使用 D-LINK DFL-CPG310 防火墙替换 Cisco Pix 防火墙

使用 D-LINK DFL-CPG310 防火墙替换 Cisco Pix 防火墙

有没有人有从 Cisco PIX 迁移到所谓的非企业级防火墙/路由器/vpn 的经验?

我是一个非网络专业人士(开发人员),没有通过 CCNA 考试(只得了 730 分),并且发现自己很怀念家用防火墙/路由器产品的便捷配置。

环境是一个有远程办公室的小型办公室。

据我所知,D-LINK DFL-CPG310 将做我们需要做的事

  • 站点到站点 VPN(将远程办公室连接到本地办公室)
  • DHCP 服务器(与 PIX 不同,您无需支付额外的许可证费用)
  • 将路由数据包进出原始接口(因此通过 VPN 连接到本地办公室的家庭用户可以看到远程办公室 LAN 上的资源)。PIX 不会这样做。
  • VPN 服务器(Vista 支持会更好)
  • 内置 DMZ 支持。
  • 基于 Web 的配置界面(最好没有命令行选项,以保证一切都可以通过 Web 进行配置)
  • syslog 支持。因此,我们可以将连续的日志流转储到 PC 上,直到我们需要硬盘空间时才删除它们。
  • 具有足够权力的访问控制非常有用。例如,我们可以阻止对某个站点的访问,或者完全阻止按 MAC 地址进行的访问,而无需编写任何类似 ifconfig 的行。
  • 带有用户手册链接的网站。

我们不需要的东西

  • 串行端口接口。适用于任何用途。
  • 单独的 VLAN。我们都是一个快乐的大子网。
  • TFTP 支持。我们只需通过浏览器上传配置备份即可。
  • 24x7 技术支持。等他们派人过来时,买一个替代品会更便宜。
  • 该网站包含数十个链接,指向数十条不相关的提示。
  • 单独的安装、配置、维护和升级指南,每个指南都和一本中型小说一样长。
  • 比圣经还长的单独命令参考。

我愿意接受任何其他人们已经成功使用过的产品。

答案1

我曾经使用 Linksys(现为 Cisco Small Business,但不要因此而感到害怕)RV042 路由器完成了你需要做的一切事情,并且取得了巨大的成功。

我选择的模型是RV042这是一个 4 端口型号,每个价格约为 200 美元(我上次检查时)。

就像我说的,它可以做所有事情,我使用路由器之间的内置 VPN 连接总部和 3 个分支机构。所有办公室都在 RV042 上。

它易于配置,100% 通过 Web 浏览器完成。我会改用它,即使你现在有 PIX,我怀疑它将来会为你节省数小时的配置时间,因此物有所值。

我会一直使用它们,直到它们停止生产。我从来没有遇到过问题,多年来总共使用了 10 个,目前有 4 个。(现在规模缩小,分支机构减少)

  • 站点到站点 VPN(将远程办公室连接到本地办公室)

    是的 - 我用的是这个,IPSec,配置起来很容易

  • DHCP 服务器(与 PIX 不同,您无需支付额外的许可证费用)

    是 - 这是网络的 DHCP,最多可连接 255 台计算机

  • 将路由数据包进出原始接口(因此通过 VPN 连接到本地办公室的家庭用户可以看到远程办公室 LAN 上的资源)。PIX 不会这样做。

    无法确认这一点,因为我不需要它,但您可以设置路由规则,因此很可能可以做到这一点,我必须做类似的事情才能让工作站看到交换服务器。

  • VPN 服务器(Vista 支持会更好)

    是的 - 使用附带的 Windows 客户端的 PPTP 或使用 Linksys 快速 VPN 的 IPSec(但我不太能成功实现这一点)

  • 内置 DMZ 支持。

    是的 - 有一个单独的 WAN 端口,第二个 WAN 端口可以是 DMZ 或第二个 ISP 连接

  • 基于 Web 的配置界面(最好没有命令行选项,以保证一切都可以通过 Web 进行配置)

    是的 - 我从来没有用过命令行来做这个

  • syslog 支持。因此,我们可以将连续的日志流转储到 PC 上,直到我们需要硬盘空间时才删除它们。

    我想是的,但我从来没有这样做过,但看日志屏幕似乎可以。

  • 具有足够权力的访问控制,非常有用。例如,我们可以阻止对某个网站的访问,或者完全阻止通过 MAC 地址进行的访问,而无需编写任何类似 ifconfig 的行。带有用户手册链接的网站。

    是的 - MAC 地址、IP 访问、网站等。我也不使用 ISP 的 DNS 服务器,而是使用 OpenDNS 服务器,并以此方式阻止访问。您可以使用 ISP 的 DHCP 并设置静态 DNS 服务器来覆盖您的 ISP。我阻止了特定计算机,同时允许办公室的其他人访问。

答案2

大多数 SMB 产品都具有您所描述的功能。我认为即使是较新版本的 Cisco PIX 也具有基于 Web 的配置界面,但它并不像那些从头开始设计产品以供 SMB 使用的公司的产品那么精致。

您可能想要了解的其他防火墙制造商包括:

索尼克沃尔(他们的 TZ 系列)

检查点(他们的 Safe@Office 热线)

答案3

我还是建议您继续使用思科产品。我知道它有几个您说不需要的功能,但您可以获得无与伦比的可靠性。您可以选择思科 ASA 5505 之类的产品。实际上,它并不贵。ASDM 接口非常易于使用,如果您尝试过 CCNA,那么您可能比许多过去设置过此类设备的人更有优势。思科 VPN 客户端与 Vista 兼容,但有点挑剔。在远程办公室之间运行站点到站点 VPN 可以让您在办公室和使用 VPN 的家庭用户之间共享资源。

这是我的观点,仅代表我的观点。我目前有 2 台 5505,至少运行了 6 个月,这就是我提出此建议的依据。

答案4

对于许多情况来说,Cisco PIX 是多余的——但是既然您已在内部使用它——我建议保留它。话虽如此——如果维护成本(让别人为您配置)值得用 SOHO 路由器替换它,并且您知道这样做的利弊,并且对 SOHO 性能和偶尔的重新启动感到满意,那么就使用它吧。

相关内容