Me ha llegado un correo de José Luís que me comenta que esta pensando en actualizar sus firewall Stonesoft y cual sería mi recomendación. En tu caso concreto la clave sería que no estuvieses utilizando el multipoint entry para vpn basada en certificados. Según el escenario que me describes, puedes aprovechar el módulo de WAF que viene con los PAN que te protege contra las vulnerabilidades de esos servicios y en concreto contra cualquier tipo de ataques de vulnerabilidad del servidor cross-site scripting, injección de SQL, pero no de la programación de la web como los intentos de escalado de privilegios. Hay muy pocos WAF que te protejan de esto. Revisa el producto de WAF de IMPERVA que es el mejor.
Fabricante | SC | ST | SD | I | RU | FC | AA | ME | IPv6 | FD | IDP | VPN | SSL | GC | OP | R | D | E | H | RobClavTotal |
Paloalto | 4 | 5 | 5 | 5 | 4 | 4 | 4 | 5 | 4 | 5 | 5 | 4 | 2 | 2 | 4 | 5 | 5 | 5 | 4 | 81 |
Cisco ASA | 3 | 4 | 2 | 2 | 3 | 2 | 3 | 4! | 4 | 3 | 2 | 5 | 5 | 2 | 3 | 4 | 5 | 5 | 4 | 61+4= 65 |
Juniper | 3 | 4 | 2 | 2 | 4 | 3 | 3 | 5 | 4 | 5 | 3 | 4 | 1 | 3 | 3 | 4 | 5 | 5 | 5 | 68 |
Checkpoint | 1 | 3 | 3 | 5* | 3 | D | 2 | 1 | 2 | 4 | 2 | 3 | 1 | 5 | 1 | 4 | 5 | 5 | D | 45+5+D+D= 56 |
Stonesoft | 3 | 3 | 3 | 4 | 3 | D | 2 | 1 | 2 | 4 | 2 | 5 | 1 | 5 | 3 | 4 | 5 | 4 | D | 54+D+D= 60 |
Fortinet(UTM) | 4 | 2 | 4 | 4* | 3 | 4 | 3 | 1 | 3 | 2 | 4 | 4 | 3 | 4 | 3 | 1 | 2 | 2 | D | 49+4+D= 56 |
Otros UTM | 5 | 1 | 3 | 1 | 3 | 3 | 4 | 1 | 1 | 2 | 4 | 3 | 4 | 1 | 3 | 1 | 1 | 1 | 1 | 43 |
Notas en la puntuación:
* Algunos de sus últimos productos, no toda la gama.
! MTE, mediante firewalls virtuales, no sobre el chasis principal
D Lo desconozco si lo permite auque sea integrando un tercer producto. Los valoro como 3, para no adulterar el resultado.
Puntuación de 1 a 5, atribuíble al producto no a la implantación de la solución.
1. muy insatisfecho, con esta información hubiese elegido otro firewall.
2. Insatisfecho. No cumple los objetivos marcados.
3. Satisfecho. Cumple la mayoría de objetivos.
4. Muy satisfecho. Cumple todos los objetivos marcados.
5. Por encima de sus expectativas. Lo recomienda como caso de éxito.
Leyenda:
SC.-Satisfacción departamento compras
ST.-Satisfacción departamento técnico
SD.-Satisfacción dirección
I.-Inteligencia en la detección de aplicaciones, métodos de evasion/ofuscación y tunnelling.
RU.- Reglas de seguridad, nat, qos, ipsec o url filtering por usuario.
QoS.- Gestión de la utilización del ancho de banda disponible.
FC.- Capacidad de creación de reglas complejas de filtrado de contenido. (Control parental de navegación)
AA.- Antivirus, detección de ataques de dia 0, keyloggers, troyanos y virus de red.
IPv6.- Preparado para afrontar los nuevos retos de IPv6.
MT.-Múltiples tablas de enrutamiento, para implementar doble pila IPv4-ipv6 sin problemas de asimétrias por vlan. De esto puede depender el éxito de la migración a IPv6.
FD.-Funcionalidades diferenciales. En el cuadrante mágico de Gartner lo que se denomina visionarios, que viene dado por la inversion en I+D+I.
IDP.- Detección y protección ante ataques basados en firmas o comportamiento.
VPN.-VPN convencionales del tipo LAN-2-LAN o mediante cliente, IPSEC o SSL
SSL.-Con cliente o navegador con presentación de portal de aplicaciones, tipo citrix.
GC.- Gestión centralizada para multiples firewalls. Reglas multifirewall, reglas expecíficas, Actualización del software desde el servidor central, centralización de logs.
OP.- Costes operacionales de licencias de mantenimiento del firewall y facilidad de encontrar personal cualificado o formarlo.
R.-Rendimiento de los equipos con todas las funcionalidades en marcha.
D.-Cumplimiento de todas las funcionalidades que anuncia el datasheet.
E.-SLA de HA, Estabilidad del producto una vez configurado.
T.-Total de puntos por firewall
H.-Seguridad desde el host que se conecta. NAC
José Luís, mi recomendación es que pidas una demo(Gratuita y sin compromiso) de Paloalto y dejarás de tener dudas. Sino tienes una integradora de confianza, envíame un correo y se lo reenvío al mayorista que te ayudará a elegir una integradora que se ajuste a tus criterios.
Me comenta JL, que StoneGate esta a punto de sacar un nuevo firewall de nueva generación, veremos que tal.
Crear un comentario o un correo si hay alguna puntuación que no estéis de acuerdo o si conocéis algo que yo no.
HTH
RobClav
Hace ya unos años que conozco Paloalto Networks, y desde entonces he sido un firme promotor de una solución tan claramente avanzada. En este sentido he creado comparativas de firewalls para poner distancia con los productos, siendo el resultado el mismo. Paloalto siempre ha liderado la vanguardia de los productos de protección de nuestras redes. 
Eso sí, no soy el único, Gartner ha hecho lo mismo y el resultado ha sido la confirmación gráfica de mi comparativa de firewalls de este año. Hay que aclarar que Gartner tiene en cuenta aspectos asociados a la tecnología (Visionarios) y aspectos de negocio (habilidad de ejecución) como puede ser cuota de mercado.