|
Printable Version of Topic
Click here to view this topic in its original format |
| Forums > Компьютерная техника > На что менять ASA 5510 ? |
| Posted by: valja on 03-10-2014, 14:21 |
|
Планируется замена ASA 5510 + CSC SSM 10 на более продуктивное устройство. Требуется: 1. Минимум 5 (желательно больше) 1G портов 2. Пропускная способность min 2G 3. Число сетевых устройств 300+ 4. Content Analyse - анти-спам, антивирус итд Если оставаться с Cisco, то из серии ASA технически вполне подходит ASA 5545-X + CSC SSM 20. + Остаемся с знакомым продуктом - Cisco - Пока неясна цена возможных лицензий итп, ОЧЕНЬ не нравится жестко встроенныый NAT, борьба с которым создает кучу проблем. Отсюда вопрос: На каких других производителей (и их продукты) стоит обратить внимание, их плюсы (цена, легкость когнфигурации, эффективный анти-спам итд). |
| Posted by: heineken man on 04-10-2014, 06:56 |
|
Не понял насчет NAT - вроде в ASA с версий 8.3 это херь (NAT-Control) убрали? Насчет коробок - если денюх много - то глянь на Palo Alto (нету антиспама, но зато в остальном километры впереди всех). Особенно если задачи соответствуют эпохе: интегрироваться с AD, "подглядывать" в SSL/ssh трафик, работать с апликациями а не с портами, видеть все что в сети происходит, анализировать данные. Checkpoint коробки неплохи, но он жадный до денег как до, так и после покупки. Но по деньгам ASA впереди планеты. К головняку конфигурирования сисковские админы привычны. |
| Posted by: valja on 04-10-2014, 09:42 | ||||
Но тогда получается, что в конфиге по умолчанию где то стоит "nat-control" и всей камасутры с NAT Exempt я мог бы избежать с самого начала, прописав в начале конфига "no nat-control"? И в версиях 8.3+ между интерфейсам NAT по умалчанию нету нету вовсе?
|
| Posted by: heineken man on 04-10-2014, 11:18 | ||
Да, была команда nat-control и ее теперь нет.
Ага. Пляски с бубнами вокруг extempt, no-nat и т.п. больше не нужны. Все еще есть привязка к интерфейсам - например, если xосты за 50 разными нтерфейсами должны ходить в домейн контроллер, то на Сиске это будет 50 аксес-листов, на всех остальных - 1 рул. Но тут уж ничего сделать нельзя, так заложено в основание. 
|
| Posted by: valja on 04-10-2014, 18:20 | ||||
Лично для меня это плюсик в пользу Сиски. Но с другими возможностями ознакомлюсь обязательно. |
| Posted by: valja on 10-11-2014, 13:09 |
|
Ситуация слегка проясняется. Поступили ответы на запросы. Как и ожидалось, Palo Alto дорог, не помещается в бюджет, да и антиспама нет, так что выпадает из конкуренции. Предложений на Checkpoint не поступило - одна фирма ответла, что Checkpoint дорого, и предлажила взамен SonicWall, которая оказалась не сильно дешевле Palo Alto. Предложенная Cisco ASA 5545-X + FirePower (новая штука вместо CSC SSM) и FortiGate помещаются в бюджет. Так что вопрос теперь в том, кого из них предпочесть. Для Cisco главный плюс в том, что система давно знакома, легко переходить, причем уже CSC SSM мне нравилась, а теперь взамен новая система - FirePower, надеюсь, что еще лучше. А вот FortiGate мне не знакома совершенно. Кто либо сталкивался с такимим устройствами? Пока внутренний голос склоняется в сторону Cisco. 
|
| Posted by: heineken man on 10-11-2014, 14:03 |
|
Fortigate как и Sonic мейнстримовым так и не стал. Нишевые игроки, что называется. Фортигейт был некоторое время известен своими апликативными возможностями, но это все довольно давно, с тех пор все изменилось. При данных условиях я бы тоже выбрал Сиско, несмотря на уходящую в далекое прошлое и основанную на многолетнем опыте дурного бодания с ними неприязнь. Вообще-то это надо было ухитриться не найти квот на Чекпоинт. 
|
| Posted by: valja on 10-11-2014, 14:59 | ||
Спасибо за четкий ответ.
Этония страна маленькая, продавцов немного Фирма, сказавшая, что Чекпойнт дорого, сама же его и продает. А другая за месяц так и не ответила. Врочем, в бюджет Чекпойнт тоже явно не помещается, так что я с поисками не надрывался
|