Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
cisco asa 55xx vs OpenBSD или другие *nix, сомнения по выбору межсетевого экрана
 
вот сегодня я взял проиграться asa 5510 и первым делом ввел команду чтоб глянуть инфу о ней. и в ней нашел такие строчки
Код
Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB

Что заставляет меня задуматься насколько оправдана цена этой железяки, такое железо стоит гараздо дешевле, даже если брать серверный вариант, про обычные ПК вообще молчу, я примерно такой недавно за 600 рублей купил, получается что основные деньги плататься за встроенный софт. в связи с этим я призадумался на сколько имеет смысл их платить, действительно ли циска имеет большие преимущества перед межсетевым экраном на базе *nix? Тем более если я правильно понял то для того чтоб получать обновления по для циски мне нужен сервисный контракт, за который еще надо будет платить ежегодно, а сетевой экран без обновлений нет смысла даже рассматривать...

Хотелось бы узнать ваши мения по это поводу
Изменено: lw+ - 16.09.2009 15:20:03
 
Цитата
...получается что основные деньги плататься за встроенный софт. в связи с этим я призадумался на сколько имеет смысл их платить, действительно ли циска имеет большие преимущества перед межсетевым экраном на базе *nix? Тем более если я правильно понял то для того чтоб получать обновления по для циски мне нужен сервисный контракт, за который еще надо будет платить ежегодно, а сетевой экран без обновлений нет смысла даже рассматривать...

Твой вопрос больше философский, чем технический... К сожалению, в России по прежнему действует правило:"голь на  выдумки хитра". Поэтому и не Циски, а халява - опенсорс, не учеба на рабочие сертификаты, а штудирование RFC-ок до посинения и дорабатывание всего "напильником". Хуже ли это? - Нет, глубокое понимание предмета вызывает уважение. Короче, каждому свое... У цискарей хороший тех суппорт, обалденный форум, они за деньги предлагают качество и обслуживание и никакого гемора.
P.S. ты должен иметь smartnet соглашение с циско только для ASA обновлений, а большинство инструментов и патчей скачивается бесплатно после регистрации.
 
Я на один вопрос отвечу.

Цитата
lw+ пишет:
действительно ли циска имеет большие преимущества перед межсетевым экраном на базе *nix?

Действительно. Но проявляется это только в случае больших объемов трафика проходящих через железки. Межсетевой экран на базе *nix просто захлебнется в случае очень большого трафика, в то время, как железо от CISCO будет жужжать и спокоойно коммутировать, терминить и фильтровать все проходящее через него. Мы в этом убедились, когда построили шейперы (для реализации безлимитов) на базе Gentoo и tc. Когда трафик стал очень большим (что неизбежно при вводе безлимитных тарифов) шейперы стали просто захлебываться. Причем никаких танцы с бубном, тюнинг сетевого стека и шаманство с настройками сетевух не помогли. Помогла железка от циско стоимостью 50К уе. :) Таким образом - лично моё мнение такое. В случае ISP с довольно большим объемом трафика и большим количеством пользователей использование железа CISCO (и софта, естественно) - оправданно. В случае небольших провайдеров, а также просто офисов большинство задач может быть выполнено меньшей ценой и на свободном софте. Вот где-то так.
 
в догонку:
если бы межсетевые экраны на базе *nix еще и собирались на серверах с RISC-архитектурой, то имело бы место сравнение. Только стоимость будет никак не 600 рублей...
P.S.
Цитата
в случае небольших провайдеров, а также просто офисов большинство задач может быть выполнено меньшей ценой и на свободном софте
- ну так и не все железки от CISCO стоят 50K уе :)
Изменено: capricorn - 17.09.2009 22:16:11
 
Цитата
если бы межсетевые экраны на базе *nix еще и собирались на серверах с RISC-архитектурой, то имело бы место сравнение.
А циски разве на risc ? покрайне мере 5510 что у меня счас выводит информацию что в ней установлен CPU Pentium 4 Celeron, который явно не risc процессор. Правда насчет других моделей не знаю, может есть и на risc. Коммутаторы наверно на каких то специализированных процессорах?
Цитата
Только стоимость будет никак не 600 рублей...
ну на самом деле, если я правильно помню, разница между cisc и risc  не в цене и производительности, а том что risc содержит только те команды которые выполнять аппаратно, а cisc и те которые микропрограмма внутри процессора. и risc вполне может быть дешёвыми - передставте себе процессор который умеет выполнять всего с десяток(лень подсчитывать точное минимальное число команд, думаю можно можно и менше) команд(если я правиьлно помню из арифметических можно вобще одну оставить) и делает это не торопясь. быстрым его не назовешь, зато он может быть очень дешевым. хотя конечно идея risc процессоров более перспективна, поскольку из теория алгоритмов известно что доступные объем памяти влияет на то какие алгоритмы можно использовать и больший объем обычно позволяет использовать более эффективные алгоритмы, чем те которые можно было бы выполнить микрокодом процессора. хотя на практике похоже что основное развитие идет в области x86 ых процессоров, поэтому вероятно циска и использует эти процессоры.
 
да нет конечно, циски не RISC, там x86 архитектура везде, на RISCе они бы с java-ой не поработали :D . А по поводу цены все что я знаю это про хьюлетт-паккардовские(HP)risk сервера с их же hp-unix, их то не назовешь дешевыми, но вот производительность....
 
Цитата
capricorn пишет:
(HP)risk сервера
Ну это да конечно, есть такие. но есть и типа таких ARM С жавой у них кстати все в порядке, даже есть специальная технология Jazelle. Эти процессоры  довольно дешевые(когда писал попытаься найти в инете конкретные цены но не получилось чего то) и потребляют очень мало. Я, если выдаться свободное время собираюсь поразбираться с ними, может в будущем пригодиться.
 
Цитата
capricorn пишет:
(HP)risk сервера
Ну это да конечно, есть такие. И у IBM на их майн фрэмах тоже , если не ощибаюсь, risk.  Но есть и типа таких ARM С жавой у них кстати все в порядке, даже есть специальная технология Jazelle. Эти процессоры  довольно дешевые(когда писал попытаься найти в инете конкретные цены но не получилось чего то) и потребляют очень мало. Я, если выдаться свободное время, собираюсь поразбираться с ними, может в будущем пригодиться.
 
кстати, кембриджиские ARM процы стоят в "яблофонах" -  :oops: (я один из пользователей). Честно говоря для меня трудно укладывается в голове RISK с MMX инструкциями, но пусть и так... а на счет цены тут такой нюанс, что OEM тебе как "собаке пятая нога" - приходится покупать retail box - конечный продукт. Короче возвращаясь в цискам - это та цена, которая оправдана и не надо ничего доводить и "танцевать с бубном"  :)
 
Cуть цискового ПО - в связи с цисковым железом. В совокупности это даёт очень прекрасные результаты в производительности. Такой вариант ответа устроит?
 
Сейчас аппаратных FW много в принципе. Взрослые компании выбирают специально FW с поддержкой, чтобы вне зависимости уволился у тебя админ твоего FreeBSD или нет, всегда получить помощь от вендора. Мелким компаниям всегда проще найти студента, который за ночь осилит чужой конфиг iptables или ipfw и поймет что к чему. Так что плюс или минус поддержка - решать вам.
Вот посмотрите, побольше функционала чем у Cisco ASA будет:
IBM Proventia Firewall
 
Цитата
Денис Батранков пишет:
Вот посмотрите, побольше функционала чем у Cisco ASA будет:
вынужден не согласиться... за то время, с момента публикации этого поста, я заказал себе ASA 5510 с security plus лицензией взамен полетевшего PIX-а и перед тем как купить озадачился вопросом: "А почему именно циска, а не барракуда или провента, или вотчгард"? после сравнения ответ оказался тривиальным: при одинаковом функционале у циско самые приемлемые цены при хорошо известном и доверительном бренде.
Так вот, на 55xx можно добавить security services card и функционал станет лучше чем у провенты.
 
На схеме видно Сisco ASA 5510. У нее всего один модуль SSM. Значит там либо IPS (AIP), либо антивирус (CSC). Proventia это Firewall,IPS,антивирус,антиспам,вебфильтр,маршрутизатор за одну цену и ничего докупать не надо. А тут либо IPS/либо антивирус, да еще нужно где-то взять остальное.

почем была Cisco?
 
2.7k
 
да, и правда недорого. а SSM наверно еще штуки две тянет? вообще мне интересно какая GPL цена на ASA 5510.
 
нашел тут но пришлось несколько дней переписываться насчет "начинки".
 
Цитата
Денис Батранков пишет:
Сейчас аппаратных FW много в принципе.
коллеги, не флейма ради: объясните мне всё-таки, что такое "аппаратный фаерволл".
 
а вобще я в "железные" антиспамы больше не верю.  У меня как раз барракуда, вот полюбуйся, все приходится ручками дорабатывать:

Код
Received: (invoked from network); 14 Oct 2009 07:35:40 -0700
Received: from smtp.............. (HELO barracuda.
 X-ASG-Orig-Subj: DHL service. You should get the parcel! Delivery NR.00591
Subject: DHL service. You should get the parcel! Delivery NR.00591
MIME-Version: 1.0
Content-Type: multipart/mixed;
  boundary="----------5BCEHA885HEGDF"
X-Barracuda-Connect: HSI-KBW-085-216-005-172.hsi.kabelbw.de[85.216.5.172]
X-Barracuda-Start-Time: 1255530299
X-Barracuda-Virus-Scanned: by Barracuda Spam Firewall at ............................
X-Barracuda-Spam-Score: 3.26
X-Barracuda-Spam-Status: No, SCORE=3.26 using global scores of TAG_LEVEL=3.5 QUARANTINE_LEVEL=6.0 KILL_LEVEL=5.0 tests=BSF_SC5_MJ1963, FH_HELO_EQ_D_D_D_D, HELO_DYNAMIC_IPADDR, RCVD_IN_PBL, RDNS_DYNAMIC
X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.2.11762
   Rule breakdown below
    pts rule name              description
   ---- ---------------------- --------------------------------------------------
   0.80 RCVD_IN_PBL            RBL: Received via a relay in Spamhaus PBL
                              [85.216.5.172 listed in zen.spamhaus.org]
   1.36 HELO_DYNAMIC_IPADDR    Relay HELO'd using suspicious hostname (IP addr
                              1)
   0.50 FH_HELO_EQ_D_D_D_D     Helo is d-d-d-d
   0.10 RDNS_DYNAMIC           Delivered to trusted network by host with
                              dynamic-looking rDNS
   0.50 BSF_SC5_MJ1963         Custom Rule MJ1963

------------5BCEHA885HEGDF
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 7bit

Hello!

The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address. 

You may pickup the parcel at our post office personaly!

Please note!
The shipping label is attached to this e-mail. 
Please print this label to get this package at our post office.


Thank you for attention. 
DHL Services.

-----------


типа на "фишинге" недобрала пойнтов до маркировки  :sensored:
Изменено: capricorn - 06.11.2009 00:49:03 (добавление информации)
 
Цитата
^rage^ пишет:
Цитата
Денис Батранков пишет:

Сейчас аппаратных FW много в принципе.

коллеги, не флейма ради: объясните мне всё-таки, что такое "аппаратный фаерволл".

rage, это вот как раз то "эфирическое облегчение" жизни админов  :D
 
^rage^

По большому счёту это специализированная ВМ с установленным на ней программным обеспечением брандмауэра. Отличие её от привычных решений только в одном - это отдельное устройство, которое при необходимости можно заменить. А по сути своей это обычный микроконтроллер с достаточно жёстко заданными функциями, чем собственно от универсальной системы он и отличается - его ПО и часто аппаратура специализированно(-ы) для решения одной или нескольких очень схожих задач. И всё, других отличий у него нет. Вычислительный блок там реализуется на стандартных элементах.
Страницы: 1 2 След.
Читают тему (гостей: 1)