checkpoint или palo alto

Technik

Случайный прохожий
Здравствуйте коллеги. Помогите с выбором, есть сеть организации, из мира приходит несколько провайдеров каждый канал по 100м/бит. Нужно выбрать NGN firewall. Фактически выбор стоит между оборудованием checkpoint и palo alto. Не можем выбрать что взять или два чекпойнта:

Маршрутизатор Check Point 4200 Next Generation Threat Prevention Appliance with 11 blades suite (Including Blades: Firewall, VPN, Advanced Networking and Clustering, Identity Awareness, Mobile Access, IPS, Application Control, URL Filtering, Anti-Virus, Anti-Bot, Anti-Spam and Email Security, Network Policy Management, Logging and Status. )
или один пало альто:
Palo Alto Networks PA-500 appliance 2GB Memory
или
Palo Alto Networks PA-3020
Подскажите что из этих железок надежнее и функциональнее?? "Пальто" конечно жутко дорогое...
 

Zayac

Случайный прохожий
Глупый вопрос- за тебя никто выбирать не будет . Никто лучше тебя не знает твою сетку и инфраструктуру. Я знаю palo alto первые в гартнере по файерволам. Чекпойнты тоже штуки хорошие. Попробуй запросить у вендора демо-стенд для тестирования. Проверь функционал и все.
 

Diversant

Случайный прохожий
по сравнению с циско, ngn firewall mcafee и тем более palo alto,Checkpoint покажется детской игрушкой. Нет, конечно это тоже здоровская штука, но там как то все попроще, а пало альто своих денег стоит. Я бы взял конечно пало альто в вашем случае. Возьмите лучше на тест и то и то. Вендоры я думаю разрешат, все таки железки не дешевые. И да подумай про саппорт годовой
 

sysadmin

Участник
Ерунда это и то и это. Посмотри статью https://habrahabr.ru/company/pt/blog/269165/
Если у тебя деньги есть на такого рода железки то гугли в сторону web application firewall.
ТС обязательно прочти статью до покупки
 

BackTrace

Случайный прохожий
Один из недостатков palo alto - медленная песочница, если отправляете файлы в облако то проверяться они будут долго. Так же есть лимит на отправку подозрительных файлов в облачный sandbox. Кстати у них он называется WildFire, если чо.

- -Подумал и добавил - -

чекпойнты тоже бывает иногда виснут
 

Surf_rider

Администратор
Команда форума
palo alto основал выходец из чекпойнта.
Лучше брать новую 5000 серию, но ее ПО еще не проверили на НДВ. Сертификация фстэк должна быть до конца года.
У пало альто есть сертификация, если не ошибаюсь, на pan os 4, на pan os 8 нет
 

Javac

Случайный прохожий
Вот масла в огонь
http://rrc.ru/upload/checkpoint/Comp...CSS_PAN_RU.pdf

Наши отличия
  • Непревзойденная безопасность и лучшая эффективность управления с предсказуемой производительностью в реальной среде
  • Сильная защита с многоуровневой безопасностью
  • Лучший межсетевой экран (NGFW), согласно NSS & Gartner
  • Максимальная эффективность средства защиты
  • Сквозной контроль над всем спектром угроз
  • Лучшее управление и контроль
  • База данных, насчитывающая более чем 5000 приложений, 225 000 интернет-виджетов и 250 млн сайтов, позволяет контролировать их использование как отдельным пользователем, так и группой пользователей (OU)
  • Защита зашифрованного и незашифрованного трафика от утечки данных при помощи мощного DLP-решения
  • Простой и безопасный корпоративный доступ со всех мобильных и стационарных устройств
  • Наиболее эффективная консолидация защиты при сохранении прогнозируемой производительности в реальной среде
  • Предсказуемая производительность в реальном окружении с использованием Security Power
  • Самое низкое рабочее время, затрачиваемое на управление, в соответствии с NSS
  • Отраслевое решение с единым управлением и отчетностью, охватывающее все аспекты безопасности


Факты о PAN
Безопасность: архитектура безопасности PAN является в корне ошибочной
PAN оставляет сеть уязвимой, по умолчанию открывая все порты
PAN проверяет трафик только в одном направлении — к центрам обработки данных (DSRI)


PAN уязвим для полного обхода при атаке, эксплуатирующей так называемое «отравление кэша» (Cache Pollution Attack)
PAN имеет ограниченное обнаружение рисков, основанное на 9 типах данных против 635 у Check Point
Типовой профиль доступа к приложениям: PAN имеет ограниченную функциональность с набором примерно в 1 600 приложений против 5 000 приложений в Check Point

PAN уязвим при многовекторных атаках, так как архитектуры проверки за один проход в данном случае недостаточно

Управление: веб-управление PAN имеет слабую масштабируемость, которая недостаточна для крупных и средних
предприятий

PAN необходим дополнительный администратор по безопасности к общему штату по сравнению с Check Point: из-за громоздкого
интерфейса управления (согласно данным сторонних аналитиков).
Управление PAN очень громоздко при конфигурировании VPN
PAN не хватает решения по анализу событий — без агрегации и корреляции событий безопасности
отсутствует обозримость и увеличивается время на управление
Для устранения неполадок администратор PAN вынужден посматривать четыре разных журнала событий
В централизованном управлении PAN Panorama не хватает основных мультидоменных задач, таких как глобальный IPS, глобальные сервисы, глобальный VPN
Производительность: производительность PAN NGFW резко падает при работе в реальных условиях
  • До 40 % снижается производительность PAN NGFW при включении NAT и журналирования
  • Ухудшается на 61 % производительность PAN при сканировании трафика в обоих направлениях (в соответствии с тестом Network World)
  • Самое быстрое устройство PAN предоставляет только 40 Гбит/с пропускной способности межсетевого экрана (Check Point — готов к скоростям 200 Гбит/с)
  • PAN имеет очень высокую стоимость внедрения (почти в два раза больше, чем Check Point согласно данным сторонних аналитиков)
 

zero

Почетный гость
Вот масла в огонь
http://rrc.ru/upload/checkpoint/Comp...CSS_PAN_RU.pdf

Наши отличия
  • Непревзойденная безопасность и лучшая эффективность управления с предсказуемой производительностью в реальной среде
  • Сильная защита с многоуровневой безопасностью
  • Лучший межсетевой экран (NGFW), согласно NSS & Gartner
  • Максимальная эффективность средства защиты
  • Сквозной контроль над всем спектром угроз
  • Лучшее управление и контроль
  • База данных, насчитывающая более чем 5000 приложений, 225 000 интернет-виджетов и 250 млн сайтов, позволяет контролировать их использование как отдельным пользователем, так и группой пользователей (OU)
  • Защита зашифрованного и незашифрованного трафика от утечки данных при помощи мощного DLP-решения
  • Простой и безопасный корпоративный доступ со всех мобильных и стационарных устройств
  • Наиболее эффективная консолидация защиты при сохранении прогнозируемой производительности в реальной среде
  • Предсказуемая производительность в реальном окружении с использованием Security Power
  • Самое низкое рабочее время, затрачиваемое на управление, в соответствии с NSS
  • Отраслевое решение с единым управлением и отчетностью, охватывающее все аспекты безопасности


Факты о PAN
Безопасность: архитектура безопасности PAN является в корне ошибочной
PAN оставляет сеть уязвимой, по умолчанию открывая все порты
PAN проверяет трафик только в одном направлении — к центрам обработки данных (DSRI)


PAN уязвим для полного обхода при атаке, эксплуатирующей так называемое «отравление кэша» (Cache Pollution Attack)
PAN имеет ограниченное обнаружение рисков, основанное на 9 типах данных против 635 у Check Point
Типовой профиль доступа к приложениям: PAN имеет ограниченную функциональность с набором примерно в 1 600 приложений против 5 000 приложений в Check Point

PAN уязвим при многовекторных атаках, так как архитектуры проверки за один проход в данном случае недостаточно

Управление: веб-управление PAN имеет слабую масштабируемость, которая недостаточна для крупных и средних
предприятий

PAN необходим дополнительный администратор по безопасности к общему штату по сравнению с Check Point: из-за громоздкого
интерфейса управления (согласно данным сторонних аналитиков).
Управление PAN очень громоздко при конфигурировании VPN
PAN не хватает решения по анализу событий — без агрегации и корреляции событий безопасности
отсутствует обозримость и увеличивается время на управление
Для устранения неполадок администратор PAN вынужден посматривать четыре разных журнала событий
В централизованном управлении PAN Panorama не хватает основных мультидоменных задач, таких как глобальный IPS, глобальные сервисы, глобальный VPN
Производительность: производительность PAN NGFW резко падает при работе в реальных условиях
  • До 40 % снижается производительность PAN NGFW при включении NAT и журналирования
  • Ухудшается на 61 % производительность PAN при сканировании трафика в обоих направлениях (в соответствии с тестом Network World)
  • Самое быстрое устройство PAN предоставляет только 40 Гбит/с пропускной способности межсетевого экрана (Check Point — готов к скоростям 200 Гбит/с)
  • PAN имеет очень высокую стоимость внедрения (почти в два раза больше, чем Check Point согласно данным сторонних аналитиков)
Какой аналог pan-pa-820 можно посмотреть в checkpoint ? Есть ли какая то таблица сравнения по сайзингу
 

RG45

Случайный прохожий
Можно ориентироваться на на характеристики palo alto 820, и отталкиваясь от них смотреть что то у чекпойнта. Можно взять на чекап или поставить временно и запустить cpsizeme.
характеристики palo alto 820
Пропускная способность брандмауэра (App-ID включен)940 Мбит/с
Пропускная способность предотвращения угроз610 Мбит/с
IPsec VPN пропускная способность400 Мбит/с
Новые сеансы в секунду8300
Максимум сессий128000
РежимыL2, L3, Tap, Virtual wire (transparent mode)
Маршрутизация
  • OSPFv2 / v3 с постепенным перезапуском, BGP с постепенным перезапуском, RIP, статическая маршрутизация
  • Пересылка на основе политик
  • Протокол «точка-точка» через Ethernet (PPPoE)
  • Многоадресная передача: PIM-SM, PIM-SSM, IGMP v1, v2 и v3
  • Двунаправленное обнаружение переадресации (BFD)
IPv6L2, L3, Tap, Virtual wire (transparent mode)
Функции: App-ID, User-ID ™, Content-ID ™, WildFire ™ и SSL
SLAAC
IPsec VPNОбмен ключами: ручной ключ, IKEv1 и IKEv2 (предварительный общий ключ, проверка подлинности на основе сертификатов)
Шифрование: 3DES, AES (128-бит, 192-бит, 256-бит)
Аутентификация: MD5, SHA-1, SHA-256, SHA-384, SHA-512
Сети VLAN802.1q VLAN на устройство / интерфейс: 4094 / 4094.
Агрегатные интерфейсы (802.3ad), LACP
Трансляция сетевых адресов (NAT)Режимы NAT (IPv4): статический IP, динамический IP, динамический IP и порт (перевод адреса порта)
NAT64, NPTv6
Дополнительные функции NAT: динамическое резервирование IP, настраиваемый динамический IP и порт переподписки
Высокая доступностьРежимы: активный / активный, активный / пассивный
Обнаружение сбоев: мониторинг пути, мониторинг интерфейса
Порты ввода/вывода(4) 10/100/1000, (8) Gigabit SFP
Управление вводом / выводом(1) 10/100/1000 порт внеполосного управления,
(1) консольный порт RJ-45
(1) порт USB
(1) Консольный порт Micro USB
Емкость накопителя240 ГБ SSD
Электропитание200W AC (45W)
Максимум БТЕ / час256
Входное напряжение (входная частота)100-240VAC (50-60Hz)
Максимальное потребление тока1.0A @ 100VAC,0.5A @ 240VAC
Монтаж в стойку (габариты)1U, 19" standard rack (1.75"H x 14"D x 17.125"W)
Вес11 фунтов
Сертификаты безопасностиcCSAus, CB
EMIFCC Class A, CE Class A, VCCI Class A
Окружающая средаРабочая температура: от 0 ° до 40 ° C
Нерабочая температура: от -20 ° до 70 ° C
Направление вентилятораFront to back
 
Верх Низ