[myst]

Собственно есть пара сабжей.

У тех кто это покупал была мысль заменить работающие ныне в режиме Act-Stdb ASA5515 (Зачем не спрашивайте). 

На FP включены все лицензии.

Хотелось бы понять имеет ли смысл в данной манипуляции:

Из того что нужно: IPS/NAT/WAF и фильтры меж локальными подсетями... Ну и доменная аутентификация.

Из того что я помню (ой как давно это было) FP без асы вообще не работал, а потом было ещё крайне ущербное поделие ASA-CX.

Как сейчас с этим обстоят дела? Имеет ли смысл тратить время на подробное изучение вопроса или просто их отложить на полочку?

[jffulcrum]

Просто коробки для безопасников. Как и всякая коробка для безопасников, почти все зависит от того, кто будет ей заниматься и насколько хорошее у него взаимодействие с Ай-Ти. А будет коробка от Cisco, Checkpoint, Watchguard, Palo Alto, Forti, Ideco - дело уже второе. Полно таких коробок выводил и демонтировал у клиентов, в лучшем случае к этому времени они  дорабатывали как VPN шлюз или AV фильтр почты, потому что заниматься было вообще некому или этот человек забивал гвозди микроскопами.

 

P.S. коробка работает сама, ничего постороннего ей не требуется (акромя служб для SSO в домене и тому подобного).

[myst]

4 часа назад, jffulcrum сказал:

Просто коробки для безопасников. Как и всякая коробка для безопасников, почти все зависит от того, кто будет ей заниматься и насколько хорошее у него взаимодействие с Ай-Ти. А будет коробка от Cisco, Checkpoint, Watchguard, Palo Alto, Forti, Ideco - дело уже второе. Полно таких коробок выводил и демонтировал у клиентов, в лучшем случае к этому времени они  дорабатывали как VPN шлюз или AV фильтр почты, потому что заниматься было вообще некому или этот человек забивал гвозди микроскопами.

 

P.S. коробка работает сама, ничего постороннего ей не требуется (акромя служб для SSO в домене и тому подобного).

Ну тоесть ничего не поменялось, вместе но не вместо asa. Кстати по поводу палоальто и фортинета я таки не соглашусь, тут будет слишком много пересекающегося функционала.

[fractal]

Зависит от софта, можно поставить ASA и юзать как ASA, но если нужны плюхи ips и т.д. То FTD ставить на коробку

 

3 часа назад, myst сказал:

Ну тоесть ничего не поменялось, вместе но не вместо asa. Кстати по поводу палоальто и фортинета я таки не соглашусь, тут будет слишком много пересекающегося функционала.

Раздельно, но не вместе 

 

И вообще, не берите никогда серию  fpr2100 или fpr1150 или что то из fpr3000

 

9 часов назад, myst сказал:

Из того что я помню (ой как давно это было) FP без асы вообще не работал

Было когда коробки были asa5515 with firepower щас наоборот

[myst]

В 13.07.2023 в 22:54, fractal сказал:

И вообще, не берите никогда серию  fpr2100 или fpr1150 или что то из fpr3000

 

так я бы и не взял такое, уж очень грустное юзабилити у него. после пальто даже смотреть не хочется.

[myst]

В 13.07.2023 в 22:54, fractal сказал:

Зависит от софта, можно поставить ASA и юзать как ASA, но если нужны плюхи ips и т.д. То FTD ставить на коробку

 

Раздельно, но не вместе 

 

И вообще, не берите никогда серию  fpr2100 или fpr1150 или что то из fpr3000

 

Было когда коробки были asa5515 with firepower щас наоборот

Вижу вы человек знающий, я с FP да и вообще с сесурити от циско дело имел ещё времен крайне кривых и сырых ASA-CX(К счастью больше нет). Сейчас вот "на халяву" раздушенные 2110 читаю сценарии применения FTD и не могу понять... В принципе сеть прикрыта ASA, но есть DMZ со всякими веб апликациями и прочими бузинес критикал, на которые полноценно прикрывать функционала ASA уже явно не достаточно. Помнится мне функционал NGFW реализовывался с FP+ESA+WSA а вот как сейчас и в каком виде это в FTD пока не понятно. Насколько FTD подходит для прикрытия DMZ и особенно интересует WAF?

Ну и планируется в дальнейшем внедрение SIEM тоже вопрос насколько FTD будет полезен в данном контексте?

Ну и да, почему вы говорите не брать серию 2100? Я эти поделия от циском сам не люблю, пало-альто наше все, но хочется услышать знающего человека.

[fractal]

7 часов назад, myst сказал:

Вижу вы человек знающий, я с FP да и вообще с сесурити от циско дело имел ещё времен крайне кривых и сырых ASA-CX(К счастью больше нет). Сейчас вот "на халяву" раздушенные 2110 читаю сценарии применения FTD и не могу понять... В принципе сеть прикрыта ASA, но есть DMZ со всякими веб апликациями и прочими бузинес критикал, на которые полноценно прикрывать функционала ASA уже явно не достаточно. Помнится мне функционал NGFW реализовывался с FP+ESA+WSA а вот как сейчас и в каком виде это в FTD пока не понятно. Насколько FTD подходит для прикрытия DMZ и особенно интересует WAF?

Ну и планируется в дальнейшем внедрение SIEM тоже вопрос насколько FTD будет полезен в данном контексте?

Ну и да, почему вы говорите не брать серию 2100? Я эти поделия от циском сам не люблю, пало-альто наше все, но хочется услышать знающего человека.

лучше задать этот вопрос в чатике телеграм cisco_collection_support - искать можно через web версию,  в России плюшки WAF ранее были подписачными, сейчас не скажу, решает ли oPLR лицензирование задачу отвязывания от смарта, в целом на версии софта 7.3 уже очень хорошо, но мы с них ушли на функционал ASA, так как на моделях fpr2100 (построены на линейках маршрутизаторах isr4000) производительно FTD оставляет желать лучшего, 2110 1Gb если выжмет будет счастье, скоро их объявят eos в связи с неудачной архитектурой. Мы WAF юзаем от провайдера как услугу теперь

[myst]

1 час назад, fractal сказал:

Мы WAF юзаем от провайдера как услугу теперь

К сожалению у нас так не получится, много аплинков, богапэ, и требования к SLA не вписываются в невозможность самому редактировать правила WAF =(

[jffulcrum]

Для конкретно WAF брать железо я бы в принципе не стал, практически у всех вендоров есть уже виртуальные решения, которые куда удобнее масштабировать и апгрейдить. Выбор же решения в РФ обусловлен скорее санкциями, ну если они не проблема, то BIG-IP Virtual от F5 или пОльты что-то такое тоже выкатывали.

[myst]

15 часов назад, jffulcrum сказал:

Для конкретно WAF брать железо я бы в принципе не стал, практически у всех вендоров есть уже виртуальные решения, которые куда удобнее масштабировать и апгрейдить. Выбор же решения в РФ обусловлен скорее санкциями, ну если они не проблема, то BIG-IP Virtual от F5 или пОльты что-то такое тоже выкатывали.

они самая настоящая проблема но выбор обусловлен не только этим, решения от ПТ вполне себе на мировом уровне. понятно что виртуалки лучше, тут вопрос то не в этом, просто железо FTD валялось а неплохо бы его в работу поставить с хотя бы частичным функционалом.

 

[fractal]

14 минут назад, myst сказал:

просто железо FTD валялось а неплохо бы его в работу поставить с хотя бы частичным функционалом.

Вам по любому понадобится ставить на них oplr примерно 1000-1500 баксов ещё, без лицух в FTD 90 дней даётся, в режиме asa можно без лицух работать, но там только fw 

[myst]

1 час назад, fractal сказал:

Вам по любому понадобится ставить на них oplr примерно 1000-1500 баксов ещё, без лицух в FTD 90 дней даётся, в режиме asa можно без лицух работать, но там только fw 

Я подробностей не в курсе но там лицензия уже стоит. Вроде как поставщик что-то схимичил. Тут вопрос в подписках и их обновлении. Нашел ТГ каналы где эти обновления выкладывают весьма таки оперативненько но естественно с ручным обновлением.

[fractal]

4 часа назад, myst сказал:

Я подробностей не в курсе но там лицензия уже стоит. Вроде как поставщик что-то схимичил. Тут вопрос в подписках и их обновлении. Нашел ТГ каналы где эти обновления выкладывают весьма таки оперативненько но естественно с ручным обновлением.

Обновление не проблема, сигнатуры надо будет как то тянуть

[myst]

56 минут назад, fractal сказал:

Обновление не проблема, сигнатуры надо будет как то тянуть

я пока наблюдай, возможно и сигнатуры выкладывают (не уверен)