Wybór sprzętu sieciowego NGFW Forti Gate, Palo Alto?

Swobodne rozmowy na nie-sieciowe tematy

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron

Wiadomość
Autor
zielart
member
member
Posty: 28
Rejestracja: 19 sty 2010, 16:22

Wybór sprzętu sieciowego NGFW Forti Gate, Palo Alto?

#1

#1 Post autor: zielart »

Planujemy upgrade łącza sieciowego oraz sprzętu, założenia są następujące:

Łącze 1Gbe/200Mbit
IPSec 100 Mbit - VPN S2S
Około 100 równoczesnych połączeń VPN klienckich

Do tego IPS, klient VPN, ochrona przed Malware itp.

Łącze będzie wykorzystywane do połączeń do chmury AWS, O365.

Jaki firewall do tego wybrać?
Rozważamy Forti Gate 200D oraz Palo Alto 3020 (niższy model by wystarczył ale go wycofali), są jakieś inne dobre alternatywy?

Z tego co przeglądam na forach na fortigate narzekają i piszą że PAN jest lepszy.
Czy warto dopłacać do PAN?

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

#2

#2 Post autor: michaliwanczuk »

potwierdzam lepszość Palo

Pytanie 100 równoczesnych połączeń klienckich masz na myśli SSL VPN ?

Bo zawszę można spróbować dopasować Juniper SRX jak na moje ok to min 650
Michał

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#3

#3 Post autor: freel4ncer »

A czemu nie Juniper ? np taki srx650 ?

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#4

#4 Post autor: Seba »

A czemu nie Cisco ASA?
Taki model ASA5508 z Firepower i AMP załatwia wszystkie Twoje wymagania jeśli chodzi o FW/IPS/Malware + AnyConnect jako klient VPN; jeśli potrzebne są większe zapasy mocy/ilości sesji to można pójść w wyższe modele, np. 5516
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

#5

#5 Post autor: art »

Taki offtop:
czy przedłużenie, po roku czasu, supportu oraz subskrypcja usług FirePower nie przewyższy ceny zakupy ASA'y 5508 ?
Ups I switched again =)

Kyniu
wannabe
wannabe
Posty: 3542
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#6

#6 Post autor: Kyniu »

U każdego producenta trzeba po roku czy dwóch albo trzech wykupić subskrypcję usług i niestety tanio nie jest.

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#7

#7 Post autor: Seba »

Dokładnie tak jak pisze Kyniu, większość rzeczy wokół IPS/Anti-Malware ma licencje subskrypcyjne niezależnie od producenta, tak więc należy zawsze porównać koszt total na przestrzeni 1-3-5 lat i zobaczyć jak to się kształtuje.
Faktycznie jest tak, że te subskrypcje (praktycznie niezależnie od producenta) na przestrzeni kilku lat przewyższają cenę samego pudełka.

Rzecz polega na tym, że w dziedzinie bezpieczeństwa, zmienność wektorów ataku, jak i same zagrożenia, powodują, że systemy bezpieczeństwa wymagają szybkiej i częstej, no i oczywiście skutecznej aktualizacji. I właśnie się za to płaci.

Inna kwestia, że urządzenie brzegowe zapewnia wyłącznie ochronę na styku, natomiast bez dodatkowych narzędzi wewnątrz sieci, czy na samych hostach, to co się dzieje wewnątrz jest tajemnicą, a doświadczenia pokazują, że dzieje się całkiem sporo.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

#8

#8 Post autor: art »

Ależ ja się z wami zgadzam, tylko jestem ciekaw czy subskrypcja w Cisco jest zależna od urządzenia, bo cena odnowienia licencji dla mojej ASA'y o malo nie zrzuciła mnie z krzesła...
Ups I switched again =)

saiqard
wannabe
wannabe
Posty: 371
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#9

#9 Post autor: saiqard »

Jeśli chodzi o Junipera, to wydaje mi się że SRX240 dałby spokojnie rade.

saiqard
wannabe
wannabe
Posty: 371
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#10

#10 Post autor: saiqard »

art pisze:Ależ ja się z wami zgadzam, tylko jestem ciekaw czy subskrypcja w Cisco jest zależna od urządzenia, bo cena odnowienia licencji dla mojej ASA'y o malo nie zrzuciła mnie z krzesła...
Ja jestem w trakcie odnawiania licencji na dwa pudełka Palo... i mnie cena zrzuciła z krzesła :P A póżniej jeszcze tym krzesłem dobiła :P

Awatar użytkownika
balam
wannabe
wannabe
Posty: 977
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

Re: Wybór sprzętu sieciowego NGFW Forti Gate, Palo Alto?

#11

#11 Post autor: balam »

zielart pisze: Rozważamy Forti Gate 200D oraz Palo Alto 3020 (niższy model by wystarczył ale go wycofali),
Używam obu i zdecydowanie PaloAlto - polecam zrobic sobie PoC i porownac.
Somewhere back in time.

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

#12

#12 Post autor: art »

saiqard pisze:
Ja jestem w trakcie odnawiania licencji na dwa pudełka Palo... i mnie cena zrzuciła z krzesła :P A póżniej jeszcze tym krzesłem dobiła :P
Dzięki za pocieszenie :)

W ogóle brakuje mi miejsca, gdzie można byłoby w łatwy sposób sprawdzić sobie "orientacyjną" cenę pudełka + subskrypcji.Ja wiem, że to się może zmieniać itp. ale po prostu czasem już mi się nie chce n-ty raz rozmawiać z kimś, że na razie pieniędzy nie ma i znowu za miesiąc dzwoni, czy przypadkiem już w tej chwili nie będę kupował...
Ups I switched again =)

saiqard
wannabe
wannabe
Posty: 371
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#13

#13 Post autor: saiqard »

art pisze:
saiqard pisze:
Ja jestem w trakcie odnawiania licencji na dwa pudełka Palo... i mnie cena zrzuciła z krzesła :P A póżniej jeszcze tym krzesłem dobiła :P
Dzięki za pocieszenie :)

W ogóle brakuje mi miejsca, gdzie można byłoby w łatwy sposób sprawdzić sobie "orientacyjną" cenę pudełka + subskrypcji.Ja wiem, że to się może zmieniać itp. ale po prostu czasem już mi się nie chce n-ty raz rozmawiać z kimś, że na razie pieniędzy nie ma i znowu za miesiąc dzwoni, czy przypadkiem już w tej chwili nie będę kupował...
My mieliśmy z Palo inny problem... Spytaliśmy tego kto nam pudełka sprzedał o ceny supportu 3 miesiące przed jego końcem, a on informacji nam nie udzielił , i nie jest zainteresowany jego sprzedażą.

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

#14

#14 Post autor: art »

Hmm w sumie to ciekawe, bo jakby nie patrzeć przyszliście do nich sami od siebie więc zarobek łatwy bo i tak kupicie :)
Ups I switched again =)

Awatar użytkownika
Wheelwright
member
member
Posty: 23
Rejestracja: 27 mar 2013, 07:06

#15

#15 Post autor: Wheelwright »

Wychodzi, że to był raczej problem z gościem, który nie chciał z wami współpracować, a nie z sprzętem Palo Alto :)
Ja używam PA od ponad roku, więc kwestia licencji dopiero przede mną. Tyle, że nie będę miał wyjścia - platforma sprzętowa narzucona odgórnie. Ale póki co, jestem zadowolony z tych pudełek :)

ODPOWIEDZ