совершенно. Кто либо сталкивался с такимим устройствами? Пока внутренний голос склоняется в сторону Cisco.

[heineken man]

Fortigate как и Sonic мейнстримовым так и не стал. Нишевые игроки, что называется. Фортигейт был некоторое время известен своими апликативными возможностями, но это все довольно давно, с тех пор все изменилось.
При данных условиях я бы тоже выбрал Сиско, несмотря на уходящую в далекое прошлое и основанную на многолетнем опыте дурного бодания с ними неприязнь.

Вообще-то это надо было ухитриться не найти квот на Чекпоинт.

[valja]

Спасибо за четкий ответ.

QUOTE (heineken man @ 10-11-2014, 13:03)

Вообще-то это надо было ухитриться не найти квот на Чекпоинт.

Этония страна маленькая, продавцов немного Фирма, сказавшая, что Чекпойнт дорого, сама же его и продает. А другая за месяц так и не ответила. Врочем, в бюджет Чекпойнт тоже явно не помещается, так что я с поисками не надрывался