使用 D-LINK DFL-CPG310 防火墙替换 Cisco Pix 防火墙

我曾经使用 Linksys（现为 Cisco Small Business，但不要因此而感到害怕）RV042 路由器完成了你需要做的一切事情，并且取得了巨大的成功。

我选择的模型是RV042这是一个 4 端口型号，每个价格约为 200 美元（我上次检查时）。

就像我说的，它可以做所有事情，我使用路由器之间的内置 VPN 连接总部和 3 个分支机构。所有办公室都在 RV042 上。

它易于配置，100% 通过 Web 浏览器完成。我会改用它，即使你现在有 PIX，我怀疑它将来会为你节省数小时的配置时间，因此物有所值。

我会一直使用它们，直到它们停止生产。我从来没有遇到过问题，多年来总共使用了 10 个，目前有 4 个。（现在规模缩小，分支机构减少）

• 站点到站点 VPN（将远程办公室连接到本地办公室）

  是的 - 我用的是这个，IPSec，配置起来很容易

• DHCP 服务器（与 PIX 不同，您无需支付额外的许可证费用）

  是 - 这是网络的 DHCP，最多可连接 255 台计算机

• 将路由数据包进出原始接口（因此通过 VPN 连接到本地办公室的家庭用户可以看到远程办公室 LAN 上的资源）。PIX 不会这样做。

  无法确认这一点，因为我不需要它，但您可以设置路由规则，因此很可能可以做到这一点，我必须做类似的事情才能让工作站看到交换服务器。

• VPN 服务器（Vista 支持会更好）

  是的 - 使用附带的 Windows 客户端的 PPTP 或使用 Linksys 快速 VPN 的 IPSec（但我不太能成功实现这一点）

• 内置 DMZ 支持。

  是的 - 有一个单独的 WAN 端口，第二个 WAN 端口可以是 DMZ 或第二个 ISP 连接

• 基于 Web 的配置界面（最好没有命令行选项，以保证一切都可以通过 Web 进行配置）

  是的 - 我从来没有用过命令行来做这个

• syslog 支持。因此，我们可以将连续的日志流转储到 PC 上，直到我们需要硬盘空间时才删除它们。

  我想是的，但我从来没有这样做过，但看日志屏幕似乎可以。

• 具有足够权力的访问控制，非常有用。例如，我们可以阻止对某个网站的访问，或者完全阻止通过 MAC 地址进行的访问，而无需编写任何类似 ifconfig 的行。带有用户手册链接的网站。

  是的 - MAC 地址、IP 访问、网站等。我也不使用 ISP 的 DNS 服务器，而是使用 OpenDNS 服务器，并以此方式阻止访问。您可以使用 ISP 的 DHCP 并设置静态 DNS 服务器来覆盖您的 ISP。我阻止了特定计算机，同时允许办公室的其他人访问。

大多数 SMB 产品都具有您所描述的功能。我认为即使是较新版本的 Cisco PIX 也具有基于 Web 的配置界面，但它并不像那些从头开始设计产品以供 SMB 使用的公司的产品那么精致。

您可能想要了解的其他防火墙制造商包括：

索尼克沃尔（他们的 TZ 系列）

检查点（他们的 Safe@Office 热线）

我还是建议您继续使用思科产品。我知道它有几个您说不需要的功能，但您可以获得无与伦比的可靠性。您可以选择思科 ASA 5505 之类的产品。实际上，它并不贵。ASDM 接口非常易于使用，如果您尝试过 CCNA，那么您可能比许多过去设置过此类设备的人更有优势。思科 VPN 客户端与 Vista 兼容，但有点挑剔。在远程办公室之间运行站点到站点 VPN 可以让您在办公室和使用 VPN 的家庭用户之间共享资源。

这是我的观点，仅代表我的观点。我目前有 2 台 5505，至少运行了 6 个月，这就是我提出此建议的依据。

对于许多情况来说，Cisco PIX 是多余的——但是既然您已在内部使用它——我建议保留它。话虽如此——如果维护成本（让别人为您配置）值得用 SOHO 路由器替换它，并且您知道这样做的利弊，并且对 SOHO 性能和偶尔的重新启动感到满意，那么就使用它吧。