我的網路配置應該基於什麼防火牆?
我正在製定一項計劃,以更換我們公司和客戶網路中的一些路由器/防火牆。我們有 2 個辦公室和多個伺服器,這些伺服器託管在一個數據中心,這些伺服器具有與大約 100 個客戶站點的 IPSec VPN 連結。在總部,我們需要一個 LAN 和 2 個 DMZ,在數據中心需要 3 個 LAN 和一個 DMZ。
大多數客戶站點都有 Gnatbox 或 Zywall 防火牆,但新站點可能會使用與總部/數據中心相同的防火牆的低端版本。
我曾計劃在主辦公室使用 Zywall USG 200,但事實證明這無法進行測試。完全配置後,啟動需要 30 多分鐘!
我有一個候選名單
Cisco ASA 5510
Watchguard XTM 520
Sonicwall NSA 3500
Juniper SRX240
誰能推薦任何硬體或配置?
我們公司目前使用的是 Sonicwall NSA 4500。我們從 Watchguard X1000 切換到了它。(您選擇的 XTM 模型的前身)老實說,我對切換不滿意。(這是我的電話——哎呀) Sonicwall 有一個更好的(網路)界面。它可以製作一些精美的圖形和餅圖,並在瀏覽器中很好地更新。Watchguard 的界面肯定更笨重,而且是一個胖客戶端,但我發現我更喜歡這樣。
Watchguard 也更明確地說明了它在做什麼,以及為什麼。這使得確定數據包被丟棄的原因變得更加容易。話雖如此,這可能是一把雙刃劍,因為對於技術水平較低的管理員來說,它可能更難解析?我遇到了幾個 Sonicwall 靜默斷開連接的問題,並且僅在通過設備進行數據包擷取時才注意到它。Sonicwall 支持仍然無法真正確定發生了什麼,儘管該設備已刪除程式碼。(所以,如果有人知道為什麼我的 Sonicwall 總是隨機殺死 NetApp Snapmirror 複製,請告訴我!)
當我們使用 Watchguard 時(大約兩年前),他們的支持非常糟糕。它被外包給了印度,導致每次通話都必須跨越語言障礙。通常,記下初始票證資訊的人並沒有發現問題中的細微差別。他們的銷售人員聲稱這種情況正在改變,但我們並沒有留下來找出答案。Sonicwall 支持人員都是會說英語的人。但是,如上所述,它們似乎無法幫助解決我提出的一些更難的問題。兩家公司的等待時間非常痛苦。
我不能聲稱在擔任此職位時使用過瞻博網路或思科設備。但這兩家都是非常公司,他們的許多客戶也是如此。WatchGuard 和 Sonicwall 都針對中小型企業市場。因此,這可能值得考慮,也可能不值得考慮,具體取決於您的公司規模。
——克里斯托弗·卡雷爾
我使用過 ASA 和 SRX。這兩種設備都有合理的學習曲線(ASA 上的學習曲線比 SRX 上的高),而且 SRX 更容易管理,imo。兩者都非常可靠,儘管如果您打開 SRX 更強大的功能(URL 過濾和防病毒是困擾我的功能),SRX 在最近遇到了問題。不過,這些問題似乎在最新的韌體中得到了解決。我我從來不需要處理 Cisco 的支持,但我普遍認為 JTAC 相當不錯(儘管值得向他們說明你所知道的關於問題的所有內容,否則他們有時會錯過重要的細節)。