Estou trabalhando em um plano para substituir vários roteadores / firewalls nas redes de nossa empresa e clientes. Temos dois escritórios e vários servidores hospedados em um datacenter que possuem links IPSec VPN para cerca de 100 sites de clientes. No escritório principal, precisamos de uma LAN e 2 DMZs e no datacenter 3 LANs e uma DMZ.
A maioria dos sites de clientes tem firewalls Gnatbox ou Zywall, mas novos sites podem sair com uma versão mais baixa do mesmo firewall que está no escritório principal / datacenter.
Eu planejei usar um Zywall USG 200 para o escritório principal, mas isso se mostrou incapaz de ser testado. Quando totalmente configurado, leva mais de 30 minutos para inicializar!
Eu tenho uma lista restrita de
Cisco ASA 5510
Vigia XTM 520
Sonicwall NSA 3500
Juniper SRX240
Alguém poderia recomendar algum hardware ou configurações?
Atualmente, nossa empresa usa um Sonicwall NSA 4500. Mudamos para isso de um Watchguard X1000. (um precursor do modelo XTM que você escolheu) Para ser perfeitamente honesto, não estou feliz com a mudança. (e foi a minha chamada - oops) O Sonicwall tem uma interface melhor (web). Ele pode fazer alguns gráficos e gráficos de pizza, e atualiza muito bem no navegador. A interface do Watchguard era definitivamente mais complicada e era um cliente grosso, mas acho que prefiro isso.
O Watchguard também foi um pouco mais explícito sobre o que estava fazendo e por quê. Isso fez com que determinar por que os pacotes estavam sendo descartados fosse muito mais fácil. Dito isto, pode ser uma faca de dois gumes, pois poderia ser mais difícil de analisar por administradores menos técnicos? Eu tive vários problemas do Sonicwall silenciosamente soltando conexões, e apenas observando isso ao fazer uma captura de pacotes através do dispositivo. O suporte da Sonicwall ainda não foi capaz de determinar o que estava acontecendo, apesar de ter códigos descartados do dispositivo. (Então, se alguém sabe por que meu Sonicwall continua matando aleatoriamente a replicação do NetApp Snapmirror, por favor me avise!)
Voltar quando usamos Watchguard, (~ há dois anos) o apoio deles era atroz. Foi terceirizado para a Índia, e resultou em ter que pular uma barreira de idioma em cada chamada. Normalmente, a pessoa que retira as informações iniciais do ticket não captou as nuances do problema. O vendedor deles alegou que isso estava mudando, mas não ficamos por perto para descobrir. A equipe de suporte da Sonicwall é composta por todos os falantes de inglês. No entanto, como mencionado acima, eles parecem não ajudar com alguns dos problemas mais difíceis que eu levantei. Os tempos de espera com ambas as empresas foram bastante dolorosos.
Não posso reivindicar experiência com equipamentos da Juniper ou da Cisco nessa função. Mas ambos são muito empresas, assim como um bom número de clientes. Tanto o WatchGuard quanto o Sonicwall visam o mercado de pequenas e médias empresas. Por isso, pode ou não valer a pena considerar, dependendo do tamanho da sua empresa.
- Christopher Karel
Eu trabalhei com ASAs e SRXes. Há uma curva de aprendizado razoável em ambos os dispositivos (um maior no ASA do que no SRX), e o SRX é um pouco mais fácil de gerenciar, imo. Ambos são bastante confiáveis, embora o SRX tenha tido problemas no passado recente, se você ativou seus recursos mais simples (filtragem de URL e antivírus são os que me morderam. Os problemas parecem ser resolvidos no firmware mais recente embora. Eu nunca tive que lidar com o suporte da Cisco, mas eu geralmente achei o JTAC razoavelmente bom (embora vale a pena soletrar tudo o que você sabe sobre um problema para eles, já que às vezes eles vão perder detalhes importantes).
Tags vpn firewall ipsec site-to-site-vpn