Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Một số đánh giá về UTM Firewall

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Một số đánh giá về UTM Firewall

    WATCHGUARD
    (data retrived from official website 21-5-2008)
    PRO:

    - Performance upgrade via licence
    - VPN Failover
    - Server load balancing *
    - Voip support
    - Policy Based routing not supported on fireware*

    CONTRO:
    - No way to autodetect layer 7 protocol, only if the protocol pass in the proxy
    - Antivirus only with Clamav
    - VLAN not supported on firewall*
    - SSL VPN not supported on firewall*
    - Wan load balancing not supported on firewall*
    - HA not supported on firewall*

    * option available only with a Firewall pro upgrade



    SONICWALL
    (data retrived from official website 21-5-2008)
    PRO:


    - Dhcp relay
    - VPN Failover
    - Voip support

    CONTRO:
    - No Vpn SSL
    - No Zero-day protection
    - No way to autodetect layer 7 protocol, only if the protocol pass in the proxy
    - NO BGP
    - HA on some models is available via licence upgrade
    - VLAN support via upgrade to OS Enhanced
    - ANTISPAM basato solo su filtri RBL
    - ASIC based, no real evolutivity

    CISCO
    (data retrived from official website 21-5-2008)
    PRO:


    - Possibility to build cluster
    - Virtual firewall
    - HA Active/Active
    - Leader in market

    CONTRO:
    - IPS module is not included
    - Expensive
    - SSL VPN limited to 2 session, upgradable via licence
    - PPTP not available
    - No centralized management
    - Support 1 expansion card, IPS exclude Antispam and viceversa (AIP SSM – CSCSSM)



    ASTARO
    (data retrived from official website 21-5-2008)
    PRO:


    - Mail Encryption
    - HA Active/active
    - VOIP support
    - Server load balancing
    - Virtual Appliance

    CONTRO:
    - No real IPS
    - Not able to detect layer 7 protocols on non standard port



    JUNIPER
    (data retrived from official website 21-5-2008)
    PRO:


    - VOIP Support
    - VPN Failover
    - Policy based routing
    - Dhcp relay
    - HA active/active
    - Link failure detection

    CONTRO:
    - No PPTP
    - No VPN SSL
    - No Tools for log analisys
    - No real IPS solution
    - No way to autodetect layer 7 protocol, only if the protocol pass in the proxy
    - Lack of performance when content control is on
    - ASIC based, no real evolutivity



    FORTINET
    (data retrived from official website 21-5-2008)
    PRO:
    - HA active/active



    - Virtual Firewall

    CONTRO:
    - IPS based on signature

    - ANTISPAM not embedded in the UTM

    - WEBFILTER not embedded in the UTM

    - No Real-Time Monitoring (with netasq for example You can put somebody how is listening to radio to quarantine – some things it is cool)

    - No Seismo (risk management)

    - Log viewing in comfortable way via Event Reporter

    - DHCP relation between IP and MAC – done only via CLI

    - No DNS PROXY

    - Page classification remains on box

    - More then one admin can be logged in with W/R access – this can cause some problems – some security policies doesn’t allow for that

    - Backup of configuration not always in encrypted form

    - Lower than netasq performance with IPS enabled (but this one You know)

    - I would say that also configuration via web browser is weak because it is easier to exploit web browser than Administration Suite

    - If You use LDAP fortinet and You would like to create rules per user You have to add him to group first. So not comfortable

    - VPN SITE to SITE less compofortable to configure then netasq. With scripting I think (I did not test it) much more easier to configure VPN while gateway failover.

    - No user enrollment

    - No real captive portal

    - Only one IP address per interface. (any other address You can use only for managment)

    - Fortinet is limited becouse ASIC CPU. Netasq is more flexible becouse all the “magic” is done on kernel level


    - With NETASQ You got Global Administration for 5 boxes for free

    - In netasq You can set specific traffic to shop up in Real Time monitor by setting up LOG FLAG on firewall as Minor or Major


    Last edited by vnsec; 26-12-2008, 10:05 AM.
    Cung cấp các giải pháp bảo mật, giải pháp Wifi cho KTX, Resort, khách san...
    Web: www.antoankhu.vn

  • #2
    Hi Dũng,

    Dũng là CAM của SBD, partner của Cisco.

    Mình thì là newbie với Cisco nói riêng và network nói chung. Tuy nhiên mình có một vài nhận xét nhỏ về các so sánh mà Dũng đăng, chỉ là ý kiến của riêng mình thôi, có gì thì cùng trao đổi nhé.

    Mình quote lại phần của Dũng và comment luôn ở duới nhé.

    Về Cisco

    CISCO
    (data retrived from official website 21-5-2008)
    PRO:


    - Possibility to build cluster
    - Virtual firewall
    - HA Active/Active
    - Leader in market

    CONTRO:
    - IPS module is not included
    Các dòng ASA từ 5540 trở xuống đều có thể cắm thêm IPS module, gọi là module AIP, ngoài ra còn có 1 module nữa gọi là CSC làm nhiệm vụ content security and control.
    Đối với dòng ASA5550 và 5580 là các dòng firewall focus vào core và DC nên ko trang bị 2 module này

    - Expensive
    Không đắt, nếu so về giá list với các dòng sản phẩm tương đương về đẳng cấp và tính năng.

    - SSL VPN limited to 2 session, upgradable via licence
    Cisco là 1 trong những hãng duy nhất cung cấp được firewall có cả IPsec lẫn SSL VPN và với tính năng độc đáo SSL thì ko ai muốn nó included cả. 1 vài hãng có khả năng làm được như vậy cũng bán license riêng thôi.

    - PPTP not available
    Lí do phải dùng PPTP tại thời điểm này?

    - No centralized management
    Sai hoàn toàn, sản phẩm CSM (Cisco Security Manager) là một trong những thế mạnh của Cisco so với các hãng khác.

    - Support 1 expansion card, IPS exclude Antispam and viceversa (AIP SSM – CSCSSM)
    Như mình đã nói ở trên Cisco có thể cắm thêm card để chạy IPS và Anti-X, tại sao lại phải cắm thêm card, là vì cắm thêm card thì sẽ cho phép ASA tách riêng phần xử lý IPS (hoặc Anti-X) riêng khỏi hệ thống, do đó ko làm ảnh hưởng đến performance của thiết bị. Có thể test đơn giản, nếu bật cắm IPS hoắc Anti-X của Cisco thì performance của thiết bị không giảm nhiều, nhưng đối với các hãng khác, performance sẽ giảm đi đáng kể, con số cụ thể có thể search trên mạng.

    Comment


    • #3
      Hiện thị trường Việtnam còn có dòng Cyberoam (www.cyberoam.com) của Taiwan sao không thấy nhà cung cấp nào hay anh em nào nhắc đến dòng này nhỉ. bạn thử xem 1 con nho nhỏ này thì thấy Cyberoam cũng ấn tượng lắm nhỉ http://www.cyberoam.com/downloads/da...roamCR500i.pdf , bạn nào có câu hỏi gì hay cần test demo có thể liên hệ Skype với trantienvuong.inetvn , Vương cũng là 1 member của VNPRO.
      Last edited by camaptrang; 31-12-2008, 05:07 AM.

      Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)


      Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

      Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

      Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

      Hướng dẫn cài đặt cấu hình Retrospect Backup Server

      Cài đặt và cấu hình phần mềm FSA Audit Files Server

      CAMAPTRANG
      http://www.asterisk.vn

      Comment


      • #4
        Hi Camaptrang,

        InetVN ben cho a.MinhLQ ha :D. Gap a.Minh thi cho minh gui lai chao nhe.

        Thanks

        Comment


        • #5
          cty mình có đang xài sản phẩm Firewall O2Security SifoWorks U210 chạy bữa giờ cũng good lắm giá mềm và rẻ hơn Fortinet hay Cyberoam, SonicWall,Cisco... khoảng 3000 USD còn có nhiều tính năng khác mà những thằng Fortinet hay Cyberoam, SonicWall,Cisco.... như là Inbound Loadbalcing, VPN load Balancing, Anti-virus, Anti-spam, IDP, IPS được update free Forever....mấy bác thử xài đi theo minh thì con này chạy cũng trâu bò vì cty minh khoang 150 PC, may bác tham khảo tại nhà phân phối sản phẩm O2Security tại Việt Nam là Công ty PNET http://pnet.vn/home.aspx?cmd=itemlist&catId=41

          Comment


          • #6
            Originally posted by tuthlove View Post
            cty mình có đang xài sản phẩm Firewall O2Security SifoWorks U210 chạy bữa giờ cũng good lắm giá mềm và rẻ hơn Fortinet hay Cyberoam, SonicWall,Cisco... khoảng 3000 USD còn có nhiều tính năng khác mà những thằng Fortinet hay Cyberoam, SonicWall,Cisco.... như là Inbound Loadbalcing, VPN load Balancing, Anti-virus, Anti-spam, IDP, IPS được update free Forever....mấy bác thử xài đi theo minh thì con này chạy cũng trâu bò vì cty minh khoang 150 PC, may bác tham khảo tại nhà phân phối sản phẩm O2Security tại Việt Nam là Công ty PNET http://pnet.vn/home.aspx?cmd=itemlist&catId=41
            hi tuthlove, cty mình củng dùng con này ....
            Mình chỉ mời tiếp xúc với nó có 1 thag à. thấy chay cug ok đó. co lun chuc nang cua router lun. ben mình dung cable quang wa cai converter xong vo lun con nay.
            co j rac roi ae chia sẻ nhé ;)

            Comment

            Working...
            X