CCIE.pl

mam ciekawy przypadek;)

mamy ASA i klient uparł się, że chce Forti.. bo tak..

zastanawiam się w jaki sposób go przekonać, że jednak ASA lepsza;)

Ale po co, jak chce to niech kupuje FG... a chce kupic pewnie ze wzgledu na korzystniejsza cene.

no to pewne jedno, ale też że zarządzanie lepsze i tu chyba się kończą +

Zarzadzanie tez lepsze, a taki upgrade softu jest o niebo latwiejszy, wiec rozumiem ludzi którzy to kupuja.

1. zarządzanie
2. dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka.

Oczywiście FG też ma swoje minusy ale je przemilczę tutaj.

kurđ pisze: ↑18 kwie 2018, 16:30 1. zarządzanie
2. dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka.

Oczywiście FG też ma swoje minusy ale je przemilczę tutaj.

Jakie minusy FG?

Co mi wpadło w oko.
1. Przeniesienie konfigu z jednego urządzenia na inne (inną serię) jest dosyć skomplikowane. Cały konfig jako .xml jest trochę nieprzejrzysty.
2. Upgrade może jest i łatwy ale nie ma ostrzeżenia że trzeba zachować konkretne kroki w aktualizacji wersji. Update robi się bez żadnego zająknięcia z wersji a --> d przeskakując b i c. A w nowej wersji okazuje się, że wyleciały wszystkie tunele s2s. Gorzej jeszcze jak te tunele są do jakichś partnerów i PSK nie zostało nigdzie zapisane ( w ASA można PSK podejrzeć w FG nie), wtedy powodzenia w odzyskaniu tunelu na szybko.
3. W starych urządzeniach FG chętnie umieszczała wiele portów na jednym ASICu. Nie wiem jak teraz. I co z tego że niby urządzenie obsługiwało traffic do 2,5GBit skoro mając traffic UDP w dwóch kierunkach jednocześnie max co przechodziło to 600Mbit. Tych informacji jednak nigdy nie było w specyfikacjach.
4. BPR w połączeniu z VPN nie działa(ł). Ostanio nie sprawdzałem.
5. Link Monitor działa(ł) dużo gorzej niż Ciscowe IP SLA. Może przestawić tylko wszytkie Route-y które używają danej bramy. Jak mam przez jedną bramę osiąglne wiele sieci i monitoruję jedną z tych sieci, to w razie jej niedostępności ta brama jest usuwana, przez co wszystkie inne sieci też nie działają.
6. jak ktoś wyrósł na cisco to ciężko się przestawić do składni FG w CLI - ale to już marudzenie na wysokim poziomie:-)

". dodatkowe funkcje typu AV, SSL Inspection, IPS, Web Filtering, Mobile Malware, Antispam Filtering.

ASA może i nadaje się jako urządzenie do VPN tunelu S2S ale jako urządzenie brzegowe do dostępu do Internetu to jakaś porażka."



uważasz, że ASA-X z FP albo FTD nie ma IPS czy web filteringu?

Antispam to mamy ESA do tego i działa supr wg. mnie.

"Mobile Malware" - mamy AMP i AMP for Endpoint

Nie, nie twierdzę. Po prostu asa i Asa-x to dwa różne produkty, mimo tego samego słowa w nazwie.
Asa-x weszła chyba w 2015r, nam taki produkt był potrzebny ze 2-3 lata wcześniej, bo stare asy (bez x) nie dawały sobie rady. Po prostu Cisco przespało.

Teraz gdy mamy kilkadziesiąt urządzeń, z których np 2 o wartości pow. 100k €, nikt nie będzie wracał do Cisco, mimo że ja sam nie miałbym nic przeciwko.

Więc krótko, jeśli Asa-x spełnia twoje wymagania, walcz o nią.

Klatapat

ASA:
+support
+community
+do dużych organizacji OK
-interfejs zbyt skomplikowany
-czasem FP dostaje czkawek
-stosunkowo drogie
-do małych/średnich firm wg. mnie się nie nadaje: patrz punkty wyżej
-już się boję kupić cokolwiek z Cisco, bo nigdy nie wiem o jakiej licencji zapomniałem

FG:
+łatwiejszy zarządzanie
+tańsze
+/-cukierkowe menu
-brak community
Nie wiem jaki tutaj jest support.

Osobiście skłaniałbym się do PA lub Forti. ASA-X to dla mnie nadal produkt niedopracowany. Jak już to tylko do dużych działów IT.

Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)

Powiemy o tym więcej i w detalach na najbliższym Cisco Digital Forum - niebawem pójdą zaproszenia jeszcze na maj.

lbromirs pisze: ↑19 kwie 2018, 18:10 Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko

A co tym razem nie działa ?:)

art pisze: ↑20 kwie 2018, 08:14

lbromirs pisze: ↑19 kwie 2018, 18:10 Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko :)

A co tym razem nie działa ?:)

Jest to pierwszy produkt na świecie, w którym w ogóle nie ma błędów - żadnych! ;)

lbromirs pisze: ↑20 kwie 2018, 09:26

art pisze: ↑20 kwie 2018, 08:14

lbromirs pisze: ↑19 kwie 2018, 18:10 Właśnie wyszedł FTD 6.2.3. Zachęcam do przekonania się, że ASA czy FirePower ze zintegrowanym obrazem to jednak fajne pudełko

A co tym razem nie działa ?:)

Jest to pierwszy produkt na świecie, w którym w ogóle nie ma błędów - żadnych!

Jak mowią niemcy "błędów nie popełnia ten co nic nie robi" .

Tu nie chodzi o brak błędów tylko o żeby dostać produkt w pełni funkcjonalny. Mam ASDM, był bug, poczytałem, zrobiłem downgrade jest OK.

FTD: Wy (Cisco) od 2-3 lat wmawiacie ludziom że FTD lada dzień ujrzy światło dzienne i będzie teraz super fajnie. Mijają 2 lata i nadal mówicie, że jeszcze tylko 2 lata i ASA będzie latać niczym motyl po kwitnącej łące I jeszcze będziecie się zapierać, że ASA-X to jest super dopracowany produkt.

Sprawdzę to FTD i zobaczę czy wszystko działa. Być może wtedy zmienię zdanie i powiem: no Cisco po 8 latach w końcu odwaliło kawał dobrej roboty i zwrócę honor