我的网络配置应该基于什么防火墙？

Question

我正在计划更换我们公司和客户网络中的一些路由器/防火墙。我们有两个办公室和多个服务器托管在一个数据中心，它有到大约100个客户站点的IPSec VPN链接。在主办公室，我们需要一个LAN和2个DMZ，在数据中心，3个局域网和一个DMZ。

大多数客户站点都有Gnatbox或Zywall防火墙，但是新站点可以使用位于主office/datacentre的同一防火墙的低端版本。

我原计划使用Zywall 200作为主办公室，但事实证明这是无法测试的。当完全配置，它需要30分钟以上的启动！

我有一份入围名单

思科ASA 5510

Watchguard XTM 520

Sonicwall国家安全局3500

杜松( Juniper SRX240 )

有人能推荐任何硬件或配置吗？

Answer 1

我已经订购了一个Juniper SRX210，因为这可能会为我们的主办公室和数据中心。如果进展顺利的话，我希望能再找几个人聚在一起。SRX100将为客户和我们的二级办公室服务。

感谢那些提交了答案的人。

Answer 2

我们公司目前使用的是Sonicwall 4500。我们从一个守望员X1000转到了那个地方。(你挑选的XTM模型的前身)老实说，我对这个开关不满意。(这是我的说辞) Sonicwall有一个更好的(网络)界面。它可以制作一些精美的图表和饼图，并在浏览器中很好地更新。Watchguard的界面肯定更笨重，是一个厚实的客户端，但我发现我更喜欢这个界面。

“守望者”也更加明确了它在做什么，以及为什么。这使得决定为什么丢包要容易得多。话虽如此，但这可能是一把双刃剑，因为对于技术含量较低的管理员来说，很容易就更难解析？我已经有过几个问题的Sonicwall悄然丢弃连接，并且只在通过设备进行数据包捕获时才注意到它。Sonicwall当时仍然无法确定到底发生了什么，尽管设备上有丢弃代码。(因此，如果有人知道为什么我的Sonicwall总是随机地杀死NetApp Snapmirror复制，请告诉我！)

早在两年前我们使用Watchguard的时候，他们的支持是残酷的。它被外包到印度，结果每次通话都要跨越语言障碍。通常，记下最初的罚单信息的人没有注意到问题的细微之处。他们的销售人员声称这种情况正在改变，但我们并没有留下来找出答案。Sonicwall的辅助人员都是讲英语的。然而，正如上面提到的，它们似乎无法帮助我提到的一些更困难的问题。两家公司的等待时间相当痛苦。

我不能声称与Juniper或思科设备在这一角色的经验。但这两家公司都是非常好的公司，很多客户也是如此。WatchGuard和Sonicwall都瞄准了中小企业市场。因此，这可能值得考虑，也可能不值得考虑，这取决于您的公司规模。

-克里斯托弗·卡雷尔

Answer 3

我与ASAs和SRXes一起工作过。在这两种设备上都有一个合理的学习曲线( ASA上的学习曲线比SRX上的要高)，而SRX更容易管理，imo。两者都是相当可靠的，虽然SRX在最近的过去有问题，如果你打开它更漂亮的功能(url过滤，和防病毒是咬我。不过，这些问题似乎在最新固件中得到了解决。我从来没有处理过思科的支持，但我通常认为JTAC相当不错(尽管有必要向他们详细说明你所知道的所有问题，因为他们有时会错过重要的细节)。