On Fri, Jan 24, 2014, at 12:23, Yoann THOMAS wrote: > Je suis en plene réflexion sur l'implémentation de nouveau firewall en > ...... > Brocade ADX
Bonjour, Pour commencer, les ADX ne sont pas de firewalls proprement parlant, mais des ADC (application delivery controller), plus communement connus en tant que load-balancers. Oui, un ADC peut service de firewall pour du trafic entrant (devant les serveurs). Mais tant qu'on y est, il y a aussi du F5 ou A10 a mettre dans la liste (si le prix est un critere primordial, F5 aura des gros soucis). > Juniper ISG Juniper SRX ? > Cisco ASA (pas trop fan) > Fortigate 3600 Ca depend vraiment de ce que tu veux accomplir ou de ce que tu veux "proteger". - Les ADC : pour les utiliser vraiment en mode "firewall" (et non pas en mode "reverse proxy"), il faut generalement (mais pas toujours) les mettre en paserelle par default (ou dan un autre endroit ou ils sont en coupure). Pour le trafic en venant de l'exterieur ca marche bien, mais pour la partie trafic interne, ca peut consommer des ressources de l'ADC, parfois en quantite non-negligeable. La pertinence de cette solution depend vraiment de ton archi. - Juniper / ScreenOS (ISG/SSG) - personellement je n'aime pas l'OS. En plus j'ai eu des experiences pas super-positives avec. - Juniper / JunOS (SRX) - pourquoi pas; il y a d'autre personnes sur la liste qui pourront te faire un retour plus detaille - ASA : tres penible a administrer, ca fait trop "firewall a l'ancienne". Historiquement ca fait pas mal de choses "pas propres" par default, de comportements qu'il faut explicitement desactiver pour un fonctionnement "normal" (normal cote Service Provider). - Fortinet : Mes dernieres experiences avec etait tres positives, pas contre il faut s'abstenir a utiliser toutes les fonctionalites affiches (exit les "NG", IDS/IPS, AV, URL filtering....). Pour du firewall "pur et dur" ce sont des betes de course, et fonctionenet tres bien. Par contre faire attention au nombre de "nouveaux connexions par seconde": - les ADC se comportent assez bien de ce point de vue. Il y a meme certains qui depassent les firewalls (en ncps/pps a bps equivalent). - les firewalls, pas necessairement. Les spec "daatsheet" presentent en general des valeurs "traffic accepte" et non pas "traffic rejete" (ou il faut assez souvent regarder les choffres des nouveaux connexions par seconde). --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/