我们在数据中心的几个网络服务器前面使用了 2 台 Cisco PIX 501(两个独立安装在不同的 IP 范围内)。
Touchwood 它们很好,但如果我们必须更换它们 - 我们今天有哪些同等替代品的选择?当我们购买这些产品时,我记得规格说它们可以轻松支持 10,000 个同时连接。ASA5505和今天一样吗?
[编辑] 我并不反对其他制造商 - 只是我们拥有 pix,并且我们知道有 CCNA(?)(尽管是在 2003 年获得认证)可以配置和管理我们的 pix。
答案1
根据经验,Juniper 防火墙在功能相同的情况下往往更便宜。不过,我对它们没有太多直接使用经验。如果您坚持使用 Cisco,那么 ASA 5505 将是您最好的替代选择。就产品线而言,5505 与 pix501 相当。但是,5505 实际上更接近 515e 的规格。也就是说,5505 支持 150Mbps 吞吐量,而 pix515e 支持 170(?)。此外,使用“Security Plus”选项,ASA 支持更多 VLAN(带中继)、H/A 和更多连接。
答案2
如果您对 PIX 501 感到满意,那么可以选择 ASA 5505。您将保留相同的 CLI 界面。ASA 5505 比 PIX 501 好大约 2 倍,您拥有的最大连接数为 10'000(PIX 501 上为 7500),最大吞吐量为 150 mbps(PIX 501 上为 60)。我建议您检查当前防火墙的 CPU 使用率、连接数和吞吐量,以检查 5505 是否足以满足长期使用。如果您接近 501 的最大容量,您可能需要选择 ASA 5510。
我不知道 Juniper 防火墙,但当你有很多界面时,诺基亚会更好/更容易使用(从我的角度来看)。
答案3
我有过很好的经历Netgate 的 M1n1wall强烈推荐 pfSense。吞吐量比 Pix 好得多,可靠性也非常完美。在我的办公室,大约一年的时间里没有出现过任何问题,我们有一个业务连接和 5 个静态外部 IP。
我家里还有一台 10 许可证的 Pix 501,本地主机许可证一直用完。现在我的孩子有了自己的笔记本电脑,手机通过 Wifi 连接,电视也上网了,还有 Popcorn Hour 流媒体盒、服务器、NAS 和台式电脑,我几乎每天都要清除本地主机,因为我无法获得出站连接。我打算本周用 M1n1wall 替换它,并附带一个无线套件,这样我就可以扔掉 Verizon 路由器和我的旧 Linksys AP。想象一下这对我的电费有什么好处。
我会怀念 Pix 命令行界面。掌握它让我感觉自己成为了一个专属俱乐部的一部分,但我也花了很多时间进行故障排除。值得庆幸的是,这将成为过去,因为 pfSense 网页界面功能齐全且易于使用。
答案4
我建议不要使用 Watchguard Edges。我们在远程站点全力以赴,但要么是它们性能不佳,要么是我们的供应商在设置方面做得不好。与 PIX501 相比,之后的连接速度明显变慢。不过,完整的 Watchguard x5500e 很不错,常规任务的 GUI 意味着我们只是偶尔需要供应商的网络人员来完成更复杂的任务。我们不会使用某些功能,但它确实可以选择使用两个设备进行负载平衡,并在出现故障时进行故障转移。