我正在制定计划,更换我们公司和客户网络中的多个路由器/防火墙。我们有 2 个办公室和托管在数据中心的多个服务器,这些服务器通过 IPSec VPN 连接到大约 100 个客户站点。在主办公室,我们需要一个 LAN 和 2 个 DMZ,在数据中心,我们需要 3 个 LAN 和一个 DMZ。
大多数客户站点都配备了 Gnatbox 或 Zywall 防火墙,但新站点可能会使用主办公室/数据中心相同防火墙的低端版本。
我原本计划在主办公室使用 Zywall USG 200,但测试证明它性能不佳。完全配置后,启动需要 30 多分钟!
我有一份候选名单
思科 ASA 5510
Watchguard XTM 520
Sonicwall NSA 3500
瞻博网络 SRX240
有人可以推荐任何硬件或配置吗?
答案1
我们公司目前使用的是 Sonicwall NSA 4500。我们从 Watchguard X1000 换到了这款产品。(您挑选的 XTM 型号的前身)说实话,我对这次更换并不满意。(这是我的决定——哎呀)Sonicwall 有一个更好的(网络)界面。它可以制作一些精美的图表和饼图,并在浏览器中很好地更新。Watchguard 界面确实比较笨重,而且是一个厚客户端,但我发现我更喜欢它。
Watchguard 还更明确地说明了它正在做什么以及为什么这样做。这使得确定数据包被丢弃的原因变得容易得多。话虽如此,它可能是一把双刃剑,因为对于技术水平较低的管理员来说,解析起来可能更困难?我遇到过几次 Sonicwall 默默丢弃连接的问题,并且只在通过设备进行数据包捕获时才注意到这一点。尽管有来自设备的丢弃代码,Sonicwall 支持仍然无法真正确定发生了什么。(所以,如果有人知道为什么我的 Sonicwall 不断随机终止 NetApp Snapmirror 复制,请告诉我!)
当我们使用 Watchguard 时(大约两年前),他们的支持服务非常糟糕。它被外包给印度,导致每次通话都必须克服语言障碍。通常,记录初始工单信息的人没有发现问题的细微差别。他们的销售人员声称这种情况正在改变,但我们没有留下来了解情况。Sonicwall 支持人员全都是英语使用者。但是,如上所述,他们似乎无法帮助解决我提出的一些较难的问题。两家公司的等待时间都非常痛苦。
我不能声称自己在这个职位上有使用 Juniper 或 Cisco 设备的经验。但这两家公司都很不错,他们的很多客户也是如此。WatchGuard 和 Sonicwall 都瞄准中小型企业市场。因此,这可能值得考虑,也可能不值得考虑,这取决于您的公司规模。——
Christopher Karel
答案2
我使用过 ASA 和 SRX。这两种设备的学习曲线都比较合理(不过 ASA 的学习曲线比 SRX 的要高),而且在我看来,SRX 的管理要容易得多。这两种设备都非常可靠,不过,如果你打开 SRX 的更高级功能,它最近会出现问题(网址过滤和防病毒就是困扰我的两个功能)。不过,这些问题似乎在最新的固件中得到了解决。我从未与思科支持部门打过交道,但我发现 JTAC 总体上相当不错(不过,你应该向他们清楚地说明你所知道的有关问题的所有信息,否则他们有时会错过重要的细节)。
答案3
我订购了一台 Juniper SRX210,因为它可能适合我们的主办公室和数据中心。如果一切顺利,我希望再买几台来做集群。SRX100 适合客户和我们的辅助办公室。
感谢那些提交答案的人。