Cisco NGFW

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
zakrz
member
member
Posty: 38
Rejestracja: 03 gru 2013, 19:40

Cisco NGFW

#1

#1 Post autor: zakrz »

Cześć,

Firma rozgląda się za NGFW i pod uwagę brane są następujące opcje: Checkpoint, Paloalto i Cisco ASA. Cisco trochę przegrywa z uwagi na osobne zarządzanie FW i modułu FirePower - już coś się zmienia na lepsze w nowszych wersjach np. na ASA5516-X ale jest to urządzanie zbyt mało wydajne na jej potrzeby.

Pytanie moje jest następujące: na kiedy przewidywane jest "odświeżenie" wersji modelu ASA5525-X ?
Klient kupując teraz ASA5525-X naraża się na to, że być może za pół roku wyjdzie nowsza wersja hardware/software. Może warto poczekać?
CCNA, CCNA Voice

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#2

#2 Post autor: Seba »

Z tego co wiem nie ma planów wycofywania czy też wymiany modelu ASA5525X.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 380
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

#3

#3 Post autor: konradrz »

Popatrz też na Fortinet. Ja nie używałem osobiście, ale klienci zadowoleni.

Kyniu
wannabe
wannabe
Posty: 3542
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#4

#4 Post autor: Kyniu »

konradrz pisze:Popatrz też na Fortinet. Ja nie używałem osobiście, ale klienci zadowoleni.
Kolega miał zapewne na myśli ich firewall FortiGate. Aczkolwiek przed zakupem proponuje bardzo ale to bardzo dobrze poznać:
- zasady licencjonowania
- co "pudełko" robi samo a co w chmurze i z czym zostajesz jak wygasną licencje
- co "pudełko" robi a do czego wymaga osobnych "pudełek" jak FortiAnalyzer czy FortiManager
- jak popsuli soft programiści z Indii po tym, jak przeniesiono tamże rozwój oprogramowania
- jak granularnie możesz kontrolować mechanizmy działania tego "pudełka"

Natomiast niewątpliwie mają bardzo dużą, aktywnie działającą sieć partnerów, pokazują się ze swoimi produktami na każdym możliwym evencie, mają chyba niezły budżet na marketing, no i przy cenach Cisco o PaloAlto nie wspominając rzeczywiście jawią się jako atrakcyjny produkt.

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

Re: Cisco NGFW

#5

#5 Post autor: gangrena »

zakrz pisze:Firma rozgląda się za NGFW i pod uwagę brane są następujące opcje: Checkpoint, Paloalto i Cisco ASA. Cisco trochę przegrywa z uwagi na osobne zarządzanie FW i modułu FirePower - już coś się zmienia na lepsze w nowszych wersjach np. na ASA5516-X ale jest to urządzanie zbyt mało wydajne na jej potrzeby.
Jeżeli przeszkadza Wam osobne zarządzanie, to możecie rozważyć jeszcze appliance FirePOWER z funkcjami NGFW, AMP, IPS: http://www.cisco.com/c/en/us/products/c ... 32955.html
FirePOWER osiąga najlepsze rezultaty wykrywania ataków spośród producentów na rynku według NSS Labs. Przykład porównania: http://www.tomsitpro.com/articles/next- ... 847-2.html.

jarek6
wannabe
wannabe
Posty: 212
Rejestracja: 07 lut 2008, 17:56

Re: Cisco NGFW

#6

#6 Post autor: jarek6 »

gangrena pisze:appliance FirePOWER z funkcjami NGFW, AMP, IPS
Czy jest ona dostepna w postaci VM (VMware) ?
I jesli tak to czy mozna sciagnac gdzies Trial'owa wersje 30-60 do LABu ?

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#7

#7 Post autor: Seba »

Drodzy, pytanie było o Cisco NGFW i do tego też jest przeznaczona ta sekcja.
Inne opcje są zawsze mile widziane, natomiast w stosownej części forum.
Komponenty non-Cisco przenoszę do oddzielnej sekcji forum.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

Re: Cisco NGFW

#8

#8 Post autor: Seba »

jarek6 pisze:Czy jest ona dostepna w postaci VM (VMware) ?
I jesli tak to czy mozna sciagnac gdzies Trial'owa wersje 30-60 do LABu ?
Tak, jest dostępna. Nie jestem pewien czy można samodzielnie to ściągnąć, łącznie z licencją, ale jak najbardziej można się zwrócić do partnera Cisco, z którym współpracujecie, lub bezpośrednio do Cisco w celu omówienia szczegółów.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

chunkpunk
member
member
Posty: 45
Rejestracja: 31 mar 2011, 10:40

#9

#9 Post autor: chunkpunk »

Oosbiscie mam ten sam dylemat
ASA5525-X vs fortiogate 300d i opcjonalnie sonicwall 3600
i chyba wybieram ASE :) nie ma EOL na ta chwile dla tego produktu
mialem w labie u siebie te modele i powiem ze "ferdek" jest fajnie kolorowy ale moi userzy go po prostu zabili :/ z pelnym security + vpny ssl . moge powiedziec ze ta wydajnosc to jest troche na wyrost . + za to cluster acive/active
Natomiast zaskoczyla mnie asa + apm ips, firepower , modul w postaci dysku ssd + wirtualka (mi to nie przeszkadza, ale mozna wybrac tez blache) sporo odciazaja sprzet. fajne logi, dobre sledzenie.
jeden minus to brak anywirusa ale za to jest anti-mailware bo w sumie po co anywirus skoro mam go na koncowkach.
Do fortigata aby cos bylo widac trzeba kupic fortianaylzer , i bez licencji zostaje goly router.
Generalnie mam ISE i prime w sieci wiec zawsze to moge sprzegnac.

Kasowo wyszlo sporo taniej .
:)

Kyniu
wannabe
wannabe
Posty: 3542
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#10

#10 Post autor: Kyniu »

chunkpunk pisze:jeden minus to brak anywirusa
Cóż, pewnie mi się oberwie, że nie na temat i że się nie znam, ale powiedzmy za wyjątkiem serwera poczty, to szukanie wirusa "po drodze" jest głupotą. Współczesne, dobrze napisane wirusy, są skuteczne gdy są nierozpoznawalne (wirusy polimorficzne) i korzystają z podatności "0 day". Zatem szukanie ich po sygnaturach, a praktycznie tylko takie poszukiwanie wchodzi w grę, jest stratą czasu. Istotna jest analiza heurystyczna i analiza (czy może raczej monitorowanie) behawioralna (np. czy ten program na pewno powinien zapisywać coś w tym kluczu rejestru) i ograniczanie uprawnień usera. Nawet do stopnia "co nie jest wprost dozwolone jest zabronione". Ale analizę heurystyczną, monitorowanie behawioralne czy ograniczanie uprawnień można realizować tylko na końcówce i tylko "twardym" klientem a nie skanerem, który wysyła sygnatury do chmury, i do tego jest gdzieś "po drodze".

chunkpunk
member
member
Posty: 45
Rejestracja: 31 mar 2011, 10:40

#11

#11 Post autor: chunkpunk »

z chmury tylko odpytuje webfiltering, baza av lokalna, co nie zmienia faktu ze wlasnie fortigate u mnie sie wylozyl po wlaczeniu av :)
:)

Awatar użytkownika
grze
wannabe
wannabe
Posty: 419
Rejestracja: 09 cze 2008, 23:15
Lokalizacja: Warsaw

#12

#12 Post autor: grze »

chunkpunk pisze:
mialem w labie u siebie te modele i powiem ze "ferdek" jest fajnie kolorowy ale moi userzy go po prostu zabili :/ z pelnym security + vpny ssl . moge powiedziec ze ta wydajnosc to jest troche na wyrost . + za to cluster acive/active
ASA możesz klastrować i działa to z SF. Odpadają natomiast niektóre ficzery (np RA VPN). Szczegóły na CCO.
It doesn't matter how many certs you've got... it's really all about the pure knowledge behind them...

chunkpunk
member
member
Posty: 45
Rejestracja: 31 mar 2011, 10:40

#13

#13 Post autor: chunkpunk »

grze pisze:
chunkpunk pisze:
mialem w labie u siebie te modele i powiem ze "ferdek" jest fajnie kolorowy ale moi userzy go po prostu zabili :/ z pelnym security + vpny ssl . moge powiedziec ze ta wydajnosc to jest troche na wyrost . + za to cluster acive/active
ASA możesz klastrować i działa to z SF. Odpadają natomiast niektóre ficzery (np RA VPN). Szczegóły na CCO.
Klastrowanie AA to lekkie nieporozumienie tych wirtualek np. do fortigate gdzie blacha dostaje dodatkowej mocy.
Ale to nie zmienia faktu ze ASA + Sourcefire jest naprawde fajny
:)

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#14

#14 Post autor: Seba »

chunkpunk pisze:Klastrowanie AA to lekkie nieporozumienie tych wirtualek np. do fortigate gdzie blacha dostaje dodatkowej mocy.
Failover (tryb A/S i A/A) a klastrowanie, to różne rzeczy, a po opisie mam wrażenie, że chyba mieszacie te rzeczy.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

chunkpunk
member
member
Posty: 45
Rejestracja: 31 mar 2011, 10:40

#15

#15 Post autor: chunkpunk »

Seba pisze:
chunkpunk pisze:Klastrowanie AA to lekkie nieporozumienie tych wirtualek np. do fortigate gdzie blacha dostaje dodatkowej mocy.
Failover (tryb A/S i A/A) a klastrowanie, to różne rzeczy, a po opisie mam wrażenie, że chyba mieszacie te rzeczy.
Klaster klasterm , failover faloverem. Natomiast ASA brak klastra i AA mizerne w praktyce chyba nie stosowane.
:)

ODPOWIEDZ