Bonjour, Pour ma pars nous n'utilisons que du firewall applicatif ( netfilter pour être exact ). Cela couvre l'ensemble de nos besoins actuels avec une souplesse que l'on ne peut pas trouver sur des appliance propriétaire.
Il est clairement pas possible aujourd'hui de disposer d'un modèle actif/actif avec les solutions netfiter ( on parle de synchronisation des états dans le cadre d'une bascule vers le fw slave ). La solution est de faire un mixte avec un routage applicatif et/ou par port. je m'explique... Il faut commencer par définir quel sont les flux qui vont transiter sur la plate-forme, ensuite identifier parmi ces derniers quels sont ceux qui nécessitent un filtrage par état. Troisièmement il faut identifier les flux qui vont transiter par des proxy et qui ne nécessiteront pas par conséquent d'un filtrage par état ( puisque le filtrage se fera naturellement sur le proxy ). On peut aussi définir les flux pour lesquels le reset de session n'est pas une gène ( les sessions http sont suffisamment courte pour que la gène soit peut perceptible ). Les flux identifier comme ne nécessitant pas de suivi seront routé vers des firewall ( du coup la on peut en avoir plusieurs ) sans état. Les autres flux seront routé vers une solution active/passive avec l'inconvénient de devoir réinitialiser la session en cas de bascule sur le fw de secours. Il est à noté que les architecture avec et sans état peuvent être fusionné. Typiquement on créer 2 chaînes, une pour les rêgles avec suivi des états l'autre ou on fait abstraction du suivi de session. Ensuite on envoie d'abord les flux dans la chaine sans suivi et en étape 2 dans la chaine avec suivi. Typiquement pour le routage on route par défaut tous les flux vers le firewal master, puis on intercepte les flux qui n'auront pas de suivi pour les renvoyer ( ex 1 paquet sur 2 ) vers le second firewall. L'archi nécessite un peut d'étude et de test pour un bon dimensionnement. Il peut être aussi intéressant de regarder du coté de chez NuFW ( extension netfilter ), bien actifs dans la communauté, ils travails beaucoup avec le suivi de session et auront peut être un pronostique plus favorable sur l'actif/actif ( on reste dans le libre avec possibilité d'un support commercial et dev via INL ). D'un point de vue propriétaire je croix qu'il n'y a pas de système de licence chez foundry. Joël Le vendredi 29 août 2008 à 14:04 +0200, Pierre Gaxatte a écrit : > [EMAIL PROTECTED] a écrit : > > Bonjour, > > Nous utilisons aussi bien pour nous que nos clients des appliance Fortinet > > qui sont capables de fonctionner en A/A, de plus c'est assez facile d'emploi > > et d'apprentissage pour une équipe (et pas trop cher). > > > > My 2 cents. > > > > Bonjour, > > Pour replacer un peu dans notre contexte, nous ne sommes pour l'instant > qu'en phase de recherche vers une solution évolutive qui pourra > facilement couvrir les éventuels nouveaux besoins de nos clients. Nous > proposons des services de hosting (dédié ou mutualisé, pas de virtuel en > revanche) très personnalisés. > > Nous étions parti sur les Cisco ASA 5510 car nous sommes tous pas mal > familiers avec les produits Cisco et tout notre backbone ainsi que nos > firewalls actuels (les PIX) sont des Cisco : à première vue ça semblait > donc naturel de continuer sur cette lancée. Seulement même si on peut > trouver ce matériel pour pas trop trop cher, le cout des diverses > licences devient vite problématique pour nous. Notre infrastructure est > encore très petite et évolue assez lentement. > > D'où l'idée de creuser dans du libre sur des plateformes x86 standards. > En plus ça rajoute la satisfaction personnelle et l'aventure de la mise > en place et une totale personnalisation (j'ai envie de dire presque sans > limite) :) > > Mais on garde toujours dans un coin de la tête le fait que les > appliances ont un délai de mise en prod beaucoup plus court et une plus > grande facilité dans la tâche. En plus de ça on a toujours la possiblité > d'avoir un support commercial (plus ou moins efficace). > > Mais bon, c'est moins funky quoi :) >
signature.asc
Description: Ceci est une partie de message numériquement signée
