Firewall alternativo ou de substituição para o Cisco PIX 501

Como regra geral, os firewalls da Juniper tendem a ser mais baratos para o mesmo conjunto de recursos. Eu não tenho muita experiência direta com eles, no entanto. Se você ficar com a Cisco, um ASA 5505 seria sua melhor aposta para a substituição. No que diz respeito à linha de produtos, o 5505 é o equivalente do pix501. No entanto, o 5505 é na verdade mais próximo do equivalente da especificação com o 515e. Ou seja, o 5505 suporta taxa de transferência de 150 Mbps em oposição ao 170 (?) Para o pix515e. Além disso, com a opção "Security Plus", o ASA suporta mais VLANs (com entroncamento), H / A e mais algumas conexões.

Se você está confortável com o PIX 501, pegue um ASA 5505. Você manterá a mesma interface CLI. O ASA 5505 é 2 vezes melhor que o PIX 501, você tem um número máximo de conexões de 10'000 (7500 no PIX 501), max. taxa de transferência de 150 mbps (60 no PIX 501). Eu recomendo que você verifique o uso da CPU, número de conexão e taxa de transferência do seu firewall atual para verificar se um 5505 será suficiente para um uso a longo prazo. Se você estiver próximo da capacidade máxima do 501, você pode querer usar um ASA 5510.

Eu não conheço o firewall da Juniper, mas a Nokia é melhor / mais fácil de usar (do meu ponto de vista) quando você tem muita interface.

Eu tive uma ótima experiência com o M1n1wall da Netgate e recomendo o pfSense. A taxa de transferência é muito melhor que a do Pix, e a confiabilidade foi perfeita. Não há um único problema em cerca de um ano no meu escritório, onde temos uma conexão comercial e 5 IPs estáticos externos.

Ainda tenho uma licença do Pix 501 em casa e continuo a ficar sem licenças de host local. Com meus filhos tendo seus próprios laptops agora, telefones celulares conectados por Wi-Fi, a TV na Internet também, uma caixa de transmissão Popcorn Hour, um servidor, um NAS e um computador de mesa, tenho que limpar os hosts locais quase diariamente. porque não consigo obter uma conexão de saída. Vou substituí-lo por um M1n1wall esta semana e incluirá um kit sem fio, para que eu possa jogar fora o roteador Verizon e meu antigo AP Linksys. Imagine o que isso vai fazer com a minha conta de eletricidade também.

Vou sentir falta da interface de linha de comando do Pix. Ter dominado me fez sentir parte de um clube exclusivo, mas também passei muitas horas solucionando problemas. Felizmente, isso será uma coisa do passado, já que a interface da web do pfSense é completa e fácil de usar.

Mudar para a Juniper ou qualquer outro fornecedor vai lhe custar mais no total por causa das horas gastas, então meu conselho para você é ficar com os produtos da Cisco.

Temos vários ASA5505 espalhados em escritórios remotos, eles têm funcionado perfeitamente e estão fornecendo excelente desempenho. Altamente recomendado (mas não esqueça o acordo TAC).

Eu aconselharia contra a Watchguard Edges. Fizemos tudo por eles em nossos locais remotos e eles tiveram um desempenho ruim ou nossos fornecedores fizeram um trabalho ruim na configuração. Vendo conexões consideradas mais lentas depois em comparação com o PIX501. Um Watchguard x5500e completo é bom e o GUI para tarefas regulares significa que só ocasionalmente precisamos do network guy do nosso fornecedor para tarefas mais complexas. Não usamos alguns dos recursos, mas temos a opção de balanceamento de carga com dois e failover em caso de problemas.

Se você não se importa com as alternativas do OpenSource: link

Eu realmente gosto da linha de firewalls / dispositivos de segurança da Fortinet.

link

Eu fiquei muito impressionado com a linha de firewalls da Juniper recentemente.

link

Preço excepcional, recursos e desempenho de classe empresarial.

Grande fã dos firewalls da Nokia, capaz e seguro.

Não tenha medo de considerar alternativas. Vyatta link ou Juniper pode merecer seu tempo, tanto em termos de funcionalidade quanto de confiabilidade.

Estamos removendo o máximo possível de 501s antigos e substituindo-os por SnapGear 310s ou SnapGear 560s. Principalmente porque os 501s não conseguem lidar bem com VOIP.

A linha SnapGear são dispositivos baseados em Linux e usam tabelas IP internamente, o que pode ser uma vantagem se você realmente quiser sujar as mãos. Eles tendem a ser metade do Sonicwalls e um terço a mais do que as coisas da Cisco (especialmente se você considerar o suporte anual - você tem o suporte da Cisco ...?) E as interfaces web são muito melhores que as da Cisco. ASA ou Sonicwalls. Nenhuma bondade IOS, claro.

Em qualquer lugar que você tenha 501s e a rede não crescerá além de 10 escritórios, essa é uma boa escolha. Os 560 podem fazer failover ou balanceamento de carga para até quatro linhas e podem praticamente tudo o que você poderia fazer com os 501s e também podem priorizar o tráfego de VOIP, etc.

O Cisco 5505 é ótimo, mas eu acho que você vai achar um exagero para seus propósitos e eu realmente não sei o que eles podem fazer que os SG560s não conseguem. Eu acho que dois 560s no modo de alta disponibilidade funcionariam muito bem e você poderia até configurá-los sozinho. Se alguém tiver comentários sobre o que os ASAs podem fazer que esses SnapGears não conseguiriam me interessar ouvir.