CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

Cisco NGFW

https://ccie.pl/viewtopic.php?f=44&t=21118

Strona 2 z 2

: 22 kwie 2015, 11:58
autor: lbromirs
chunkpunk pisze:
Seba pisze:
chunkpunk pisze:Klastrowanie AA to lekkie nieporozumienie tych wirtualek np. do fortigate gdzie blacha dostaje dodatkowej mocy.
Failover (tryb A/S i A/A) a klastrowanie, to różne rzeczy, a po opisie mam wrażenie, że chyba mieszacie te rzeczy.
Klaster klasterm , failover faloverem. Natomiast ASA brak klastra i AA mizerne w praktyce chyba nie stosowane.
Prośba - stosuj znaki przestankowe.

Czy chcesz napisać, że ASA nie obsługuje klastra? Obsługuje. Warto rzucić okiem na specjalny rozdział z dokumentu dotyczącego skalowania firewalli w DC:

http://www.cisco.com/c/en/us/td/docs/so ... uster.html

Czy chcesz napisać, że na ASA nie stosuje się AA, bo 'chyba'? Stosuje się. Między innymi portal CCIE.pl jest za taką konfiguracją.

Rozumiem, że dla Ciebie Fortinet jest odpowiedzią na wszystko. Ale skupmy się na faktach a nie na 'chyba'.

Re: Cisco NGFW

: 27 kwie 2015, 11:14
autor: eljot
gangrena pisze:
zakrz pisze:Firma rozgląda się za NGFW i pod uwagę brane są następujące opcje: Checkpoint, Paloalto i Cisco ASA. Cisco trochę przegrywa z uwagi na osobne zarządzanie FW i modułu FirePower - już coś się zmienia na lepsze w nowszych wersjach np. na ASA5516-X ale jest to urządzanie zbyt mało wydajne na jej potrzeby.
Jeżeli przeszkadza Wam osobne zarządzanie, to możecie rozważyć jeszcze appliance FirePOWER z funkcjami NGFW, AMP, IPS: http://www.cisco.com/c/en/us/products/c ... 32955.html
FirePOWER osiąga najlepsze rezultaty wykrywania ataków spośród producentów na rynku według NSS Labs. Przykład porównania: http://www.tomsitpro.com/articles/next- ... 847-2.html.
Odkopię temat. Mając trochę AS z FirePOWER chciałbym ograniczyć konieczność korzystania z CSM najlepiej do zera. Czy widzicie jakieś argumenty przeciw przeniesieniu funkcjonalności statefull firewalla w całości na moduł sourcefire? Asa robiłaby tylko nat/vpn.

Re: Cisco NGFW

: 28 kwie 2015, 15:00
autor: gaph
eljot pisze: Odkopię temat. Mając trochę AS z FirePOWER chciałbym ograniczyć konieczność korzystania z CSM najlepiej do zera. Czy widzicie jakieś argumenty przeciw przeniesieniu funkcjonalności statefull firewalla w całości na moduł sourcefire? Asa robiłaby tylko nat/vpn.
Nie jest to pożądane, ASA jest zoptymalizowana pod kątem przetwarzania m.in. ACL w dużej skali (setki tysięcy ACE), FirePOWER nie jest.

Za chwilę FireSIGHT będzie umożliwiał budowę Unified Rules, to znaczy zarządzanie ACL, NAT i kilkoma innymi funkcjonalnościami, czyli niejako będzie wchłaniał możliwości ASA CLI, ASDM i CSM.

To pozwoli stopniowo na zarządzanie ASA FPS z jednego miejsca.

Podsumowując, korzystnie jest pozostać obecnie przy dystrybucji funkcjonalności zgodnie ich przeznaczeniem.

pozdrawiam.
Strefa czasowa UTC+02:00
Strona 2 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl