Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1 2 След.
RSS
PIX vs. Firewall-1
 
#1
Это нравится:0Да/0Нет
02.10.2007 08:05:49
Что выбрать PIX vs. Firewall-1?

Критерии выбора:

1. Наричие эксплойтов
2. Удобство настройки и администрирования (дружественность интерфейса)
3. Функциональность
4. И какая технология экранирования надежнее в принципе: CheckPoint Firewall-1 "Statefull inspection" или цысковский ASA?
 
 
 
#2
Это нравится:0Да/0Нет
03.10.2007 14:14:42
Я бы выбрал Firewall-1
По функциональности они практически идентичны, но друженный интерфейс однозначно у Firewall-1 лучше, впрочем как и отладка
 
 
 
#3
Это нравится:0Да/0Нет
05.10.2007 05:31:32
Камрады, че так мало ответов? Фаерволы всем известны, вопрос поставлен четко, озвучте ваши мнения, я на распутье.  :cry:
 
 
 
#4
Это нравится:0Да/0Нет
05.10.2007 09:35:21
Ну сейчас лучше брать всёже не PIX а Cisco ASA. ИМХО сильно лучше, очень широкий функционал. К сожалению сравнить с Firewall-1 не могу, т.к. с ним не работал...  :cry:
 
 
 
#5
Это нравится:0Да/0Нет
05.10.2007 13:35:03
asa рулит. firewall-1 не знаю
 
 
 
#6
Это нравится:0Да/0Нет
05.10.2007 21:51:30
Цитата
Serga пишет:
Я бы выбрал Firewall-1По функциональности они практически идентичны, но друженный интерфейс однозначно у Firewall-1 лучше, впрочем как и отладка
смешно, чесслово :) какие же они идентичные?
firewall-1 помимо того, что это stateful firewall, еще и QoS, VPN, Application inspection, intrusion prevention, интеграция с LDAP и многое, многое другое. Управляемость и отчетность также на порядок лучше.
а что такое PIX?
 
 
 
#7
Это нравится:0Да/0Нет
05.10.2007 21:55:03
Цитата
АЙС пишет:
4. И какая технология экранирования надежнее в принципе: CheckPoint Firewall-1 "Statefull inspection" или цысковский ASA?
Цисковская понимает только TCP и UDP. Об ICMP они почему-то забыли, в отличие от Check Point
Цитата
АЙС пишет:
1. Наричие эксплойтов
какие еще эксплоиты?
 
 
 
#8
Это нравится:0Да/0Нет
07.10.2007 01:11:13
Цитата
Michael пишет:
firewall-1 помимо того, что это stateful firewall, еще и QoS, VPN, Application inspection, intrusion prevention, интеграция с LDAP и многое, многое другое. Управляемость и отчетность также на порядок лучше.а что такое PIX?

А PIX не поддерживает QOS? Аж смешно :)
Думаю когда Cisco работала с QOS про Checkpoint никто еще не знал, так же PIX (ASA) строит тунелли, намного проще чем в firewall-1
intrusion prevention на PIX (ASA)? Легко!
А интеграция с LDAP воще круто! Имеется ввиду UserAuthority? Так ASA поддерживает 802.1x а также NAC :)

Вот только с точки зрения траблшотинга firewall-1 действительно круче
 
 
 
#9
Это нравится:0Да/0Нет
07.10.2007 22:04:35
Цитата
АЙС пишет:
Что выбрать PIX vs. Firewall-1?
Цитата
Serga пишет:
intrusion prevention на PIX (ASA)
Цитата
Serga пишет:
Так ASA поддерживает 802.1x а также NAC
Вопрос был про PIX, при чем тут ASA?
ЗЫ. У CP есть свой аналог NAC. Причем в отличие от Cisco, управление ВСЕМИ продуктами CP (с небольшими оговорками) интегрировано в единую консоль/единый сервер управления.
Цитата
Serga пишет:
PIX (ASA) строит тунелли, намного проще чем в firewall-1
ой ли? скока времени понадобится тебе, чтоб на PIX настроить full-mesh туннели с аутентификацией по сертификатам между 20 офисами (итого 380 туннелей) при условии, что все оборудование уже подключено настроено (за искл. VPN)? На CP это займет минут 10-30.
 
 
 
#10
Это нравится:0Да/0Нет
08.10.2007 10:12:35
Цитата
Michael пишет:
ой ли? скока времени понадобится тебе, чтоб на PIX настроить full-mesh туннели с аутентификацией по сертификатам между 20 офисами (итого 380 туннелей) при условии, что все оборудование уже подключено настроено (за искл. VPN)? На CP это займет минут 10-30.

дело опыта ;)

зато когда недавно поднимали кластер на CP, требовалась дополнительная настройка сетевых коммутаторов для работы в режиме Load Sharing. Для PIX (ASA) - это не нужно ;)
Цитата
Michael пишет:
Вопрос был про PIX, при чем тут ASA?ЗЫ. У CP есть свой аналог NAC. Причем в отличие от Cisco, управление ВСЕМИ продуктами CP (с небольшими оговорками) интегрировано в единую консоль/единый сервер управления.

так же не оговаривалась версия CP ;)
 
 
 
#11
Это нравится:0Да/0Нет
08.10.2007 10:26:20
Цитата
Serga пишет:
ато когда недавно поднимали кластер на CP, требовалась дополнительная настройка сетевых коммутаторов для работы в режиме Load Sharing. Для PIX (ASA) - это не нужно
Коммутаторов или роутера? ARP запись пришлось прописать, полагаю? Ну кто виноват, что многие устройства Cisco отказываются воспринимать ARP ответ от кластера, содержащий multicast mac и unicast IP?
 
 
 
#12
Это нравится:0Да/0Нет
09.10.2007 00:11:41
Цитата
Michael пишет:
Коммутаторов или роутера? ARP запись пришлось прописать, полагаю? Ну кто виноват, что многие устройства Cisco отказываются воспринимать ARP ответ от кластера, содержащий multicast mac и unicast IP?

У коммутатора естесно. Cisco включает igmp по умолчанию, но происходит какая-то трубала в их связке с CP. И поэтому igmp необходимо отключать и прописывать статически MAC-адреса. Что самое интересное, если ничего этого не делать, то при инсталировании политики CP перестает отвечать на arp-запросы (даже если подсоединить ноут напрямую)

Резюме: Сравнивать CP и Cisco вообще занятие не из легких. Но с PIX обучение происходило у меня сложнее чем с CP. А вообще - это дело вкуса :)
 
 
 
#13
Это нравится:0Да/0Нет
16.10.2007 17:34:55
Работал и с FW-1 и с PIX/ASA продукты действительно разные и сравнению слабо подлежат, но в FW-1 убила кривизна многих патчей не знаю какой сейчас там № NG но раньше валился этот фаер будь здоров при том что был оплачен суппорт с аутсорсом. Так требование винды для консоли управления тоже извращенство такие технологии д.б. кросс-платформенными. По PIX скажу минусы что по нагрузке они могут уступать т.к. FW-1 представляет из себя перепатченный редхат с софтом а оно во много раз быстрее шуршит, если конечно нет громоздкой policy с кучей условий. Так тчо подбирайте под задачу исходя из стребований, если они малы PIX, если извратов по правилам в сети нет ASA, если с "извратами" то можно и FW-1, кстати они там еще MS-RPC не держат? раньше только могли фильтровать Exchange, а вот сервант контролер домена с AD не переваривали.
 
 
 
#14
Это нравится:0Да/0Нет
16.10.2007 17:59:36
Цитата
Kalashmatik пишет:
кстати они там еще MS-RPC не держат? раньше только могли фильтровать Exchange, а вот сервант контролер домена с AD не переваривали.
все они держат. можно создавать свои сервисы с нужным UUID, если не хватает :)
 
 
 
#15
Это нравится:0Да/0Нет
17.10.2007 09:21:55
Граждане
Это только вопрос религии
Я бы вообще ISA взял  ;)  ;)
На мой взгляд ФВ1 хороший корпоративный фаер(защита корпорации из вне )
А ASA все таки фаервол периметра(для организации взаимо действия между различными офисами и подразделениями)
Да и по цене
FW от 7500
cisco от 1500
По крайней мере с точки зрения инфраструктуры я бы исходил из этого.
 
 
 
#16
Это нравится:0Да/0Нет
30.10.2007 23:08:24
1. Наричие эксплойтов смотрите на www.packetstormsecurity.org. У Cisco в этом и прошлом году нашли нереальное количество уязвимостей. Checkpoint уже давно развивается, поэтому у него уже давно выявили проблемы. Появление новых проблем не гарантируется ни у того ни у другого.
2. Удобство настройки и администрирования (дружественность интерфейса) однозначно у Checkpoint Firewall-1
3. Функциональность. Ну например узнайте для каких протоколов поддерживается statefull inspection в обоих FW - неплохое будет сравнение. Хотя обычно вопрос про эту характеристику FW выводит из строя всех системных инженеров компаний производителей.
4. И какая технология экранирования надежнее в принципе: CheckPoint Firewall-1 "Statefull inspection" или цысковский ASA? В обоих есть statefull inspection, вопрос для каких протоколов. Он может быть для TCP, для FTP, для протоколов семейства VoIP и т.д.
 
 
 
#17
Это нравится:0Да/0Нет
30.10.2007 23:13:07
забыл добавить, что я советую Checkpoint. Но последнее решение за вами.
 
 
 
#18
Это нравится:0Да/0Нет
01.11.2007 09:51:38
Check Point Safe@Office 225U нормальный вариант если в ЛВС не более 100 компов? У него физически есть 3 интерфейса, inside, outside и DMZ?
 
 
 
#19
Это нравится:0Да/0Нет
08.11.2007 23:56:04
АЙС, ну смотрите, берем смотрим характеристики Safe@Office 225U:
производительность: 150 Мбит/с
Число одновременных соединений: 8000

На сетку из 100 хостов получается по 8 одновременных соединений в секунду или трафик 1.5 мегабита в секунду.
По-моему нормально для офиса.

Я бы еще поставил систему предотвращения атак или даже еще лучше устройство все-в-одном, где в одном устройстве интегрированы Firewall + IPS + антивирус + антиспам + VPN. Бывают правда разные варианты таких устройств: в некоторых есть еще WEB фильтрация, антифишинг и др. фишки типа поведеческих антивирусов и виртуальных патчей для защиты непропатченных машин.
 
 
 
#20
Это нравится:0Да/0Нет
30.11.2007 19:13:11
так...
народ здесь явно запутался.
1. PIX и ASA - это одно и то же, если на них работает одинаковая версия софта. Начиная с версии 7 софт так и называется Adaptive Security Software. Единственная разница - в поддержке SSL VPN.
Да, и еще. На младшие модели PIX (501, 505) нельзя поставить софт версии 7 из-за нехватки памяти. Поэтому они на всю жизнь останутся пиксами. Любой другой пикс из тех, что сейчас продаются, можно проапгрейдить до нормальной версии софта - то есть до ASA.
2. И QoS, и Application Inspection в ASA есть, но и то, и другое реализовано послабее, чем в CP (QoS на CP лучше только в том случае, если на нем есть FloodGate).
3. IPS в ASA есть в виде модуля - это полноценная IPS от Cisco, либо в виде урезанного, но встроенного в базовую версию ASA функционала IPS. В первом случае IPS лучше чем у CP Firewall-1, во втором - хуже. у пикса модуля IPS нет, но есть ограниченный встроенный функционал.
4. У CP более глубоко реализованы всякие проверки на прикладном уровне.
5. в целом ИМХО PIX/ASA работают постабильнее, чем CP, и проще в настройках. CLI она и есть CLI :)
 
 
 
Страницы: 1 2 След.
Читают тему