iT邦幫忙

0

最近公司在評估次世代防火牆,但是不知道該從何比較...希望有前輩給點建議~

公司目前使用SonicWall的NSA 2600舊型防火牆,剛好遇到提案更換~~

目前已經POC的有:
1.Palo Alto 850
2.Check poont 8200
3.Fortinet 101E
4.Sophos...(說唯一跟npoint端有聯防,但測起來沒什麼感覺...)

以上皆以Mirror配置來側錄產出評估報告,但我還是看不出來這幾家的優劣
(每家都說自己領導象限...),PA跟CP基本上都非常貴大概都在80K上,但Fortiney號稱市占率及CP值最高,所以報出來的價格低到我有點擔心它是不是在賣switch跟AP(竟然只報20K還加送switch+AP一顆)

以上希望對於防火牆有採購分析或有研究的前輩給予方向及建議,這還真是困難...

看更多先前的討論...收起先前的討論...
zyman2008 iT邦大師 8 級 ‧ 2019-05-22 07:52:19 檢舉
報價好像都少了個0
raytracy iT邦大神 1 級 ‧ 2019-05-22 07:58:53 檢舉
我也覺得是不是眼睛看錯....
尼克 iT邦高手 1 級 ‧ 2019-05-22 09:21:54 檢舉
建議看一下每一年的維護合約費用!
tonykw iT邦新手 2 級 ‧ 2019-05-22 10:55:19 檢舉
報價真的怪怪的
reporter的價格跟服務方式.
T.M.R iT邦新手 5 級 ‧ 2019-05-22 17:55:41 檢舉
抱歉手誤,都少個0
雷伊 iT邦新手 1 級 ‧ 2019-05-22 18:16:13 檢舉
表列有一家效能吃到80%就斷網的不知道新型號解決這問題沒有?
T.M.R iT邦新手 5 級 ‧ 2019-05-23 12:49:40 檢舉
哇…能透露是哪個嗎…?
mathewkl iT邦新手 3 級 ‧ 2019-05-24 18:01:44 檢舉
沒有預算的好選擇就FortiGate
防火牆都是依賴設定人是否有設定正確,LAN2WAN和WAN2LAN開ALL PASS那有買跟沒買是一樣的,設定正確才能達成防火牆該有的功能
小詹 iT邦新手 5 級 ‧ 2019-06-05 11:30:28 檢舉
如果能選就選Palo Alto,他在L7過濾技術算是前段班,如果850 太貴,820 或是220都可以,就差在效能,但是PA能幫你檔的東西,是很多喔,設定得宜的話,還能拆開SSL的封包看看裡面的動作是不是有問題,一般防火牆就只知道表面的,舉例來說,同樣是走80出去,他能判別出是正常存取網頁還是駭客的連線,我們很多有毒的mail 也被PA檔了不少
7
raytracy
iT邦大神 1 級 ‧ 2019-05-22 08:02:31

人家顧問公司已經幫你做好比較了 (越近右上角的越厲害):

優缺點都寫好了, 2018 年 10 月做好的報告:
Magic Quadrant for Enterprise Network Firewalls

雷伊 iT邦新手 1 級 ‧ 2019-05-22 17:54:27 檢舉

嗚...我公司用的QNO沒在上面

T.M.R iT邦新手 5 級 ‧ 2019-05-22 17:57:33 檢舉

可是Garner好像是在銷售上高的話,就容易進入leader區耶⋯是否要再參考NSSLABS?

raytracy iT邦大神 1 級 ‧ 2019-05-22 20:15:11 檢舉

要看 NSS Labs 也不反對, 但這是兩種不同的取向, Gartner 是從商業營運和產業發展角度來看產品, 甚至連使用者體驗都被列入評估因素, NSS Labs 就偏向單純的技術評估.

Gartner 將「行銷執行力」、「銷售策略」等也列入評估指標之一, 所以他的產品排序會跟市場受歡迎程度有關.....從這個角度看: 市場受歡迎的產品, 代表這個產品被大多數的企業評選後採用, 並不只是單單技術因素, 同時也印證他對企業具有較高的整體商業價值...

單純技術高超的產品, 不一定受到企業喜愛, 因為還有: 價格/維護/運營/支援/體驗等等考量因素...企業可以自行取捨想要看的角度...

但是如果我要說服的對象是公司高層的話, Gartner 的分析報告會比較有說服力, 因為他跟公司營運階層使用同樣的商業語言溝通; 單純談技術的報告, 很難講到高層聽得懂又敢下決策...

3
hsiang11
iT邦研究生 2 級 ‧ 2019-05-22 09:39:30

我倒覺得換個角度來看 內部IT到底對哪套防火牆較為熟悉
防火牆的觀念大同小異 但是就差在有沒有人熟到把整個架構規劃好
才會有比較好的防護效果
我不是沒看過有公司內有fortigate然後把好好一個防火牆設爛了 規劃亂七八糟
還有用兩台防火牆做一台防火牆可以做到的功能
只能整個砍掉重練 基本上設的人觀念就有巨大差異
有人就會內網之間all to all 全部pass,他非常高興整個略過非常省事
那又何必買專業防火牆 一個設不到60分的防火牆 不如就用IP分享器就好

另外評估的才是樓上說的效能 和維護費用
以及需要買的授權金額到底是否公司可以負擔

看更多先前的回應...收起先前的回應...
raytracy iT邦大神 1 級 ‧ 2019-05-22 09:48:20 檢舉

這正是很多 IT 採購的迷思....

以為買了某個名牌/功能強大的設備, 把電源打開, 他就應該開始發揮他最強大的功能; 殊不知, 網路設備的功能, 取決於管理者本身的能力, 你的能力有多少, 設備就只能發揮到跟你一樣的程度....

如果你看不到某個品牌的優點, 代表你沒有需求, 或是沒有能力去了解它, 既然沒能力使用, 買來了你也不知道該怎麼發揮他的優點...(發揮優點 ≠ 操作設定)

froce iT邦大師 5 級 ‧ 2019-05-22 11:00:59 檢舉

不過這也牽涉到一個問題:
IT自身也沒辦法先投資設備,怎麼會知道自己有沒有能力去駕馭這個設備...

這行既廣又深,會軟體的不見得會搞硬體,會寫網頁的不見得弄得通網路,全才很少也很貴。

Sergeyau iT邦研究生 3 級 ‧ 2019-05-22 12:29:05 檢舉

最好是POC的時候可以自己測試設備,看看各種功能是否符合需求,我會從大方向看NGFW的各種功能是否齊全;還會從analyst的方面提問,例如電子郵件內含惡意連結會怎麼處理?在哪裡警示?我接下來要做什麼?

T.M.R iT邦新手 5 級 ‧ 2019-05-22 17:59:42 檢舉

目前都用Mirror後看測試報告,因為網管的那位前輩不太敢直接Inline怕打亂架構⋯所以其實能測的也真的有限,頂多就看看介面喜不喜歡之類、或是測試報告提出的結果等等…

1
Sergeyau
iT邦研究生 3 級 ‧ 2019-05-22 12:19:46

光從Mirror側錄產出評估報告很難做出比較,Gartner報告和網上的資料可以做參考,但是否適用本身網路環境就需要再評估。如果花大錢投資一個功能強大的次世代防火牆,實際上公司只需要用到部分功能,或者自己無法發揮產品的功能,那只是白白花錢。

我建議針對自己環境列出一張功能清單,請廠商DEMO 和POC的時候注意是否具備該功能?管理起來是否容易?廠商支援程度如何?當你知道自己需要什麼,問廠商才有方向,廠商DEMO和POC的時候也好針對你的問題回答。

Palo alto, Check Point, Fortinet 在 endpoint端都有聯防,如果貴公司已經有端點EDR產品,可以看兩者間是否有所連結integration

我不清楚Check poont 8200,但推測是和Fortinet 101E類似適合中等企業的型號。Check Point是使用SmartConsole為管理平台,可以自己開個虛擬機VM安裝SmartConsole,開啟SmartConsole後選擇"Demo Mode",在demo環境玩玩看。

T.M.R iT邦新手 5 級 ‧ 2019-05-22 18:00:32 檢舉

感謝,我思考看看

2
mytiny
iT邦大師 1 級 ‧ 2019-05-22 13:38:06

樓主所找的設備品牌,幾乎都已經是一時之選了
之所以還會有疑慮難以抉擇
主要應該還是沒想清楚公司到底需要的是什麼

通常客戶常常都忘了評估自己的需求及要解決的問題
而這些並不需要熟悉設備操作
只是要花功夫標列清單及了解市場資安現況
如果沒有做功課,廠商也只能跟著瞎起鬨
PoC測試一般的防毒防入侵功能等等
表列的設備要測不過恐怕根本也不用在市場銷售了

接下來,更重要的是選技術服務廠商
已經見過很多客戶把資安設備當作豬肉在買賣
上線之後,網路會通,防毒、防入侵打開
然後就"萬年"不變 (把它當switch在用)
等到事情發生時再"哭天喊地"
實話說,NGFW這種資安設備得"天天看"
如果技術服務廠商只能等出事時再出現
(或是設備沒壞就不算責任)
這種被動式服務基本上是大多數客戶的選擇結果

順道一提
現在網路的基礎建設不受到重視已經很久
工程師也被動地停留在會不會裝而已(會路由會Vlan就好)
給樓主提供PoC的廠商難道沒有說說這些年技術的變化
(事實上,網路的管理與技術已有不少變革)
如果市場持續以此
未來不是真正會技術服務的人很少
要不然就會服務價格變的超級高

T.M.R iT邦新手 5 級 ‧ 2019-05-22 18:01:05 檢舉

謝謝指教,很中肯

0
garyjuang
iT邦新手 5 級 ‧ 2019-05-23 11:36:11

我個人認為防火牆盡可能簡單就好,買一台全部都有的功能包山包海,看似很強大。但每個功能開起來不會有效能的疑慮嗎,尤其是再做一些NAT轉換或者是Policy運算?
開起來之後你還要知道在哪裡去找問題。
並且可以把一部分的預算挪去專門在做網路封包分析或EDR的產品。在效能上面或是服務上面比較專精。

不過老話一句,你找你最熟悉擅長的產品來做firewall也是可以。

T.M.R iT邦新手 5 級 ‧ 2019-05-23 12:51:43 檢舉

您的建議也很好,小弟受教!

0
runan5678
iT邦新手 1 級 ‧ 2019-05-24 22:45:12

報表部分也可以當作評估參考
總不會買了就丟在那,甚麼都會全自動做到好
不過CheckPoint最近上線遇到困難 原廠持續裝死就是
目前還在想辦法處理

T.M.R iT邦新手 5 級 ‧ 2019-05-25 01:26:30 檢舉

嗯嗯⋯這是不錯的分享,大概知道怎麼挑了ˉ

T.M.R iT邦新手 5 級 ‧ 2019-05-25 01:26:31 檢舉

嗯嗯⋯這是不錯的分享,大概知道怎麼挑了ˉ

0
打雜工
iT邦新手 4 級 ‧ 2019-06-07 14:28:37

我認為應該考慮你最熟或是最能找到協助資源的設備,就好比你武功不強,即使拿到倚天劍或屠龍刀應該也是沒什麼用,建議應該用你最熟悉的武器,比較有機會抵禦別人的攻擊,不然就是找張三豐(維護商)這樣的保鑣,也可以達到一樣的效果。

我要發表回答

立即登入回答