CiscoForums.it

é da un po di tempo che mi sto scontrando contro i famosi firewall ceckpoint ...
ora da quello che vedo si possono configurare solo da interfaccia grafica, se deve essere fatta una implementazione di centinaia di regole firewall questa deve essere effettuata rigorosamente a mano (ovvero da GUI) non c'e la possibilita di scrivere una acl su ultraedit e poi sbattergliela dentro come sui cisco, il Provider One non ha neanche delle API per permettere ad un programma fatto da terzi di interfacciarsi con esso (avevo pensato di prendere gli excel che mi arrivano trasformarli in csv e poi passarli a provider one ....).

ora la domanda è cosa spinge un ISP a usarli al posto dei moduli FWSM ... che funzionalità hanno che cisco non ha ?

Imho, per quello che vedo come utilizzatore finale (non ISP) costano meno e non rompono le $%&/££"con le licenze!!!!!

Guarda che Cisco è diventata davvero davvero molesta!!! Io non sò cosa le sia preso ma stò cercando di attivare degli accessi remoti in azienda da me ed è un bagno di sangue!
Cioè vi rendete conto che se compri 25 licenze di anyconnect e poi ne vuoi altre 25 dopo un pò devi comprare il pacchetto da 50 perchè le "integrazioni" non sono contemplate?!?!? E' una rapina!!!!
Guarda mi verrebbe da smettere di usarlo solo per quello!! Peggio di microsoft ai tempi d'oro!

Rizio

ottimo punto di vista a questo non avevo pensato .

cisco ultimamente sta rompendo le balle anche dal punto di vista delle certificazioni che stanno diventando sempre piu settoriali, anzi sembrerebbe che stia diventando una macchinetta mangia soldi .

dalla sua ha che è sempre la prima azienda di networking al mondo .

io sono rimasto un po deluso dai ceckpoint, sia come è pensata l'architettura di un firewall ceckpoint, sia per la lentezza dell interfaccia grafica .

Purtroppo ho sempre e solo utilizzato Cisco perciò mi sento molto miope sotto questo punto di vista.
Se cambiassi azienda mi piacerebbe poter andare a lavorare per un'azienda di networking non esclusivista Cisco per poter toccare con mano anche altri prodotti come stai facendo tu con checkpoint.

Hai provato per caso anche Fortigate?
Ne ho sentito parlare bene da alcuni "colleghi" di altre aziende vicine.

Riguardo alle certificazioni per quel poco che mi è capitato di vedere nei 2/3 corsi cisco che ho fatto mi sembrano davvero TROPPO settoriali e non sò quanto questo permetta ad un corsista di sentirsi maggiormente preparato sul prodotto o invece, quanto serva solo per scopi di lucro (visto anche il costo che hanno).
Riguardo al costo delle certificazioni personalmente mi danno fastidio perchè già ti faccio il corso da X mila euro poi oltre tutto devo pagarmi anche la certificazione "quasi" lo stesso prezzo; non mi sembra assolutamente giusto!
Cmq vedremo, come sappiamo (e come è stato con tanti altri prodotti/marchi) alla fine è il mercato a scegliere nel lungo periodo, bastano poche mosse "sporche" perchè i clienti ti lascino a favore di un concorrente che ha raggiunto un livello tecnologico simile a quello che vendi tu.

Perciò speriamo che cambi mentalità commerciale.... o che venga avanti un'altra valida alternativa.

Rizio

li abbiamo in sede anche i fortigate ancora non ci ho messo mano e quindi non mi esprimo .

sinceramente per quanto riguarda le certificazioni non penso sia necessario seguire un corso per conseguirle, il problema è che se prima ti prendevi la ccnp e poi la ccip etc etc dando sempre nuovi esami ora per prendere la CCNP ISP devi ridare anche gli esami di routing e switching perche non basta piu che dai MPLS BGP e QOS ma devi ridare quattro esami "specialistici" è un rompimento di cavoli non da poco io sto studiando per la CCIE ISP (da privato ) e visto che non so quando daro lo scritto intanto sto dando altri esami della serie professional cosi mi mantengo vive le certifiche, ma non penso piu a darmi altre certifiche della serie professional .

kobaiachi ha scritto: ora la domanda è cosa spinge un ISP a usarli al posto dei moduli FWSM ... che funzionalità hanno che cisco non ha ?

Ispezione sui protocolli molto precisa, possibilità di scrivere i propri protocolli da ispezionare, ecosistema di tool (ad esempio Eventia Reporter) spettacolari, semplicità di gestione

lormayna ha scritto:

kobaiachi ha scritto: ora la domanda è cosa spinge un ISP a usarli al posto dei moduli FWSM ... che funzionalità hanno che cisco non ha ?

Ispezione sui protocolli molto precisa, possibilità di scrivere i propri protocolli da ispezionare, ecosistema di tool (ad esempio Eventia Reporter) spettacolari, semplicità di gestione

Ste robe le fanno pure i Cisco . Check point è linux ed ha ssh (a tuo rischio e pericolo).... E poi chiariamo una cosa Cisco è il ROUTING. Quello che può fare IOS è attualmente innarrivato, il resto per la stessa Cisco è un contorno (gli Asa fanno meno di un pfsense ). Cisco è una delle poche che NON ti obbliga a seguire dei corsi per certificarti.
Quindi impara ad usare IOS e farai quello che vuoi a livello networking, studiati iptables e farai quello che voi coi pacchetti.
I Fortinet sono ottime macchine ma fanno poco più di un pfsense.
Il motivo è presto detto: un conto è decidere come, dove quando e perché instradare un pacchetto, un conto è dirgli si o no.

In realta oggi ad un anno di distanza posso dire che i check-point hanno una caratteristica che li rende superiori in ambito ISP ai cisco, il numero di entry per access-list che possono gestire infatti è nettamente superiore, inoltre i fw cisco sono pensati come dei diodi, mentre i checkpoint sono pensati per filtrare il traffico tra le diverse interfaccie senza starsi a preoccupare della topologia di rete in cui sono inseriti .

detto questo è vero che check-point è piu semplice da configurare di un pix asa o FWSM ma propio per questo motivo permette anche a chi non sa cosa sta facendo di abilitare un flusso sul FW, cosa che non mi piace per nulla .

Ciao, premetto che non conosco bene gli asa ma conosco un pò Checkpoint.

CP, da come la vedo io, si può considerare un new generation firewall mentre gli asa sono dei firewall un po più' tradizionali.(non attaccatemi troppo per quello che ho detto)
Vi spiego perché dico questo:
CP oltre che a fare tutto quello che fa un classico firewall può fare anche da proxy web,url filtering, mail proxy, IPS, antivirus ed anti malware, application control, 3d report, dataloss prevention, identity awarness per l'autenticazione oltre che avere una ottima management che può dare varie informazioni interessanti sui tracker, monitoring, provisioning etc.

Varie di queste cose mi sembra difficile farle sono da riga di comando .....

Cisco a mio avviso è IL ROUTING ma Checkpoint, Paloalto sono I FIREWALL, un pò ognuno il suo....poi ci sarebbe da fare un discorso sui vari UTM fortinet, Astaro che sono soluzioni buone e che costano poco ed il loro target è per le piccole/medie imprese ma qua andiamo un pò fuori.

Insomma per me dipende da cosa uno vuole fare e da quanto uno vuole spendere.

Luca

In ambito ISP vanno benissimo per la quantità di access-list che possono gestire.

checkpoint è usabile dalla 75.10 in poi .... quando sono arrivato l'anno scorso c'erano ancora i 65.4 che se devi immettere 10 access-list va bene se ne devi inserire 600-700 no........
hanno lo svantaggio che per avere una idea delle interfaccie del cluster firewall devi usare sia la shell che la dashboard (gli indirizzi del VRRP non te li fa vedere in shell) e se devi scrivere un documento che dettagli la configurazione del firewall è una rottura di scatole .