ASA vs Forti

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

ASA vs Forti

#1

#1 Post autor: piter1789 »

mam ciekawy przypadek;)

mamy ASA i klient uparł się, że chce Forti.. bo tak..

zastanawiam się w jaki sposób go przekonać, że jednak ASA lepsza;)

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA vs Forti

#2

#2 Post autor: frontier »

Ale po co, jak chce to niech kupuje FG... a chce kupic pewnie ze wzgledu na korzystniejsza cene.
Jeden konfig wart więcej niż tysiąc słów

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: ASA vs Forti

#3

#3 Post autor: piter1789 »

no to pewne jedno, ale też że zarządzanie lepsze i tu chyba się kończą +

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA vs Forti

#4

#4 Post autor: frontier »

Zarzadzanie tez lepsze, a taki upgrade softu jest o niebo latwiejszy, wiec rozumiem ludzi którzy to kupuja.
Jeden konfig wart więcej niż tysiąc słów

kurđ
wannabe
wannabe
Posty: 226
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#5

#5 Post autor: kurđ »

1. zarządzanie
2. dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka.

Oczywiście FG też ma swoje minusy ale je przemilczę tutaj.
MfG
Kurđ

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: ASA vs Forti

#6

#6 Post autor: PatrykW »

kurđ pisze: 18 kwie 2018, 16:30 1. zarządzanie
2. dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka.

Oczywiście FG też ma swoje minusy ale je przemilczę tutaj.
Jakie minusy FG?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

kurđ
wannabe
wannabe
Posty: 226
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#7

#7 Post autor: kurđ »

Co mi wpadło w oko.
1. Przeniesienie konfigu z jednego urządzenia na inne (inną serię) jest dosyć skomplikowane. Cały konfig jako .xml jest trochę nieprzejrzysty.
2. Upgrade może jest i łatwy ale nie ma ostrzeżenia że trzeba zachować konkretne kroki w aktualizacji wersji. Update robi się bez żadnego zająknięcia z wersji a --> d przeskakując b i c. A w nowej wersji okazuje się, że wyleciały wszystkie tunele s2s. Gorzej jeszcze jak te tunele są do jakichś partnerów i PSK nie zostało nigdzie zapisane ( w ASA można PSK podejrzeć w FG nie), wtedy powodzenia w odzyskaniu tunelu na szybko.
3. W starych urządzeniach FG chętnie umieszczała wiele portów na jednym ASICu. Nie wiem jak teraz. I co z tego że niby urządzenie obsługiwało traffic do 2,5GBit skoro mając traffic UDP w dwóch kierunkach jednocześnie max co przechodziło to 600Mbit. Tych informacji jednak nigdy nie było w specyfikacjach.
4. BPR w połączeniu z VPN nie działa(ł). Ostanio nie sprawdzałem.
5. Link Monitor działa(ł) dużo gorzej niż Ciscowe IP SLA. Może przestawić tylko wszytkie Route-y które używają danej bramy. Jak mam przez jedną bramę osiąglne wiele sieci i monitoruję jedną z tych sieci, to w razie jej niedostępności ta brama jest usuwana, przez co wszystkie inne sieci też nie działają.
6. jak ktoś wyrósł na cisco to ciężko się przestawić do składni FG w CLI - ale to już marudzenie na wysokim poziomie:-)
MfG
Kurđ

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: ASA vs Forti

#8

#8 Post autor: piter1789 »

". dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka."



uważasz, że ASA-X z FP albo FTD nie ma IPS czy web filteringu?

Antispam to mamy ESA do tego i działa supr wg. mnie.

"Mobile Malware" - mamy AMP i AMP for Endpoint

kurđ
wannabe
wannabe
Posty: 226
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#9

#9 Post autor: kurđ »

Nie, nie twierdzę. Po prostu asa i Asa-x to dwa różne produkty, mimo tego samego słowa w nazwie.
Asa-x weszła chyba w 2015r, nam taki produkt był potrzebny ze 2-3 lata wcześniej, bo stare asy (bez x) nie dawały sobie rady. Po prostu Cisco przespało.

Teraz gdy mamy kilkadziesiąt urządzeń, z których np 2 o wartości pow. 100k €, nikt nie będzie wracał do Cisco, mimo że ja sam nie miałbym nic przeciwko.

Więc krótko, jeśli Asa-x spełnia twoje wymagania, walcz o nią.

Klatapat

MfG
Kurđ

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA vs Forti

#10

#10 Post autor: art »

ASA:
+support
+community
+do dużych organizacji OK
-interfejs zbyt skomplikowany
-czasem FP dostaje czkawek
-stosunkowo drogie
-do małych/średnich firm wg. mnie się nie nadaje: patrz punkty wyżej
-już się boję kupić cokolwiek z Cisco, bo nigdy nie wiem o jakiej licencji zapomniałem :)

FG:
+łatwiejszy zarządzanie
+tańsze
+/-cukierkowe menu
-brak community
Nie wiem jaki tutaj jest support.

Osobiście skłaniałbym się do PA lub Forti. ASA-X to dla mnie nadal produkt niedopracowany. Jak już to tylko do dużych działów IT.
Ups I switched again =)

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: ASA vs Forti

#11

#11 Post autor: lbromirs »

Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)

Powiemy o tym więcej i w detalach na najbliższym Cisco Digital Forum - niebawem pójdą zaproszenia jeszcze na maj.

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA vs Forti

#12

#12 Post autor: art »

lbromirs pisze: 19 kwie 2018, 18:10 Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)
A co tym razem nie działa ?:)
Ups I switched again =)

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: ASA vs Forti

#13

#13 Post autor: lbromirs »

art pisze: 20 kwie 2018, 08:14
lbromirs pisze: 19 kwie 2018, 18:10 Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)
A co tym razem nie działa ?:)
Jest to pierwszy produkt na świecie, w którym w ogóle nie ma błędów - żadnych! ;)

kurđ
wannabe
wannabe
Posty: 226
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: ASA vs Forti

#14

#14 Post autor: kurđ »

lbromirs pisze: 20 kwie 2018, 09:26
art pisze: 20 kwie 2018, 08:14
lbromirs pisze: 19 kwie 2018, 18:10 Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)
A co tym razem nie działa ?:)
Jest to pierwszy produkt na świecie, w którym w ogóle nie ma błędów - żadnych! ;)
Jak mowią niemcy "błędów nie popełnia ten co nic nie robi" . :wink:
MfG
Kurđ

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA vs Forti

#15

#15 Post autor: art »

Tu nie chodzi o brak błędów tylko o żeby dostać produkt w pełni funkcjonalny. Mam ASDM, był bug, poczytałem, zrobiłem downgrade jest OK.

FTD: Wy (Cisco) od 2-3 lat wmawiacie ludziom że FTD lada dzień ujrzy światło dzienne i będzie teraz super fajnie. Mijają 2 lata i nadal mówicie, że jeszcze tylko 2 lata i ASA będzie latać niczym motyl po kwitnącej łące :) I jeszcze będziecie się zapierać, że ASA-X to jest super dopracowany produkt.

Sprawdzę to FTD i zobaczę czy wszystko działa. Być może wtedy zmienię zdanie i powiem: no Cisco po 8 latach w końcu odwaliło kawał dobrej roboty i zwrócę honor :-)
Ups I switched again =)

ODPOWIEDZ