Bonjour, alors déjà, il faut bien voir qu’en FWSM tu as un produit plus simpliste au niveau features qu’en ASA. Si le but reste de faire du firewalling L4 en entrée de DC, ça reste tout à fait acceptable car la souplesse d’utilisation des contextes compensera les petits soucis quotidiens du type “comment faire ci qui était simple sur ASA et nécessite une policy longue à configurer sur FWSM”.
Au niveau tenue en charge, FWSM marche bien, j’ai quand même une fois sur un très gros DDoS sur un contexte des impacts sur les autres contextes (la configuration du FWSM n’était pas parfaite, peut être qu’une meilleure configuration aurait aidé) Sur du PF/IPtables, tu auras un mal fou à atteindre les 10G sans mettre les mains dans le cambouis (tuning poussé de l’OS et des conf firewall), ça peut néanmoins être une solution intéressante pour peu que des personnes calées en système soient dispo en interne. 2013/11/26 Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> > Je commence par le fait que les FWSM est EoS depuis 2012 (announce - > mars 2012, last order date - Sept 2012) > > On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: > > Nos besoins : connections 10 Gbps > > Mauvaise choix pour du 10G. > Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc > exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. > Autre chose, ils partagent l'alimentation avec le chassis et rien > d'autre; ils fonctionnent avec leur propre code. Ca synchronize > strictement rien avec le chassis. > > > Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? > > (souplesse de gestion, fiabilité, stabilité) > > Bof, ca rappelle un hybride entre du vieux PIX et ASA. > > > Sachant que nous hésitons entre les solutions suivantes : > > > > - FWSM mutualisé sur les 6500 pour tous les clients > > - Chassis ASA 552x pour chaque client > > Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers > des FWSM). > Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez > puissant. > > > - Firewall typé open-source (PF/IPtables) mutualisé > > - autre ? > > Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de > Fortinet. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
