Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Submitter: Bl@ckbird

Cisco stopt met de verkoop en de verdere ontwikkeling van zijn PIX-firewalls, zo heeft het bedrijf aangekondigd. De firewalls in de PIX-lijn vormden meer dan tien jaar belangrijke producten voor de fabrikant van netwerkapparatuur.

De eerste Private Internet eXchange-firewall werd in 1994 ontworpen door het bedrijf Network Translations. Het apparaat werd al snel een succes waardoor het de aandacht van Cisco trok, die Network Translations daarop in 1995 overnam. Vanaf de introductie in 2000 vormde de PIX 500-serie jarenlang dé firewall van Cisco, maar daar kwam in 2005 een einde aan met de introductie van de ASA 5500, die in feite een combinatie vormde van Cisco's PIX-, VPN 3000- en IDS-lijnen.

Cisco heeft daarop maandag de end-of-sale- en end-of life-data aangekondigd. Vanaf 28 juli dit jaar is het niet meer mogelijk een nieuwe PIX aan te schaffen en na januari 27 2009 stopt Cisco met de levering van accessoires en het verstrekken van licenties. Verder worden er na 28 juli 2009 geen nieuwe software-updates meer geschreven en wordt op 27 juli 2013 de ondersteuning definitief stopgezet.

Cisco PIX 500
Moderatie-faq Wijzig weergave

Reacties (37)

De markt wil ook die geintegreerde apparaten. De ASA, of een Netscreen, die naast firewall, ook de IDS en VPN Concentrator kunnen spelen.
De vraag is of iedereen dit wilt.

Voor een wat kleiner bedrijf is het goed voorstelbaar dat uit het oogpunt van beheerskosten er liever van één apparaat gebruik gemaakt wordt als van meerdere. Desalniettemin zijn er veel kleine maar vooral de grote bedrijven die liever de functionaliteit gescheiden zien. Dit levert een betere beheersbaarheid en een hoger niveau van controle op. Kennis en kunde kan bijvoorbeeld beter toegespitst worden.

Ook de beschikbaarheid kan op een hoger niveau getild worden wanneer de functionaliteit gescheiden is. Als er een onderdeel kapot gaat ben je niet ik één keer alles kwijt. De keerzijde is natuurlijk dat er met meer apparatuur meer kans is dat er iets uitvalt.

Daarmee vind ik het dus jammer dat deze dedicated lijn van firewalls van Cisco verdwijnt.
Het ASA platform is redelijk modulair. (En voor de PIX was er ook een VPN kaart.)

Voor de instap ASA zijn er 10, 50 en unlimited userlicenties. (Zoals bij de PIX501)
SSL VPN is aan licenties gebonden en voor antivirus en IDS zijn er apparte modules.

Bovendien is de hardware afgelopen jaren redelijk krachtiger geworden.
Ik denk dat een extra VPN DSP chip gesoldeert op een PCB,
niet zo'n grote invloed heeft op de MTBF waarde.

Als downtime belangrijk is, kun je de ASA in failover zetten.

Edit 1: Ook @ Razwer en pocketpc2003
Edit 2: @ loodgieter: instap ASA = ASA5505 En je vergeet de 5580-20 en 5580-40 ;)

[Reactie gewijzigd door Bl@ckbird op 29 januari 2008 22:46]

Denk dat er in de ASA een iets betere scheiding gemaakt kan worden dan alleen 10, 50 unlimited versies

ASA 5505
ASA 5510 met/zonder sec+
ASA 5520
ASA 5540
ASA 5550 Alleen interesant voor ISP als front end firewall

Daarnaast bied de ASA een mooie Content oplossing in de vorm van de CSC module deze module bied onderandere Anti-spam, Web filtering content filtering etc. En is te vekrihgen vanaf de ASA 5510.

Zelf bieden wij alleen maar Cisco aan wat betreft security bij de klanten. Een ASA 5505 is voor ene kleine klant een erg mooie oplossing. Met de komst van de UC500 (Unified Communications) serie zal dit alleen nogmaar beter worden.

UC 500 combineert
Routing
AutoAttendant
Firewall
Wireless networking (is niet standaard)
VPN
CTI apps including access to Outlook, Microsoft CRM and Salesforce.com
VOIP Phones
Voice Gateway Functions via FXS and FXO ports
Voicemail
@ Kikkervis

Je gebruikt een hoop management taal. Ik begrijp je standpunt, maar ben het er niet helemaal mee eens.

Als er een onderdeel kapot gaat ben je niet ik één keer alles kwijt.

Maar als elk onderdeeltje in z'n eigen functionaliteit voorziet, dan heb je alsnog grote kans dat je plat ligt als een van die onderdelen eruit klapt. Dus daarin moet je ook nog redundancy inbouwen.

Net zoals je met dit soort all-in oplossingen redundancy inbouwt.
Met de plannen voor virtualisatie kan je dadelijk wss ook in een apparaat die 3 losse apparaten virtueel draaien. Dan lijkt het softwarematig toch 3 losse componenten.
Het "Don't put all your eggs in one basket" idee.
Er is meer dan alleen de Cisco oplossing.
Voor de eenvoudige oplossing is er inderdaad niks mis mee Een groot voordeel is dat Cisco spul natuurlijk goed samen gaat met ander Cisco spul wat er al stond, beheer is eenvoudiger en natuurlijk nog meer korting.
Ik zeg ook niet dat pix'en nergens thuishoren. Ik vind (mijn mening) het nog steeds dat de concurrenten een completer product afleveren. Ik werk dagelijks met verschillende type firewalls en dan krijg je wel voorkeuren, net als dat een CCIE'r met een roze cisco-bril opzit.
Voor als je het onderwerp interessant vindt
Het kan zijn dat de firewall producten van Checkpoint beter zijn, maar de oplossing van Cisco vind ik beter. Cisco heeft low end ASA's en high end 10Gbps ASA's en de Firewall blade. Daarnaast zijn er losse IDS / IPS appliances. Elke Cisco router kan voorzien worden van IOS firewall / IPS en VPN mogelijkheden. Al deze componenten kunnen centraal beheerd worden door de MARS SIEMS oplossing en Cisco Security Manager.

Het netwerk kan men zo end-to-end beveiligen, in plaats van dat men één poortwachter heeft. (namelijk de firewall) Men gaat van een eiland naar een vliegveld model, met verschillende groepen users en verschillende security zones. Met de huidige trend van transparantie en mobiliteit van gebruikers, is dat denk ik wel de richting waar we op gaan.
De checkpoint vpn/firewall kan toch ook op elke router (behalve Cisco) en die wordt toch ook centraal beheerd!? (is er een andere manier?).

10Gbps klinkt ook niet echt als high end

Als Cisco ook op poort nivo binnen een vlan werkt dan heeft het wel voordeel maar alle andere dingen zijn toch behoorlijk normaal voor een firewall lijkt me.
Ik wil helemaal geen geintegreerde apparaten. voor mij gewoon apart , stabieler en minder snel problemen. Daarbij willen bedrijven geen licentiesleutels voor een jaar ...het moet gewoon altijd werken voor zo'n hoop geld... lijkt me voldoende.
Waar haal je die onzin vandaan over licentiesleutels voor een jaar? Eenmaal geinstalleerde licenties blijven gewoon tot in de eeuwigheid werken op een ASA.

Enkel de licenties voor de Content Security varianten zijn een jaar geldig, maar dat is omdat je ook periodiek updates tegen de laatste threats krijgt. Als die verloopt ben je ook niet de functionaliteit kwijt, alleen krijg je geen updates meer.

[Reactie gewijzigd door 19339 op 29 januari 2008 10:40]

Netjes van Cisco dat ze alle data geven van hoe en wat betreft de levering/licenties/updates en ondersteuning.
Dat is gebruikerlijk in de IT wereld. Je wil j klanten niet in de kou laten staan. daarom bied je hen een zo smooth mogelijke overstap. Eén van de aspecten daarin is duidelijkheid over wanneer het definitief gedaan is :)
Oh, ik had eigenlijk de indruk dat de PIX al een tijdje verleden tijd was.
Ik had inderdaad een tijdje geleden ook al wel iemand van Cisco aan de lijn die ons een vervanging voor de PIX aan wilde smeren, maar dat hadden we inmiddels al anders opgelost, pech gehad :P
Er kwam al (lang) geen nieuwe hardware uit, wel software. Dat laatste zal nu wel op een heel laag pitje gezet worden. Konden de laatste versies nog op een PIX draaien of alleen ASA?
De laatste versies (7.0, 7.1, 7.2, 8.0) zijn beschikbaar voor zowel PIX als ASA.

[Reactie gewijzigd door 19339 op 29 januari 2008 10:46]

Maar niet voor de PIX501 en 506E.
Deze blijven hangen op 6.3
Heeft meer te maken met de hoeveelheid flash geheugen de apparaten beschikken. Vanaf 7.0 was dit uit mijn hoofd iets van 16 mb. Ik meen dat de 506 iets van 8 aan kon.

Je kon een flash upgrade laten uitvoeren op de 506E. Dan zou het misschien weer wel mogelijk zijn.
jammer dat je verplicht ben om nu overkill te kopen als je alleen een firewall wilt. Wij hebben bergen PIXen binnen ons bedrijf en zullen nu mogen migreren in 2009. Voor VPN hebben we aparte concentrators...
Je kunt ook naar een ander merk overstappen :P
Of consolideren waar mogelijk
hmmzz wat is er mis met een linux/unix kernel en iptables/packet filter ?
ssh als extra optie er bij en je kan remote je firewall/gateway beheren.

de "kant en klaar" producten zo als de pix series van cisco zouden volgens horen en zeggen best aardig werken als je geen problemen hebt met eens per maand alles rebooten voor een update of iets..

of dit klopt .. geen idee heb alleen cisco catalyst switches staan die goed dr werk doen
heb voorheen budged 3com switches gehad die regelmatig vast liepen dat doet een catalyst 2924-xl zeker niet .

de meeste van deze producten draaien niks anders als een embedded linux distro met een packet filter..

cisco heeft volgens mij een goed beeld van de markt,
zeker als het gaat om wat gewenst is en wat nodig is.
de "kant en klaar" producten zo als de pix series van cisco zouden volgens horen en zeggen best aardig werken als je geen problemen hebt met eens per maand alles rebooten voor een update of iets..
Nooit met een PIX gewerkt merk ik :?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True