念念 2007-3-24 13:47
CheckPoint问题(转贴)
CheckPoint问题(转贴)
cp无疑是现在防火墙的领先产品,偶的首推,但是,有些东西也太让人难以忍受,经过长期的折磨,偶必须说出来:
1.没有中文报表,没有中文界面和说明书倒也罢了,没有中文报表无疑是对中国这个大市场的藐视,我可以肯定的说,cp在中国的销量并不少,它的报表功能无人能及,但是,有几个it主管和分管it的老总会去看满是专业词汇的英文报表?cp并不是不知道这个问题,一年多以前cp总部的开发总监沙龙就已经意识到了,但是,到了今天也没看到
2.在国内的技术支持差,就算你得到了ccsa和ccse证书,基本上还是很多问题都解决不了,不是厂商没有工程师支持,事实上很多代理商都有相关工程师,但是,可以肯定的说,国内没有一个人敢说我精通cp的所有模块的配置,和与相关设备的配合,这个原因就在于厂商没有真正派非常精通的人来到国内很长时间的传授和解决疑难问题,北京上海广州的几次研讨会相信坛子里的很多人都去了,但是来的工程师都是专业搞培训的,基本上没有任何经验。
3.迁移困难,一个傻瓜化的导入和导出功能完全可以解决这个问题,但是没有,我好不容易说服客户把他装在NT上面的CP4.1升级到NOKIA IP650+CP ng AI,但是,几百个OBJECT和policy让我意识到我是在自讨苦吃,因为他没有把配置策略导出来的功能,不可以在其它平台上导入,我们6个人花了24小时才搞定,根本没有复制和批量创建功能,在验收的同时,我想的是,如果下一次升级时还没解决这个问题,偶就去找10几20个民工来。
4.集中管理不是你的错,但是你不支持adsl接入就是你不对,很多防火墙早在去年就已经支持adsl拨号,并且支持用动态域名的方式管理远程防火墙和建立vpn,但是,大家可以试试看,把cp firewall1/vpn1 Module 装在2000server上,2000server 安装了pppoe协议来拨号,当你装完了cp,你会发现你的2000根本就不能拨号,更不要说通过远程机器来管理和实现vpn,用域名或者动态域名来创建网络对象更是不可能,我从ngfp2等到ngfp3,又从ngfp3等到AI,但是,这个问题没有一点点的改善。
5.不支持内建的同一时间只允许一个相同的用户名做客户端认证,这个问题很早以前别的防火墙都支持了,但是我们的cp却视而不见,要通过第三方产品来实现。于是我们就可以让所有的内部网用户用同一个账号认证,这和不认证有什么区别?
6.不支持客户端自己修改密码,我指的是不用第三方产品的cp内建用户库,这无疑对密码管理造成了很大障碍,国外有人写了个.pl的程序可以解决这个问题,但是偶只是听说
由于偶能力有限,可能有高手早都解决了上面这些问题,说的不妥当的地方,大家就当灌水,最后,如果您是客户,即便有这些不方便的地方,cp还是首选。
---
ang 2007-7-4 16:39
首先我要表明立场,我是比较憎恨checkpoint,如果跳槽,我再也不做checkpoint了
其次就是评论一下你的发表,从你的发表中看出你很可能不是一个checkpoint的工程师,可能是一个普通的网络管理员或者一个普通的si工程师,不过你说得有些很有道理,有些就还是有出入
1.没有中文报表,不重视中国市场。这点非常同意,checkpoint是以色列公司,它连个希伯来文也没有,怎么会有中文报表呢
2.国内支持极差。非常同意,checkpoint的产品本身牵涉到的东西很多,包括路由,交换,安全管理,各种应用协议,攻击手段,甚至系统,unix,认证,和其他产品联动,操作系统等等,基本上还未算本身checkpoint配置的复杂性,基本上熟悉checkpoint的人要对每个层面的知识至少要有一定的了解。由于复杂,所以国内真的熟悉checkpoint的人只是占很少数,而大多数checkpoint的销售均是通过一定的关系销售等手段完成,这个要归功于checkpoint本身的销售策略和知名度,所以国内安装checkpoint的工程师非常辛苦。很多checkpoint工程师最终就转行或者转别的产品,国内checkpoint的人才的确缺
3.关于迁移方面,以前的checkpoint版本做的不是太好,但是在fp3之后的版本基本上使用upgrade tools工具就可以实现迁移和升级,甚至可以跨平台迁移,这点在ngai版本和ngx版本都非常成熟,我们使用的非常多,经常都是单机迁移到群集,或者nokia平台迁移到i-security 平台,基本上没大问题。
4.对于checkpoint动态地址的支持,如果只是单机的话,的确支持不好。但是checkpoint用户对象是统一管理的大型网络,当这样的大型网络有一个静态地址,其他管理分点就可以实现同台地址接入了.其实单机也不是不支持动态地址,我就曾经在secureplatform平台上编写script实现adsl接入情况下checkpoint对象external地址的更新,只不过checkpoint官方不推荐这个做法而已。其实fp3和ai都已经是这种情况了
5.至于这点,至今我仍然未能找到checkpoint 同一用户在同一时间只能有一个session登陆的解决办法,当然,是使用checkpoint内部用户数据库了。不过就算能实现此功能,你大家还是一起用同一个用户,那么就算大家分时间上来也没什么管理意义啊,这个是企业管理制度问题,而不是产品问题
6.对于客户自己可以修改密码,的确是只有通过编程实现了。
checkpoint的产品优势是安全性和协议的兼容性,如果把checkpoint学其他firewall那样实现复杂的双链路功能,那么还不如买一个radware或者f5算了。又或者可以用linux的免费软件来实现此功能
不过老实说,checkpoint的确不符合中国国情
wjn2010 2007-8-14 18:39
如此垃圾,不说也罢
如此的垃圾产品,也有人在用,不知道是谁的悲哀
276108570 2007-9-12 10:15
不太清楚,但是我现在知道有新出来的Safe@Office系列好象还可以
我接触CHECK POINT时间不是很长,高端的产品我也没有怎么接触,但是我接触过中小型企业的CHECK POING [email=SAFE@OFFICE]SAFE@OFFICE[/email] 500型号的设备,也许是因为是小型低端设备吧,,我觉得跟楼上说的好象不太一样.
1.Check Point [email=Safe@Office]Safe@Office[/email] 500 系列全部都有中文版操作界面,IE管理,,感觉还是很方便,我是基本不懂英文,,
2.中小型的,可以直接要求后台远程管理,搞不定的地方可以直接让厂家远程协助搞定.