小型企业防火墙 VPN - cisco asa 5505 vs. citrix access gateway 2010 vs. sonicwall sslvpn 2500 vs.juniper sa 2500

tag-icon tag-icon networking vpn
小型企业防火墙 VPN - cisco asa 5505 vs. citrix access gateway 2010 vs. sonicwall sslvpn 2500 vs.juniper sa 2500

我有一个小型办公网络,大约有十几台服务器和不到 50 个用户。互联网连接目前是通过廉价的 netopia 防火墙的 T1。我想升级并获得 ssl vpn。我对要购买什么产品感到非常困惑。

有人可以对以下任何产品提供反馈吗:

  • 思科 ASA 5505
  • 瞻博 SA 2500
  • Citrix 访问网关
  • Sonicwall 2500 SSL VPN

我希望获得有关以下内容的反馈:

  • 设备的实际成本 + 25 个用户的许可(包括 5 个并发 SSLVPN 会话)。
  • 管理硬件的复杂性。
  • 确认设备提供 SSL VPN 和防火墙

答案1

我没有使用过你列出的防火墙,但我可以告诉你,SmoothWall (www.smoothwall.net)涵盖了您所询问的功能。

对于硬件,他们确实销售预装设备,或者您可以使用您选择的任何 PC 硬件,只要该硬件具有已知的 Linux 驱动程序支持。我们很幸运地使用 Dell Vostro 设备作为小型防火墙,使用 Dell PowerEdge 设备作为需要硬件冗余的设备。

请注意,此答案中的以下价格为当前价格,将来阅读此答案的任何人都应向经销商咨询当前价格。

许可,除非您想使用 Guardian 模块进行内容过滤,否则他们不会按用户许可收费。企业防火墙目前运行费用约为 500 美元,每年续订支持费用为 150 美元(用于版本升级和修补)。10 个 VPN 许可证包(无 5 个包)约 400 美元,每年续订支持费用为 100 美元。

有了 T1 和多台服务器,您可能还需要 SmoothHost 模块,该模块允许您在公共接口上为多个 IP 地址设置别名,并映射哪些内部地址应使用哪些公共地址。目前价格为 300 美元,每年续订 80 美元。

配置非常简单,安装非常简单,并且是完整的系统安装,不需要先配置操作系统。安装后的配置通过 Web 界面进行处理,该界面可为您提供所需的一切。

最新版本 Corporate Firewall 2008 确实支持 SSL VPN。

您可以在以下网址找到经销商列表http://www.smoothwall.net/partners/reseller.php

SmoothWall 有免费版本,请访问www.smoothwall.org但由于我们只使用企业版,所以我无法谈论功能差异。

答案2

Citrix 访问网关:

大致费用:

硬件:

   Citrix Access Gateway (Model 2010) Appliance with 1 Year warranty £1800.

用户许可(并发许可)

   Standard License   £50 each
   Universal License    £75 each

Universal 允许您运行标准版、高级版或企业版。(企业版需要价值约 10,000 英镑的不同硬件设备,但如果您需要,可以选择升级)。如果您只想要标准 SSL VPN,请坚持使用标准版。

每年运行成本:

  SSL Certificate     $20 from www.godaddy.com seems to work ok.
  Renewal cost        About £7 / user / year.

设置:

  • 如果您可以在内部网络上设置一个接口,在外部网络上设置一个接口,则设置起来会比较容易。如果它需要完全位于 DMZ 中,则设置起来会稍微复杂一些。
  • 使用 LDAP 查询可以相当容易地根据 Active Directory 对用户进行身份验证。

哇喔:

  • VPN 客户端从设备上的 Web 登录页面下载(即您不需要在用户的笔记本电脑上预先安装客户端,他们可以自己安装)
  • 显然,如果您有 Citrix XenApp 服务器场,它可以很好地与其配合使用,以便安全地远程访问应用程序。
  • 它是 SSL,因此当您外出时不会被防火墙阻止。
  • 看起来工作做得很好,基本上就是设置好然后忘掉它。
  • Citrix 论坛非常有帮助

令人失望的是:

  • 不执行防火墙职责(所以这可能就排除了)

  • 虽然Windows 7 32 位可以正常运行,但尚不支持 x64 客户端。
  • 您无法从内部网络连接到 VPN 用户(可能用于远程维护)
  • 文档是典型的 Citrix。(IE。不是最好的)
  • Citrix 支持合同很昂贵......

纯 VPN 的替代方案:

Microsoft Forefront 统一访问网关 (UAG) * 即将取代 IAG 2007

VPN 和防火墙任务的替代方案:

Watchguard Firebox Edge X20e

答案3

我只能用最模糊的措辞谈论您提供的选择。

思科 ASA 5505- 我去年看过,思科的价格很贵。不知道现在情况有没有改变。我用过 Pix,但总是在尝试调整时受挫。我相信它可以满足你所有要求,但功能需要单独授权。从来没有人因为购买思科而被解雇。

瞻博 SA 2500 - 我从来没有用过……去年我看的时候 Juniper 也很贵。我哥哥是一家网络安全架构师巨大的我们空间中的一家公司,安装了 Juniper,并且对其赞不绝口。不确定它是否可以做 VPN;它可能做静态 VPN,但不能做客户端 VPN。

Citrix 访问网关Sonicwall 2500 SSL VPN- 这些只是 VPN;它们不能替代防火墙。我想两者都很出色;这两家公司都很了解自己的产品。我使用过 SonicWall 防火墙,但(见下文)我发现 Astaro 是更好的选择。

由于其他人提供了替代方案,我将全心全意推荐Astaro 安全网关。我去年部署了 5 个来替换 WAN 中的 Cisco Pix,一切顺利且简单,包括多个站点到站点的 VPN 和远程访问。

至于远程访问,ASG 既有 SSL VPN,也有 IPSec VPN。我曾成功使用过 SSL VPN(基于 OpenVPN)。我不知道 IPSec VPN,但根据我目前的经验,我有信心尝试一下。

我部署了 ASG 设备,但他们也将其作为软件包在您自己的硬件上使用,并提供试用。硬件要求出奇地低 - Intel Pentium III 900 MHz、512MB RAM、10 GB 硬盘驱动器。

答案4

虽然不在您的列表上,但我们的 Fortigate 60B 对我们来说非常可靠,并且非常容易配置。

相关内容