ASA vs Forti

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 191
Rejestracja: 01 wrz 2014, 10:46

ASA vs Forti

#1

#1 Post autor: piter1789 » 18 kwie 2018, 12:03

mam ciekawy przypadek;)

mamy ASA i klient uparł się, że chce Forti.. bo tak..

zastanawiam się w jaki sposób go przekonać, że jednak ASA lepsza;)

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1849
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA vs Forti

#2

#2 Post autor: frontier » 18 kwie 2018, 12:39

Ale po co, jak chce to niech kupuje FG... a chce kupic pewnie ze wzgledu na korzystniejsza cene.
Jeden konfig wart więcej niż tysiąc słów

piter1789
wannabe
wannabe
Posty: 191
Rejestracja: 01 wrz 2014, 10:46

Re: ASA vs Forti

#3

#3 Post autor: piter1789 » 18 kwie 2018, 12:40

no to pewne jedno, ale też że zarządzanie lepsze i tu chyba się kończą +

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1849
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA vs Forti

#4

#4 Post autor: frontier » 18 kwie 2018, 12:43

Zarzadzanie tez lepsze, a taki upgrade softu jest o niebo latwiejszy, wiec rozumiem ludzi którzy to kupuja.
Jeden konfig wart więcej niż tysiąc słów

kurđ
wannabe
wannabe
Posty: 225
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#5

#5 Post autor: kurđ » 18 kwie 2018, 16:30

1. zarządzanie
2. dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka.

Oczywiście FG też ma swoje minusy ale je przemilczę tutaj.
MfG
Kurđ
[CCNA+W][CCNP][MCSE 2000/2003+M+S][MCTS][MCITP Ex2010]
Windowsinfo

Awatar użytkownika
Wojtachinho
wannabe
wannabe
Posty: 1700
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Re: ASA vs Forti

#6

#6 Post autor: Wojtachinho » 18 kwie 2018, 16:51

kurđ pisze:
18 kwie 2018, 16:30
1. zarządzanie
2. dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka.

Oczywiście FG też ma swoje minusy ale je przemilczę tutaj.
Jakie minusy FG?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

kurđ
wannabe
wannabe
Posty: 225
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#7

#7 Post autor: kurđ » 18 kwie 2018, 17:15

Co mi wpadło w oko.
1. Przeniesienie konfigu z jednego urządzenia na inne (inną serię) jest dosyć skomplikowane. Cały konfig jako .xml jest trochę nieprzejrzysty.
2. Upgrade może jest i łatwy ale nie ma ostrzeżenia że trzeba zachować konkretne kroki w aktualizacji wersji. Update robi się bez żadnego zająknięcia z wersji a --> d przeskakując b i c. A w nowej wersji okazuje się, że wyleciały wszystkie tunele s2s. Gorzej jeszcze jak te tunele są do jakichś partnerów i PSK nie zostało nigdzie zapisane ( w ASA można PSK podejrzeć w FG nie), wtedy powodzenia w odzyskaniu tunelu na szybko.
3. W starych urządzeniach FG chętnie umieszczała wiele portów na jednym ASICu. Nie wiem jak teraz. I co z tego że niby urządzenie obsługiwało traffic do 2,5GBit skoro mając traffic UDP w dwóch kierunkach jednocześnie max co przechodziło to 600Mbit. Tych informacji jednak nigdy nie było w specyfikacjach.
4. BPR w połączeniu z VPN nie działa(ł). Ostanio nie sprawdzałem.
5. Link Monitor działa(ł) dużo gorzej niż Ciscowe IP SLA. Może przestawić tylko wszytkie Route-y które używają danej bramy. Jak mam przez jedną bramę osiąglne wiele sieci i monitoruję jedną z tych sieci, to w razie jej niedostępności ta brama jest usuwana, przez co wszystkie inne sieci też nie działają.
6. jak ktoś wyrósł na cisco to ciężko się przestawić do składni FG w CLI - ale to już marudzenie na wysokim poziomie:-)
MfG
Kurđ
[CCNA+W][CCNP][MCSE 2000/2003+M+S][MCTS][MCITP Ex2010]
Windowsinfo

piter1789
wannabe
wannabe
Posty: 191
Rejestracja: 01 wrz 2014, 10:46

Re: ASA vs Forti

#8

#8 Post autor: piter1789 » 18 kwie 2018, 19:40

". dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka."



uważasz, że ASA-X z FP albo FTD nie ma IPS czy web filteringu?

Antispam to mamy ESA do tego i działa supr wg. mnie.

"Mobile Malware" - mamy AMP i AMP for Endpoint

kurđ
wannabe
wannabe
Posty: 225
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#9

#9 Post autor: kurđ » 18 kwie 2018, 21:46

Nie, nie twierdzę. Po prostu asa i Asa-x to dwa różne produkty, mimo tego samego słowa w nazwie.
Asa-x weszła chyba w 2015r, nam taki produkt był potrzebny ze 2-3 lata wcześniej, bo stare asy (bez x) nie dawały sobie rady. Po prostu Cisco przespało.

Teraz gdy mamy kilkadziesiąt urządzeń, z których np 2 o wartości pow. 100k €, nikt nie będzie wracał do Cisco, mimo że ja sam nie miałbym nic przeciwko.

Więc krótko, jeśli Asa-x spełnia twoje wymagania, walcz o nią.

Klatapat

MfG
Kurđ
[CCNA+W][CCNP][MCSE 2000/2003+M+S][MCTS][MCITP Ex2010]
Windowsinfo

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

Re: ASA vs Forti

#10

#10 Post autor: art » 19 kwie 2018, 16:55

ASA:
+support
+community
+do dużych organizacji OK
-interfejs zbyt skomplikowany
-czasem FP dostaje czkawek
-stosunkowo drogie
-do małych/średnich firm wg. mnie się nie nadaje: patrz punkty wyżej
-już się boję kupić cokolwiek z Cisco, bo nigdy nie wiem o jakiej licencji zapomniałem :)

FG:
+łatwiejszy zarządzanie
+tańsze
+/-cukierkowe menu
-brak community
Nie wiem jaki tutaj jest support.

Osobiście skłaniałbym się do PA lub Forti. ASA-X to dla mnie nadal produkt niedopracowany. Jak już to tylko do dużych działów IT.
Ups I switched again =)

lbromirs
CCIE
CCIE
Posty: 4057
Rejestracja: 30 lis 2006, 08:44

Re: ASA vs Forti

#11

#11 Post autor: lbromirs » 19 kwie 2018, 18:10

Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)

Powiemy o tym więcej i w detalach na najbliższym Cisco Digital Forum - niebawem pójdą zaproszenia jeszcze na maj.

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

Re: ASA vs Forti

#12

#12 Post autor: art » 20 kwie 2018, 08:14

lbromirs pisze:
19 kwie 2018, 18:10
Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)
A co tym razem nie działa ?:)
Ups I switched again =)

lbromirs
CCIE
CCIE
Posty: 4057
Rejestracja: 30 lis 2006, 08:44

Re: ASA vs Forti

#13

#13 Post autor: lbromirs » 20 kwie 2018, 09:26

art pisze:
20 kwie 2018, 08:14
lbromirs pisze:
19 kwie 2018, 18:10
Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)
A co tym razem nie działa ?:)
Jest to pierwszy produkt na świecie, w którym w ogóle nie ma błędów - żadnych! ;)

kurđ
wannabe
wannabe
Posty: 225
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#14

#14 Post autor: kurđ » 20 kwie 2018, 09:37

lbromirs pisze:
20 kwie 2018, 09:26
art pisze:
20 kwie 2018, 08:14
lbromirs pisze:
19 kwie 2018, 18:10
Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)
A co tym razem nie działa ?:)
Jest to pierwszy produkt na świecie, w którym w ogóle nie ma błędów - żadnych! ;)
Jak mowią niemcy "błędów nie popełnia ten co nic nie robi" . :wink:
MfG
Kurđ
[CCNA+W][CCNP][MCSE 2000/2003+M+S][MCTS][MCITP Ex2010]
Windowsinfo

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

Re: ASA vs Forti

#15

#15 Post autor: art » 20 kwie 2018, 09:41

Tu nie chodzi o brak błędów tylko o żeby dostać produkt w pełni funkcjonalny. Mam ASDM, był bug, poczytałem, zrobiłem downgrade jest OK.

FTD: Wy (Cisco) od 2-3 lat wmawiacie ludziom że FTD lada dzień ujrzy światło dzienne i będzie teraz super fajnie. Mijają 2 lata i nadal mówicie, że jeszcze tylko 2 lata i ASA będzie latać niczym motyl po kwitnącej łące :) I jeszcze będziecie się zapierać, że ASA-X to jest super dopracowany produkt.

Sprawdzę to FTD i zobaczę czy wszystko działa. Być może wtedy zmienię zdanie i powiem: no Cisco po 8 latach w końcu odwaliło kawał dobrej roboty i zwrócę honor :-)
Ups I switched again =)

ODPOWIEDZ