در این قسمت ما به برخی از تفاوت بین این ۲ مدل از فایروال ها بررسی میکنیم.
Cisco ASA و Fortinet Fortigate
۱ : The licensing model
سیسکو دارای یک مجموعه کامل مجوز است که می تواند مورد استفاده قرار گیرد و می تواند کاملا گیج کننده باشد.
مجوز افزودنی نیست (به عنوان مثال اگر شما ۲۵ vpn peers داشته باشید و ۲۵ مورد دیگر را بخواهید، شما مجبور به خرید مجوز ۵۰ نفره vpn peers license هستید و نمیتوانید مجوز ۲۵ نفر را بخرید)
Fortinet:
فقط دارای ۱ یا ۲ نوع مجوز (vdom and forticlients)
۲: blackhole routes ASA :
شما نمیتوانید این کار را در ASA انجام دهید. به طور معمول، یکی از دستگاه های next-hop استفاده می شود یا فقط از ترافیک خارج می شود.
Fortigate :
پشتیبانی از blackhole از طریق رابط null
۳ :Cisco Context vrs Fortigate VDOM
ASA:
زمینه های سیسکو بسیار محدود است، معمولا شما محدود به ۳-۴ زمینه (به جز یک ASA5505 هیچ زمینه موجود)
محتوای ASA هیچ remote-access vpn را پشتیبانی نمی کند و تا همین اواخر هیچ پروتکل مسیریابی داینامیک وجود ندارد. و سپس در حالت چند حالته، محدود به فقط OSPF یا EIGRP (ipv4) و هیچ پروتکل مسیریابی داینامیک برای ipv6
همچنین مدیریت فایل های پیکربندی context، اولین بار است که شما فایل های پیکربندی را راه اندازی می کنید، ناخوشایند و گیج کننده است
فقط فعال کردن خالص از ویژگی چند حالت، نیاز به یک راه اندازی مجدد دارد.
Fortigate :
پشتیبانی از حداقل ۱۰ vdom (دامنه های مجازی)
Vdom از تمام پروتکل های مسیریابی باز (RIP، OSPF، BGP، IS-IS) پشتیبانی می کند و نه به عنوان محدود کننده.
برای فعال کردن vdoms هیچ راه اندازی مجدد لازم نیست.
به طور پیش فرض تمام واسط ها بخشی ازvdom root هستند، بنابراین فعال کردن پشتیبانی از Vdom هیچ گونه رابط کاربری / سیاست ها یا تنظیمات را بر نمی دارد اگر شما از یک vdom-less به vdom-concept
یک فایل پیکربندی بزرگ، بدون جدایی برای vdoms منحصر به فرد
۴: پشتیبانی از IPv6
ASA:
بهتر است، اما پشتیبانی از ipv6 هنوز در مجموعه ASA کاملا جدید است.
Fortigate :
ipv6 در حال حاضر برای حداقل ۶+ سال فعال شده است، اما ما هنوز احراز هویت OSPFv3 را نداریم.
۵: Firewall Policy
ASA:
با استفاده از یک روش ACL برای ورود / خروج رابط و هیچ جهت دیگری نیاز است.
سیسکو همچنین با حذف مجوز ورود خطوط ACL تکراری در یک access-list تنها کپی را حذف می کند.
Fortigate :
خط مشی ها بین بین zones to zone یا interface to interfaceشبیه به juniper تکراری می تواند بدون هیچ هشدار نصب شود، و در هنگام auditing policies باعث ایجاد مشکل شود.
۶: تشخیص نفوذ
ASA:
پشتیبانی از قوانین سفارشی، اما بسیار کاربر پسند نیست.
به روز رسانی خودکار به آسانی امکان پذیر نیست.
تعداد محدودی از قوانین
نیاز به موتور IDS یا کارت دارد و به طور جداگانه مدیریت می شود و محدودیت های مجوز ممکن است
Fortigate :
پشتیبانی از قوانین سفارشی.
به روز رسانی خودکار به روز رسانی تقریبا هر روز.
حفاظت از IDS بخشی از سخت افزار دستگاه (بدون افزودنی کارت / ماژول، هیچ مجوز خاص و یا محدودیت).
Fortinet fortiguard بسیار جذاب و بسیار تکمیل و پیشرفته است.
۷: remote-managemnt
هر دو واحد اجازه می دهد تا پروتکل های مدیریت مشترک با Fortinet به شما اجازه تغییر پورت ssh / telnet و محدود کردن دسترسی به یک کاربر را بدهد. همچنین دارای یک fail-login در ورود به سیستم است، برای محافظت از brute-force و یا mis-uesd از failed logins .
۸: flow data exportation
ASA:
netflow v9، اما مشابه با netflow v9 است که اکثر روترها آن را صادر می کنند، می تواند با مجموعه های خاصی مواجه شود.
fortigate :
فقط sflow (پشتیبانی از netflow بدون)
۹: محدودیت VPN
ASA:
مدل مجوزهای متعدد، این تعداد peers در نظر گرفتن نوع را محدود می کند. clientless vrs client sslvpn، ipsec، l2tp-ipsec
Fortigate :
شماره های VPN تنها توسط شاسی سخت افزاری محدود می شوند.
۱۰: بازرسی ترافیک و پردازش
ASA:
فقط ترافیک از سطح پایین تر به سطح امنیتی بالاتر، نیاز به ورود ACL (مفهوم سطح امنیت).
fortigate:
تمام ترافیک بین اینترفیس ها در یک fortigate، نیاز به یک Firewall Policy .
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.