PDA

Bekijk Volledige Versie : Ervaringen met Cisco ASA 5520 firewall



easy2host
31/10/07, 20:59
Wij zitten te denken om een Cisco ASA 5520 firewall aan te schaffen, heeft iemand hier ervaringen mee? en raad je het aan of af?

Wido
31/10/07, 21:22
Ik heb alleen ervaringen met de 5510.

Wat wil je precies weten en in welke opstelling wil je hem zetten? Ik heb 5510's draaien in zowel transparante als routed mode.

easy2host
01/11/07, 17:02
De firewall zou in eerste instantie voor een server of 50 tot 100 moeten komen te draaien.
Dataverkeer van deze opzet is momenteel tussen de 15 en 20Mbit, dus dat valt nog mee.

Zijn diverse servers, voornamelijk webhostingbakken.

Ik wil er een tijd mee vooruit kunnen en voldoende groei mogelijkheden hebben. maar
dit is wel het uiterste budget wat ik er voor wil uitgeven.

Wido
01/11/07, 17:07
Je zou eventueel kunnen kiezen voor een 5510 met een SSC, dan heb je hele mooie filtering opties.

In jouw geval zou ik hem sowieso in een transparante opzet gaan draaien.

Daar zijn het prima firewalls voor!

ensermo
01/11/07, 17:55
Als je de budget ervoor heb zou ik zeker voor de ASA5520-BUN-K9 gaan. Voorlopig zou je ermee vooruit kunnen en het is uitbreidbaar naar High Availability.

Zoals Wido ook zei zou in jou geval een transparent firewall mode goed zijn. Je kunt de firewall gewoon in je bestaande netwerk "prikken" en zorgen dat deze filtering e.d. doet zonder IP wijzigingen in je netwerk aan te brengen. De firewall (hele machine) krijgt dan een ip voor beheer. (bij routed mode moet je veel meer instellen zoals protocollen zoals de naam al zegt routes. Access Lists. Niet alle (ip)traffic kan via routed mode).

Is je budget wat beperkter dan kun je inderdaad de ASA5510 nemen met (ASA5510-SEC-BUN-K9) met SSM expansion. je kunt kiezen tussen bijvoorbeeld
CSC SSM Content Security and Control Security Services Module
Dit houdt in dat je dan ook extra veilig bent: antivirus, anti-spyware, file blocking, anti-spam, anti-phishing, URL blocking en filtering, en content filtering

Als je veel servers/ipadressen/concurrent connections gaat hebben ga voor de unlimited-users licenties.

easy2host
01/11/07, 18:03
Wat is jullie ervaringen met die filtermogelijkheden dan? werkt het echt goed?

Momenteel filteren wij diverse klanten met cleanport, dit kan volgens mij nooit op tegen zo'n extra module.

Wido
01/11/07, 19:00
Ik zou hem niet voor anti-spam gebruiken die SSC, maar voor filtering van aanvallen.

Een SSC krijgt van Cisco updates door voor bekende aanvallen, zo kan deze SSH brute-forces detecteren, bepaalde floods op je HTTP server, etc, etc.

Maar je zet ze niet zo maar in, je moet je wel even goed inlezen in de docs. ciscopress heeft hiervoor mooie boeken.