On Fri, Jan 24, 2014, at 12:23, Yoann THOMAS wrote:

> Je suis en plene réflexion sur l'implémentation de nouveau firewall en 
> ......
> Brocade ADX

Bonjour,

Pour commencer, les ADX ne sont pas de firewalls proprement parlant,
mais des ADC (application delivery controller), plus communement connus
en tant que load-balancers.
Oui, un ADC peut service de firewall pour du trafic entrant (devant les
serveurs). Mais tant qu'on y est, il y a aussi du F5 ou A10 a mettre
dans la liste (si le prix est un critere primordial, F5 aura des gros
soucis).

> Juniper ISG
Juniper SRX ?

> Cisco ASA (pas trop fan)
> Fortigate 3600

Ca depend vraiment de ce que tu veux accomplir ou de ce que tu veux
"proteger". 
 - Les ADC : pour les utiliser vraiment en mode "firewall" (et non pas
 en mode "reverse proxy"), il faut generalement (mais pas toujours) les
 mettre en paserelle par default (ou dan un autre endroit ou ils sont en
 coupure). Pour le trafic en venant de l'exterieur ca marche bien, mais
 pour la partie trafic interne, ca peut consommer des ressources de
 l'ADC, parfois en quantite non-negligeable. La pertinence de cette
 solution depend vraiment de ton archi.
 - Juniper / ScreenOS (ISG/SSG) - personellement je n'aime pas l'OS. En
 plus j'ai eu des experiences pas super-positives avec.
 - Juniper / JunOS (SRX) - pourquoi pas; il y a d'autre personnes sur la
 liste qui pourront te faire un retour plus detaille
 - ASA : tres penible a administrer, ca fait trop "firewall a
 l'ancienne". Historiquement ca fait pas mal de choses "pas propres" par
 default, de comportements qu'il faut explicitement desactiver pour un
 fonctionnement "normal" (normal cote Service Provider).
 - Fortinet : Mes dernieres experiences avec etait tres positives, pas
 contre il faut s'abstenir a utiliser toutes les fonctionalites affiches
 (exit les "NG", IDS/IPS, AV, URL filtering....). Pour du firewall "pur
 et dur" ce sont des betes de course, et fonctionenet tres bien.

Par contre faire attention au nombre de "nouveaux connexions par
seconde":
 - les ADC se comportent assez bien de ce point de vue. Il y a meme
 certains qui depassent les firewalls (en ncps/pps a bps equivalent).
 - les firewalls, pas necessairement. Les spec "daatsheet" presentent en
 general des valeurs "traffic accepte" et non pas "traffic rejete" (ou
 il faut assez souvent regarder les choffres des nouveaux connexions par
 seconde).


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à