Cisco ASA - Brandväggs-uppgradering

ASA 5505 (o hela 5500-serien tror jag...) är EndOfSale. Om du vill fortsätta med Cisco så får du kolla på 5500X-serien - tex 5512-X eller 5515-X.

Annars skulle jag säga att det handlar mycket om vad man är van vid/kan/gillar o/e har support/konsulter som hanterar bäst.

CheckPoint, FortiNet skulle jag kanske kollat på.

Ta en titt på Sophos (fd Astaro) nya UTM burkar.
http://www.sophos.com/en-us/products/unified-threat-managemen...

Nej, det verkar inte så. Kolla specs: http://www.cisco.com/c/en/us/products/collateral/security/asa...

Finns inga måsten att köra Cisco rakt igenom (även om Cisco tycker så....;) ). Brandväggen är inte spec integrerad vs ngt annat - ev pratar den mot ngn auth-server, logg, etc - men oftast inget komplicerat. Hänger som sagt mer på vad ni (eller de som skall ratta burkarna) är komfortabla med. Det är ingen hemlighet att Cisco tar ett premium på sina produkter....

Det beror lite på vilka tjänster/funktioner du lägger ovanpå. Om jag minns rätt så är det just 500 Mbps som Cisco garanterar med "EMIX" som MTU i 5512-X.
Annars, om det är just en ASA-enhet du är ute efter, så får du nog kliva upp på 5515-X eller t.o.m 5525-X.

Om ni inte är låsta till Cisco så skulle jag titta på Junipers SRX-serie som alternativ. Föredrar Junos framför alla typer av IOS, inklusive XR.
Är ditt företag inget stort konto hos Cisco så kan det nog vara lite mer attraktivt prismässigt också, beroende på rabattstrukturerna.

/J

Rättelse. Hela 5500-serien UTOM 5505 är EoS. Vissa moduler till 5505 är också EoS. Finns alltså ingen uttalad EoS för 5505 för tillfället - vilket verkar bero på att det inte finns ngn instegs/soho-modell i X-serien.

Med så få användare låter det som 100 räcker, men om det inte gör det så måste du nog gå upp till en kraftfullare ASA som nämnts tidigare. Det är få ASA som faktiskt har Gigabit Troughtput med GigE utan att du blir av med plånboken

1Gbit med bara portar öppnade och få nat regler, mjo då kanske du kan köpa något till ok pris.
Men att få 1Gbit IPS eller någon form av applikations filtrering kan du ju glömma till en billig peng oavsätt leverantör

Om du skall ha ett HA par när det gäller cisco så är det security plus licens du behöver alternativt de större burkarna där det är inkluderat.
Själv så kör jag med checkpoints brandväggar när det gäller de hastigheterna.

Juniper hävdar att deras SRX 650, och t.o.m (nästan) SRX 550, klarar köra IPS på 1 Gbps. I sammanhanget är de inte alls dyra.
Gissar att det närmaste man kan komma i Cisco-världen, förutom ett ASA-blad, är en 3945E. Varför man inte skulle gå på en ASR1k direkt då, som ändå också kostar $23 000 listpris, vet jag inte.

/J

hävdar och presterar är olika saker, vi fick gå väldigt högt upp i juniper grejerna för att få riktigt IPS på den nivån.
Sedan hänger det oftas vilken profil man kör med.
Men men ASA5505 till dessa prylar är bra långt mellan varandra

3945E samt ASR1k är ju routrar inga FW... går la inte ha någon IPS i dessa som är något att hänga i granen.
Kanske ändras på sistone..?

/Magnus

Precis, därför var jag noga med ordvalet där

Vågar inte svära på det, men om du kollar Datasheet -> Security för dem så verkar det ju onekligen så.
Det är dessutom vad Cisco Sverige rekommenderade att använda som ett alternativ till ASA för FW i IOS-routrar; dock minns jag inget om det nämndes något kring just IPS.