我们的 IT 主管已经离开,去往更广阔的天地,而我则担任临时主管,直到我们找到新人(我负责管理帮助台)。不过,他为我们的互联网连接新前端预算了约 2 万美元,我希望他能尽快到位。
我们当前的设置使用两个 Ecessa Powerlink 100 来聚合我们的两个 WAN 连接以实现故障转移,并使用两个 Fortigate 300A 作为辅助防火墙。
基本上:
WAN - 接入 - DMZ - Fortigates - LAN
我们的电话已升级为 Lync 2010,它阻塞了 fortis 和 powerlinks...我们想整合,但除了电子垃圾堆中的 PIX 外,我对 Cisco 防火墙了解不多。我们内部有 Catalyst 4510R、6509、4500s 等,但外围没有。
有人能推荐一款好的装备来将我们目前的 4 件替换成一件(或者最好是 HA 中的两件)吗?
答案1
据传(例如 Gartner 报道),思科将于 2012 年发布下一代防火墙产品来取代 ASA 产品线。当前的思科防火墙提供“传统”的基于端口的网络安全,但不提供任何针对应用层威胁的“下一代”保护。
根据你提到的预算,我会考虑Palo Alto Networks PA-2050或者可能是两个 PA-500 或 PA-2020 的集群。您的组织在吞吐量、同时会话和防火墙/路由器端口方面的特定需求将促使您在所述预算范围内做出更具体的选择。
如果您是服务台经理,您可能非常熟悉这样的现实:某些类型的威胁能够突破您现有的边界设备,而您现有的防火墙日志仅提供有关网络流量性质的非常有限的信息。例如,您可以看到设备与 WAN IP 地址的端口 80 或 443 建立了出站连接,但您可能不知道该应用程序是否实际上是在浏览网页。
切换到下一代防火墙有着天壤之别:
- 传统防火墙知道三个特定的 IP 地址通过指定的 TCP 端口与特定的 IP 地址建立了出站连接。
- 下一代防火墙可以告诉您,用户
johnd刚刚向中国的 FTP 站点发送了一个名为“商业秘密会议记录机密.docx”的文件,该用户jerryt的计算机正在生成流量,表明它感染了 BirdFlu 蠕虫,并且该用户florencen(可能为了营销目的访问社交网站)正在发送大量的 Facebook 聊天消息。 - 更令人印象深刻的是,我观察到 Palo Alto 防火墙以一种干净、条理清晰、可访问且可操作的方式呈现此类信息。
截至 2012 年 1 月,思科甚至没有假装提供具有这种应用层可见性的防火墙。Sonicwall 和 Watchguard 正努力推销他们的防火墙,称其具有类似的功能集,但它们经不起并排比较。到目前为止,唯一提出真正令人信服的应用层深度数据包检查实现的防火墙供应商是 Palo Alto 和 Check Point(我个人对它们的体验非常有限)。
个人背景:我曾经工作过的一家公司有一对 PA-500,我可以亲自证明,我见过的其他产品都无法与之媲美。这两个站点分别有 80 名员工和 120 名员工;每个站点都有 2 个互联网连接,总计约 60 Mbps 的 WAN 带宽。我并不靠销售防火墙谋生,但客户经常付钱让我安装新的防火墙和/或配置它们以实现安全和审计合规性。
答案2
我们正在用 Juniper SRX 220 替换所有 Cisco ASA。它们实际上可以路由,这使得它们可以为我们替换路由器和防火墙。我们根本无法让 5510 很好地处理故障转移。此外,端口更多,集群非常简单(真正的主动/主动集群,而不仅仅是故障转移),而且它们的价格约为 Cisco ASA 的 25%(不包括您可能需要的任何路由器。请记住,ASA 不是路由器。它会进行基本的路由,然后在您想要做任何应该超出绝对基本水平的事情时给您添麻烦)
我们有 SRX 集群作为路由器和防火墙,用于连接大楼的 4 个不同的互联网连接和 2 个不同的内部网络。故障转移功能非常棒。我们可以关闭任何外部链接,而我们的 VPN 可以连接到我们的远程站点。