作者tthung (Go ahead!!)
看板MIS
标题[请益] NGFW Palo Alto V.S CheckPoint
时间Tue Dec 9 12:42:49 2014
请问各位先进
有人接触过吗??
已安排过POC,但没完整实际操作
因为当时是整个透通模式介於WAN及旧防火墙中
Palo alto与CheckPoint
1.PA-500(含PA-200异地)
2.CheckPoint 4400(含1120异地)
CheckPoint的年度subscription(TP,APT,URL…)好像比PaloAlto贵??
CheckPoint有管理平台可以同时管理两台装置
但PA除非买Panorama(MAX 25装置数)才能中控
两个品牌的L7(APP)控管都不错,也有基本的DLP功能
如果大家采购的话会怎麽选择??
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.35.192.221
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/MIS/M.1418100174.A.091.html
1F:推 asdfghjklasd: PA 12/09 13:04
2F:→ Wishmaster: PA:我们股价已经到了1xx... XDDD 12/09 13:42
3F:→ advicer: 纯看L7效能的话,就PA吧 12/09 15:13
4F:推 liskenny: PA真的是不错 但建议还是POC一小段时间确认吧 12/09 16:15
5F:→ liskenny: 有的POC当然就要卯起来测 不然是POC好玩的吗 12/09 16:15
6F:→ advicer: 请先拟好要测试的项目,请厂商设定好之後,再动手操作 12/09 16:56
7F:→ advicer: 应该要放在旧防火墙和内网中间才测的到东西。 12/09 16:59
8F:→ tthung: 推CKP的SI说4400对应的机型已高於PA-500了(2000型以上) 12/09 18:03
9F:→ tthung: 这说法对吗??因为我们的site应该也不会大到用2000型以上 12/09 18:04
10F:推 advicer: 当然是不正确的,PA是L7 fw, CKP要拿相对应的效能来比较 12/10 10:19
11F:推 koyoki258: 应该说请SI提出应用程式控管的throughput比较,另外一 12/10 15:40
12F:推 koyoki258: 一般中小公司有个500mbps足够了因为网路速率根本没那 12/10 15:42
13F:推 Non: 建议POC +1 PA-500 commit很痛苦 但是L7功能完善是真的 12/10 16:25
14F:→ asdfghjklasd: 我没用过PA,但很推啦...(别家小孩死不完XDDD 12/10 16:29
15F:→ asdfghjklasd: 用了好不好再来说嘿~~ 12/10 16:29
16F:推 Non: 补推,先提出你的需求请SI评估看看。 之前帮某家客户POC时 12/10 16:39
17F:→ Non: 代理商一直很怕PA-500撑不住 12/10 16:39
18F:推 Non: 那时开了anti-virus, File filter, URL filter, ...等 12/10 16:45
19F:→ Non: 还有为了看HTTPS的内容物有做SSL Decryption 12/10 16:46
20F:→ Non: 当时代理商一直很怕做完SSL Decryption会罩不住 12/10 16:46
21F:→ Non: 记得那家客户能上Internet的User数量应该100上下 12/10 16:48
22F:推 advicer: 开这麽多功能又加上SSL Decryption,应该up 2-3个model 12/10 17:24
23F:推 zaknafein: 顺带问一下 cisco asa with firepower 如何? 12/11 14:55
24F:推 koyoki258: 如果预算不够也可考虑HP, Dell, Forti, Sophos, Wa 12/11 19:04
25F:→ Wishmaster: 个人感觉啦with firepower是一个未完成整并的产品... 12/11 22:49
26F:推 liskenny: 要玩SSL最好多抓一点余裕免得到时马上满载哭哭 12/11 23:09
27F:→ liskenny: 现在我公司LOG SSL占快3/4 100D看的到拆不到 残念 12/11 23:09
28F:→ liskenny: 但又不想玩凭证 只好睁只眼闭只眼当作没看到 12/11 23:10
29F:→ tthung: POC时工程师有试SSL的解凭证功能给我看,但它对我暂不是重 12/11 23:28
30F:→ tthung: 点,另一方面听到有些企业(含电信商)都采用CKP较多 12/11 23:29
31F:→ tthung: 上面有人提到L7控管的部份,CKP是不够强吗?? 12/11 23:30
32F:→ tthung: 还有IPS,URL,APP的订阅好像不签就没作用…又是成本之一 12/11 23:30
33F:→ deadwood: cisco + firepower你就当成ASA上面加装一台虚拟机器跑 12/12 09:44
34F:→ deadwood: firepower,连管理程式都是分开的(另外架VDC server) 12/12 09:46
35F:→ deadwood: 算是ASA的附加价值,可以用sourcefire的方案但是省钱 12/12 09:47
36F:→ tthung: 暂不考虑cisco或sourcefire... 12/12 13:51
37F:→ a6530466: 要 PA 的话,要选型号高一点的,不然等 commit 会等到想 12/12 22:41
38F:→ a6530466: 哭。或许可以试看看 fortigate,这家跑蛮快的,但是缺点 12/12 22:41
39F:→ a6530466: 是韧体不太稳定。 12/12 22:41
40F:推 Non: Fortigate功能开太多也是会葛屁的... 12/13 15:54
41F:→ Non: PA则建议型号高一点的,一来性能好,一来等commit不会想哭 12/13 15:55
42F:→ Non: 之前常常有客户来开玩笑说等PA commit完 茶都泡好了XD 12/13 15:55
43F:推 zroma: PA 的弱项其实是在Report, 而且是非常的鸟 12/21 16:09