R: [ml] Pix-525 o ISA 2004???

Secondo me devi partire da questo presupposto:
ISA e' un software legato ad un server
PIX e' una parte hardware indipendente
questa considerazione dovrebbe indicarti le varie problematiche legate al'uno e all'altro fattore

Io non ti consiglio di usare ISA da solo per gli scopi da te elencati e le dimensioni in ballo.
Perche' non valuti un PIX di fascia inferiore (considerando che poi usando ISA come proxy a meno diragioni speciali nessun clientandra' diretto dal firewall, consentendoti quindi un numero nettamente inferiore di user licenses sul PIX) ?

La mia esperienza su una rete da circa 50 client e 8 server in produzione vede un bel PIX e un ISA attualmente configurato come proxy in cache mode (con sopra un software di web filtering - SurfControl). Quindi lascio al PIX la gestione di VPN e regolamentazine accessi sule varie porte (sia in uscita che in entrata), mentre uso ISA come proxy e come strumento di web filtering (blocc siti sconvenienti e blocco download di file pericolosi).

Se poi vuoi nessuno ti impedsce di "ridondare" la sicureza che ti da il PIX mettendo in piedi anche la parte prpriamente di firewall di ISA.

Fabio


-----Messaggio originale-----
Da: Lombardo, Federico [mailto:f.lombardo@xxxxxxxxxxxxxxxxx] 
Inviato: mercoledì 13 aprile 2005 17.43
A: ml@xxxxxxxxxxxxx
Oggetto: R: [ml] Pix-525 o ISA 2004???

>sto' lavorando a un progetto di riorganizzazione di una rete, su architettura DMZ, e sto' valutando le soluzioni Firewall da implementare.
>Oltre a proteggere una lan di circa 100 pc, dovra' proteggere servizi di produzione come web, smtp, ftp ed avere funzionalita' di VPN gateway.
>Le soluzioni che penso siano piu' idonee  a queste esigenze  sono quella Cisco con il suo PIX-525 e quella MS con ISA Server2004 versione enterprice.

Bhè partiamo dal presupposto che sono due opzioni non molto comparabili, il PIX è un firewall evoluto, ISA è molto più che un firewall (in questo caso il "molto" è usato in un'accezione non propriamente migliorativa).

Devi fare una sorta di capitolato in cui ti auto-specifiche le necessità e le prerogative del servizio in oggetto e vedrai che la soluzione si sceglierà da sola.
Stabilendo chiaramente anche la crescita potenziale di questa rete, i flussi logici di dati ed eventuali integrazioni con altri sistemi.
Es. ISA è anche una cache web oltre che ad un FW, oppure: avrai bisogno a breve termine di un AV inspection sullo stream di dati ? Di un IPS ?



>Non voglio scatenare una guerra di religione, ma mi piacerebbe 
>conoscere le vostre esperienze di produzione in merito a l'utilizzo dell'una e dell'altra soluzione, circa  performance, >>> troubleshoting, manutenzione e scalabilita', e sopratutto quale delle due si sia verificata come migliore investimento nel tempo.
>Vi sarei grato se potreste darmi qualche consiglio in merito e indirizzarmi eventualmente a documentazione tecnica su test di comparazione.

Partiamo dalla valutazione delle variabili economiche:
Su di un pix tu paghi in primis l'hw, seconda cosa il software che ci gira.
Quindi se tu hai "già" un hardware adatto, paganto "solo" license software puoi prendere ISA ed evitarti la spesa HW.

Seconda valutazione che devi fare è sui contratti d'assistenza, sia hardware che software:
Cisco ha un'ottima risposta come supporto TAC e come advanced replacement, cosa che sull'architettura ISA dovresti stipulare prima col vendor dell'hardware e poi con la società che ti fornisce la consulenza per il firewall microsoft (tanta fortuna).



Federico









________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List