Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Checkpoint vs Cisco ASA

[es] :: Enterprise Networking :: Checkpoint vs Cisco ASA

Strane: 1 2 3

[ Pregleda: 17662 | Odgovora: 47 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

rrranko
Srbija
Beograd

Član broj: 296196
Poruke: 12
78.24.111.*



Profil

icon Re: Checkpoint vs Cisco ASA30.12.2011. u 09:21 - pre 149 meseci
Zasto ne uporedite karakteristike i performanse:

Check Point 2210: http://www.checkpoint.com/prod...s/2200-appliance-datasheet.pdf
3Gbps Firewall Throughput
2Gbps IPS Throughput
2200 Appliance with 10 Security blades (including
Firewall,
VPN,
Advanced Networking & Clustering,
Identity Awareness, and
Mobile Access for 5 concurrent users,
IPS,
Application Control,
URL Filtering,
Anti-Malware, and
Email Security blades).
Bundled with local management for up to 2 gateways.
6 x 10/100/1000Base-T RJ45 ports
250 GB hard disk drive

Palo Alto PA-200: http://www.paloaltonetworks.com/products/platforms/pa-200.html
100 Mbps firewall throughput
50 Mbps threat prevention throughput
50 Mbps IPSec VPN throughput

Check Point definitivno ima uredjaje sa najboljim performansama trenutno na trzistu ! BTW, serija 22xx je najmanja u portfoliju...

rrranko
 
Odgovor na temu

3xit

Član broj: 295542
Poruke: 8
92.36.217.*



Profil

icon Re: Checkpoint vs Cisco ASA31.12.2011. u 08:09 - pre 149 meseci
Hardwer se odabere prema velicini WAN linka tako da navedeni gigabiti nisu ono sto treba uporedjivati, a moj WAN link je 5 Mbps.

evo sta kaze Palo Alto http://josteinnymoen.files.wor...heckpoint_applicationblade.pdf
 
Odgovor na temu

rrranko
Srbija
Beograd

Član broj: 296196
Poruke: 12
*.dynamic.sbb.rs.



Profil

icon Re: Checkpoint vs Cisco ASA31.12.2011. u 15:17 - pre 149 meseci
Nije velicina linka jedini parametar po kome se bira hardware. Vazno je i koje sve funkcionalnosti planirate da koristite istovremeno na UTM-u. Naravno, ako koristite vise funcionalnosti istovremeno treba vam performantniji hardware. A ako vec citam ovde na forumu da je cena slicna, ja bih se opredelio za noviji i performantniji hardware. Ali stvar je vaseg izbora za sta zelite da date novac. Ja ne bih kupovao 486, ako mogu da kupim neki novi intel dual core za iste pare.
A treba razmotriti kako vam se svidja management i funcnalnosti. Da li odgovaraju vasim potrebama.
Uzmite demo uredjaj od lokalnih partnera pa probajte pre nego se odlucite...
I jedan i drugi proizvodjac ce tvrditi da je bolji... Zato uzmite demo, probajte, pogledajte pa onda odlucite...
rrranko
 
Odgovor na temu

machiavelli
Beograd

Član broj: 7080
Poruke: 216
*.dynamic.sbb.rs.



+164 Profil

icon Re: Checkpoint vs Cisco ASA01.01.2012. u 00:32 - pre 149 meseci
Tako je. Uzmite demo pa probajte. Kao sto vec napisah ranije, posebnu paznju obratite na pouzdanost uredjaja, i obavezno uradite neki major upgrade u toku testiranja. Zatim backup/restore, konfigurisanje fail-overa, simulaciju prekida jednog node-a clustera, konfiguraciju dinamickog rutiranja, i sluzite se dokumentacijom proizvodjaca u toku konfigurisanja...



[Ovu poruku je menjao machiavelli dana 01.01.2012. u 01:51 GMT+1]
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: Checkpoint vs Cisco ASA04.01.2012. u 14:44 - pre 148 meseci

Cisco ASA je super ako je vec ostatak opreme Cisco, ako imas iskustva sa Ciscom i ako je potreban statican setup bez mnogo promjena, neki bazican IPS i malo administracije bez posebno prijemcivog GUI-a. Fire and forget.

Checkpoint je nezamjenjiv ako ti u jednom uredjaju trebaju QoS, firewall, VPN, IPS i remote access (SSL VPN, DLP, Application Awarness, Identity control) i imas mnogo lokacija koje moras da odrzavas. Ozbiljna prednost Checkpointa je sto radi na obicnim serverima (OS: Linux), rekao bih i bolje nego na appliances (OS: IPSO - BSD). To ga cini vrlo konkurentnim kada je u pitanju cijene vece flote uredjaja (50+) i troskovi njihovog odrzavanja i zamjene. Ni Palo Alto ni ASA nemaju GUI u kome bi lako mogla da se odrzava firewall polisa sa 500+ pravila, za slucaj da ti ovo treba. Jedina ozbiljna mana tog CP grafickog interfejsa je da pouzdano radi samo na potpuno prevazidjenom OS-u. Jos jedan ozbiljan problem sa Checkpointom je da se sve (posebno) doplacuje (IPS, Reporting, Monitoring, URL/AV/Antispam filtering) i da se desavaju promjene u licencama koje mogu utrostruciti troskove pojedinih instalacija (nasty).

Juniper cini mi se ima najbolji odnos performance-footprint/price i ako imas mnogo LAN segmenata koji moraju biti fizicki odvojeni, Juniper mi se cini kao odlicno rjesenje.

Jos jedan od vendora na koje bih obratio paznju je Fortinet.

Palo Alto je najbolji ako ti treba dobar odnos cijena/performanse a malo manje brines o mogucnostima. Takodje ako je web based GUI tvoj izbor onda je to najbolje rjesenje. Konfiguracija je jednostavna i ima dosta mogucnosti za vizuelno predstavljanje stanja u mrezi. Ako ne znas sta ti se u mrezi desava i brzo hoces da je stavis pod kontrolu Palo Alto je najbolji izbor - pod uslovom da nemas neku komplikovanu topologiju i mnogo branch office-a. Imam jedan Palo Alto na probi trenutno pa sam na brzinu pribiljezio neke dobre i lose strane ovog uredjaja (posebno u odnosu na Checkpoint):

no central provisioning for appliances

easy sw update, harder downgrade

limited VPN support (generic IPSEC route based, etc)

great traffic stats and reports included (for service overview) in every device, no additional license

XML api for scripting bulk stuff

Juniper and FPGA stuff under the hood, separate linux managment module

no configuration (security) for management network (good - you can't lock yourself out; bad - you can't protect it)

no multiple policies on the single box

panorama management platform for managing multiple devices

every box is standalone (includes all sw/hw components)

great policy based routing (every parameter - app, zone, URL - can be used as a routing condition)

rudimentary QoS (insufficient)

good log parsing capabilities

everything is logged to syslog, redirection possible

custom app rules can be created

web and command line (restricted shell) interface

very good if you don't have anything or don't know what is happening in your network and you have up to 5 locations

good community approach (support forums, open API, standard technologies)

PA-2050 currently on test corresponds entirely to IP560 performance-wise, hopefully not price-wise.

clustering possible with up to two devices per cluster (active/active, active/passive)

capable of inspecting traffic in real time (wire mode)

supports geolocation (world map included), also as a rule criteria

zone based firewall (useful in simplifying rule base)

no sanity check on firewall rules (very bad)

signatures update automatically no "bleeding edge" vs. "tested" approach

no third party rule analysis tool (not good)

company supports cold standby device and license transfer (!)

palo alto is hardware vendor while CP is software vendor (good: more stuff runs in faster hardware and more simplified high level approach; bad: doesn't run on open servers, vm's, etc.)

not even basic documentation is publicly available on PA website


 
Odgovor na temu

machiavelli
Beograd

Član broj: 7080
Poruke: 216
*.dynamic.sbb.rs.



+164 Profil

icon Re: Checkpoint vs Cisco ASA04.01.2012. u 20:01 - pre 148 meseci
50+ uredjaja? 500 pravila u polisi? U takvom okruzenju bilo bi zanimljivo videti kako bi se organizovala administracija svih tih uredjaja, znajuci da smart dashboard moze da koristi samo jedan admin u write mode-u...
 
Odgovor na temu

sale83
Australia
Sydney

Član broj: 41625
Poruke: 729
*.static.tpgi.com.au.



+30 Profil

icon Re: Checkpoint vs Cisco ASA05.01.2012. u 08:29 - pre 148 meseci
Citat:
Aleksandar Olujic
Checkpoint je nezamjenjiv ako ti u jednom uredjaju trebaju QoS, firewall, VPN, IPS i remote access (SSL VPN, DLP, Application Awarness, Identity control) i imas mnogo lokacija koje moras da odrzavas.


Sve moze ASA, Juniper i mcafee enterprise firewall ...

Citat:
Aleksandar Olujic
Palo Alto ni ASA nemaju GUI u kome bi lako mogla da se odrzava firewall polisa sa 500+ pravila, za slucaj da ti ovo treba.


Ne znam za Palo posto ga gotovo niko ne koristi u Australiji ali ASA ima odlican GUI... Ako na policu tj ACL mislis sa 500+ pravila onda ne znas sta govoris.... Od gomile ASA koji odrzavam ni jedan nije ispod 1000 ACLs!!!

Citat:
Aleksandar Olujic

Juniper cini mi se ima najbolji odnos performance-footprint/price i ako imas mnogo LAN segmenata koji moraju biti fizicki odvojeni, Juniper mi se cini kao odlicno rjesenje.

Jos jedan od vendora na koje bih obratio paznju je Fortinet


Slazem se sa ovim... obadva imaju Web GUI s time da Fortinet ima nekako bolji :) Fortinet sam isao kod njih na prezentaciju i testiranje ... Dobar firewall ali ga ne korisimo ...
Sto mozes danas ne ostavljaj za sutra!
 
Odgovor na temu

sale83
Australia
Sydney

Član broj: 41625
Poruke: 729
*.static.tpgi.com.au.



+30 Profil

icon Re: Checkpoint vs Cisco ASA05.01.2012. u 11:11 - pre 148 meseci
Citat:
machiavelli: 50+ uredjaja? 500 pravila u polisi? U takvom okruzenju bilo bi zanimljivo videti kako bi se organizovala administracija svih tih uredjaja, znajuci da smart dashboard moze da koristi samo jedan admin u write mode-u...


Ne vidim u cemu je ovde problem. Bez obzira u kakvom se okruzenju nalazis sve to treba da bude organizovano, kontrolisano i postoje pravila i procedure kako se nesto radi. Recimo u okruzenju gde se koristi Information Technology Infrastructure Library (ITIL) ili nesto kao ITIL administracija svih tih uredjaja je laka i ne predstavlja neki problem.
Sto mozes danas ne ostavljaj za sutra!
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: Checkpoint vs Cisco ASA05.01.2012. u 11:22 - pre 148 meseci
U poredjenju sa Checkpoint GUI ASA GUI je cumbersome i po mom misljenju Checkpoint je better value for money cak i ako je ostatak infrastrukture Cisco. Jedino sto govori u prilog ASA je imati homogeno Cisco okruzenje (u cilju postizanja centrally managed end-to-end security), medjutim tu postoji drugi problem - imati sigurnosnu i mreznu infrastrukturu od istog proizvodjaca je ubacivanje svih jaja u jednu korpu a to je big security no-no. Ono sto je Cisco sigurnosnu infrastrukturu cinilo interesantnom je bio MARS u vrijeme dok se razvijao. To je bio kvalitativni pomak u odnosu na ono sto su tada radili ostali proizvodjaci. Mislim da je taj proizvod propao izmedju ostalog i zato sto nije bilo mnogo firmi koje su spremne da uloze toliko novca u svoju sigurnost.

QoS, fw, VPN, IPS su osnovne fukncije koje imaju svi firewall-i. Pitanje je kako su te funkcije integrisane i koliko je svaka od njih pojedinacno inteligentna i dobro napravljena. Mislim da je CP tu otisao najdalje i konkurise mu jedino PA kada je u pitanju integracija (nazlost VPN i QoS su kod PA na nivou najnizih CP uredjaja kada su u pitanju mogucnosti). Mislim da ce PA biti prava konkurencija CP-u tek za 5 godina ako nastave da se razvijaju ovim tempom. Mislim da je PA znacajno uticao na to da CP ubrzano izbaci nove (dobro integrisane) funkcije (Application Control, Identity awareness).

Jos jedna korisna stvar na koju treba obratiti paznju su performanse koje proizvodjac navodi za svoje uredjaje. Kad CP kaze 100Mbps firewall throughput to u sustini znaci 100Mbps ako appliance ne radi nista drugo osim fw sa nekim jednostavnim setom pravila. Shodno tome kada se za isti uredjaj navodi da dostize 50Mbps VPN throughput to se odnosi na trenutak u kome uredjaj radi samo enkripciju jednog tunela od 50Mbps. CP koristi general purpose CPU (i686) dok PA, Juniper, Cisco, Fortinet rade dosta toga u posvecenom hardveru i opis performanci uredjaja je kod tih proizvodjaca realniji (posebno vazi za PA). Takodje mislim da nije dobro gledati samo u velicinu Internet linka kad se bira firewall. Iako svako tezi prvo da zastiti perimiter prema Internetu, na izbor firewall-a znacajno utice i topologija lokalne mreze. Ako je permiter firewall jedini firewall u mrezi, na njega brzo krenu da se kace i poslovi rezervisani za LAN firewalls, a to je prevelik zalogaj za uredjaje koji su predivdjeni da se bave Internet linkom od recimo 10-20Mbps.

UTM koncept je zanimljiv i zaista je vrlo zgodno imati URL filtering, IPS i VPN u jednom uredjaju, medjutim u realnosti vece kompanije moraju da kombinuju UTM i enterprise class security devices. Stoga primjecujem da je korisno pri izboru sigurnosnih uredjaja gledati u Gartnerov enterprise firewalls magic quadrant za HQ a u UTM magic quadrant za branch offices. Kad se ukrste ta dva magic quadrant-a Checkpoint prolazi najbolje (pod pretpostavkom da se postuje pravilo da se medju elementima sigurnosne infrastrukture ne mijesaju razliciti proizvodjaci, ako ni zbog ceg drugog onda zbog lakse administracije). UTM bih znaci zadrzao za lokacije na kojima je bitno da se full featured securtiy spakuje u sto manji footprint sa svim kompromisima vezanim za nivo sigurnosti koje to nosi. Smatram da je URL/AV/Antispam filtering kod svih UTM uredjaja rudimentaran u poredjenju sa za tu namjenu napravljenim posebnim proizvodima ali oni ne mogu svi da se spakuju u rack u branch office-u ali zato mogu u HQ-u u kome jedan dio posla obavlja enterprise firewall a web i mail filtering (pa cak i IPS) mu dodju kao "spoljne usluge". Ovakva podjela ima smisla kada su u pitanju bolje mogucnosti razlicitih uredjaja ali gubi svoj smisao ako u cijeloj prici nema zajednickog log analysis i event correlation sistema.

Iz licnog iskustva, veliku prednost dajem proizvodima koji funkcionisu na general purpose platformama prvenstveno zbog cijene. Server sa 12 cpu cores kosta manje od 5000EUR, appliance koji ima slicne performanse kosta namjanje 25000EUR i nema nijedan dio koji moze da se zamijeni nekim dijelom postojece infrastrukture. Najprostije receno, lakse je imati (priustiti) rezervni server nego rezervni appliance :). Kada CP ne bi radio na standardnim serverima bilo bi nemoguce priustiti takvu sigurnosnu infrastrukturu (bez obzira na proizvodjaca).

 
Odgovor na temu

machiavelli
Beograd

Član broj: 7080
Poruke: 216
83.136.176.*



+164 Profil

icon Re: Checkpoint vs Cisco ASA05.01.2012. u 15:53 - pre 148 meseci
@sale83

Pa problem je u tome sto pored tolikog broja uredjaja i software blade-ova koje pruza CP u jednom trenutku moze da ga administrira samo jedan admin. To znaci da dok jedan setuje, recimo QoS, drugi mora da ceka da izmeni nesto na VPN-u.

 
Odgovor na temu

sale83
Australia
Sydney

Član broj: 41625
Poruke: 729
*.static.tpgi.com.au.



+30 Profil

icon Re: Checkpoint vs Cisco ASA06.01.2012. u 22:44 - pre 148 meseci
To je stavka za koju se ne treba vezati i obracati paznju kao negativna stvar pri kupovini firewalla. A razlog je zato sto u okruzenju kao sto sam napisao u prethodnoj poruci ne sme da dodje to toga problema nikako!!! Ako dodje do tog problema onda si problem TI,JA ili NEKO DRUGI. Stvar je sto nesto kad se radi u organizovanom okruzenju svi administratori imaju uvid u incident, zahtev, problem, promenu itd... I ja kada ili bilo ko ga procita jednostavno vidi ko od radnika moze da uradi taj incident ili sta god da je i onda se taj zadatak dodeli nekom od administratora. Kad je zadatak dodeljen onda svi vidimo kome je dodeljen i ko treba da ga uraditi. Kad ga on uradi sledeci zadatak se radi. Sta se radi prvo da li VPN ili QoS to sve zavisi od sta ima veci prioritet tj koji je projekat upitanju, klijent itd...

E sad ako firma, organizacija ili pojedinac nisu u takvom okruzenju.... Onda ne znam sta da kazem... Ocigledno trebaju im neke reforme i velike promene u nacinu rada i izvrsavanju zadataka.

Poz,
Sale

[Ovu poruku je menjao sale83 dana 07.01.2012. u 00:01 GMT+1]
Sto mozes danas ne ostavljaj za sutra!
 
Odgovor na temu

machiavelli
Beograd

Član broj: 7080
Poruke: 216
*.dynamic.sbb.rs.



+164 Profil

icon Re: Checkpoint vs Cisco ASA07.01.2012. u 00:11 - pre 148 meseci
Ono sto ja pominjem nije organizacioni problem vec operativni. Apsolutno je nemoguce da se poslovi u mrezi koja ima 10+ nazovi firewalla ("nazovi", posto CP appliance ima brdo blade-ova koji od uredjaja prave i IPS/IDS, QoS engine, itd, i nije ni cudo sto su mu performanse bolje u poredjenju sa Cisco ASA recimo koji podrzava manje funkcija - jer moraju da budu) tako optimizuju da se administratorske akcije obavljaju sekvencijalno. Mozda u knjigovodstvenoj administraciji to moze, recimo jedan radnik slaze fakture od 01 do 500, drugi od 501 do 1000, treci od 1001 do 1500, pa onda onaj prvi stavi svoju gomilu papira u ormar, pa drugi svoju gomilu, i konacno treci.

Ali to je jos i najmanji problem kod CP (u odnosu na Cisco, sa kojim imam iskustva takodje)...
 
Odgovor na temu

sale83
Australia
Sydney

Član broj: 41625
Poruke: 729
*.static.tpgi.com.au.



+30 Profil

icon Re: Checkpoint vs Cisco ASA07.01.2012. u 00:28 - pre 148 meseci
Izgleda da ja tebi ne mogu objasniti neke stvari.... Ali nije ni bitno..
Sto mozes danas ne ostavljaj za sutra!
 
Odgovor na temu

sale83
Australia
Sydney

Član broj: 41625
Poruke: 729
*.tpgi.com.au.



+30 Profil

icon Re: Checkpoint vs Cisco ASA09.01.2012. u 06:08 - pre 148 meseci
Ko hoce da proba McAfee Firewall Enterprise (Sidewinder) u VMware Workstation moze da skine 30 dana probnu verziju odavde :http://www.vmware.com/appliances/directory/218753

Review:
http://www.vmware.com/appliances/directory/va/218753/reviews


Sto mozes danas ne ostavljaj za sutra!
 
Odgovor na temu

rrranko
Srbija
Beograd

Član broj: 296196
Poruke: 12
78.24.111.*



Profil

icon Re: Checkpoint vs Cisco ASA09.01.2012. u 14:11 - pre 148 meseci
Jos jedna dobra strana kod Check Point-a je sto radi na sopstvenom operativnom sistemu (Linux bazirani) koji se zove SPLAT (Secure Platform), koji je veoma stabilan i siguran. Trenutno je aktuelna verzija R75.20. A R75.30 je u Early Availability fazi tako da moze da se skine sa sajta i proba. Administracija ovog sistema je ista na Appliance-ima, kao i na Otvorenim platformama (serverima HP, IBM, DELL, etc.) http://www.checkpoint.com/services/techsupport/hcl/ Takodje postoji i verzija za VMware okruzenje Check Point VE (Virtual Edition).... I sve moze da se manage-uje sa istog management-a koji takodje moze da bude appliance ili na serveru... Dakle, korisnici imaju sve opcije na raspolaganju, pa kome sta odgovara. NEko voli appliance, a neko na sopstvenom serveru ili VMware-u.

IPSO je OS koji se koristi na IP applianceima (bivsi Nokia Security).

Neko je ranije rekao kako CP ima RISK procesore a Juniper, Cisco, Fortinet.. ASIC procesore...
ASIC procesori su dobri za running specificnih aplikacija, sto im i samo ime kaze, dok je RISC arhitektura mnogo bolja za tehnologije kao sto je UTM jer se tu radi sa vecim brojem funkcionalnosti, ili se one naknadno dodaju. ASIC ne moze performantno da radi sa novim funkcionalnostima jer nije za to projektovan...

Takodje, tacno je da se performanse FW, IPS, VPN kod svih proizvodjaca prikazuju kao da radi samo jednu funkciju i to u najboljim uslovima. Npr. FW troughput se meri sa samo jednim any any rule-om. Ali zato je Check Point uveo pojam "Security Power" kojim zeli da prikaze tzv. MIX performance... Performanse pri istovremenom koriscenju vise funkcionalnosti.
rrranko
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: Checkpoint vs Cisco ASA09.01.2012. u 15:20 - pre 148 meseci
Citat:
rrranko: Takodje, tacno je da se performanse FW, IPS, VPN kod svih proizvodjaca prikazuju kao da radi samo jednu funkciju i to u najboljim uslovima. Npr. FW troughput se meri sa samo jednim any any rule-om. Ali zato je Check Point uveo pojam "Security Power" kojim zeli da prikaze tzv. MIX performance... Performanse pri istovremenom koriscenju vise funkcionalnosti.


:) Dzaba, tamo gdje Checkpoint napise 2Gbps throughput to je u sustini ~400Mbps sa nekim srednjim opterecenjem i bazicnim funkcijama. Ko moze da vari 1/5 nominalnih performansi, onda su Checkpoint brojevi ok. Ako se ta "mjerenja" pomijeraju nabolje, onda svaka cast Checkpointu sto je... prestao da laze svoje musterije :)

Sa druge strane recimo Palo Alto ima posvecen management (poseban "kompjuter") koji nema veze sa obradom saobracaja i to je bolji pristup. Jedini problem je sto za svaki uredjaj mora da se plati i ovaj modul.

Zakljucak: ne postoji one-solution-fits-all i svako rjesenje ima svoje prednosti i mane. Pazljivo definisanje potreba i budzeta (najbolje projekcija troskova u petogodisnjem periodu) su najvazniji preduslovi da u svom posebnom slucaju zavrsis sa vise prednosti nego mana.

 
Odgovor na temu

rrranko
Srbija
Beograd

Član broj: 296196
Poruke: 12
78.24.111.*



Profil

icon Re: Checkpoint vs Cisco ASA09.01.2012. u 15:56 - pre 148 meseci
Sto se tice management-a, CP ima vise opcija. Recimo na UTM applieance-ima postoji integrated management koji moze da manage-uje do 2 appliance-a. A ako neko zeli odvojeni management moze da uzme poseban mamanement appliance ili da ga instalira na poseban server ili VMware, sto je takodje dobro za management vise uredjaja ili celog CP security sistema...

Takodje je interesantna tehnologija CoreXL, narocito za resenja na serverima sa visekornim procesorima, gde se (ukratko receno) rasporedjuju performanse po korovima...


rrranko
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
*.31.11.vie.surfer.at.



+15 Profil

icon Re: Checkpoint vs Cisco ASA09.01.2012. u 18:42 - pre 148 meseci
Citat:
rrranko: Sto se tice management-a, CP ima vise opcija. Recimo na UTM applieance-ima postoji integrated management koji moze da manage-uje do 2 appliance-a. A ako neko zeli odvojeni management moze da uzme poseban mamanement appliance ili da ga instalira na poseban server ili VMware, sto je takodje dobro za management vise uredjaja ili celog CP security sistema...


UTM appliance (i svaki drugi CP appliance/open server) moze imati integrisan management ali sve se vrti na (cesto jedinom) general purpose CPU.

Citat:
rrranko:
Takodje je interesantna tehnologija CoreXL, narocito za resenja na serverima sa visekornim procesorima, gde se (ukratko receno) rasporedjuju performanse po korovima...


CoreXL je vise licensing model nego tehnologija. CP je ranije bio licenciran na osnovu broja IP adresa koje se nalaze iza unutrasnjih (LAN) interfejsa (50, 100, 250, neograniceno) danas su licence definisane na osnovu broja procesorskih jezgara na kojima je aktivan firewall proces (min 2 - do 500 "korisnika" ili maksimalno 4 - neogranicen broj korisnika). Ostala jezgra (ako ih ima vise od 4) ce raditi normalno (licenca se nece buniti) i SPLAT kernel ce rasporedjivati procese kao i svaki drugi linux kernel (kako scheduler kaze :)

Ne bi bilo nista lose u ovom pristupu da svi "licencirani" procesi (firewall, IPS, VPN, management) nisu vezani za ista dva ili cetri procesorska jezgra sve vrijeme, a poseban problem pocinje kada se ukljuci QoS (nezamjenjljiva funkcionlanost na perimiter firewall-u) jer je CoreXL tada, bez obzira na licencu, automatski iskljucen i svi kljucni procesi ce svo svoje vrijeme provesti na jednom jedinom jezgru makar ih u masini bilo 24. Big fail.
 
Odgovor na temu

rrranko
Srbija
Beograd

Član broj: 296196
Poruke: 12
78.24.111.*



Profil

icon Re: Checkpoint vs Cisco ASA11.01.2012. u 13:58 - pre 148 meseci
Ako je potreban Out-of-the bent management, na uredjajima od 4800 pa navise postoji mogucnost da se dokupi LOM kartica (Light-out Management) : http://dl3.checkpoint.com/paid...80f27225bf6fc13db&xtn=.pdf

rrranko
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: Checkpoint vs Cisco ASA11.01.2012. u 15:08 - pre 148 meseci
Nije problem u lights-out-managementu vec u tome sto managment na standalone Checkpoint platformama tovari isti procesor koji se koristi za obradu saobracaja. Tu su uredjaji koji imaju odvojene resurse posvecene management-u u prednosti.

Uzgred, zavrsio sam testiranje PA-2050 i mogu da potvrdim da je interoperabilan sa Checkpoint-om kada je u pitanju VPN. Zanimljiv uredjaj u svakom slucaju, iskreno bih preporucio svakom ko vec nema ozbiljniju bezbjednosnu infrastrukturu a zelio bi da je ima da obrati paznju na Palo Alto proizvode.

 
Odgovor na temu

[es] :: Enterprise Networking :: Checkpoint vs Cisco ASA

Strane: 1 2 3

[ Pregleda: 17662 | Odgovora: 47 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.