У Check Point нет единого конфигурационного файла, как например у Cisco ASA. Это множество файлов. Самый простой способ собрать их — cpinfo.
Не совсем понимаю вашу задачу. Зачем редактировать без самого устройства в файлах? Это можно сделать на менеджмент сервере, а потом просто установить политику, когда устройство будет включено. Нужен только первоначальный коннект (SIC).
Сейчас еще Cisco с решением Firepower Threat Defence активно пытается продвигаться и конкурировать (что у них даже получается, ввиду их репутации и большой базы клиентов). Однако, на мой субъективный взгляд, продукт еще очень сильно сырой.
Что касается конкуренции Check Point и Fortinet, то мне кажется, что это совсем разные сегменты рынка, но опять же, это мое субъективное мнение. Не готов в комментариях разводить холивар, если что, пишите в личку)
Добрый день. Спасибо за отзыв.
По замечанию. Я старался коротко описать данный вопрос, дабы не растягивать статью. Возможно поэтому получился сумбур. В целом нет однозначного определения NGFW. Каждый вендор трактует его по своему, в зависимости от имеющихся технологий. Например Fortinet определяет приложения исключительно с помощью IPS. У Cisco DPI никак не связан с IPS. У CheckPoint тоже свои технологии. Главная задача — определять приложения, а сделать это можно только разобрав пакет до 7-го уровня. Делать это с помощью DPI, IPS или еще каким-то образом — зависит от технологий вендора.
Прослеживая текущий тренд компании, весьма опасно приобретать подобные девайсы. Велика вероятность, что через год Cisco выпустят очередную обновленную версию NGFW, а ранее купленные устройства (за бешенные деньги) объявит как end of sale и end of support, как это уже ни раз было.
Неужели нельзя сначала довести все до ума, а уже потом продавать? Сначала ASA CX, потом FirePower в качестве модуля на SSD, теперь ASA+Firepower в одной прошивке (причем сама компания признает что это все сыро и будет дорабатываться). Такое ощущение, что Cisco хотят навариваться даже на промежуточных бета версиях продукта.
На сколько мне известно, нет там никакого выигрыша. Для средненьких ЧП (4400-4600 например) стоимость блейда URL на год — около 1,5К $ примерно. У FP дешевле? Да, и у ЧП URL фильтрация сделана действительно хорошо. Хуже конечно чем в IronPort, но и IronPort уже совсем другие цены и лицензирование по кол-ву пользователей, что совсем не удобно.
Т.е. вы опыт человека измеряете в сертификатах? Некоторые получают сертификаты только для партнерства, так сказать работодатель обязывает.
Интересно, у Линуса Торвальдса или у Стива Возника много сертификатов?
Не совсем понимаю вашу задачу. Зачем редактировать без самого устройства в файлах? Это можно сделать на менеджмент сервере, а потом просто установить политику, когда устройство будет включено. Нужен только первоначальный коннект (SIC).
Новый тренд)
Что касается конкуренции Check Point и Fortinet, то мне кажется, что это совсем разные сегменты рынка, но опять же, это мое субъективное мнение. Не готов в комментариях разводить холивар, если что, пишите в личку)
По замечанию. Я старался коротко описать данный вопрос, дабы не растягивать статью. Возможно поэтому получился сумбур. В целом нет однозначного определения NGFW. Каждый вендор трактует его по своему, в зависимости от имеющихся технологий. Например Fortinet определяет приложения исключительно с помощью IPS. У Cisco DPI никак не связан с IPS. У CheckPoint тоже свои технологии. Главная задача — определять приложения, а сделать это можно только разобрав пакет до 7-го уровня. Делать это с помощью DPI, IPS или еще каким-то образом — зависит от технологий вендора.
Неужели нельзя сначала довести все до ума, а уже потом продавать? Сначала ASA CX, потом FirePower в качестве модуля на SSD, теперь ASA+Firepower в одной прошивке (причем сама компания признает что это все сыро и будет дорабатываться). Такое ощущение, что Cisco хотят навариваться даже на промежуточных бета версиях продукта.
Интересно, у Линуса Торвальдса или у Стива Возника много сертификатов?