用 D-LINK DFL-CPG310 防火牆替換 Cisco Pix 防火牆
有沒有人有從 Cisco PIX 遷移到所謂的非企業級防火牆/路由器/vpn 的經驗?
我是一名非網路專業人士(開發人員),未能通過 CCNA(僅獲得 730)並且發現自己缺少家庭防火牆/路由器產品所獲得的易於配置。
環境是一個帶有遠端辦公室的小辦公室。
據我所知,D-LINK DFL-CPG310 將滿足我們的需求:
- Site to Site VPN(將遠端辦公室連接到本地辦公室)
- DHCP 伺服器(與 PIX 不同,您無需為許可證支付額外費用)
- 將數據包路由進出原始介面(因此通過 VPN 連接到本地辦公室的家庭使用者可以看到遠端辦公室 LAN 上的資源)。PIX 不會這樣做。
- VPN 伺服器(vista 支持將是一個不錯的加分項)
- 內置 DMZ 支持。
- 基於 Web 的配置界面(更喜歡沒有命令行選項的界面,以保證所有內容都可以通過 Web 進行配置)
- 系統日誌支持。因此,我們可以將連續的日誌流轉儲到 PC,直到我們需要硬碟空間並刪除它們。
- 具有足夠強大功能的訪問控制非常有用。例如,我們可以完全通過 MAC 地址阻止對站點的訪問或阻止訪問,而無需編寫類似 ifconfig 的一行。
- 帶有使用者手冊連結的網站。
我們不需要的東西:
- 一個串口介面。以任何方式。
- 單獨的 VLAN。我們都是一個快樂的大子網。
- TFTP 支持。我們將通過瀏覽器上傳配置備份。
- 24x7 技術支持。等到他們派人來時,購買替代品會更便宜。
- 一個網站,有幾十個連結,指向幾十個不相關的提示。
- 單獨的安裝、配置、維護和升級指南,每一個都像一本中型小說一樣長。
- 比聖經更長的單獨命令參考。
我對人們成功使用的任何其他產品持開放態度。
我已經使用 Linksys(現在是 Cisco Small Business,但不要讓這嚇到您)RV042 路由器來完成您需要做的所有事情,並取得了巨大的成功。
我使用的型號是RV042,它是一個 4 埠型號,每個大約 200 美元(我上次檢查過)。
就像我說的那樣,我使用路由器之間的 VPN 到 VPN 將主辦公室連接到 3 個分支機構。所有辦公室都在 RV042 上。
它易於配置,100% 通過網路瀏覽器。我會切換到它,即使您現在擁有 PIX,我懷疑這將確保您在未來進行數小時的配置,從而為自己買單。
我會用這些直到他們停止生產。我從來沒有遇到過他們的問題,多年來總共執行了大約 10 次,目前有 4 次。(縮小規模,減少分支機構)
- Site to Site VPN(將遠端辦公室連接到本地辦公室)
是 - 我使用這個,IPSec,易於配置
- DHCP 伺服器(與 PIX 不同,您無需為許可證支付額外費用)
是 - 這是網路的 DHCP,最多 255 台電腦
- 將數據包路由進出原始介面(因此通過 VPN 連接到本地辦公室的家庭使用者可以看到遠端辦公室 LAN 上的資源)。PIX 不會這樣做。
無法確認這一點,因為我不需要它,但是您可以設置路由規則,因此很可能可以做到這一點,我必須做一些類似的事情才能讓工作站看到交換伺服器。
- VPN 伺服器(vista 支持將是一個不錯的加分項)
是 - PPTP 使用包含的 Windows 客戶端或 IPSec 使用 Linksys 快速 VPN(但我沒有成功讓它工作)
- 內置 DMZ 支持。
是 - 有一個單獨的 WAN 埠,第二個 WAN 埠可以是 DMZ 或第二個 ISP 連接
- 基於 Web 的配置界面(更喜歡沒有命令行選項的界面,以保證所有內容都可以通過 Web 進行配置)
是的 - 我從來沒有為此使用過命令行
- 系統日誌支持。因此,我們可以將連續的日誌流轉儲到 PC,直到我們需要硬碟空間並刪除它們。
我想是的,但我從來沒有這樣做過,但看著日誌螢幕似乎可以。
- 具有足夠強大功能的訪問控制非常有用。例如,我們可以完全通過 MAC 地址阻止對站點的訪問或阻止訪問,而無需編寫類似 ifconfig 的一行。帶有使用者手冊連結的網站。
是 - MAC 地址、IP 訪問、站點等。我也不使用我的 ISP 的 DNS 伺服器,而是使用 OpenDNS 並以這種方式阻止訪問。您可以使用 ISP 的 DHCP 並設置靜態 DNS 伺服器來覆蓋您的 ISP。我已經阻止了特定的電腦,同時讓辦公室的其他人訪問。