Cisco NGFW

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#16

#16 Post autor: lbromirs »

chunkpunk pisze:
Seba pisze:
chunkpunk pisze:Klastrowanie AA to lekkie nieporozumienie tych wirtualek np. do fortigate gdzie blacha dostaje dodatkowej mocy.
Failover (tryb A/S i A/A) a klastrowanie, to różne rzeczy, a po opisie mam wrażenie, że chyba mieszacie te rzeczy.
Klaster klasterm , failover faloverem. Natomiast ASA brak klastra i AA mizerne w praktyce chyba nie stosowane.
Prośba - stosuj znaki przestankowe.

Czy chcesz napisać, że ASA nie obsługuje klastra? Obsługuje. Warto rzucić okiem na specjalny rozdział z dokumentu dotyczącego skalowania firewalli w DC:

http://www.cisco.com/c/en/us/td/docs/so ... uster.html

Czy chcesz napisać, że na ASA nie stosuje się AA, bo 'chyba'? Stosuje się. Między innymi portal CCIE.pl jest za taką konfiguracją.

Rozumiem, że dla Ciebie Fortinet jest odpowiedzią na wszystko. Ale skupmy się na faktach a nie na 'chyba'.

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

Re: Cisco NGFW

#17

#17 Post autor: eljot »

gangrena pisze:
zakrz pisze:Firma rozgląda się za NGFW i pod uwagę brane są następujące opcje: Checkpoint, Paloalto i Cisco ASA. Cisco trochę przegrywa z uwagi na osobne zarządzanie FW i modułu FirePower - już coś się zmienia na lepsze w nowszych wersjach np. na ASA5516-X ale jest to urządzanie zbyt mało wydajne na jej potrzeby.
Jeżeli przeszkadza Wam osobne zarządzanie, to możecie rozważyć jeszcze appliance FirePOWER z funkcjami NGFW, AMP, IPS: http://www.cisco.com/c/en/us/products/c ... 32955.html
FirePOWER osiąga najlepsze rezultaty wykrywania ataków spośród producentów na rynku według NSS Labs. Przykład porównania: http://www.tomsitpro.com/articles/next- ... 847-2.html.
Odkopię temat. Mając trochę AS z FirePOWER chciałbym ograniczyć konieczność korzystania z CSM najlepiej do zera. Czy widzicie jakieś argumenty przeciw przeniesieniu funkcjonalności statefull firewalla w całości na moduł sourcefire? Asa robiłaby tylko nat/vpn.

Awatar użytkownika
gaph
CCIE / Instruktor CNAP
CCIE / Instruktor CNAP
Posty: 419
Rejestracja: 23 lip 2004, 21:16
Lokalizacja: Wrocław, Polska
Kontakt:

Re: Cisco NGFW

#18

#18 Post autor: gaph »

eljot pisze: Odkopię temat. Mając trochę AS z FirePOWER chciałbym ograniczyć konieczność korzystania z CSM najlepiej do zera. Czy widzicie jakieś argumenty przeciw przeniesieniu funkcjonalności statefull firewalla w całości na moduł sourcefire? Asa robiłaby tylko nat/vpn.
Nie jest to pożądane, ASA jest zoptymalizowana pod kątem przetwarzania m.in. ACL w dużej skali (setki tysięcy ACE), FirePOWER nie jest.

Za chwilę FireSIGHT będzie umożliwiał budowę Unified Rules, to znaczy zarządzanie ACL, NAT i kilkoma innymi funkcjonalnościami, czyli niejako będzie wchłaniał możliwości ASA CLI, ASDM i CSM.

To pozwoli stopniowo na zarządzanie ASA FPS z jednego miejsca.

Podsumowując, korzystnie jest pozostać obecnie przy dystrybucji funkcjonalności zgodnie ich przeznaczeniem.

pozdrawiam.
| Few people know what actually goes on in the CCIE Lab, it's shrouded in mystery |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |

ODPOWIEDZ