用 D-LINK DFL-CPG310 防火墙替换 Cisco Pix 防火墙

大多数 SMB 产品都具有您描述的功能。我认为即使是较新版本的 Cisco PIX 也具有基于 Web 的配置界面，但它并不像那些从头开始设计其产品以供 SMB 使用的公司那样光滑。

您可能想要查看的其他防火墙制造商包括：

Sonicwall（他们的 TZ 系列）

检查点（他们的 Safe@Office 线）

我仍然建议您坚持使用 Cisco 产品。我意识到它有几个你没有说你需要的功能，但你获得了首屈一指的可靠性水平。您可以选择 Cisco ASA 5505 之类的产品。实际上，这并不是很贵。ASDM 界面非常易于使用，通过您尝试的 CCNA，您可能对过去设置过此类设备的许多人具有优势。Cisco VPN 客户端与 Vista 兼容，但有点挑剔。在远程办公室之间运行站点到站点 vpn 将允许您在办公室之间以及与 vpn 所在的家庭用户共享资源。

我的意见是什么。我有 2 台 5505 目前至少有 6 个月的正常运行时间，这就是我提出此建议的依据。

Cisco PIX 在许多情况下都过大了——但由于您在内部拥有它——我建议将其保留在适当的位置。话虽如此——如果维护成本（有人为您配置）使其值得用 SOHO 路由器替换，并且您知道这样做的权衡，并且对 SOHO 性能感到满意，偶尔重新启动，那么就去吧。

我已经使用 Linksys（现在是 Cisco Small Business，但不要让它吓到您）RV042 路由器来完成您需要做的所有事情，并取得了巨大的成功。

我使用的型号是RV042，它是一个 4 端口型号，每个大约 200 美元（我上次检查过）。

就像我说的那样，我使用路由器之间的 VPN 到 VPN 将主办公室连接到 3 个分支机构。所有办公室都在 RV042 上。

它易于配置，100% 通过网络浏览器。我会切换到它，即使您现在拥有 PIX，我怀疑这将确保您在未来进行数小时的配置，从而为自己买单。

我会用这些直到他们停止生产。我从来没有遇到过他们的问题，这些年来总共运行了大约 10 次，目前有 4 次。（缩小规模，减少分支机构）

• Site to Site VPN（将远程办公室连接到本地办公室）

  是 - 我使用这个，IPSec，易于配置

• DHCP 服务器（与 PIX 不同，您无需为许可证支付额外费用）

  是 - 这是网络的 DHCP，最多 255 台计算机

• 将数据包路由进出原始接口（因此通过 VPN 连接到本地办公室的家庭用户可以看到远程办公室 LAN 上的资源）。PIX 不会这样做。

  无法确认这一点，因为我不需要它，但是您可以设置路由规则，因此很可能可以做到这一点，我必须做一些类似的事情才能让工作站看到交换服务器。

• VPN 服务器（vista 支持将是一个不错的加分项）

  是 - PPTP 使用包含的 Windows 客户端或 IPSec 使用 Linksys 快速 VPN（但我没有成功让它工作）

• 内置 DMZ 支持。

  是 - 有一个单独的 WAN 端口，第二个 WAN 端口可以是 DMZ 或第二个 ISP 连接

• 基于 Web 的配置界面（更喜欢没有命令行选项的界面，以保证所有内容都可以通过 Web 进行配置）

  是的 - 我从来没有为此使用过命令行

• 系统日志支持。因此，我们可以将连续的日志流转储到 PC，直到我们需要硬盘空间并删除它们。

  我想是的，但我从来没有这样做过，但看着日志屏幕似乎可以。

• 具有足够强大功能的访问控制非常有用。例如，我们可以完全通过 MAC 地址阻止对站点的访问或阻止访问，而无需编写类似 ifconfig 的一行。带有用户手册链接的网站。

  是 - MAC 地址、IP 访问、站点等。我也不使用我的 ISP 的 DNS 服务器，而是使用 OpenDNS 并以这种方式阻止访问。您可以使用 ISP 的 DHCP 并设置静态 DNS 服务器来覆盖您的 ISP。我已经阻止了特定的计算机，同时让办公室的其他人访问。