Ранее меня впечатляли SonicWall, и у меня не было плохого опыта с WatchGuard. Эти устройства уже как минимум 3 года, и я ожидаю, что рынок за это время изменился.
Забудьте Cisco. Я не представляю, почему кто-то стал бы рекомендовать PIX/ASA. Если вам нравится синтаксис списков доступа Cisco и вы хотите непонятные глобальные/статические команды и поведение интерфейса, которое зависит от числового значения, то ASA вам подходит! О, еще есть веб-интерфейс, который вставляет случайные числа в объекты адресов, что вызывает отвращение у CLI-администраторов по отношению к веб-пользователям.
Лично я считаю, что в наши дни лучше всего выбрать Palo Alto или Juniper SRX. Я лично предпочитаю SRX, потому что это отличная маршрутизаторская платформа (по сути, лучшие функции Netscreen, применённые к JunOS), но Palo Alto, вероятно, проще в освоении и содержит встроенный комплексный слой-7 анализ.
Многие те, кто рекомендует Cisco, заинтересованы в сохранении доли рынка Cisco благодаря их сертификатам. Не поймите неправильно, Cisco предлагает отличные продукты. ASA – не один из них.
Fortigate и Juniper SRX мои личные фавориты за легкость настройки, простоту обслуживания и надежность.
Я присоединяюсь к мнению большинства, обновитесь с Sonicwall.
Плюс в том, что при установке обновлений и использовании серийных номеров ваших старых устройств (Sonicwall или других) вы обычно получаете 2 года полного обеспечения безопасности за цену одного, а при большем объеме внедрения, возможно, даже лучшую сделку.
Их новые устройства с учетом приложений фантастичны, и если объединить это с GMS для централизованного мониторинга и управления, то это очень выгодное решение.
Итак, вы собираетесь остаться в диапазоне цен Sonicwall и Watchguard? Если вы не против потратиться больше, обратите внимание на Palo Alto.
Если вам нужен только надежный stateful firewall, то ASA — хорошая ставка. Если вы ищете полноценное решение типа UTM, то определенно обратите внимание на Palo Alto.
Check Point очень популярен.
Мы перешли с Watchguard на Cisco около 3 лет назад и больше не возвращались. Думаю, с выпуском продуктов на базе UTM сейчас самое лучшее время для перехода. Просто мои 2 цента.
CIsco оборудование переоценено, ммм. Если я смогу найти более простое в управлении межсетевое устройство, я сделаю это, потому что это меньше времени тратится на настройку. Даже если это Netgear FVX538, который у меня стоит в одной локации… драка
Какие функции вы ищете в межсетевом экране? Я считаю, что Sonicwall имеет множество встроенных сканеров, которые хорошо работают (если вы готовы покупать подписки). MikroTik — отличное оборудование, и мне нравится их подход к работе с межсетевым экраном.
Как человек, работавший в MSSP, где я целыми днями настраивал и устранял неисправности в межсетевых экранах и UTM (от различных поставщиков), скажу следующее.
Для truly “next generation” межсетевого экрана важно, чтобы он был “приложение-осведомленным”. Порты сейчас имеют очень маленькое значение (в плане безопасности). Лидеры в этом — Palo Alto, SonicWALL, Checkpoint и Fortinet. Cisco тут практически отсутствует.
Ты сказал, что у тебя SonicWALL? Какая модель? Три года — это не так уж много, если у тебя не старое поколение оборудования. Новое поколение (NSA серия) очень хорошее. Обновление с устаревшей серии (PRO серия) — большое улучшение. SonicWALL часто лидирует по последним функциям. Если ты с ними доволен и имеешь устаревшее устройство, рекомендую продолжать их использовать.
Если бы я начинал с нуля, выбрал бы Palo Alto, хотя их платформа сейчас менее зрелая (но в авангардной сфере).
Имей в виду, что кроме железа, нужно платить за лицензии, ни одно из этих устройств не предлагает все классные функции Application/UTM бесплатно на начальной аппаратуре.
Checkpoint — отличная вещь, легкая в использовании и очень гибкая. Можно использовать свой собственный тип или приобрести устройство, также базовое обучение недорого.
По моему опыту, Checkpoint и ASA — самые распространенные в крупных компаниях.
У меня Meraki активно пытается убедить меня перейти с Watchguard и Sonicwall. Это сильно зависит от цены. У Watchguard почти у всех есть преимущества.
Ок. Краткий список. PFSense, M0n0wall, Untangle, PF. Все полезны 
Кто-то голосует против всех рекомендаций по Checkpoint… возможно, представители Palo Alto?
Я люблю Stonesoft Stonegate, возможно, это больше корпоративное решение. У них лучший менеджерский сервер для управления множеством узлов межсетевых экранов, политиками и т.п.
Если собираешься развертывать несколько межсетевых экранов и есть несколько “администраторов межсетевых экранов”, я бы выбрал Stonegate.
Это основано на работе с Checkpoint более 10 лет. Работа с Juniper SRX (там только CLI, не могу комментировать их NSM, так как последний раз использовал этот хлам — это было сразу после ребрендинга Netscreen. Возможно, многое изменилось). Хотя я не очень доволен Juniper SRX. Не очень верю в концепцию “зоны”, а также иногда они делают что-то неправильно (по моему опыту, особенно в отношении политики, NAT и “маршрутизации”).
ASA не ужасен, просто довольно ограничен. Для этого опроса нужно знать сценарий использования. Навыки инженеров, размер и тип внедрения — важные факторы.
Межсетевой экран для офиса с UTM? Palo Alto или Checkpoint.
Высокоскоростной датацентр, где не критична UTM? Fortigate, Checkpoint или ASA.
Если много маршрутизации или VPN — Juniper.
Все эти продукты имеют свои плюсы и минусы.
Еще один за Juniper. Не пробовал Fortigate. Много использовал Cisco.
Это просто означает, что вы купили Sonicwall, который недостаточно мощный для ваших пропускных способностей. Не вижу проблемы с платформой SonicWALL.
Обработка полного Deep-Packet-Inspection — ресурсоемкая задача для любых производителей. Рад, что банки отключают сетевые службы безопасности, чтобы быстрее загружать данные…
Да! Mikrotik — крутые устройства, немногие о них знают. Отличное соотношение цена/качество с фантастическими возможностями.