Chci vyměnit náš současný firewall a zajímá mě, co všichni používají a proč se vám to líbí/neLíbí nebo proč jste si vybrali to, co momentálně používáte? Máme nyní více než 50 připojení VPN.
Díky!
Firewall Palo Alto Networks to udělá jednoduše, ale jsou drahé, série 3200 by byla ideální v HA páru. Fortigaty jsou dobrou alternativou, protože vše, co děláte, je jádrové síťování a nic složitého, pravděpodobně stačí 100e nebo dokonce 80f.
Fortigaty jsou bohaté na API a podporují jak Ansible, tak Terraform, pokud chcete spravovat VPN pomocí kódu.
Palo Alto. To je sakra snadné.
SRX, jednoduché, velmi rychlé, bez problémů.
Juniper SRX firewally pro nás. Skvělá zařízení, která běží jak naše VPN tunely, tak MPLS WAN, zatímco směrujeme naši LAN v hlavní kanceláři. Velmi nákladově efektivní.
Nechť začnou dolní hlasy. Jsme docela spokojeni s Cisco ISR a DMVPN.
pfsense. Máme připojených 8 poboček přes IPsec.
Palo Alto. Bylo to docela snadné. S Cisco ASA jsem nikdy moc nepracoval, ale můj šéf ji nesnáší.
Palo Alto 5520 v HA páru. Skvělé funkce, skvělá podpora + dokumentace.
FortiGate - snadné nastavení, nejlepší rozhraní, skvělý CLI, dobrý hardware, nejlepší cena na trhu.
PlaoAlto je také dobré, ale velmi drahé
Cisco ASA - no, pocházím ze světa Cisco, ale je to jako z minulého století. A cena a licenční poplatky jsou směšné.
Také minulý týden trvalo asi 180 dní, než bylo možné objednat jakékoli zařízení Fortinet a 365 dní pro Cisco.
Máme Fortigate 100f (v HA) na uzlech a Fortigate 40f na vzdálených místech, jsou úžasné co do hodnoty a zvládnou přenosy IPsec v řádu desítek Gbit s stovkami tunelů na hlavním uzlu, nic v této cenové kategorii to nedokáže.
Pokud se více orientujete na open source, mohu doporučit VyOS.
Podporuje řadu protokolů - IPSEC, Wireguard, OpenVPN, …
Historicky ASA, ale všechny je teď nahrazujeme Fortigate. Některé jsou stále na ASA kvůli VPNs, dokud nebudou zcela EOL, nebo je nahrazujeme za Firepower s kódem ASA.
Fortigate.
Konfigurace VPN IPSEC Phase1-rozhraní
Konfigurace VPN IPSEC Phase2-rozhraní
Konfigurace systému rozhraní tun01
Konfigurace směrovače BGP xxxxx
A máte dynamicky směrovaný tunel IPSEC pro přenos site-to-site.
Pro podnik: juniper srx. Neuvěřitelně snadné a spolehlivé. A OS s předpřipravenými příkazy a záplatami bez výpadků je skvělé.
Pokud jste trochu více experimentální: vyos je skvělý a zdarma (a lze koupit podporu). Některé konfigurace běží přes Mesh VPN s OSPF. Nemůžu být spokojenější. 
Já bych šel buď do Fortigate nebo Palo. Osobně se mi líbí všechny funkce, které získáte od Fortigate za tu cenu, a v aktuálním trhu s dodávkami je lze získat trochu rychleji než Palo. Palo je samozřejmě “špička v oboru bezpečnosti” a fungují stejně dobře, ale zaplatíte za to. Také dávám přednost podpoře od Fortinetu před Palem, jsou jednodušší a rychlejší na to, jak se s nimi dá komunikovat.
Fortigaty. ASIC-akcelerace přináší mnohem více hodnoty za peníze než jakýkoli jiný dodavatel, se kterým jsme pracovali, co se týče IPSEC. Také podporuje správné toky velkých objemů přes IPSEC pro DCI, což je pro nás požadavek.