Dans l'ordre chronologique des tests : - la vieillissante FWSM de Cisco (qui ne fonctionne bien qu'en transparent d'ailleurs :) ) - l'ASA et la bientot ASA-SM - gamme SRX de chez Juniper si tu n'as pas besoin de virtualisation - Fortinet Fortigate
Les 4 testés, chacun a ses avantages et ses inconvenients. - La FWSM est assez compliqué à gérer en terme de nombre de règles / objets, mais pour une centaine de règle de filtrage bien faite, ça marche encore très bien (ne lui demande pas de filtrer du multicast, de l'IPv6 ou des trucs exotiques genre tunnels GTP) - L'ASA est pas mal en mode transparent, mais niveau connectique c'est bof (max 20G, à MTU 9000). C'est un firewall CPU, donc performance directement liées au nb de règles, et à l'optimisation des règles. - Gamme SRX en mode transparent, ça passe, mais faut pas leur demander de faire plus que du filtrage bete et méchant, mais au moins c'est du hardware (carte FPGA + CPU pour le controlplane). - Fortigate on est pas mauvais du tout (tests faits sur F3040 et F3950) avec des perfs vraiment correcte (on taquine le line rate) sachant que chaque carte insérée rajoute de la perf, MAIS il faut bien prendre la bonne carte pour la bonne utilisation : tu as des cartes accélératrices Multicast/IPv6/IPS etc... La carte de base te permet de faire du line-rate sur du paquet 64b UDP. Le 16 mai 2011 19:27, [email protected] <[email protected]> a écrit : > Fortigate fait ca. > Il faut voir ton profil de traffic ainsi que les besoins en ids/layer7 pour > choisir le modele > > Dispo pour en parler off-list > > Sebastien FOUTREL > Sent from Iphone > > Le 16 mai 2011 à 18:54, William Gacquer <[email protected]> a > écrit : > > > Bonjour, > > > > je cherche un pare-feu matériel totalement transparent que ce soit en > IPv4 ou IPv6, capable de traiter au moins 5bgps et surtout carrrier-class. > > Je ne veux pas du tout de routage dessus, pas de NAT, rien de tout ces > trucs qui n'ont rien à faire sur un pare-feu destiné à protéger une > plateforme de services utilisant des IP publiques. > > > > Le support de 802.1Q est nécessaire. > > > > L'ASA de Cisco peut-être configuré ainsi. Vous en connaissez d'autres? > > > > William Gacquer > > France Citévision--------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- Cordialement, Guillaume BARROT
