انتخاب فایروال مناسب

[fnasiri]

https://supportforums.cisco.com/thread/136387
Both IOS firewall and ASA are stateful firewall but there are features that are available in IOS firewall but not in ASA and vice versa. For example, IOS firewal supports zone-based policy firewall but ASA does not, ASA supports Active/Active stateful failover but IOS firewall does not.

Choose between IOS firewall and ASA really depends on the deployment scenarios. For example, if customers would like to have an integrated platform that have routing, QoS, voice, and firewall capability at a branch/small office, then IOS firewall on ISR will be a good fit; if customers are looking for higher performance than what IOS firewall can provide, then ASA will be a better fit.

[fnasiri]

How Internetworks Work: CCIE Security - IOS vs. ASA/PIX OS

The differences between ASA/PIX OS & Router IOS

Just to name a few major differences between Cisco Router and Firewall:

1. Everything is allowed in router unless you filter, but in Firewall, nothing is allowed unless you permit,
e.g. Outside interface in PIX/ASA doesn't allow any inbound traffic if it's not requested by an inside host.

2. PIX/ASA partitions network interfaces to different security levels, while in router interfaces have no difference.

3. You can not Trace-route or Telnet from a PIX/ASA.

4. Access-lists in Router are in wild-card format, while PIX/ASA uses subnet-mask instead of wild-card mask.

5. In PIX/ASA you are able to enter EXEC commands while you're in config mode, but you need to add "DO" prefix in router for achieving the same result.

6. For PIX/ASA We don't use "IP" keyword as much as we use in Router, cause its designed for securing IP traffic,
e.g. "show ip route" is "show route"

7. In IOS Router for dot1q tagged traffic we use "encapsulation" command (in interface mode) while in PIX/ASA we use "VLAN vlan-number"

8. Most of configuration of a Firewall is in global configuration, cause of its Policy framework, while in Router you are configuring Interfaces much more…

9.CDP is not allowed /running in ASA/PIX.

ASA Few/New Features


Cisco ASA Firewall has been around for couple of years since before PIX becoming obsolete… but it’s still lacking some critical (if not say Basic) features as well as following list.

Does NOT support:

• Policy Based Routing
• GRE Tunnels and Interfaces
• PPTP
• BGP
• NetFlow (NSEL is just event logging introduced in OS 8.2 and helps CS-MARS collecting basic information)
• No IPsec VPN in multi-context mode.
• Contexts only support static routes so Dynamic Routing (RIP, OSPF and EIGRP) across multiple-context mode is not supported.
• No Multicast Routing for contexts.
• No Threat Detection for contexts.
• Transparent Firewall does not share interfaces between contexts. (Fair)
• All contexts must be either routed or transparent.
• Equal cost multiple path is not supported across multiple interfaces.
• Stateful failover does not support routing table failover.
• Stateful failover does not support multicasting.
• uauth table (Cut-through proxy or authentication proxy) stateful failover is not supported.

• 

and some cool supported features:

• Traffic Authentication and virtual TELNET/HTTP/FTP with customization.
• Cisco Secure Desktop features and rdp support. (I’ve not tested RDP!)
• TLS and IP Phone proxy features with unified mobility.
• IP SLA support and Tracking option.
• Dedicated route for tunneled traffic.
• Packet simulation tracking option.

[fnasiri]

بحث مفیدی در خصوص شباهتها و مزایا و معایب Asa در برابر ios
https://learningnetwork.cisco.com/thread/4995

[hoseinscan]

در دنياي فايروال ها و UTM ها Cisco حرفي براي گفتن نداره،
به چند دليل:
cisco به صورت تخصصي روي UTM ها سرمايه گذاري نمي كنه، چون كار اصلي و تمركز اين شركت روي Router ها و سوييچ ها است.
دقيقاً مثل اينكه بياييد روتر هاي سيسكو رو با يه برند ديگه مقايسه كنيد، اين كار خيلي مسخره است چون تمام كساني كه در بحث Routing ها در سطح اينترنت فعاليت ميكنند ميدونند كه روتري هاي سيسكو حرف اول رو مي زنن

دوم: شركت هاي مثل جونيپر يا فورتي نت تخصصي روي بحث امنيت شبكه فعاليت ميكنند، در نتيجه Device ها و امكانات بسيار كامل تري نسبت به ديگر رقبا خواهند داشت.

شركت هايي مثل Fortinet به دليل تفكيك مباحث امنيتي و مديريتي Device هاي امنيتي از يكديگر تونسته اند سهم قابل توجهي از بازار رو در دست بگيرند.

دستگاهي مثل FortiGate با وجود قابليت هاي بسيار زيادي كه به مديران شبكه ميده، در عين حال ميتونه به يك FortiAnalyzer متصل بشه و Log ها و رخ دادهاي خودشو به FortiAnalyzer تحويل بده و اون، Log ها رو تجزيه و تحليل كنه و به مدير شبكه ارائه بده.

از حرف هاي توي مسنجر گرفته تا اتچ هايي كه كاربران توي ميل هاشون براي هم ارسال ميكنند، همگي در FortiAnalyzer ثبت و ضبط ميشه.

خوب كدوم يكي از برند ها فقط براي بحث Log گرفتن، يه Device مجزا و مستقل طراحي كردند؟

اين نشون ميده اين شركت به صورت كاملاً تخصصي داره روي بحث امنيت شبكه كار ميكنه !!!!

اين البته نظر بنده است و دوست دارم نظرات ديگر دوستان رو هم در اين باره بخونم

[sasani]

سلام
من جای شما بودم با این اطمینان حرف نمی زدم

تو اینکه device هایی مثل fortigate , juniper دستگاههای خوبی در زمینه UTM هستند بحثی نیست

اما شما دیگه سیسکو را خیلی دست کم گرفتی

سیسکو برای گرفتن و آنالیز log ها دستگاهی داره به اسم mars که کار همون forti analyzer را انجام میده
یا یک دستگاه دیگه هم داره به اسم iron port email security appliance که می تونه در کنار یک میل سرور قرار بگیره ومی تونه جلوی اسپم را بگیره و علاوه بر این تشخیص ویروس و رمز نگاری ایمیل را نیز می تواند انجام دهد . اون حتی می تونه اگه اطلاعات سازمانی بخواد از طریق ایمیل فرستاده بشه و یا حتی شماره کارت اعتباری و ... را تشخیص بده و اون را به مدیر شبکه گزارش کنه و یا جلوی اون را بگیره

برای خیلی از کاربردهای دیگه هم سیسکو محصول داره