pfSense против Cisco ASA: какой брандмауэр лучше подходит для вашей сети?

В этой статье мы будем сравнивать два продукта безопасности — pfSense и Cisco Adaptive Security Appliance (ASA), чтобы помочь вам выбрать правильный брандмауэр для вашей сети. 
Мы рассмотрим каждый продукт индивидуально, рассмотрев их плюсы и минусы, а также обсудим, какие сценарии можно использовать и рекомендовать. 
pfSense и Cisco ASA можно классифицировать как устройства защиты периметра. 
В простейшей форме это устройство защиты обеспечивает защиту доверенных устройств (внутренних устройств) от ненадежных устройств (внешних устройств, таких как устройства в Интернете).

pfSense против Cisco ASA: какой брандмауэр лучше подходит для вашей сети?

pfSense

pfSense — это программное обеспечение с открытым исходным кодом для маршрутизации и межсетевого экрана, основанное на дистрибутиве FreeBSD. 
Базовое программное обеспечение поддерживает множество функций, в том числе:

  • Статическая / по умолчанию / динамическая маршрутизация 
  • Полноценный firewall 
  • Трансляция сетевых адресов (NAT) 
  • Виртуальные частные сети (VPN) 
  • Протокол динамической конфигурации хоста (DHCP) 
  • Система доменных имен (DNS) 
  • Балансировка нагрузки и тд.

Кроме того, pfSense поддерживает множество дополнительных пакетов, которые можно установить одним щелчком, в том числе: 

  • Snort (для обнаружения и предотвращения вторжений) 
  • FreeSWITCH (передача голоса по IP) 
  • Squid (Прокси) 
  • Darkstat (Монитор сетевого трафика)

Из-за всех этих поддерживаемых функций и пакетов pfSense может быть лучше классифицировано как устройство Unified Threat Management (UTM).

Плюсы pfSense

Глядя на список функций выше, вы можете увидеть, что pfSense — очень впечатляющая программа. 
На самом деле, давайте начнем наш список с этих фактов:

  1. pfSense очень надежен и поддерживает множество функций и пакетов, перечисленных выше. Это означает, что одно устройство может выполнять все необходимые функции. Конечно, вы также можете думать об этом как о недостатке — единой точке отказа. Однако pfSense поддерживает высокую отказоустойчивость, то есть вы можете группировать несколько устройств вместе
  2. pfSense бесплатен! Это, вероятно, будет самым большим преимуществом. Само программное обеспечение pfSense является бесплатным, и вы можете загрузить образ программного обеспечения с их сайта здесь. Конечно, вам нужно установить программное обеспечение на некотором оборудовании (виртуализация также поддерживается), поэтому оно не является полностью бесплатным. Однако, даже взглянув на рекомендуемые требования к оборудованию, вы можете приобрести подходящее оборудование менее чем за 200 долларов. 
  3. Тот факт, что pfSense — это программное обеспечение, которое может быть установлено на любом оборудовании, делает его достаточно масштабируемым. Вы можете легко расширить ресурсы на своем оборудовании в случае, если ваша сеть нуждается в увеличении.

Примечание: Netgate предлагает выделенные устройства, такие как SG-2440 и XG-1541, которые работают с pfSense, поэтому это последнее преимущество не будет иметь места в таком выделенном оборудовании.

Минусы pfSense 

Обсудив преимущества pfSense, давайте теперь рассмотрим некоторые недостатки этого продукта.

  1. Тот факт, что pfSense является открытым исходным кодом, на самом деле может быть недостатком. По той же причине, по которой многие люди используют Windows / Mac, в отличие от Linux для настольных компьютеров, это та же причина, по которой люди будут использовать маршрутизаторы с закрытым исходным кодом, а не с открытым исходным кодом.  Это не означает, что pfSense ничем не уступает специализированным устройствам от конкурентов с закрытыми исходными кодами, но может столкнуться с некоторым сопротивлением доверия по сравнению с другими известными поставщиками.
  2. Существует также вопрос гарантированной поддержки. 
    Если вы не используете выделенное оборудование, предоставленное pfSense, и что-то пойдет не так, сможет ли pfSense решить вашу проблему, а не сошлётся по умолчанию на «аппаратную проблему»? 
  3. Настройка pfSense осуществляется через графический интерфейс пользователя (GUI). 
    PF расшифровывается как Packet Filter, являющийся межсетевым экраном с контролем состояния BSD, на котором основан pfSense. 
    Поэтому разработчики хотели упростить развертывание pfSense, предоставив графический интерфейс. 
    Тем не менее, чуткие люди, как правило, не любят GUI — это не достаточно сложно. 
    Зачем вам нужно нанимать и платить мне, чтобы я пришел и нажал «Далее»? 

Для малого бизнеса, который не желает / не может тратить целое состояние на маршрутизатор/брандмауэр, pfSense имеет смысл ставить, он предлагает множество функций в одном универсальном решении.

Cisco ASA 

ASA — это реализация Cisco межсетевого экрана. 
В отличие от pfSense, Cisco ASA — это в основном выделенное устройство брандмауэра, хотя у вас есть варианты для Системы обнаружения/предотвращения вторжений (IDS / IPS), фильтрации URL-адресов и защиты от вредоносных программ. 
Существует несколько моделей Cisco ASA в зависимости от размера сети, а также имеющих такие функции, как NAT, VPN.

Плюсы Cisco ASA

Чтобы узнать их уточним несколько фактов о Cisco ASA:

  1. Марка Cisco сильна в сетевой индустрии, и среди многих корпоратaивных пользователей существует общая лояльность к Cisco (вы когда-нибудь слышали шутку «никто не уволен за покупку Cisco…»). Если вы уже используете маршрутизатор или коммутатор Cisco (скорее всего, так и есть), вам может не понадобиться искать нового человека для настройки, когда пришло время купить брандмауэр — иногда может возникнуть проблема с совместимостью.
  2. Тот факт, что Cisco ASA работает на выделенном оборудовании (также доступна виртуализация), означает, что он обладает хорошей производительностью независимо от объема трафика, который необходимо обработать (с учетом ограничений модели). 
    Это также означает, что вы не только получите поддержку программного обеспечения ASA, но и Cisco предоставит поддержку его аппаратного обеспечения.
  3. Cisco получила право на сертификацию. 
    Создавая сертификационные экзамены, которые иногда очень трудно сдать, Cisco создала четкое представление о своих продуктах, не говоря уже о квалифицированных инженерах. 
    Вы, вероятно, будете чувствовать себя спокойно, зная, что у вас есть сертифицированный персонал, отвечающий за безопасность вашей сети.

Минусы Cisco ASA

С другой стороны, мы также можем упомянуть некоторые недостатки Cisco ASA:

  1. Стоимость. Продукция Cisco дорогая, точка. Мало того, что оборудование дорогое (по крайней мере, 400 долларов для самой маленькой модели), но вы можете в конечном итоге утонуть в непредвиденных лицензионных затратах. Например, если вы используете (бесплатный) OpenVPN в pfSense и хотите перейти на Cisco ASA, вам, вероятно, придется заплатить за большее количество лицензий AnyConnect, чем доступно по умолчанию. Вы хотите добавить IPS? Вы платите за это. Вы хотите защиту от вредоносных программ? Больше денег. На самом деле, существуют лицензии для включения функций «безопасность плюс», таких простых, как усовершенствованные алгоритмы шифрования (DES против AES).
  2. Как я уже упоминал ранее, Cisco ASA — это в первую очередь брандмауэр. 
    Добавление «функций», таких как IDS / IPS, не так просто, как установка пакета в pfSense.
  3. За исключением того, что вы используете виртуальное устройство адаптивной защиты Cisco (ASAv), вы зависите от конкретного аппаратного обеспечения модели ASA, которое у вас есть. 
    Если вам нужно масштабирование, скажем, ваши сетевые требования возросли, вам нужно будет купить другое оборудование. 
    Опять деньги.

Многие организации, используют Cisco ASA в качестве устройства защиты сети, и поскольку Cisco ASA выпускается во многих версиях, он может вписаться в любой размер сети.

Взаимное преимущество 

Есть что-то общее между этими двумя продуктами безопасности — хорошая поддержка. 
Одной из проблем, с которыми люди сталкивались в pfSense в прошлом, была нехватка поддержки. 
Однако, похоже, что это изменилось, поскольку теперь компания предлагает профессиональную поддержку помимо поддержки, предоставляемой сообществом пользователей. 
Cisco также имеет активное сообщество поддержки, а также предлагает профессиональную поддержку через Центр технической поддержки Cisco (TAC).

Выводы

 Это подводит нас к концу этой статьи, где мы сравнили pfSense и Cisco ASA. 
Мы выделили некоторые преимущества и недостатки каждого продукта безопасности, а также обсудили, где они лучше всего подходят. 
Мы пришли к выводу, что pfSense может лучше всего подходить для домашнего офиса или сети малого бизнеса, где не желают тратить много денег на дополнительное устройство. 
Тот факт, что вы можете получить множество функций (таких как DHCP, DNS, VPN, брандмауэр и т. Д.) в одном бесплатном программном обеспечении, очень впечатляет. 
Однако из-за проблем доверия к программному обеспечению с открытым исходным кодом более крупным организациям может быть неудобно использовать pfSense в качестве устройства защиты их сети. 
С другой стороны, Cisco ASA с ее различными моделями подходит для всех размеров сетей. 
Самым большим недостатком Cisco ASA является стоимость; 
так что если вы относитесь к малому бизнесу, вы можете искать менее дорогие альтернативные варианты.
Я надеюсь, что вы нашли эту статью информативной (и объективной).