[請益] NGFW Palo Alto V.S CheckPoint

作者tthung (Go ahead!!)

看板MIS

標題[請益] NGFW Palo Alto V.S CheckPoint

時間Tue Dec 9 12:42:49 2014

請問各位先進有人接觸過嗎?? 已安排過POC，但沒完整實際操作因為當時是整個透通模式介於WAN及舊防火牆中 Palo alto與CheckPoint 1.PA-500(含PA-200異地) 2.CheckPoint 4400(含1120異地) CheckPoint的年度subscription(TP，APT，URL…)好像比PaloAlto貴?? CheckPoint有管理平台可以同時管理兩台裝置但PA除非買Panorama(MAX 25裝置數)才能中控兩個品牌的L7(APP)控管都不錯，也有基本的DLP功能如果大家採購的話會怎麼選擇?? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.35.192.221 ※ 文章網址: http://www.ptt.cc/bbs/MIS/M.1418100174.A.091.html

推 asdfghjklasd: PA 12/09 13:04

→ Wishmaster: PA:我們股價已經到了1xx... XDDD 12/09 13:42

→ advicer: 純看L7效能的話，就PA吧 12/09 15:13

推 liskenny: PA真的是不錯但建議還是POC一小段時間確認吧 12/09 16:15

→ liskenny: 有的POC當然就要卯起來測不然是POC好玩的嗎 12/09 16:15

→ advicer: 請先擬好要測試的項目，請廠商設定好之後，再動手操作 12/09 16:56

→ advicer: 應該要放在舊防火牆和內網中間才測的到東西。 12/09 16:59

→ tthung: 推CKP的SI說4400對應的機型已高於PA-500了(2000型以上) 12/09 18:03

→ tthung: 這說法對嗎??因為我們的site應該也不會大到用2000型以上 12/09 18:04

推 advicer: 當然是不正確的，PA是L7 fw, CKP要拿相對應的效能來比較 12/10 10:19

推 koyoki258: 應該說請SI提出應用程式控管的throughput比較，另外一 12/10 15:40

推 koyoki258: 一般中小公司有個500mbps足夠了因為網路速率根本沒那 12/10 15:42

推 Non: 建議POC +1 PA-500 commit很痛苦但是L7功能完善是真的 12/10 16:25

→ asdfghjklasd: 我沒用過PA,但很推啦...(別家小孩死不完XDDD 12/10 16:29

→ asdfghjklasd: 用了好不好再來說嘿~~ 12/10 16:29

推 Non: 補推，先提出你的需求請SI評估看看。之前幫某家客戶POC時 12/10 16:39

→ Non: 代理商一直很怕PA-500撐不住 12/10 16:39

推 Non: 那時開了anti-virus, File filter, URL filter, ...等 12/10 16:45

→ Non: 還有為了看HTTPS的內容物有做SSL Decryption 12/10 16:46

→ Non: 當時代理商一直很怕做完SSL Decryption會罩不住 12/10 16:46

→ Non: 記得那家客戶能上Internet的User數量應該100上下 12/10 16:48

推 advicer: 開這麼多功能又加上SSL Decryption,應該up 2-3個model 12/10 17:24

推 zaknafein: 順帶問一下　cisco asa with firepower 如何？ 12/11 14:55

推 koyoki258: 如果預算不夠也可考慮HP, Dell, Forti, Sophos, Wa 12/11 19:04

→ Wishmaster: 個人感覺啦with firepower是一個未完成整併的產品... 12/11 22:49

推 liskenny: 要玩SSL最好多抓一點餘裕免得到時馬上滿載哭哭 12/11 23:09

→ liskenny: 現在我公司LOG SSL佔快3/4 100D看的到拆不到殘念 12/11 23:09

→ liskenny: 但又不想玩憑證只好睜隻眼閉隻眼當作沒看到 12/11 23:10

→ tthung: POC時工程師有試SSL的解憑證功能給我看，但它對我暫不是重 12/11 23:28

→ tthung: 點，另一方面聽到有些企業(含電信商)都採用CKP較多 12/11 23:29

→ tthung: 上面有人提到L7控管的部份，CKP是不夠強嗎?? 12/11 23:30

→ tthung: 還有IPS，URL，APP的訂閱好像不簽就沒作用…又是成本之一 12/11 23:30

→ deadwood: cisco + firepower你就當成ASA上面加裝一台虛擬機器跑 12/12 09:44

→ deadwood: firepower，連管理程式都是分開的(另外架VDC server) 12/12 09:46

→ deadwood: 算是ASA的附加價值，可以用sourcefire的方案但是省錢 12/12 09:47

→ tthung: 暫不考慮cisco或sourcefire... 12/12 13:51

→ a6530466: 要 PA 的話，要選型號高一點的，不然等 commit 會等到想 12/12 22:41

→ a6530466: 哭。或許可以試看看 fortigate，這家跑蠻快的，但是缺點 12/12 22:41

→ a6530466: 是韌體不太穩定。 12/12 22:41

推 Non: Fortigate功能開太多也是會葛屁的... 12/13 15:54

→ Non: PA則建議型號高一點的，一來性能好，一來等commit不會想哭 12/13 15:55

→ Non: 之前常常有客戶來開玩笑說等PA commit完茶都泡好了XD 12/13 15:55

推 zroma: PA 的弱項其實是在Report, 而且是非常的鳥 12/21 16:09