dr Tr0jan Опубликовано 15 января, 2018 · Жалоба Есть корпоративная сетка, состоящая из нескольких десятков юзверских виланов (отделы, здания и т.п.) и нескольких технологических виланов (видеонаблюдение, СКУД и др.). Сейчас все виланы терминируются на Catalyst 6509, доступ между ними регулируется тупыми ACL. NAT в интернет (в т.ч. и для сетей безопасности, т.к. иногда нужно удаленный доступ) работает на Cisco 3845. Потребности предприятия растут, правила доступа усложняются и хочется задействовать что-то типа ZBF или подобного. В связи с чем возник вопрос, а чем лучше фаерволлить сети безопасности? Cisco ISR, Cisco ASA или может быть Juniper SRX? Может кто-нибудь что-то ещё предложит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 15 января, 2018 · Жалоба Делайте на чем умеете настроить. Чтобы не настраивать несколько устройств с фильтрами, настройте на 6509 разные vrf для разных сегментов. Если требуется доступ извне или выход в инет, то либо отдельный шлюз либо setfib на основном. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 15 января, 2018 · Жалоба @rz3dwy, да в принципе, что с ISR, что с ASA проблем нет (с SRX да, не работал). Вопрос в том, что брать? Крутить что-то на c3845 - не вариант, ей на покой пора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 15 января, 2018 · Жалоба 2 минуты назад, dr Tr0jan сказал: @rz3dwy, да в принципе, что с ISR, что с ASA проблем нет (с SRX да, не работал). Вопрос в том, что брать? Крутить что-то на c3845 - не вариант, ей на покой пора. Бери SRX познаешь другую строну луны :D Железо хорошо мануалы, все на английском. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 15 января, 2018 · Жалоба @dr Tr0jan Если нет завязки на проприетарные протоколы(типа DMVPN, у jun только свой несовместимый autovpn) - jun не хуже. Всё решает цена, как самого железа, так и его внедрения. На jun мало русской документации. На английском всё есть в открытом доступе + много примеров Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 15 января, 2018 · Жалоба Т.е. в принципе, сию задачу можно с одинаковым успехом на всех перечисленных железках. Верно понимаю? P.S. С английским проблем нет. Проприетарщины нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 15 января, 2018 · Жалоба 18 минут назад, dr Tr0jan сказал: Т.е. в принципе, сию задачу можно с одинаковым успехом на всех перечисленных железках. Верно понимаю? Успех = (понимание*функционал)/(маркетинг*вера) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 15 января, 2018 · Жалоба У меня вера в маркетинг равна нулю. Я правильно понимаю, что если знаменатель равен нулю, то успех стремится к бесконечности? :D Немного усложним задачу. Допустим первоначальную настройку буду делать я. А затем во время промышленной эксплуатации правила в фаерволле будут менять менее квалифицированные люди. Какое решение с точки зрения удобства администрирования (GUI, все дела) будет более подходящим? ASA или SRX? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 января, 2018 · Жалоба ASA. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 15 января, 2018 · Жалоба @zhenya` у SRX тоже есть полноценный GUI. на вкус и цвет фломастеры разные Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 18 января, 2018 · Жалоба Решили взять что-нибудь из Juniper, Palo-Alto, Checkpoint (у местных "интеграторов" запросим). Не топовое, а на попробовать (не в тест, а именно купить). А дальше, уже опираться на собственное мнение при использовании. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 18 января, 2018 · Жалоба Checkpoint пробовал. Не знаю как оно в целом на больших инсталляциях, а настройка одной железки у меня заняла часов 30 рабочего времени если не больше так как полноценный CLI там отсутствует, все делается через GUI, и логика совсем не как в Cisco/Juniper. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 6 марта, 2018 · Жалоба Сегодня приходил в гости Checkpoint. Дорого, богато. GUI у них действительно очень странный - требует сервер (железный или виртуалку) под менеджмент, при этом клиент этого сервера существует только под винду. Про HTML5 пресейл как-то не в курсе. Про SRX представитель Checkpoint'а очень негативно высказался - мол роутинг там адекватный, а фаерволлинг очень глючный. Palo Alto и Fortigate посчитал вполне адекватными конкурентами. Что ж, пообщаемся и с ними. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 6 марта, 2018 · Жалоба фортики крутые фичи у них клевые, но настраивается не всегда очевидно но фортики не всем нужны, обычно их ставят где надо кучу VDOM, у них в этом плане конкуренции нет, на сколько я знаю а вот за SRX чето странный гон, пускай обоснует чтоль)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 10 марта, 2018 · Жалоба В 3/7/2018 в 00:51, GrandPr1de сказал: фортики крутые фичи у них клевые, но настраивается не всегда очевидно но фортики не всем нужны, обычно их ставят где надо кучу VDOM, у них в этом плане конкуренции нет, на сколько я знаю а вот за SRX чето странный гон, пускай обоснует чтоль)) По сравнению с ASA FP фортигейт эталон очевидности. Так же как и пало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvgeniySerb Опубликовано 10 марта, 2018 · Жалоба Palo Alto нормальные но подписка дорогая Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr_geg Опубликовано 10 мая, 2018 · Жалоба @dr Tr0jan Кого из вендоров выбрали в итоге? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 10 мая, 2018 · Жалоба @dr_geg. пока никакого. Не получается пообщаться. На днях Juniper Day будет в городе, может какое-то мнение о можжевеловых сложится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 13 мая, 2018 · Жалоба Пресейлы предлагали на тест какую-нибудь железку? Если да - то стоит брать ознакомиться хоть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 мая, 2018 · Жалоба В 10.03.2018 в 18:38, EvgeniySerb сказал: Palo Alto нормальные Ггг. Чего только не делают люди чтобы самим не ставить БСД/линух. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvgeniySerb Опубликовано 14 мая, 2018 · Жалоба 6 hours ago, Ivan_83 said: Ггг. Чего только не делают люди чтобы самим не ставить БСД/линух. И какие альтернативы на линух/бсд? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 14 мая, 2018 · Жалоба netfilter/pf? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 14 мая, 2018 · Жалоба @dr Tr0jan Какой объём трафика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 14 мая, 2018 · Жалоба 21 hours ago, kapydan said: Пресейлы предлагали на тест какую-нибудь железку? Если да - то стоит брать ознакомиться хоть. Cisco ASA и Huawei какой-то - отказать однозначно. Bluecoat - неплохо, но очень дорого. У Stormshield всё очень плохо с саппортом. На самом деле, на тестирование нужно время, очень много времени. По факту, инженер минимум на месяц с основной работы вылетает. 4 hours ago, pppoetest said: netfilter/pf? У нас на ДВ с этим всё очень плохо. Найти человека на никсы практически невозможно. Из всего IT-отдела в 30 человек я один свободно в никсах работаю. Остальным - GUI подавай. 2 hours ago, EShirokiy said: @dr Tr0jan Какой объём трафика? Пара сотен мегабит. В pps'ах не очень много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 14 мая, 2018 · Жалоба @dr Tr0jan Что по Джуну? Готовы ли они ввезти в белую? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...