a) Watchguard
b) Cisco
c) FortiGate
d) Checkpoint
e) PaloAlto
f) Sophos
g) Sonicwall
h) Juniper
i) Barracuda
j) Forepoint
k) jiná?
Používáme Watchguard jako FW a jsem s ním velmi spokojen, GUI je přehledné, má dost funkcí, běží stabilně, stručně řečeno, všechno je v pořádku.
Rád bych jen věděl, co preferujete a proč?
(Například, viděl jsem, že Fortigate má hodně CVE v posledních letech, substrukce FW je velmi starý kód, špatně aktualizovaný, a společnost o CVE informuje s extrémním zpožděním měsíců či dokonce let po incidentu nebo je zamlčuje.)
Jaké jsou požadavky?
60+ lidí? To je téměř bezvýznamné.
Kolik přenosového výkonu požadujete?
Jak podrobná inspekce provozu je potřeba?
Jaké fyzické rozhraní a v jakém množství potřebujete?
Jedno napájení nebo redundantní napájení?
Jaké napětí nebo země?
Jedno firewall, nebo redundantní / vysokodostupný cluster firewallů?
Musíte splnit nějaké specifické regulační normy?
Potřebujete šifrování IPSec VPN? Pokud ano, jaký přenosový výkon?
Potřebujete funkcionalitu VPN na dálku? Pokud ano, kolik uživatelů a jaký přenos?
Potřebujete SSL-interception a inspekci?
Chcete svému výkonnému týmu říct “Toto je tak bezpečné,” nebo jen chcete říct “Jo, ten firewall je nový.” ?
Jaké máte šířky pásma? Jednotlivý internet nebo redundantní?
Doporučil bych Palo 440 pokud to můžete dovolit, Fortigate 80F pokud ne. Obě řešení mají smarts/ochranu v předplatných, které správně nastavené poskytnou hodně ochrany, což je důležité, pokud na vašem síťovém zařízení nemá aktuální/řízenou endpointovou ochranu (XDR). Stojí to za pár tisíc za dobré řešení, jinak můžete klidně používat router NAT za pár stovek a spoléhat na endpointovou bezpečnost.
Palo Alto pokud máte peníze, jinak Fortigate.
Na těchto dvou značkách není co pokazit. Jsou nejlepší na světě.
Používal jsem Cisco, WG, PAN, Sophos, migroval z Checkpointu a dříve dělal hodně s Sonicwallem jako PS inženýr a nyní s Forti, Fortinet má podle mě nejlepší GUI, logování, organizaci politik a integraci s jinými produkty. Palo je dobré, ale složité GUI, které potřebuje čas na naučení, WG mi vždy přišel jako nedostatečné i s jejich velkými boxy, stejně tak Sophos, Sonicwall má super nepružné rozhraní a podivné HA uspořádání a hrozné logování a Cisco je… no Cisco…
S Security Director je velmi dobrým řešením pro Juniper řadu SRX. Starší řady SRX, které byly pouze L4, jsou dávno pryč. Nový SRX1600 je radost s ním pracovat. Juniper překonává Palo Alto na testech falešných poplašení a zachycování hrozeb nezávislými testy. Pracuji s oběma a i když je Palo velmi silná značka, vidím víc a víc malých detailů, které je nedělají tak skvělými, jak by se mohlo zdát. GUI je sice pěkné, ale zlepšuje se J-Web. Menší SRX (SRX300 až SRX380) pravděpodobně budou letos nahrazeny novou řadou (můj odhad). Naopak jsou ceny srovnatelné s Forti. Záleží, jak moc inspekce plánujete dělat, 300-čísla možná budou dobrou volbou a série SRX1600/2300 jsou určeny pro větší potřeby.
Ať už si co vyberete, musíte se vzdělávat v oblasti bezpečnosti. Bez pochopení různých typů inspekce nemůžete udělat rozumnou volbu. Také vaše společnost musí pochopit hrozby a jak je zmírnit. To se děje nejen v FW, ale to je důležitá součást.