Precisa de ajuda para escolher a unidade principal de Cisco WAN / firewall (orçamento de $ 20kish) [fechado]

Há rumores (por exemplo, da Gartner) de que a Cisco lançará um produto de firewall de próxima geração para substituir a linha de produtos ASA em 2012. Os firewalls atuais da Cisco oferecem segurança de rede "tradicional" baseada em portas, mas não oferecem nenhum tipo de " proteção de última geração "contra ameaças na camada de aplicativos.

Com o orçamento que você mencionou, eu consideraria um Palo Alto Networks PA-2050 ou talvez um cluster de dois PA-500s ou PA-2020s. As necessidades específicas de sua organização em termos de taxa de transferência, sessões simultâneas e portas de firewall / roteador gerariam uma opção mais específica dentro do orçamento declarado.

Se você é um gerente de help desk, provavelmente está muito familiarizado com a realidade de que certos tipos de ameaças conseguem passar pelos dispositivos de perímetro existentes e que os logs de firewall existentes fornecem apenas informações muito limitadas sobre a natureza do seu tráfego de rede. Por exemplo, você pode ver que um dispositivo fez uma conexão de saída para a porta 80 ou 443 para um endereço IP da WAN, mas você pode não saber se o aplicativo era realmente navegação na Web.

Mudar para um firewall de próxima geração é uma diferença de noite e dia:

• Um firewall tradicional sabe que três determinados endereços IP fizeram conexões de saída para determinados endereços IP em portas TCP especificadas.
• Um firewall de próxima geração pode informar que o usuário johnd acabou de enviar um arquivo chamado "Notas da reunião de troca comercial CONFIDENTIAL.docx" para um site FTP na China, que o computador do usuário jerryt está gerando tráfego indicando está infectado com o worm BirdFlu, e esse usuário florencen (que talvez tenha acesso a sites de redes sociais para fins de marketing) está enviando uma enorme quantidade de mensagens do Bate-papo do Facebook.
• Ainda mais impressionante, observei que os firewalls Palo Alto apresentam esse tipo de informação de maneira limpa, bem organizada, acessível e acionável.

A partir de janeiro de 2012, a Cisco nem pretende oferecer um firewall com esse tipo de visibilidade da camada de aplicativos. A Sonicwall e a Watchguard estão tentando arduamente vender seus firewalls como tendo conjuntos de recursos semelhantes, mas eles não resistem a uma comparação lado-a-lado. Até agora, os únicos fornecedores de firewall que criaram implementações genuínas de inspeção profunda de pacotes em camada de aplicação são Palo Alto e possivelmente a Check Point (com a qual tenho uma experiência pessoal muito limitada).

Histórico pessoal: Uma empresa que eu costumava trabalhar tem um par de PA-500s, e posso atestar pessoalmente que nada mais que vi chegou perto. Estes foram para dois locais, um com cerca de 80 empregados e outro com cerca de 120; cada site tinha 2 conexões de internet que somavam cerca de 60 Mbps de largura de banda WAN. Eu não ganho a vida vendendo firewalls, mas os clientes geralmente me pagam para instalar novos firewalls e / ou configurá-los para segurança e conformidade de auditoria.

Estamos no processo de substituir todos os nossos Cisco ASA por Juniper SRX 220s. O fato de que eles podem realmente rotear é fazer com que eles substituam os roteadores e firewalls por nós. Nós nunca poderíamos ter nossos 5510's para lidar com o failover muito bem. Além disso, mais portas, o clustering é muito simples (um cluster ativo / ativo real, não apenas failover) e eles custam cerca de 25% do preço do Cisco ASA (e sem contar os roteadores que você pode precisar na frente. Lembre-se, O ASA não é um roteador, ele fará o roteamento básico e, em seguida, o morderá quando você quiser fazer algo que deve estar acima do nível básico absoluto)

Temos o cluster SRX atuando como roteador e firewall para 4 conexões de Internet diferentes que entram no prédio, para duas redes internas diferentes. O failover tem sido incrível. Podemos desativar qualquer um dos links externos e nossas VPNs permanecem atualizadas para nossos sites remotos.