Je demande vos conseils pour me guider dans un achat de firewall.
Ceci concerne un projet "moyen" (j'entends par là que le prix n'est pas
forcément mon premier critère de choix...) qui nécessite de connecter qq
machines (web, BDD) à l'internet (la connexion se fera en éthernet,
derrière plusieurs modems ADSL).
Nous souhaitons protéger l'entrée de notre réseau un maximum tout en
ayant des fonctions corrects de VPN / NAT / DMZ et avec un des firewall
les plus fiable et sécurisé du marché.
Après qq recherches, j'ai trouvé que Netopia possédait un très bon
rapport qualité/prix avec pas mal de fonctions de base pour ce que je
veux faire (série 3300ENT). Le seul hic c'est que la bande passante
n'est pas très élevé : 8Mo en WAN pour le 3387ENT (il me faut au moins
du 24 Mo, si c'est pas plus).
Que pensez-vous des autres PIX et Sidewinders ? Lequel est le plus
"fiable" ? Est-ce que leur prix se justifie (c-a-d sont-ils plus fiables
que Netopia ou Netasq ?) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
John GALLET
Bonjour,
machines (web, BDD) à l'internet (la connexion se fera en éthernet, derrière plusieurs modems ADSL). [...]
ayant des fonctions corrects de VPN / NAT / DMZ et avec un des firewall les plus fiable et sécurisé du marché.
La seule chose que je vous conseille, c'est d'avoir deux firewalls de marques différentes pour délimiter votre DMZ. Le premier devant les frontaux web (et leur loadbalancer sauf si la répartition a lieu selon le modem adsl en amont), le second entre les frontaux et le sgbdr.
n'est pas très élevé : 8Mo en WAN pour le 3387ENT (il me faut au moins du 24 Mo, si c'est pas plus).
Hum. Projet "moyen" avec plus de 8Mo/s de débit style HTTP en pic ? Z'êtes sûr que c'est "moyen" ? C'est hors sujet ici, mais à votre place je recompterais quand même un peu mes octets.
a++; JG
Bonjour,
machines (web, BDD) à l'internet (la connexion se fera en éthernet,
derrière plusieurs modems ADSL).
[...]
ayant des fonctions corrects de VPN / NAT / DMZ et avec un des firewall
les plus fiable et sécurisé du marché.
La seule chose que je vous conseille, c'est d'avoir deux firewalls de
marques différentes pour délimiter votre DMZ. Le premier devant les
frontaux web (et leur loadbalancer sauf si la répartition a lieu selon
le modem adsl en amont), le second entre les frontaux et le sgbdr.
n'est pas très élevé : 8Mo en WAN pour le 3387ENT (il me faut au moins
du 24 Mo, si c'est pas plus).
Hum. Projet "moyen" avec plus de 8Mo/s de débit style HTTP en pic ?
Z'êtes sûr que c'est "moyen" ? C'est hors sujet ici, mais à votre place
je recompterais quand même un peu mes octets.
machines (web, BDD) à l'internet (la connexion se fera en éthernet, derrière plusieurs modems ADSL). [...]
ayant des fonctions corrects de VPN / NAT / DMZ et avec un des firewall les plus fiable et sécurisé du marché.
La seule chose que je vous conseille, c'est d'avoir deux firewalls de marques différentes pour délimiter votre DMZ. Le premier devant les frontaux web (et leur loadbalancer sauf si la répartition a lieu selon le modem adsl en amont), le second entre les frontaux et le sgbdr.
n'est pas très élevé : 8Mo en WAN pour le 3387ENT (il me faut au moins du 24 Mo, si c'est pas plus).
Hum. Projet "moyen" avec plus de 8Mo/s de débit style HTTP en pic ? Z'êtes sûr que c'est "moyen" ? C'est hors sujet ici, mais à votre place je recompterais quand même un peu mes octets.
a++; JG
Francois-Xavier
John GALLET a écrit:
Bonjour,
machines (web, BDD) à l'internet (la connexion se fera en éthernet, derrière plusieurs modems ADSL).
[...]
ayant des fonctions corrects de VPN / NAT / DMZ et avec un des firewall les plus fiable et sécurisé du marché.
La seule chose que je vous conseille, c'est d'avoir deux firewalls de marques différentes pour délimiter votre DMZ. Le premier devant les frontaux web (et leur loadbalancer sauf si la répartition a lieu selon le modem adsl en amont), le second entre les frontaux et le sgbdr.
Quelle est votre préférence en terme de marque pour ces 2 types ?
n'est pas très élevé : 8Mo en WAN pour le 3387ENT (il me faut au moins du 24 Mo, si c'est pas plus).
Hum. Projet "moyen" avec plus de 8Mo/s de débit style HTTP en pic ? Z'êtes sûr que c'est "moyen" ? C'est hors sujet ici, mais à votre place je recompterais quand même un peu mes octets.
a++; JG
C'est une estimation grossière de traffic... Et ceci concerne des connexions sortantes (faites par un robot) et pas entrantes. Le traffic dépend donc de combien de machine/process robot on met derrière.
John GALLET a écrit:
Bonjour,
machines (web, BDD) à l'internet (la connexion se fera en éthernet,
derrière plusieurs modems ADSL).
[...]
ayant des fonctions corrects de VPN / NAT / DMZ et avec un des firewall
les plus fiable et sécurisé du marché.
La seule chose que je vous conseille, c'est d'avoir deux firewalls de
marques différentes pour délimiter votre DMZ. Le premier devant les
frontaux web (et leur loadbalancer sauf si la répartition a lieu selon
le modem adsl en amont), le second entre les frontaux et le sgbdr.
Quelle est votre préférence en terme de marque pour ces 2 types ?
n'est pas très élevé : 8Mo en WAN pour le 3387ENT (il me faut au moins
du 24 Mo, si c'est pas plus).
Hum. Projet "moyen" avec plus de 8Mo/s de débit style HTTP en pic ?
Z'êtes sûr que c'est "moyen" ? C'est hors sujet ici, mais à votre place
je recompterais quand même un peu mes octets.
a++;
JG
C'est une estimation grossière de traffic... Et ceci concerne des
connexions sortantes (faites par un robot) et pas entrantes. Le traffic
dépend donc de combien de machine/process robot on met derrière.
machines (web, BDD) à l'internet (la connexion se fera en éthernet, derrière plusieurs modems ADSL).
[...]
ayant des fonctions corrects de VPN / NAT / DMZ et avec un des firewall les plus fiable et sécurisé du marché.
La seule chose que je vous conseille, c'est d'avoir deux firewalls de marques différentes pour délimiter votre DMZ. Le premier devant les frontaux web (et leur loadbalancer sauf si la répartition a lieu selon le modem adsl en amont), le second entre les frontaux et le sgbdr.
Quelle est votre préférence en terme de marque pour ces 2 types ?
n'est pas très élevé : 8Mo en WAN pour le 3387ENT (il me faut au moins du 24 Mo, si c'est pas plus).
Hum. Projet "moyen" avec plus de 8Mo/s de débit style HTTP en pic ? Z'êtes sûr que c'est "moyen" ? C'est hors sujet ici, mais à votre place je recompterais quand même un peu mes octets.
a++; JG
C'est une estimation grossière de traffic... Et ceci concerne des connexions sortantes (faites par un robot) et pas entrantes. Le traffic dépend donc de combien de machine/process robot on met derrière.
viranin.eric
Et pourquoi e pas envisager un firewall open source nufw http://www.nufw.org/index.php3?lang=fr en plus il ne necessite pas l'achat de serveur important un PC que vous aurez converti fera l'affaire.
Et pourquoi e pas envisager un firewall open source nufw
http://www.nufw.org/index.php3?lang=fr
en plus il ne necessite pas l'achat de serveur important un PC que vous
aurez converti fera l'affaire.
Et pourquoi e pas envisager un firewall open source nufw http://www.nufw.org/index.php3?lang=fr en plus il ne necessite pas l'achat de serveur important un PC que vous aurez converti fera l'affaire.
Francois-Xavier
a écrit:
Et pourquoi e pas envisager un firewall open source nufw http://www.nufw.org/index.php3?lang=fr en plus il ne necessite pas l'achat de serveur important un PC que vous aurez converti fera l'affaire.
Pour plusieurs raisons : 1-admin un peu + simplifiée avec une appliance qu'avec un soft OpenSource sur un PC bien que la contrepartie soit qu'on peut faire moins de chose en règle générale... 2-hard un peu + robuste : quand on met un PC, on peut s'exposer à des pannes de DD, d'alim, etc... donc faut blinder le hard (DD en RAID par exemple) et ca revient plus cher selon mon avis... 3-Support pro : bien que techniquement ca sert pas à grand chose, ca rassure un peu + les financiers et les décideurs de savoir qu'on a le support d'un éditeur "de poids" (même si ca coûte les yeux de la tête pour pas grand chose me direz-vous).
Mais effectivement, je n'écarte pas cette possibilité qui est séduisante et je vais regarder de près ce genre de soft !
viranin.eric@gmail.com a écrit:
Et pourquoi e pas envisager un firewall open source nufw
http://www.nufw.org/index.php3?lang=fr
en plus il ne necessite pas l'achat de serveur important un PC que vous
aurez converti fera l'affaire.
Pour plusieurs raisons :
1-admin un peu + simplifiée avec une appliance qu'avec un soft
OpenSource sur un PC bien que la contrepartie soit qu'on peut faire
moins de chose en règle générale...
2-hard un peu + robuste : quand on met un PC, on peut s'exposer à des
pannes de DD, d'alim, etc... donc faut blinder le hard (DD en RAID par
exemple) et ca revient plus cher selon mon avis...
3-Support pro : bien que techniquement ca sert pas à grand chose, ca
rassure un peu + les financiers et les décideurs de savoir qu'on a le
support d'un éditeur "de poids" (même si ca coûte les yeux de la tête
pour pas grand chose me direz-vous).
Mais effectivement, je n'écarte pas cette possibilité qui est
séduisante et je vais regarder de près ce genre de soft !
Et pourquoi e pas envisager un firewall open source nufw http://www.nufw.org/index.php3?lang=fr en plus il ne necessite pas l'achat de serveur important un PC que vous aurez converti fera l'affaire.
Pour plusieurs raisons : 1-admin un peu + simplifiée avec une appliance qu'avec un soft OpenSource sur un PC bien que la contrepartie soit qu'on peut faire moins de chose en règle générale... 2-hard un peu + robuste : quand on met un PC, on peut s'exposer à des pannes de DD, d'alim, etc... donc faut blinder le hard (DD en RAID par exemple) et ca revient plus cher selon mon avis... 3-Support pro : bien que techniquement ca sert pas à grand chose, ca rassure un peu + les financiers et les décideurs de savoir qu'on a le support d'un éditeur "de poids" (même si ca coûte les yeux de la tête pour pas grand chose me direz-vous).
Mais effectivement, je n'écarte pas cette possibilité qui est séduisante et je vais regarder de près ce genre de soft !
