作者tthung (Go ahead!!)
看板MIS
標題[請益] NGFW Palo Alto V.S CheckPoint
時間Tue Dec 9 12:42:49 2014
請問各位先進
有人接觸過嗎??
已安排過POC,但沒完整實際操作
因為當時是整個透通模式介於WAN及舊防火牆中
Palo alto與CheckPoint
1.PA-500(含PA-200異地)
2.CheckPoint 4400(含1120異地)
CheckPoint的年度subscription(TP,APT,URL…)好像比PaloAlto貴??
CheckPoint有管理平台可以同時管理兩台裝置
但PA除非買Panorama(MAX 25裝置數)才能中控
兩個品牌的L7(APP)控管都不錯,也有基本的DLP功能
如果大家採購的話會怎麼選擇??
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.35.192.221
※ 文章網址: http://webptt.com/m.aspx?n=bbs/MIS/M.1418100174.A.091.html
1F:推 asdfghjklasd: PA 12/09 13:04
2F:→ Wishmaster: PA:我們股價已經到了1xx... XDDD 12/09 13:42
3F:→ advicer: 純看L7效能的話,就PA吧 12/09 15:13
4F:推 liskenny: PA真的是不錯 但建議還是POC一小段時間確認吧 12/09 16:15
5F:→ liskenny: 有的POC當然就要卯起來測 不然是POC好玩的嗎 12/09 16:15
6F:→ advicer: 請先擬好要測試的項目,請廠商設定好之後,再動手操作 12/09 16:56
7F:→ advicer: 應該要放在舊防火牆和內網中間才測的到東西。 12/09 16:59
8F:→ tthung: 推CKP的SI說4400對應的機型已高於PA-500了(2000型以上) 12/09 18:03
9F:→ tthung: 這說法對嗎??因為我們的site應該也不會大到用2000型以上 12/09 18:04
10F:推 advicer: 當然是不正確的,PA是L7 fw, CKP要拿相對應的效能來比較 12/10 10:19
11F:推 koyoki258: 應該說請SI提出應用程式控管的throughput比較,另外一 12/10 15:40
12F:推 koyoki258: 一般中小公司有個500mbps足夠了因為網路速率根本沒那 12/10 15:42
13F:推 Non: 建議POC +1 PA-500 commit很痛苦 但是L7功能完善是真的 12/10 16:25
14F:→ asdfghjklasd: 我沒用過PA,但很推啦...(別家小孩死不完XDDD 12/10 16:29
15F:→ asdfghjklasd: 用了好不好再來說嘿~~ 12/10 16:29
16F:推 Non: 補推,先提出你的需求請SI評估看看。 之前幫某家客戶POC時 12/10 16:39
17F:→ Non: 代理商一直很怕PA-500撐不住 12/10 16:39
18F:推 Non: 那時開了anti-virus, File filter, URL filter, ...等 12/10 16:45
19F:→ Non: 還有為了看HTTPS的內容物有做SSL Decryption 12/10 16:46
20F:→ Non: 當時代理商一直很怕做完SSL Decryption會罩不住 12/10 16:46
21F:→ Non: 記得那家客戶能上Internet的User數量應該100上下 12/10 16:48
22F:推 advicer: 開這麼多功能又加上SSL Decryption,應該up 2-3個model 12/10 17:24
23F:推 zaknafein: 順帶問一下 cisco asa with firepower 如何? 12/11 14:55
24F:推 koyoki258: 如果預算不夠也可考慮HP, Dell, Forti, Sophos, Wa 12/11 19:04
25F:→ Wishmaster: 個人感覺啦with firepower是一個未完成整併的產品... 12/11 22:49
26F:推 liskenny: 要玩SSL最好多抓一點餘裕免得到時馬上滿載哭哭 12/11 23:09
27F:→ liskenny: 現在我公司LOG SSL佔快3/4 100D看的到拆不到 殘念 12/11 23:09
28F:→ liskenny: 但又不想玩憑證 只好睜隻眼閉隻眼當作沒看到 12/11 23:10
29F:→ tthung: POC時工程師有試SSL的解憑證功能給我看,但它對我暫不是重 12/11 23:28
30F:→ tthung: 點,另一方面聽到有些企業(含電信商)都採用CKP較多 12/11 23:29
31F:→ tthung: 上面有人提到L7控管的部份,CKP是不夠強嗎?? 12/11 23:30
32F:→ tthung: 還有IPS,URL,APP的訂閱好像不簽就沒作用…又是成本之一 12/11 23:30
33F:→ deadwood: cisco + firepower你就當成ASA上面加裝一台虛擬機器跑 12/12 09:44
34F:→ deadwood: firepower,連管理程式都是分開的(另外架VDC server) 12/12 09:46
35F:→ deadwood: 算是ASA的附加價值,可以用sourcefire的方案但是省錢 12/12 09:47
36F:→ tthung: 暫不考慮cisco或sourcefire... 12/12 13:51
37F:→ a6530466: 要 PA 的話,要選型號高一點的,不然等 commit 會等到想 12/12 22:41
38F:→ a6530466: 哭。或許可以試看看 fortigate,這家跑蠻快的,但是缺點 12/12 22:41
39F:→ a6530466: 是韌體不太穩定。 12/12 22:41
40F:推 Non: Fortigate功能開太多也是會葛屁的... 12/13 15:54
41F:→ Non: PA則建議型號高一點的,一來性能好,一來等commit不會想哭 12/13 15:55
42F:→ Non: 之前常常有客戶來開玩笑說等PA commit完 茶都泡好了XD 12/13 15:55
43F:推 zroma: PA 的弱項其實是在Report, 而且是非常的鳥 12/21 16:09