السلام عليكم ,

انا فى شركة عددنا حوالى 40 واحد وقابلين للزيادة , عايزين نشترى فايروول External من سيسكو بس انا لقيت تفاوت فى الاسعار وموديلات كتيرة ,
انا لقيت الموديل ده بحوالى 3الاف جنيه Cisco ASA 5505 ياترى ده يوفى بالغرض ؟؟؟

انا هايبقى عندى ايزا فايروول كفايروول داخلى للمستخدمين وهاضع الفيروول السيسكو خارجى
احنا هايبقى عندنا ميل سيرفر و ويب سيرفر و FTP ودومين طبعا وكده


ثانيا ارغب ايضا فى شراء راوتر بيدعم Load Balance واركب عليه خطين ADSL من شركتين مختلفتين بحيث لو واحد وقع يبقى التانى موجود بس مش عارف انى افضل موديل لكده وكمان لو حد تكرم يقولى ده هايشتغل ازاى خصوصا ان الميل سيرفر هايبقى ليه Static IP

انا لقيت الموديل ده مش عارف اذا كان كويس ولا لأ Cisco RV042 4-port 10/100 VPN Router - Dual WAN

أنا انصحك تبعد عن سيسكو بمواضيع الفايرول لإنها ثمنها مرتفع جداً بالمقارنة مع غيرها.

كونه عندك عدة سيرفرات انصحك بأن تبحث عن حلول Firewall + UTM
UTM هي Unified Threat Management ووظيفتها فحص البيانات الداخلة والخارجة للشبكة من خلال خطوط الانترنت وتشمل ما يلي (Antivirus, Anti-spy, Anti-spam, Web filtering) جميعها او مجموعة منها حسب الحاجة وهذه لها اشتراكات سنوية. وهنا من الضروري معرفة قيمة الاشتراكات السنوية ل UTM

في شبكتنا مستخدمين Juniper Firewall SSG-550 وعاملين Manual load-balance لأن هناك اكثر من ISA server.

بسم الله و الحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
فعلاً سيسكو في مجال السيكيوريتي مش رقم و احد حالياً
وانصحك بشراء fortigate فهي كما قال الأخ هي utm+firewal+ip+>>>>>>>>>>>
ولو عايز تشوفها الطبيعة ده simulator ليها:
https://www.fortigate.com/index

user name :demo
pass: fortigate
وصلي الله وسلم وبارك علي المصطفي و آله وصحبه وإخوانه أجمعين.

أنا ايضا انصحك بال fortigate وخصوصا بعد ان جربنا Cisco ASA 5550

اشمعنى Fortigate طب وبالنسبه للسيسكو الموديل ده ماله بالضبط ؟؟؟؟؟؟؟؟؟؟؟؟

أخى الكريم أول مشكلة فى ال Cisco ASA لايدعم الTow ISPs أى انه لا يمكننى تشغيل الاثنين فى ان واحد,على العموم نحن لدينا تجربة وخبرة واسعة فى الاثنين ,أخى لدى عن هذا الموضوع Power point Presentation تم اعدادة بواسطة شخصى الضعيف , وهو عبارة عرض (nontechnical Power point Presentation )وذلك لاقناع الادارة بفائدة ,واهمية ال UTMs لكن فى الحقيقة لا أعرف كيفية عملUploading لهذا العرض.

أخى الكريم أول مشكلة فى ال Cisco ASA لايدعم الTow ISPs أى انه لا يمكننى تشغيل الاثنين فى ان واحد,على العموم نحن لدينا تجربة وخبرة واسعة فى الاثنين ,أخى لدى عن هذا الموضوع Power point Presentation تم اعدادة بواسطة شخصى الضعيف , وهو عبارة عرض (nontechnical Power point Presentation )وذلك لاقناع الادارة بفائدة ,واهمية ال UTMs لكن فى الحقيقة لا أعرف كيفية عملUploading لهذا العرض.

يعطيك العافية على ردك الجميل

لو تقدر تحمل الملف بكون ممنون لك

بس انا عندي سؤال مين قال انه سيسكو فايرول مش ممكن انه يشغل Two ISP ؟

الوحيد اللي مش بيدعم الموضوع هاد اللي هو ASA5505 بس كل الباقي بيدعم هالموضوع

ممكن تفيدنا أكتر لو تكرمت ؟

تحياتي

يا اخى العزيز

بالنسبة لتحميل الملف لم يسبق لى ان حملت ملف قبل ذلك ,دلنى على الطريقة و أنا ان شاء الله ارفعه لك.

أما بالنسبة ل Cisco ASA فنحن لدينا ASA 5550 وهو بشغل Two ISPs لكن ليس فى ان واحد بحيث يكون واحد شغال والثانى Backup وهذه واحدة من اهم المشاكل التى واجهتنا لانة نحن شركة كبيرة ومحتاجين للاثنين يشتغلوا مع بعض.

هو احنا فعليا عايزين خط انترنت يبقى باك اب عشان لو واحد وقع ... طب هى ايه الميزة ان اشغل الاتنين مع بعض ما ممكن ترفع من سرعه خط منهم وخلاص

طب وبالنسبه للراوتر جايبين انى واحد ؟

وانى فايروول سيسكو او جونيبر هايبقى احسن

يا اخى العزيز

الميزة هى انه أنا بستفيد اولا من الجهاز فى عملية ال Load Balance

ثانيا : انةسوف يكون كل واحد Backup للاخر وده الشئ المهم والاساسى.

ممكن نوضح الموضوع بصورة اخرى

لو أناعندى جهاز بشتغل لى Backup و Load Balance
والاخر فقط Backup أيهما احسن أكيد أحسن الاول

ثم ثانيا انت فى كلا الحالتين بتدفع ل Two ISPs

شكرا لك اخى العزيز على النصيحه , طب تعرف انى نوع فى جونيبر بيدعم الكلام ده ؟

شكرا ليك مره اخى

أخى العزيز

هناك نقطة مهمة جدا وهى بخصوص ال Configuration و التعامل مع الFirewall

وهى انو ال fortigate منظم ومرتب وأسهل و أوضح بكتير من Cisco ASA

أما بخصوص الموديل , يوجد عدد كبير جدا من موديلات ال fortigate التى تدعم ذلك , ويتم تحديد الموديل حسب حجم المؤسسة و توسعها فى المستقبل فنحن مثلاً لدينا fortigate 310B

و شكراً

يا اخى العزيز

بالنسبة لتحميل الملف لم يسبق لى ان حملت ملف قبل ذلك ,دلنى على الطريقة و أنا ان شاء الله ارفعه لك.

أما بالنسبة ل Cisco ASA فنحن لدينا ASA 5550 وهو بشغل Two ISPs لكن ليس فى ان واحد بحيث يكون واحد شغال والثانى Backup وهذه واحدة من اهم المشاكل التى واجهتنا لانة نحن شركة كبيرة ومحتاجين للاثنين يشتغلوا مع بعض.

أخي العزيز

للمرة الثانية ال ASA5505 هو الوحيد مش بيدعم موضوع ال Active/Active انا كل الباقي مفيش أي مشاكل

المشكلة بتكمن في موضوع ال BGP يعني لو انت عندك اتنين راوترز وبعديهم الفايرولز انا مش شايف اي مشكلة

ولو في مشكلة ممكن تقولها ؟

حاجة تانية يمكن خارجة عن الموضوع ممكن اعرف ليش ال ASA5550 للانترنت الفايرول هاد كبير جدا انه ينحط للانترنت

واخيرا انت متأكد انه ASA5550 ومش ASA5505

تحياتي

أخى الكريم رومانسيات

لاحظ ان الموديل ASA5550 و ذلك كما قلت سابقاً نحن شركة كبيرة(مؤسسة صناعية) وهو من الموديلات الحديثة ولا يدعم Active/Active

بأختصار ASA لاتدعم Active/Active

أما بالنسبة لسؤالك اين المشكة ؟

المشكلة لماذا يكون عندى راوترين لماذا ؟ لماذا هذا العدد من الاجهزة؟

أخيراً نحن لانستخدم ASA5550 من أجل الانترنت فقط

نحن نسخدم ASA5550 و متأكد من ذلك

بالمناسبة fortigate بشتغل

1- Firewall
2-Router
3-Proxy
4-Anti-virus Gateway
5-Web Filter
6-IPs
ودول كلهم فى جهاز واحد.

هلا

لو قعدت للصبح أتكلم معك وأقلك انه بيدعم Active/Active شكلك مش حتقتنع الا باثباتات :)

https://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html

للتوضيح أخي العزيز

يعي شركتكم الكبيرة عندها اتنين فايرولز وما عندهاش اتنين راوترز ؟؟؟؟

وضح أكتر ؟

يا أخى العزيز

لقد قلت لك سابقاً نحن اصحاب خبرة وتجربة فى ASA5550 و fortigate

ولو رجعت لبداية الوضوع تجد ان أخونا بسأل عن Load Balance وهذا بيت القصيد

سيسكو بدعم ال Active/Active ل (High Availability) فقط , أى تشغيل جهازين مع بعضهما البعض Two ASA وليس Two ISPs,ودا موضوع مختلف يتعلق بRedundancy

أما لو عايز تشغل Two ISPs فى نفس الوقت أى Active/Active فهذا مستحيل ,عارف ليه؟

لانة عند توصيلك ل Two ISPs فهذا يعنى اننا نستخدم ال Default Route لكل واحد و فى هذه الحالة لا بد أن تكون ال (Metric ( Distance متساوية وهذا ما لا يسمح به ال ASA .

وبهذا نرجع للنقطة الاولى حيث يكون واحد Active والاخر Backup لان قيمة ال Metricمختلفة أى ان واحدة أكبر من الاخرى.

و شكراً

طب فى حاله انى جبت راوتر فيه Load Balance مش ده هايغنى عن ان الخاصيه دى مش موجود فى سيسكو A5505 ?

ثانيا انا مش مستريح لل Fortigate اريد حصر الاختيار ما بين سيسكو وجونيبر

فاى موديل مناسب لي ؟؟

أحى العزيز

فى حاله انك جبت راوتر فيه خاصية Load Balance طبعا مافى أى مشكلة .

أما بالنسبة ل Fortigate فهم و Juniper كانوا شركة واحدة بعد ذلك أنفصلوا , فأنا فى رأى انه لايوجد فرق كبير بينهم , لذلك انا اثق بهم تماما أعتمادا على تاريخهم القديم مع Juniper وكذلك تاريخهم الحديث و الذى هو محل تجربتنا الان.

بالنسبة للجزء الاخير اذا أنت غير مقتنع ب Fortigate فأنا أنصحك ب Juniper لكن للاسف الشديد ليس لدى خبرة عن هم.

وشكراً

أخى الكريم أول مشكلة فى ال Cisco ASA لايدعم الTow ISPs أى انه لا يمكننى تشغيل الاثنين فى ان واحد,على العموم نحن لدينا تجربة وخبرة واسعة فى الاثنين ,أخى لدى عن هذا الموضوع Power point Presentation تم اعدادة بواسطة شخصى الضعيف , وهو عبارة عرض (nontechnical Power point Presentation )وذلك لاقناع الادارة بفائدة ,واهمية ال UTMs لكن فى الحقيقة لا أعرف كيفية عملUploading لهذا العرض.


اخي أين ال Presentation nontechnical Power point

أخي الخبير :)

احنا كان كلامنا على موضوع ال Active/Active انت بردك الأول ذكرت التالي


أخى الكريم رومانسيات

لاحظ ان الموديل ASA5550 و ذلك كما قلت سابقاً نحن شركة كبيرة(مؤسسة صناعية) وهو من الموديلات الحديثة ولا يدعم Active/Active

بأختصار ASA لاتدعم Active/Active

أما بالنسبة لسؤالك اين المشكة ؟

المشكلة لماذا يكون عندى راوترين لماذا ؟ لماذا هذا العدد من الاجهزة؟

أخيراً نحن لانستخدم ASA5550 من أجل الانترنت فقط

نحن نسخدم ASA5550 و متأكد من ذلك

بالمناسبة fortigate بشتغل

1- Firewall
2-Router
3-Proxy
4-Anti-virus Gateway
5-Web Filter
6-IPs
ودول كلهم فى جهاز واحد.

وكان واضحا من شركتكم الكبيرةان هذا الموديل الحديث لا يدعم ال Active/Active

وبعدين رديت وقلت الاتي:

سيسكو بدعم ال Active/Active ل (High Availability) فقط , أى تشغيل جهازين مع بعضهما البعض Two ASA وليس Two ISPs,ودا موضوع مختلف يتعلق بRedundancy

بغض النظر عن ISP أو غيره احنا كان نقاشنا عن ال Active/Active :)

عموما أخي العزيز أرجو كان النقاش فيه فائدة للكل وموضوع ال default route ما أتوقع انه مشكلة بوجود ال multiple context

بصراحة الفرق بين ال Two Products اللي هم سيسكو و فورتنت موضوع السهولة

تحياتي وشكرا للمعلومات

الاخ العزيز رومانسيات

أشكرك على هذا التفاعل الثر ,الذى يجسد بحق ال Knowledge Sharing بعكس ال Information Sharingوالتى للاسف يركز عليها الكيثير من الاخوة الافاضل ,حيث يركزون جل جهدهم فى نقل المواد التعليمة والامتحانات والحصول الشهادات ,بحيث لو أن هنالك شخص واجتهة مشكلة ولو كانت بسيطة ,تجد عدد محدود ,هم الذين يستطيعون مد يد العون والمساعدة فى حل تلك المشكلة ,بالرغم أننا نعلم أن هنالك عدد ضخم لديهم شهادات على مستوى ال Professional

أخى العزيز أنا لست خبيراً ولا أملك أى شهادة فى مجال ال Security ,أتمنى من الله ان أصل تلك المرحلة فى القريب العاجل.

أخى ذكرت لى أن نقاشنا كان عن ال Active/Active ويبدو أن هذة هى نقطة اختلافى معك ,لأنى كنت أناقش الموضوع من وجهة نظر صاحب الموضوع الأصلى الأخ MCSE2009 والذى كان بسال عن Firewall و Router بدعم ال Load Balance و كما قلت لك سابقاً هذا بين القصيد, لأن ال Active/Active هى عبارة عن Concept
ليس مقصور على Cisco ففى Cisco ASA ال Active/Active يعنى ال Redundancy)High Availability ) أى Two Devices أما فى الشركات الاخرى مثل Fortigate فيعنى الRedundancy) High Availability )وكذلك يعنى ال Load Balance ل Two ISPs

أما موضوع ال :default route

Cisco support only Policy-based NAT not Policy-based Route which is required to manage multiple WAN link

و ال multiple context فرأينا فية كالأتى:

Multiple context is a feature means that you can add multiple virtual firewalls on the same physical firewall, but within the same context you can’t do active/active load balance for multiple WAN link.

أخى سأحاول أن ارفع لك ال Presentation وقد تم تصميمة قبل عامين ونصف وحقق الغرض المطلوب ,ارجو منك أن تعطينى رأيك فيه.

https://www.4shared.com/file/lkJ3VM-M/Ahmedrami-IT.html

السلام عليكم

شكرا جدا على المعلومات الروعة والبرزنتيشن الأروع

بس أنا بصراحة مش حابب نسكر الموضوع :) لأنه أكيد كل واحد بيدخل على الموضوع حابب يكمله ويقرأ فيه أكتر وأكتر عشان نستفيد كلنا

لكن أنا عندي بعض التعليقات:

1- أول شي سيسكو فايرول تستطيع ان تدعم موضع ال Anti-Spam+Ant--Virus+URL filtering وشغلات كتيرة ولكن عن طريق ما يسمى CSC module اللي بيتركب في الفايرول او ممكن يكون IPS مع ملاحظة أن بعض المميزات غير موجودة زي موضوع ال proxy

2- بالنسبة لموضوع ال policy based routing أنا كنت من الناس اللي أطالب وبشدة الموضوع هاد يكون على ال ASA firewall وان شاء الله انه راح يكون قريبا هناك حسب ما حكولي سيسكو. ولكن برأي المتواضع انه الموضوع راح يبقى مشكلة وما راح يكون عبارة عن load balancing solution لأنه احنا هنا بنتكلم عن توزيع الtraffic بناء على criteria معينة وهو ما يتحقق اما عن طريق ال PBR او حتى عن طريق ال multiple context وليست automatically

3- انا برأيي انه سيسكو حلها الوحيد عشان تطبق ال load balancing هو انها تجيب external load balancer عشان يحقق المطلوب ويوزع الحمل ولكن سؤالي كيف بيكون موضوع ال default route وهل راح تنحل مشكلته ؟

4- انت ذكرت اخي انه الفايرول ما بيسمح انه يكون ال default routes فيها ال metric متساوية , طيب لو كانوا متساوية كيف راح يتوزع ال traffic بينهم ؟

عموما الموضوع جميل والنقاش معك أخي العزيز أجمل وشكرا على صاحب الموضوع

تحياتي

Regarding to your question, If the metric is equal how can the firewall distribute traffic ? let us demonstrate this by example:

here we have two default route

For ISP1 0.0.0.0 0.0.0.0 192.168.20.1
For ISP2 0.0.0.0 0.0.0.0 192.168.10.1

and i have two networks 10.10.10.0 & 11.11.11.0

according to Policy-based route:

Network 10.10.10.0/24 go through ---> 192.168.20.1
if fail 10.10.10.0/24 go through ---> 192.168.10.1

And vice versa for network 11.11.11.0
11.11.11.0/24 ---> 192.168.10.1
11.11.11.0/24 ---> 192.168.20.1

لقد لمست أن في أروبا منتوج مستعمل بكثرة و ذلك بعد التكلم مع بعض الأصدقاء
فيما يخص قضية ال load balancing ألا وهو ال F5 فأرجو من الإخوة إلقاء نظرة عليه و إعطاء رأيهم
https://www.f5.com/products/

لقد لمست أن في أروبا منتوج مستعمل بكثرة و ذلك بعد التكلم مع بعض الأصدقاء

فيما يخص قضية ال load balancing ألا وهو ال F5 فأرجو من الإخوة إلقاء نظرة عليه و إعطاء رأيهم
https://www.f5.com/products/



أخي العزيز

F5 من أفضل المنتجات وأقواها في موضوع ال LB وغيرها من ال Application devices

منتج قوي جدا وبصراحة أنا أخدت أكتر من مشروع بسبب وجوده

تحياتي

يا شباب انا مش عارف اقول اية غير بجد براقو عليكم على المجهود الرائع دة
وهى دية الموضوعات المفيدة فعلا
وانا اشتغلت على Fortigate بس هو فعلا كويس جدا
بس انا مجربتش Juniper فنا عندى اقترح لو حد يقدر يعمل لينا قيديو يشرح الشغل
على Juniper ولو با ختصار
وكمان اللى اشتغل على F5

وشكرا على المجهود الرائع بجد

إذا أردت أشياء عن الجونيبر فأرجو أن تلقي نظرة عن مدونة الأخ أيمن
https://www.networkset.net/category/juniper/

أو قسم الجونيبر
https://www.arabhardware.net/forum/forumdisplay.php?f=170

و إلا فموقع جونيبر يمدك بفلاشات سريعة عن ال Junos
https://www.juniper.net/us/en/training/elearning/jsl/course_start.html
https://www.juniper.net/us/en/training/technical_education/

أما ال F5 فالله أعلم
المواد المتعلقة به ناقصة كثيرا
و الله ولي التوفيق

الاخوه الاكارم اريد توصيل فورتقيت fortigate مع isa server
الرجاء المساعده

ال user , pass ال demo مش بيدخلوا معاي ....