Acho que reduzi para 3 dispositivos na nossa faixa ideal de recursos/preço, mas estou um pouco curioso sobre o TCO devido às atualizações de segurança baseadas em taxas. Isso nem sempre é claro nas letras miúdas.
Requisitos, nada muito sofisticado:
Gerenciar menos de 50 endpoints na rede, com espaço para crescer.
VPN cliente para um punhado, digamos 5-10.
Baixos custos recorrentes (organização sem fins lucrativos que estica o orçamento)
Dell Sonicwall TZ215 ~$750
Clientes de VPN simultâneos 2 (?)
Atualização de definições de segurança com assinatura, custo desconhecido
Fortinet Fortigate 60D ~$550
Clientes de VPN simultâneos 10 ou mais
Atualização de definições de segurança com assinatura, custo desconhecido
Juniper SRX110 Services Gateway ~$570
Clientes de VPN simultâneos 10 ou mais
Custo de atualização das definições de segurança desconhecido
Alguma vantagem/desvantagem principal de cada um, e qualquer insight sobre custos anuais de atualização é muito apreciado. Não me importo de aprender um pouco de comandos proprietários, mas não quero pagar o custo da unidade em assinaturas a cada dois anos.
Eles certamente vão te enrolar com os custos recorrentes, que é onde a maioria das empresas ganha dinheiro atualmente. É uma economia de serviços agora. Usei os 3 e todos funcionam bem o suficiente. Ouvi falar muito bem do Fortigate para o segmento de pequenas empresas.
Pedir cotações para suporte (substituição de hardware E assinaturas de segurança) e usar isso como guia. Se o custo não eliminar uma opção, então verifique a eficiência de segurança.
Fortinet é uma ótima unidade que é extremamente fácil de configurar. A interface é fantástica e a CLI é aceitável uma vez que você se familiarize com ela.
Você não precisa do conjunto de recursos UTM pagos se estiver usando apenas para NAT/Basico de VPN.
O UTM é o que o torna extremamente poderoso quando você começa a lidar com filtragem web, proteção contra vazamento de dados, IDS/IPS, etc.
Se fosse por essas opções, escolheria o Fortigate, eles são fáceis de trabalhar mas o suporte às vezes é doloroso. Talvez me rebaixe por isso, mas a linha Meraki MX também é altamente amigável à configuração e funciona bem, independentemente do custo da assinatura.
Para o componente VPN, estou pensando se há servidores Windows no local. Prefiro afastar os VPNs do cliente dos firewalls para eliminar custos recorrentes. Existe uma função no Windows Server que o transforma em servidor VPN, e a conexão pode ser implantada nos dispositivos clientes via GPO. Prefiro executar VPNs site-to-site no firewall, mas VPNs de cliente funcionam melhor em uma plataforma Windows.
RRAS e SonicWall é uma configuração decente para pequenas empresas. Fácil de gerenciar, e muito fácil para o usuário final. Não é um 5540, mas serve, galinha. Serve bem.
Recomendaria com certeza a SonicWall. A GUI é um pouco estranha e você precisa entender um pouco da terminologia deles, mas a equipe de suporte e as publicações deles são muito mais confiáveis do que a Fortinet. Já tive más experiências com Fortigate 60c/80c, um deu problema completamente e o outro jogava pacotes por uma hora de forma esporádica.
Isso parece um recurso incrível para grandes empresas, mas não parecia ter nada voltado para o meu tipo de hardware mais simples. Ainda assim, vou passar um tempo lá só para entender a nomenclatura.
Este definitivamente será de frente para fora. Outro local que gerencio tem um Fortinet 80c usado exatamente como você descreveu, para NAT/VPN para a matriz. Foi isso que me levou a considerar o Fortinet, já que dei uma olhada mais profunda. Não gerencio essa unidade, mas sei que os responsáveis do escritório principal não se importam com os pacotes de atualização de segurança.
Atualmente estamos trocando um Sonicwall antigo com histórico de atualizações instáveis. Não consegui implementar nem as conexões VPN limitadas deles porque apenas abrir a porta causava crashes constantes devido à carga externa. Tentei bloquear tudo que pude, mas…
Minha pesquisa indica que o suporte da Fortinet tem uma reputação muito difícil, e esse é seu maior ponto negativo na minha opinião. Não sou um especialista em segurança de rede e o custo de um problema sério é maior do que eu economizaria na compra, digamos, do Juniper.
Li que o hardware juniper srx é ótimo, mas a interface de gerenciamento é fraquinha e a linha de comando tem uma curva de aprendizado íngreme. Pode explicar sua experiência?
É um Sonicwall que saiu de linha e será substituído, então tenho um pouco de experiência com ele. Gostaria de escapar do modelo de pagamento eterno, mas parece improvável agora. Além disso, dois clientes VPN é menos do que eu gostaria.
Adoro a ideia do pfsense, mas esse cliente nem gosta da ideia de eu montar caixas para os funcionários. Infelizmente, não acho que eles aprovariam isso.