checkpoint или palo alto

Technik

Случайный прохожий
Здравствуйте коллеги. Помогите с выбором, есть сеть организации, из мира приходит несколько провайдеров каждый канал по 100м/бит. Нужно выбрать NGN firewall. Фактически выбор стоит между оборудованием checkpoint и palo alto. Не можем выбрать что взять или два чекпойнта:

Маршрутизатор Check Point 4200 Next Generation Threat Prevention Appliance with 11 blades suite (Including Blades: Firewall, VPN, Advanced Networking and Clustering, Identity Awareness, Mobile Access, IPS, Application Control, URL Filtering, Anti-Virus, Anti-Bot, Anti-Spam and Email Security, Network Policy Management, Logging and Status. )

или один пало альто:
Palo Alto Networks PA-500 appliance 2GB Memory
или
Palo Alto Networks PA-3020

Подскажите что из этих железок надежнее и функциональнее?? "Пальто" конечно жутко дорогое...
 
Глупый вопрос- за тебя никто выбирать не будет . Никто лучше тебя не знает твою сетку и инфраструктуру. Я знаю palo alto первые в гартнере по файерволам. Чекпойнты тоже штуки хорошие. Попробуй запросить у вендора демо-стенд для тестирования. Проверь функционал и все.
 
по сравнению с циско, ngn firewall mcafee и тем более palo alto,Checkpoint покажется детской игрушкой. Нет, конечно это тоже здоровская штука, но там как то все попроще, а пало альто своих денег стоит. Я бы взял конечно пало альто в вашем случае. Возьмите лучше на тест и то и то. Вендоры я думаю разрешат, все таки железки не дешевые. И да подумай про саппорт годовой
 
Ерунда это и то и это. Посмотри статью https://habrahabr.ru/company/pt/blog/269165/
Если у тебя деньги есть на такого рода железки то гугли в сторону web application firewall.
ТС обязательно прочти статью до покупки
 
Один из недостатков palo alto - медленная песочница, если отправляете файлы в облако то проверяться они будут долго. Так же есть лимит на отправку подозрительных файлов в облачный sandbox. Кстати у них он называется WildFire, если чо.

- -Подумал и добавил - -

чекпойнты тоже бывает иногда виснут
 
palo alto основал выходец из чекпойнта.
Лучше брать новую 5000 серию, но ее ПО еще не проверили на НДВ. Сертификация фстэк должна быть до конца года.
У пало альто есть сертификация, если не ошибаюсь, на pan os 4, на pan os 8 нет
 
Вот масла в огонь
http://rrc.ru/upload/checkpoint/Comp...CSS_PAN_RU.pdf

Наши отличия
  • Непревзойденная безопасность и лучшая эффективность управления с предсказуемой производительностью в реальной среде
  • Сильная защита с многоуровневой безопасностью
  • Лучший межсетевой экран (NGFW), согласно NSS & Gartner
  • Максимальная эффективность средства защиты
  • Сквозной контроль над всем спектром угроз
  • Лучшее управление и контроль
  • База данных, насчитывающая более чем 5000 приложений, 225 000 интернет-виджетов и 250 млн сайтов, позволяет контролировать их использование как отдельным пользователем, так и группой пользователей (OU)
  • Защита зашифрованного и незашифрованного трафика от утечки данных при помощи мощного DLP-решения
  • Простой и безопасный корпоративный доступ со всех мобильных и стационарных устройств
  • Наиболее эффективная консолидация защиты при сохранении прогнозируемой производительности в реальной среде
  • Предсказуемая производительность в реальном окружении с использованием Security Power
  • Самое низкое рабочее время, затрачиваемое на управление, в соответствии с NSS
  • Отраслевое решение с единым управлением и отчетностью, охватывающее все аспекты безопасности


Факты о PAN
Безопасность: архитектура безопасности PAN является в корне ошибочной
PAN оставляет сеть уязвимой, по умолчанию открывая все порты
PAN проверяет трафик только в одном направлении — к центрам обработки данных (DSRI)


PAN уязвим для полного обхода при атаке, эксплуатирующей так называемое «отравление кэша» (Cache Pollution Attack)
PAN имеет ограниченное обнаружение рисков, основанное на 9 типах данных против 635 у Check Point
Типовой профиль доступа к приложениям: PAN имеет ограниченную функциональность с набором примерно в 1 600 приложений против 5 000 приложений в Check Point

PAN уязвим при многовекторных атаках, так как архитектуры проверки за один проход в данном случае недостаточно

Управление: веб-управление PAN имеет слабую масштабируемость, которая недостаточна для крупных и средних
предприятий

PAN необходим дополнительный администратор по безопасности к общему штату по сравнению с Check Point: из-за громоздкого
интерфейса управления (согласно данным сторонних аналитиков).
Управление PAN очень громоздко при конфигурировании VPN
PAN не хватает решения по анализу событий — без агрегации и корреляции событий безопасности
отсутствует обозримость и увеличивается время на управление
Для устранения неполадок администратор PAN вынужден посматривать четыре разных журнала событий
В централизованном управлении PAN Panorama не хватает основных мультидоменных задач, таких как глобальный IPS, глобальные сервисы, глобальный VPN
Производительность: производительность PAN NGFW резко падает при работе в реальных условиях
  • До 40 % снижается производительность PAN NGFW при включении NAT и журналирования
  • Ухудшается на 61 % производительность PAN при сканировании трафика в обоих направлениях (в соответствии с тестом Network World)
  • Самое быстрое устройство PAN предоставляет только 40 Гбит/с пропускной способности межсетевого экрана (Check Point — готов к скоростям 200 Гбит/с)
  • PAN имеет очень высокую стоимость внедрения (почти в два раза больше, чем Check Point согласно данным сторонних аналитиков)
 
Вот масла в огонь
http://rrc.ru/upload/checkpoint/Comp...CSS_PAN_RU.pdf

Наши отличия
  • Непревзойденная безопасность и лучшая эффективность управления с предсказуемой производительностью в реальной среде
  • Сильная защита с многоуровневой безопасностью
  • Лучший межсетевой экран (NGFW), согласно NSS & Gartner
  • Максимальная эффективность средства защиты
  • Сквозной контроль над всем спектром угроз
  • Лучшее управление и контроль
  • База данных, насчитывающая более чем 5000 приложений, 225 000 интернет-виджетов и 250 млн сайтов, позволяет контролировать их использование как отдельным пользователем, так и группой пользователей (OU)
  • Защита зашифрованного и незашифрованного трафика от утечки данных при помощи мощного DLP-решения
  • Простой и безопасный корпоративный доступ со всех мобильных и стационарных устройств
  • Наиболее эффективная консолидация защиты при сохранении прогнозируемой производительности в реальной среде
  • Предсказуемая производительность в реальном окружении с использованием Security Power
  • Самое низкое рабочее время, затрачиваемое на управление, в соответствии с NSS
  • Отраслевое решение с единым управлением и отчетностью, охватывающее все аспекты безопасности


Факты о PAN
Безопасность: архитектура безопасности PAN является в корне ошибочной
PAN оставляет сеть уязвимой, по умолчанию открывая все порты
PAN проверяет трафик только в одном направлении — к центрам обработки данных (DSRI)


PAN уязвим для полного обхода при атаке, эксплуатирующей так называемое «отравление кэша» (Cache Pollution Attack)
PAN имеет ограниченное обнаружение рисков, основанное на 9 типах данных против 635 у Check Point
Типовой профиль доступа к приложениям: PAN имеет ограниченную функциональность с набором примерно в 1 600 приложений против 5 000 приложений в Check Point

PAN уязвим при многовекторных атаках, так как архитектуры проверки за один проход в данном случае недостаточно

Управление: веб-управление PAN имеет слабую масштабируемость, которая недостаточна для крупных и средних
предприятий

PAN необходим дополнительный администратор по безопасности к общему штату по сравнению с Check Point: из-за громоздкого
интерфейса управления (согласно данным сторонних аналитиков).
Управление PAN очень громоздко при конфигурировании VPN
PAN не хватает решения по анализу событий — без агрегации и корреляции событий безопасности
отсутствует обозримость и увеличивается время на управление
Для устранения неполадок администратор PAN вынужден посматривать четыре разных журнала событий
В централизованном управлении PAN Panorama не хватает основных мультидоменных задач, таких как глобальный IPS, глобальные сервисы, глобальный VPN
Производительность: производительность PAN NGFW резко падает при работе в реальных условиях
  • До 40 % снижается производительность PAN NGFW при включении NAT и журналирования
  • Ухудшается на 61 % производительность PAN при сканировании трафика в обоих направлениях (в соответствии с тестом Network World)
  • Самое быстрое устройство PAN предоставляет только 40 Гбит/с пропускной способности межсетевого экрана (Check Point — готов к скоростям 200 Гбит/с)
  • PAN имеет очень высокую стоимость внедрения (почти в два раза больше, чем Check Point согласно данным сторонних аналитиков)

Какой аналог pan-pa-820 можно посмотреть в checkpoint ? Есть ли какая то таблица сравнения по сайзингу
 
Можно ориентироваться на на характеристики palo alto 820, и отталкиваясь от них смотреть что то у чекпойнта. Можно взять на чекап или поставить временно и запустить cpsizeme.
характеристики palo alto 820
Пропускная способность брандмауэра (App-ID включен)940 Мбит/с
Пропускная способность предотвращения угроз610 Мбит/с
IPsec VPN пропускная способность400 Мбит/с
Новые сеансы в секунду8300
Максимум сессий128000
РежимыL2, L3, Tap, Virtual wire (transparent mode)
Маршрутизация
  • OSPFv2 / v3 с постепенным перезапуском, BGP с постепенным перезапуском, RIP, статическая маршрутизация
  • Пересылка на основе политик
  • Протокол «точка-точка» через Ethernet (PPPoE)
  • Многоадресная передача: PIM-SM, PIM-SSM, IGMP v1, v2 и v3
  • Двунаправленное обнаружение переадресации (BFD)
IPv6L2, L3, Tap, Virtual wire (transparent mode)
Функции: App-ID, User-ID ™, Content-ID ™, WildFire ™ и SSL
SLAAC
IPsec VPNОбмен ключами: ручной ключ, IKEv1 и IKEv2 (предварительный общий ключ, проверка подлинности на основе сертификатов)
Шифрование: 3DES, AES (128-бит, 192-бит, 256-бит)
Аутентификация: MD5, SHA-1, SHA-256, SHA-384, SHA-512
Сети VLAN802.1q VLAN на устройство / интерфейс: 4094 / 4094.
Агрегатные интерфейсы (802.3ad), LACP
Трансляция сетевых адресов (NAT)Режимы NAT (IPv4): статический IP, динамический IP, динамический IP и порт (перевод адреса порта)
NAT64, NPTv6
Дополнительные функции NAT: динамическое резервирование IP, настраиваемый динамический IP и порт переподписки
Высокая доступностьРежимы: активный / активный, активный / пассивный
Обнаружение сбоев: мониторинг пути, мониторинг интерфейса
Порты ввода/вывода(4) 10/100/1000, (8) Gigabit SFP
Управление вводом / выводом(1) 10/100/1000 порт внеполосного управления,
(1) консольный порт RJ-45
(1) порт USB
(1) Консольный порт Micro USB
Емкость накопителя240 ГБ SSD
Электропитание200W AC (45W)
Максимум БТЕ / час256
Входное напряжение (входная частота)100-240VAC (50-60Hz)
Максимальное потребление тока1.0A @ 100VAC,0.5A @ 240VAC
Монтаж в стойку (габариты)1U, 19" standard rack (1.75"H x 14"D x 17.125"W)
Вес11 фунтов
Сертификаты безопасностиcCSAus, CB
EMIFCC Class A, CE Class A, VCCI Class A
Окружающая средаРабочая температура: от 0 ° до 40 ° C
Нерабочая температура: от -20 ° до 70 ° C
Направление вентилятораFront to back
 
Назад
Верх Низ