Re: [FRnOG] Firewall Linux contre Juniper

Thu, 04 Oct 2007 07:38:12 -0700 

Bonjour,

John, on ne connait pas les deadline de ton projet par contre une chose
qui serait bon pour toi serait peut être de faire ce calcul :

Combien ça te coûterai en matériel + jours/homme par type de solution ?
pour tester fonctionnellement, tuner et qualifier la solution ?

Je pense que les 2 solutions ("firewall fait maison" et firewall
appliance) sont correctes. On pourra tjrs débattre pour gagner 2 paquets
de + à traiter sur n'importe quelle solution, de ttes manières il te faut
une marge de sécurité en cas d'augmentation de trafic.

Personnellement je partirai sur du Juniper, sachant que tu cherches à
avoir 2Gbps en débit garanti, ne prend pas le SSG-550, il ne convient pas
par rapport à tes contraintes (Olivier MELWIG l'a dit qques mails avant),
l'ISG 2000 irait bien. pour les questions de petits paquets l'ISG a un
design hard qui permet d'encaisser ces petites bêtes qui rongent les
équipements ;)

Question configuation je ne pense pas que ce soit un pb de migrer tes 9000
polices dans un autre équipement (un bon script avec qques regex ça le
fait, du moins ça devrait le faire :) ).

Cdlt,

--
Christophe VIAUD


> Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de
> firewaller 40G de traff! C'est un vrai firewall de service provider. Par
> contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres)
> consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur
> relativement complet-du coup c'est un peu distant du besoin initial non ?
>
> Greg Villain
>
> ----- Original Message -----
> From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
> To: John Fistack <[EMAIL PROTECTED]>
> Cc: frnog@frnog.org <frnog@frnog.org>
> Sent: Thu Oct 04 14:09:45 2007
> Subject: Re: [FRnOG] Firewall Linux contre Juniper
>
> Salut John,
>
> Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG:
> http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/
> <http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/>
>
> Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT
> et throughput, en standalone, indépendant de tes perfs coeur réseau.
>
> Auprès de quel partenaire as-tu demandé une cote SSG?
>
> Bonne journée,
> Olivier
>
>
>
> Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit :
>
>       Hello,
>
>       Merci pour toutes vos réponses.
>
>       90 % de mon transit est en paquet de pages web de petites tailles.
>
>       Je confirme que l'ajout de CPU apporte plus de performance dans mon cas.
>
>       J'avais un mono-Xeon 2.8 Ghz qui était à genoux  jusqu'à 50% de 
> charge
> système.
>       Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les
> problèmes, certes le nouveau serveur avait un bus plus rapide, passait
> d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si
> le multi-core apporte en capacité pour un Firewall.
>
>       - Même si NetScreen a une bonne réputation que pensez-vous de la lame
> pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ?
>       Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15
> 000  euros d'occasion.
>       Est-ce un problème pour vous de mélanger Firewalling et coeur de
> réseau ?
>
>       - La carte précédente est basée sur l'architecture des Pix, est-ce 
> que
> cette architecture est obsolète ?
>       Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en
> actif-actif cela fait 2,4 Gbps ?
>
>       - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des
> devis sur les SSG-550.
>
>       Merci.
>
>       John
>
>
>       Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit :
>
>               Hello,
>
>               > Je pourrais :
>               > -         couper mon réseau public en 4 sous réseaux et 
> mettre 4
>               > firewalls Linux (2 paires en haute disponibilité avec un 
> heartbeat)
> ?
>               > -         relier directement sans NAT les répartiteurs LVS au
>               > routeur BGP et les auto-firewalliser en iptables ?
>               > -         valider qu'un firewall Linux actif peut tenir 2 
> Gbps (+
>               > un passif avec heartbeat) ?
>               >
>               >  >>>> Charge :
>               >
>               > Le firewall a peu de charge :
>
>               Normal tout le travail se fait dans le noyau, donc le nombre de 
> CPU
>               importe peu... Enfin pour l'instant il me semble....
>
>               > Avez-vous un serveur Linux qui tient 2 Gbps ?
>
>               2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si 
> c'est
>               2Gbps avec des petits paquets (aller au hasard sur le port 
> 53.... !),
>               un linux vas avoir beaucoup de problèmes a filtrer ça et 
> tenir la
>               charge...
>
>               > Faut-il lâcher Linux et acheter des Juniper Netscreen ?
>               > Quel modèle Netscreen utilisez vous pour gérer du trafic 
> autour de
>               > 2 Gbps ?
>
>               Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles...
>
>               > Si vous utilisez pour votre firewalling des serveurs Linux 
> iptables
>               > ou du Netscreen je suis très intéressé par vos retours
> d'expérience
>               > sur leurs capacités de tenue à la charge.
>               >
>
>               Il y a aussi d'autres solutions "pratiques", par exmple 
> pfsense... :)
>
>               /Xavier
>
>
>
>

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à