Mislim da ces na to pitanje dobiti odgovor koji je vise subjektivnog karaktera.
Moje licno misljenje je na strani Cisco ASA-e. Cini mi se da ces za Cisco product-e naci uvek vise resursa (dokumentacije, support-a, ...)

Do pre godinu dana sam koristio oba:
IP530 (Nokia) + R55 software
Cisco ASA 5510 (a pre toga PIX515)

IP530 je ustvari obicna PC platforma (zapakovana u rack kuciste) sa *nix-om i CheckPoint-ov software "trci" na tome. Koliko sam pre cuo od drugih ljudi, uglavnom se i kod njih CheckPoint "vozi" na nekom Linux/Unix PC-u. U medjuvremenu su CheckPoint-ov software i appliances dosta napredovali, tako da ti ne mogu nista reci za nesto novije. Meni se iskreno nije svideo. Verujem da postoji neka varijanta za cron job. Sta bi zeleo sa tim cron job-om da radis?

Ideja mi je, pošto mi je trenutno rešenje firewall-a na Linux-u :-), dal te ovo podseća na CheckPoint rešenje, i tu mi se vrši automatska redirekcija korisnika u slučaju pada primarnog linka. Obavezan uslov mi je da i novi uređaj podržava to.

Inače interesuje me zašto ti se nije svideo CheckPoint? Loše performanse, nepouzdan rad, otežana administracija (da li administracija je CLI ili GUI) ... ?
Iskreno dobio sam neku literaturu za UTM-1 Total Security i verujući papiru dobar je. Nažalost nisam imao prilike da radim sa ASA pa nemam neki uvid u mogućnosti. Davno sam radio sa PIX-om.

Na sta mislis kada kazes "automatska redirekcija korisnika"? Mogucnost prebacivanja na backup link?


U konfiguraciji koju ja posedujem, IP530 ima osrednji web interface, a primarni managment/monitoring firewall-a se radi preko firewall management software-a koji je instaliran na jednom PC-u. Za mogucnosti CLI-a nisam siguran, jer sam sve radio kroz GUI. Cini mi se da CLI mora da se koristi jedino prilikom update Check point software-a ili reinstalacije IPSO (OS na tom appliance-u). Tako da se, bar u mojoj konfiguraciji, ukupan management firewall-a svodi na 3 komponente: appliance (IPSO), CheckPoint software, i jos dodatni PC za management. Mozda ce neko ko bolje poznaje CheckPoint resenja dodati/ispraviti nesto u vezi ovoga.
Od prethodnih sys admina sam cuo da su imali svojevremeno odredjenih problema i da je jedna od Nokia "riknula" (imam ih 2 u failover-u), ali sva sreca u mom "mandatu" nije bilo problema.

Kod ASA/PIX resenja imam sve u jednom device-u: CLI, Web interface i ASDM. Bar u mojoj trenutnoj konfiguraciji.

Vidim da je ova tema dosta stara ali imam nedoumcu oko odabira firewall-a pa bih volio cuti iskustva ovih koji su imali priliku raditi sa njima... Imam 3 ponude i to:

CheckPoint 2210
Palo Alto PA-200
Juniper SRX 210

e sad... sta odabrati ?

CheckPoint je provjereno dobar, imao sam priliku raditi sa njim... Palo Alto ima odlicno rjesenje (app-ID, user-ID, content-ID). Cijenom su sva 3 tu negdje... ali mi cijena neigra toliku ulogu.

Cisco ASA nisam uzeo u razmatranje jer sam dosta losih stvari cuo o njihovom firewall-u ...

A da ipak razmotris i Cisco ASA?

Sta si lose cuo o ASA firewallovima? Meni rade odlicno...

haha pretrazio sam kompletan internet i svi kazu da je su CheckPoint i Palo Alto daleko bolji od Cisca. Osim toga, nemam vremena da trazim Cisco jer do kraja sedmice moram da narucim :S

Pazi, nisam cuo lose da sad ne valja i sl. Meni treba "application firewall". Ima dosta stvari na ovom linku https://supportforums.cisco.com/thread/2011246

Moja iskrena preporuka ide za PaloAlto, ja imam prilicno ograniceno iskustvo sa njima (bio je kod mene na testu par dana) ali par nasih korisnika ga koristi i svi imaju samo reci hvale. Verujem da ce se ljudi iz R&D sektora PaloAlta maksimalno truditi da odrzavaju lidersku poziciju u inovacijama. Sto se tice druga dva fw-a, oba su odlicni firewall-i ali bih ipak blagu prednost dao PaloAltu. Sto se tice cisco ASA fw-a ja je za sebe takodje nikad ne bih uzeo u razmatranje..


Pozdrav

Cisco ASA Firewall je odlican uredjaj da terminira vpn-ove, i da koristis neka bazicna fw podesavanja .. tipa state full inspection na L4 nivou i za .. hm... nista vise. Tako da jednostavno pregazilo ga je vreme.

haha sto nisi rekao da to pise na internetu mora da je istina.... haha je'l bilo i u Politici? ili na njuz.net ? :)

Od toga sto si naveo, Checkpoint. Sprava provereno dobro radi. Juniper nije los, stavise odlican je - ali ja nemam iskustva sa njim. Ja bi uzeo onaj za koji mogu da dobijem najbolju podrsku i gde cu najlakse naci dokumentaciju.

Koncept da ce neki uredjaj da stiti internet od losih aplikacija u tvojoj mrezi, pritom nemajuci uvid u to sto se desava na serveru, vec nagadjajuci po paketima u mrezi je jednostavno pogresan. Mozda zvuci kao dobar hype i mozda je lep marketing ali, niti je ideja firewall-a da prati sta izlazi iz mreze i stiti internet, niti on to moze da odradi bez uvida u to sta se desava na serveru, jer se bez toga te informacije daju previse lako lazirati. Ono sto perimetar mreze moze je:

- Da radi statefull inspection (rade svi ozbiljni uredjaji).
- Da, eventualno, radi VLAN-ove i terminira VPN-ove (rade, valjda svi)
- Da radi IDS/IPS. Cisco ASA ima modul za ovo, mislim da Checkpoint ima mogucnost. U krajnjoj liniji, imas snort.
- Da radi neki threat prevention and detection od DoS-a, pa na dalje. Ovo moze da ide mnogo dalje od prostog IPS-a. Znam da Cisco ima posebne uredjaje za ovo, kao i module za Catalyst 6500... Skup hobi, ali ako imas para jako dobro resenje. Ako imas svoj ASN navodno moze da menja i BGP i lepo zaobidje i sve vrste DoS-ova....
- Da radi application filtering za npr. SMTP i FTP - ovo je imao jos PIX, ima i ASA.
- Da radi kao web application firewall uz duboku analizu L7 saobracaja KA WEB SERVERU. Ovo znam da F5 lepo radi, mislim da Cisco ima neko svoje resenje, ali ne bi sad o tome.

Te fore da ce neka sprava da provaljuje prema potpisima aplikacija sta izlazi iz mreze, pa da na osnovu toga spreci da se neka rogue aplikacija ubaci i radi ko zna sta.... To je lepa ideja, koja ne moze da radi. Kao deo desktop sprave to jos i ima smisla, uz podrsku OS-a i njegovog kernela, pa uz checksums trusted programa i sl. Ali da to radi na nivou mreze - to se jednostavno previse lako lazira. Ostatak stvari su iste kao na vecini normalnih uredjaja i njih, valjda, radi kako valja, pa ce to i da radi. Jedini problem ce da nastane ako doticna firma pukne, pa ne bude ko imao da updateuje signatures za IPS/IDS... Zato i kazem Checkpoint od gore navedenog - kod ovakvih sprava treba imati support i update-e.

Naravno, vi momci slobodno kupite tu spravu - i pravljena je za hipstere kao sto ste vi. Kad kaze na forumu da je to teh Palo Alto firewall odma znas da je ozbiljno. Pise na internetu, mora da radi. Posle mozete zajedno i na Zaz....

Jasno je da je covek suzio izbor na gore navedene, ali ja opet moram da pitam (Gandlaf deluje ubedljivo) zasto je CP bolji od Cisco-a? Sta znaci "pregazilo ga vreme? U cemu je sve CP bolji od Cisco ASA, ako pricamo o network firewallu?

Btw, radio sam u mrezama sa 8 ASA, i sa isto toliko CP-a, i kada bih birao sledeci put sta ce se staviti kao firewall ne bih se dvoumio ni sekund. Iskreno, ne znam nista o Juniperu niti o PaloAlto firewall-ovima, ali sto se tice komparacije CP i ASA u produkciji velikih sistema dovoljno sam kompetentan...

Nikad nisam radio sa Checkpoint ili PA firewalls. Do sada sam radio sa raznim drugim security uredjajima ali cisco ASA uvek broj jedan kad nam je potreban firewall.

Jos jedan dobar firewall koji pruza dosta mogucnosti je mcafee enterprise firewall (Sidewinder). Samo sto u verziji 7 cli mu je katastrofa dok GUI mu je odlican. jedini problem sto za sve moras da kreiras objekat. Svaku IP adresu moras jednu po jednu da dodas, svaki port koji nije u listi itd...


http://www.mcafee.com/au/products/firewall-enterprise.aspx

Evo sta kaze najnoviji Gartner-ov Magic Quadrant for Enterprise Network Firewalls : http://www.gartner.com/technol...8DTJ9H&ct=111219&st=sg .
Treba obratiti paznju da iako je ovo izvestaj za 2011. informacije nisu bas najsvezije jer je Check Point ove godine izmedju ostalog uveo jos dosta novih uredjaja sa 3 puta boljim performansama: http://www.checkpoint.com/products/appliances/index.html

Takodje nije lose da pogledate javni price list: https://pricelist.checkpoint.c...lPL.jsp#SecurityGateway_Blades

Nije ni lose da se google-uje ili potrazi po forumima informacija, npr, o uporednim uptime-ovima za ASA i CP... Ili recimo kvalitet lokalnog supporta, dostupnost dokumentacije, kompleksnost upravljanja, itd...

CheckPoint je definitivno najpoznati sa liste (kao firewall uredjaj). Sto se tice toga sta ASA nema i CP ima, pa asa je fw na mreznom nivou i tu se zavrsava prica, to je bilo interesantno 90-tih i pocetkom 2000-tih i sl.. to vise jednostavno ne pije vodu. Ako kupis ASA kao firewall MORAS da kupis proxy koji ce ti raditi filtirianje web saobracaja (dodatni trosak i to ne mali). ASA firewall se DDoS-uje u roku od 5 sec i tako predstavlja najslabiju kariku od DDoS-a u mrezi. A da ne pricamo o tome da kad imas otvoren port 80/443 kroz to ti prolazi sav web saobracaj i jos pored toga moze da prodje sve ostalo .. (skype,torrenti, remoteadmin tulovi i sl.) Ako hoces to da blokiras ili kontrolises moras da kupis jos neki prilicno skup uredjaj (u cenovnom rangu nekih od prethodnih firewall-a). + dodatna stvar, treba ti qos na nivou web aplikacije, da ne moze neko sa fb-a i youtuba da pojede sa bw.. + da to mozes da ogranicavas po userima + da mozes da imas kontrolu po useru na AD-u, sto asa fw nema.



a sta ti garantuje da cisco nece da prekine sa prodajom i razvojem cisco asa?? Pa prestali su sa razvojem i upgrejdima za DDoS Guard i detector uredjajima kao appliance, prestali su sa razvojem njihovog uzasnog HIPS-a (cisco security agent CSA), prestali su sa razvojem CS-MARS-a tako da .. to i nije neki argument koji ide u prilog bilo kome :)

evo da suzim, tj. da smanjim pitanje... Sta odabrati Palo Alto PA-200 ili CheckPoint 2210 ? Cijenom su u 150 eura razlike kada se na Palo Alto dokupi "Subscription Bundle renewel, PA-200 (Threat Prevention, URL Filtering)" koji kosta 440 eura, a CheckPoint vec ima ugradjen.

Check Point ima desetak lokalnih partnera u Srbiji: http://partners.us.checkpoint.com/partnerlocator/ i odlicnu podrsku na lokalnom trzistu.
Interesantan je jer nudi security resenja na appliance-ima, na open server platformama, kao i u virtualnom okruzenju. A nudi i security resenja za enterprise endpoint security... Takodje, Check Point se od osnivanja (1993) bavi iskljucivo security proizvodima i ima odlican razvoj portfolija i odlicnu finansijsku stabilnost. http://www.youtube.com/watch?v=OfoZvBnrsCc .

Kada se bira koji firewall i od kog proizvodjaca treba izabrati, pre svega je vazno izabrati koje su to funkcionalnosti koje su potrebne (Firewall, IPS, Anti-Virus & AntiMalware, Application Control, DLP, Identity Awareness, IPSEC VPN, Mobile Access, URL filtering, Anti-Spam & Email Security, Anti-Bot...etc.) Treba voditi racuna i kakav je management sistema, visibility bezbednosti...). Naravno ,bitna je i reputacija proizvodjaca, podrska lokalnih partnera...

Cisco ASA 5550 i 5585 su ubedljivo najbolji enteprise firewalls. Citajuci ovaj tvoj komentar ispada da ASA je los firewall...




Pa i za CheckPoint svake godine moras da radis Renewal koliko ja znam...

Zasto ne uporedite karakteristike i performanse:

Check Point 2210: http://www.checkpoint.com/prod...s/2200-appliance-datasheet.pdf
3Gbps Firewall Throughput
2Gbps IPS Throughput
2200 Appliance with 10 Security blades (including
Firewall,
VPN,
Advanced Networking & Clustering,
Identity Awareness, and
Mobile Access for 5 concurrent users,
IPS,
Application Control,
URL Filtering,
Anti-Malware, and
Email Security blades).
Bundled with local management for up to 2 gateways.
6 x 10/100/1000Base-T RJ45 ports
250 GB hard disk drive

Palo Alto PA-200: http://www.paloaltonetworks.com/products/platforms/pa-200.html
100 Mbps firewall throughput
50 Mbps threat prevention throughput
50 Mbps IPSec VPN throughput

Check Point definitivno ima uredjaje sa najboljim performansama trenutno na trzistu ! BTW, serija 22xx je najmanja u portfoliju...

Hardwer se odabere prema velicini WAN linka tako da navedeni gigabiti nisu ono sto treba uporedjivati, a moj WAN link je 5 Mbps.

evo sta kaze Palo Alto http://josteinnymoen.files.wor...heckpoint_applicationblade.pdf

Nije velicina linka jedini parametar po kome se bira hardware. Vazno je i koje sve funkcionalnosti planirate da koristite istovremeno na UTM-u. Naravno, ako koristite vise funcionalnosti istovremeno treba vam performantniji hardware. A ako vec citam ovde na forumu da je cena slicna, ja bih se opredelio za noviji i performantniji hardware. Ali stvar je vaseg izbora za sta zelite da date novac. Ja ne bih kupovao 486, ako mogu da kupim neki novi intel dual core za iste pare.
A treba razmotriti kako vam se svidja management i funcnalnosti. Da li odgovaraju vasim potrebama.
Uzmite demo uredjaj od lokalnih partnera pa probajte pre nego se odlucite...
I jedan i drugi proizvodjac ce tvrditi da je bolji... Zato uzmite demo, probajte, pogledajte pa onda odlucite...

Tako je. Uzmite demo pa probajte. Kao sto vec napisah ranije, posebnu paznju obratite na pouzdanost uredjaja, i obavezno uradite neki major upgrade u toku testiranja. Zatim backup/restore, konfigurisanje fail-overa, simulaciju prekida jednog node-a clustera, konfiguraciju dinamickog rutiranja, i sluzite se dokumentacijom proizvodjaca u toku konfigurisanja...



_{[Ovu poruku je menjao machiavelli dana 01.01.2012. u 01:51 GMT+1]}

Cisco ASA je super ako je vec ostatak opreme Cisco, ako imas iskustva sa Ciscom i ako je potreban statican setup bez mnogo promjena, neki bazican IPS i malo administracije bez posebno prijemcivog GUI-a. Fire and forget.

Checkpoint je nezamjenjiv ako ti u jednom uredjaju trebaju QoS, firewall, VPN, IPS i remote access (SSL VPN, DLP, Application Awarness, Identity control) i imas mnogo lokacija koje moras da odrzavas. Ozbiljna prednost Checkpointa je sto radi na obicnim serverima (OS: Linux), rekao bih i bolje nego na appliances (OS: IPSO - BSD). To ga cini vrlo konkurentnim kada je u pitanju cijene vece flote uredjaja (50+) i troskovi njihovog odrzavanja i zamjene. Ni Palo Alto ni ASA nemaju GUI u kome bi lako mogla da se odrzava firewall polisa sa 500+ pravila, za slucaj da ti ovo treba. Jedina ozbiljna mana tog CP grafickog interfejsa je da pouzdano radi samo na potpuno prevazidjenom OS-u. Jos jedan ozbiljan problem sa Checkpointom je da se sve (posebno) doplacuje (IPS, Reporting, Monitoring, URL/AV/Antispam filtering) i da se desavaju promjene u licencama koje mogu utrostruciti troskove pojedinih instalacija (nasty).

Juniper cini mi se ima najbolji odnos performance-footprint/price i ako imas mnogo LAN segmenata koji moraju biti fizicki odvojeni, Juniper mi se cini kao odlicno rjesenje.

Jos jedan od vendora na koje bih obratio paznju je Fortinet.

Palo Alto je najbolji ako ti treba dobar odnos cijena/performanse a malo manje brines o mogucnostima. Takodje ako je web based GUI tvoj izbor onda je to najbolje rjesenje. Konfiguracija je jednostavna i ima dosta mogucnosti za vizuelno predstavljanje stanja u mrezi. Ako ne znas sta ti se u mrezi desava i brzo hoces da je stavis pod kontrolu Palo Alto je najbolji izbor - pod uslovom da nemas neku komplikovanu topologiju i mnogo branch office-a. Imam jedan Palo Alto na probi trenutno pa sam na brzinu pribiljezio neke dobre i lose strane ovog uredjaja (posebno u odnosu na Checkpoint):

no central provisioning for appliances

easy sw update, harder downgrade

limited VPN support (generic IPSEC route based, etc)

great traffic stats and reports included (for service overview) in every device, no additional license

XML api for scripting bulk stuff

Juniper and FPGA stuff under the hood, separate linux managment module

no configuration (security) for management network (good - you can't lock yourself out; bad - you can't protect it)

no multiple policies on the single box

panorama management platform for managing multiple devices

every box is standalone (includes all sw/hw components)

great policy based routing (every parameter - app, zone, URL - can be used as a routing condition)

rudimentary QoS (insufficient)

good log parsing capabilities

everything is logged to syslog, redirection possible

custom app rules can be created

web and command line (restricted shell) interface

very good if you don't have anything or don't know what is happening in your network and you have up to 5 locations

good community approach (support forums, open API, standard technologies)

PA-2050 currently on test corresponds entirely to IP560 performance-wise, hopefully not price-wise.

clustering possible with up to two devices per cluster (active/active, active/passive)

capable of inspecting traffic in real time (wire mode)

supports geolocation (world map included), also as a rule criteria

zone based firewall (useful in simplifying rule base)

no sanity check on firewall rules (very bad)

signatures update automatically no "bleeding edge" vs. "tested" approach

no third party rule analysis tool (not good)

company supports cold standby device and license transfer (!)

palo alto is hardware vendor while CP is software vendor (good: more stuff runs in faster hardware and more simplified high level approach; bad: doesn't run on open servers, vm's, etc.)

not even basic documentation is publicly available on PA website

50+ uredjaja? 500 pravila u polisi? U takvom okruzenju bilo bi zanimljivo videti kako bi se organizovala administracija svih tih uredjaja, znajuci da smart dashboard moze da koristi samo jedan admin u write mode-u...

Sve moze ASA, Juniper i mcafee enterprise firewall ...



Ne znam za Palo posto ga gotovo niko ne koristi u Australiji ali ASA ima odlican GUI... Ako na policu tj ACL mislis sa 500+ pravila onda ne znas sta govoris.... Od gomile ASA koji odrzavam ni jedan nije ispod 1000 ACLs!!!



Slazem se sa ovim... obadva imaju Web GUI s time da Fortinet ima nekako bolji :) Fortinet sam isao kod njih na prezentaciju i testiranje ... Dobar firewall ali ga ne korisimo ...

Ne vidim u cemu je ovde problem. Bez obzira u kakvom se okruzenju nalazis sve to treba da bude organizovano, kontrolisano i postoje pravila i procedure kako se nesto radi. Recimo u okruzenju gde se koristi Information Technology Infrastructure Library (ITIL) ili nesto kao ITIL administracija svih tih uredjaja je laka i ne predstavlja neki problem.

U poredjenju sa Checkpoint GUI ASA GUI je cumbersome i po mom misljenju Checkpoint je better value for money cak i ako je ostatak infrastrukture Cisco. Jedino sto govori u prilog ASA je imati homogeno Cisco okruzenje (u cilju postizanja centrally managed end-to-end security), medjutim tu postoji drugi problem - imati sigurnosnu i mreznu infrastrukturu od istog proizvodjaca je ubacivanje svih jaja u jednu korpu a to je big security no-no. Ono sto je Cisco sigurnosnu infrastrukturu cinilo interesantnom je bio MARS u vrijeme dok se razvijao. To je bio kvalitativni pomak u odnosu na ono sto su tada radili ostali proizvodjaci. Mislim da je taj proizvod propao izmedju ostalog i zato sto nije bilo mnogo firmi koje su spremne da uloze toliko novca u svoju sigurnost.

QoS, fw, VPN, IPS su osnovne fukncije koje imaju svi firewall-i. Pitanje je kako su te funkcije integrisane i koliko je svaka od njih pojedinacno inteligentna i dobro napravljena. Mislim da je CP tu otisao najdalje i konkurise mu jedino PA kada je u pitanju integracija (nazlost VPN i QoS su kod PA na nivou najnizih CP uredjaja kada su u pitanju mogucnosti). Mislim da ce PA biti prava konkurencija CP-u tek za 5 godina ako nastave da se razvijaju ovim tempom. Mislim da je PA znacajno uticao na to da CP ubrzano izbaci nove (dobro integrisane) funkcije (Application Control, Identity awareness).

Jos jedna korisna stvar na koju treba obratiti paznju su performanse koje proizvodjac navodi za svoje uredjaje. Kad CP kaze 100Mbps firewall throughput to u sustini znaci 100Mbps ako appliance ne radi nista drugo osim fw sa nekim jednostavnim setom pravila. Shodno tome kada se za isti uredjaj navodi da dostize 50Mbps VPN throughput to se odnosi na trenutak u kome uredjaj radi samo enkripciju jednog tunela od 50Mbps. CP koristi general purpose CPU (i686) dok PA, Juniper, Cisco, Fortinet rade dosta toga u posvecenom hardveru i opis performanci uredjaja je kod tih proizvodjaca realniji (posebno vazi za PA). Takodje mislim da nije dobro gledati samo u velicinu Internet linka kad se bira firewall. Iako svako tezi prvo da zastiti perimiter prema Internetu, na izbor firewall-a znacajno utice i topologija lokalne mreze. Ako je permiter firewall jedini firewall u mrezi, na njega brzo krenu da se kace i poslovi rezervisani za LAN firewalls, a to je prevelik zalogaj za uredjaje koji su predivdjeni da se bave Internet linkom od recimo 10-20Mbps.

UTM koncept je zanimljiv i zaista je vrlo zgodno imati URL filtering, IPS i VPN u jednom uredjaju, medjutim u realnosti vece kompanije moraju da kombinuju UTM i enterprise class security devices. Stoga primjecujem da je korisno pri izboru sigurnosnih uredjaja gledati u Gartnerov enterprise firewalls magic quadrant za HQ a u UTM magic quadrant za branch offices. Kad se ukrste ta dva magic quadrant-a Checkpoint prolazi najbolje (pod pretpostavkom da se postuje pravilo da se medju elementima sigurnosne infrastrukture ne mijesaju razliciti proizvodjaci, ako ni zbog ceg drugog onda zbog lakse administracije). UTM bih znaci zadrzao za lokacije na kojima je bitno da se full featured securtiy spakuje u sto manji footprint sa svim kompromisima vezanim za nivo sigurnosti koje to nosi. Smatram da je URL/AV/Antispam filtering kod svih UTM uredjaja rudimentaran u poredjenju sa za tu namjenu napravljenim posebnim proizvodima ali oni ne mogu svi da se spakuju u rack u branch office-u ali zato mogu u HQ-u u kome jedan dio posla obavlja enterprise firewall a web i mail filtering (pa cak i IPS) mu dodju kao "spoljne usluge". Ovakva podjela ima smisla kada su u pitanju bolje mogucnosti razlicitih uredjaja ali gubi svoj smisao ako u cijeloj prici nema zajednickog log analysis i event correlation sistema.

Iz licnog iskustva, veliku prednost dajem proizvodima koji funkcionisu na general purpose platformama prvenstveno zbog cijene. Server sa 12 cpu cores kosta manje od 5000EUR, appliance koji ima slicne performanse kosta namjanje 25000EUR i nema nijedan dio koji moze da se zamijeni nekim dijelom postojece infrastrukture. Najprostije receno, lakse je imati (priustiti) rezervni server nego rezervni appliance :). Kada CP ne bi radio na standardnim serverima bilo bi nemoguce priustiti takvu sigurnosnu infrastrukturu (bez obzira na proizvodjaca).

@sale83

Pa problem je u tome sto pored tolikog broja uredjaja i software blade-ova koje pruza CP u jednom trenutku moze da ga administrira samo jedan admin. To znaci da dok jedan setuje, recimo QoS, drugi mora da ceka da izmeni nesto na VPN-u.

To je stavka za koju se ne treba vezati i obracati paznju kao negativna stvar pri kupovini firewalla. A razlog je zato sto u okruzenju kao sto sam napisao u prethodnoj poruci ne sme da dodje to toga problema nikako!!! Ako dodje do tog problema onda si problem TI,JA ili NEKO DRUGI. Stvar je sto nesto kad se radi u organizovanom okruzenju svi administratori imaju uvid u incident, zahtev, problem, promenu itd... I ja kada ili bilo ko ga procita jednostavno vidi ko od radnika moze da uradi taj incident ili sta god da je i onda se taj zadatak dodeli nekom od administratora. Kad je zadatak dodeljen onda svi vidimo kome je dodeljen i ko treba da ga uraditi. Kad ga on uradi sledeci zadatak se radi. Sta se radi prvo da li VPN ili QoS to sve zavisi od sta ima veci prioritet tj koji je projekat upitanju, klijent itd...

E sad ako firma, organizacija ili pojedinac nisu u takvom okruzenju.... Onda ne znam sta da kazem... Ocigledno trebaju im neke reforme i velike promene u nacinu rada i izvrsavanju zadataka.

Poz,
Sale

_{[Ovu poruku je menjao sale83 dana 07.01.2012. u 00:01 GMT+1]}

Ono sto ja pominjem nije organizacioni problem vec operativni. Apsolutno je nemoguce da se poslovi u mrezi koja ima 10+ nazovi firewalla ("nazovi", posto CP appliance ima brdo blade-ova koji od uredjaja prave i IPS/IDS, QoS engine, itd, i nije ni cudo sto su mu performanse bolje u poredjenju sa Cisco ASA recimo koji podrzava manje funkcija - jer moraju da budu) tako optimizuju da se administratorske akcije obavljaju sekvencijalno. Mozda u knjigovodstvenoj administraciji to moze, recimo jedan radnik slaze fakture od 01 do 500, drugi od 501 do 1000, treci od 1001 do 1500, pa onda onaj prvi stavi svoju gomilu papira u ormar, pa drugi svoju gomilu, i konacno treci.

Ali to je jos i najmanji problem kod CP (u odnosu na Cisco, sa kojim imam iskustva takodje)...

Izgleda da ja tebi ne mogu objasniti neke stvari.... Ali nije ni bitno..

Ko hoce da proba McAfee Firewall Enterprise (Sidewinder) u VMware Workstation moze da skine 30 dana probnu verziju odavde :http://www.vmware.com/appliances/directory/218753

Review:
http://www.vmware.com/appliances/directory/va/218753/reviews

Jos jedna dobra strana kod Check Point-a je sto radi na sopstvenom operativnom sistemu (Linux bazirani) koji se zove SPLAT (Secure Platform), koji je veoma stabilan i siguran. Trenutno je aktuelna verzija R75.20. A R75.30 je u Early Availability fazi tako da moze da se skine sa sajta i proba. Administracija ovog sistema je ista na Appliance-ima, kao i na Otvorenim platformama (serverima HP, IBM, DELL, etc.) http://www.checkpoint.com/services/techsupport/hcl/ Takodje postoji i verzija za VMware okruzenje Check Point VE (Virtual Edition).... I sve moze da se manage-uje sa istog management-a koji takodje moze da bude appliance ili na serveru... Dakle, korisnici imaju sve opcije na raspolaganju, pa kome sta odgovara. NEko voli appliance, a neko na sopstvenom serveru ili VMware-u.

IPSO je OS koji se koristi na IP applianceima (bivsi Nokia Security).

Neko je ranije rekao kako CP ima RISK procesore a Juniper, Cisco, Fortinet.. ASIC procesore...
ASIC procesori su dobri za running specificnih aplikacija, sto im i samo ime kaze, dok je RISC arhitektura mnogo bolja za tehnologije kao sto je UTM jer se tu radi sa vecim brojem funkcionalnosti, ili se one naknadno dodaju. ASIC ne moze performantno da radi sa novim funkcionalnostima jer nije za to projektovan...

Takodje, tacno je da se performanse FW, IPS, VPN kod svih proizvodjaca prikazuju kao da radi samo jednu funkciju i to u najboljim uslovima. Npr. FW troughput se meri sa samo jednim any any rule-om. Ali zato je Check Point uveo pojam "Security Power" kojim zeli da prikaze tzv. MIX performance... Performanse pri istovremenom koriscenju vise funkcionalnosti.

:) Dzaba, tamo gdje Checkpoint napise 2Gbps throughput to je u sustini ~400Mbps sa nekim srednjim opterecenjem i bazicnim funkcijama. Ko moze da vari 1/5 nominalnih performansi, onda su Checkpoint brojevi ok. Ako se ta "mjerenja" pomijeraju nabolje, onda svaka cast Checkpointu sto je... prestao da laze svoje musterije :)

Sa druge strane recimo Palo Alto ima posvecen management (poseban "kompjuter") koji nema veze sa obradom saobracaja i to je bolji pristup. Jedini problem je sto za svaki uredjaj mora da se plati i ovaj modul.

Zakljucak: ne postoji one-solution-fits-all i svako rjesenje ima svoje prednosti i mane. Pazljivo definisanje potreba i budzeta (najbolje projekcija troskova u petogodisnjem periodu) su najvazniji preduslovi da u svom posebnom slucaju zavrsis sa vise prednosti nego mana.

Sto se tice management-a, CP ima vise opcija. Recimo na UTM applieance-ima postoji integrated management koji moze da manage-uje do 2 appliance-a. A ako neko zeli odvojeni management moze da uzme poseban mamanement appliance ili da ga instalira na poseban server ili VMware, sto je takodje dobro za management vise uredjaja ili celog CP security sistema...

Takodje je interesantna tehnologija CoreXL, narocito za resenja na serverima sa visekornim procesorima, gde se (ukratko receno) rasporedjuju performanse po korovima...

UTM appliance (i svaki drugi CP appliance/open server) moze imati integrisan management ali sve se vrti na (cesto jedinom) general purpose CPU.



CoreXL je vise licensing model nego tehnologija. CP je ranije bio licenciran na osnovu broja IP adresa koje se nalaze iza unutrasnjih (LAN) interfejsa (50, 100, 250, neograniceno) danas su licence definisane na osnovu broja procesorskih jezgara na kojima je aktivan firewall proces (min 2 - do 500 "korisnika" ili maksimalno 4 - neogranicen broj korisnika). Ostala jezgra (ako ih ima vise od 4) ce raditi normalno (licenca se nece buniti) i SPLAT kernel ce rasporedjivati procese kao i svaki drugi linux kernel (kako scheduler kaze :)

Ne bi bilo nista lose u ovom pristupu da svi "licencirani" procesi (firewall, IPS, VPN, management) nisu vezani za ista dva ili cetri procesorska jezgra sve vrijeme, a poseban problem pocinje kada se ukljuci QoS (nezamjenjljiva funkcionlanost na perimiter firewall-u) jer je CoreXL tada, bez obzira na licencu, automatski iskljucen i svi kljucni procesi ce svo svoje vrijeme provesti na jednom jedinom jezgru makar ih u masini bilo 24. Big fail.

Ako je potreban Out-of-the bent management, na uredjajima od 4800 pa navise postoji mogucnost da se dokupi LOM kartica (Light-out Management) : http://dl3.checkpoint.com/paid...80f27225bf6fc13db&xtn=.pdf

Nije problem u lights-out-managementu vec u tome sto managment na standalone Checkpoint platformama tovari isti procesor koji se koristi za obradu saobracaja. Tu su uredjaji koji imaju odvojene resurse posvecene management-u u prednosti.

Uzgred, zavrsio sam testiranje PA-2050 i mogu da potvrdim da je interoperabilan sa Checkpoint-om kada je u pitanju VPN. Zanimljiv uredjaj u svakom slucaju, iskreno bih preporucio svakom ko vec nema ozbiljniju bezbjednosnu infrastrukturu a zelio bi da je ima da obrati paznju na Palo Alto proizvode.

Pa bas u tome je stvar da se sa LOM karticom dobije out-of-the-band management na stand alone UTM appliance-ima. Tj da se ne opterecuje procesor firewall-a sa management procesima. To je samo jedna od mogucnosti ukoliko je nekome problem da na istom procesoru ide i management pored ostalih funkcija.
Ali mozes da nam kazes i kako su to resili drugi proizvodjaci, ukoliko mislis da je neko to bolje resio.

Za ljubitelje foruma, evo linka za Check Point User Group Forum: http://www.cpug.org/forums/forum.php

Koliko shvatam CP lights-out-management sluzi za upravljanje hardverom i nema nikakve veze sa firewall managementom AKA SmartCenter server (fwm).

Zapravo jeste. Ali bas bih voleo da uporedis kako je management resen kod drugih proizvodjaca. Rekao bih da Check Point ima sasvim dovoljan broj opcija na koji nacim moze da se manage-uje firewall ili ceo sistem firewall-a, i da je Check Point-ov management verovatno jedan od najboljih na trzistu.

rrranko posto nemam iskustva sa CP mozes li mi navesti sve te opcije ?

Poz,
Sale

Upravo i jesam poredio managment standalone CP UTM appliance sa standalone UTM PA appliance i tu je PA u prednosti jer ima hardver posvecen ovoj svrsi (management-u). To je bila jedina opaska vezana za nedostatke CP managementa, bazirano na licnom iskustvu. Nemam nista protiv CP-a generalno, licno mislim da je CP prozivodjac najnaprednije sigurnosne infrastrukture koja se moze dobiti za te pare - sto ne znaci da nema nedostataka i da neki drugi proizvodjaci ne rade neke stvari bolje ili jeftinije. Samo pokusavam sto je vise moguce objektivno da posmatram stvari. Mislim da je due diligence za svakog fw admina, svakih 3-5 godina ispitati sta ima na trzistu i da li dobija najbolje za svoj novac.

Zdravo,

mozda nisam razumeo pricu oko OOB management-a, ali ja tu ne vidim nikakvu posebnu prednost, osim da se uredjaju moze prici i preko zasebne management mreze, sto se opet realizuje kod klasicnih mreznih uredjaja uz pomoc terminal server-a i konzole.
Sa druge strane bar kod Juniper-a, control plane (management, protokoli, itd) je uvek odvojen od forwarding plene-a.
Cak i kod najmanjeg uredjaja to je realizovano kroz sw, procesor ima dva core-a, gde je jedan zaduzen samo za control plane and drugi za packet forwarding, tako da nema uticaja na performanse uredjaja ako je control plane iz nekog razloga opterecen, i obrnuto, ako postoji velika kolicina saobracaja, to ne utice na CP procese (management, routing, itd.).



Pozdrav,
Vedran

Sto se tice opcija ili nacina na koji moze da se manage-uje Check Point, mislio sam na to da je moguce da uredjaj manage-ujes sa samog firewall-a, zatim na mogucnost da se management vise uredjaja radi sa posebnog appliance-a za management. Zatim je moguce da se radi management sa management software-om koji se instalira na neki server ili na neku virtualnu masinu.
Kada se radi management do 2 firewall-a. moguce je to uraditi sa jednog od firewall-a, jer svaki firewall zapravo moze da manage-uje do 2 firewall-a. Ali ako postoji vise firewall-a, verujem da je bolje koristiti centralizovani management, bilo kao appliance ili u sofware-skoj verziji.
Postoji i Check Point Sofware Blade VE (Virtual Edition) koji radi na VMware ESX platformi. Interesantno je da bilo koji od pomenutih centralizovanih nacina management-a moze da manage-uje istovremeno i virtualne i fizicke i softverske firewalle. Tako da ako neko zeli potpuno centralizovani management, Check Point ima resenje za to...
Sto se tice rasporedjivanja posla po korovima, Check Point takodje to radi, kao i sve vise proizvodjaca koji zele da maksimalno dobro iskoriste mogucnost multicore tehnologija, nasuprot koprocesorskim tehnologijama koje su skuplje i obicno jednonamenske.