Bonsoir Pour les Adc il est possible d activer la fonction de firewall généralement de niveau 7
Je connais bien A10 et F5 Cordialement Fabien Envoyé de mon iPhone > Le 24 janv. 2014 à 14:00, Radu-Adrian Feurdean > <[email protected]> a écrit : > >> On Fri, Jan 24, 2014, at 12:23, Yoann THOMAS wrote: >> >> Je suis en plene réflexion sur l'implémentation de nouveau firewall en >> ...... >> Brocade ADX > > Bonjour, > > Pour commencer, les ADX ne sont pas de firewalls proprement parlant, > mais des ADC (application delivery controller), plus communement connus > en tant que load-balancers. > Oui, un ADC peut service de firewall pour du trafic entrant (devant les > serveurs). Mais tant qu'on y est, il y a aussi du F5 ou A10 a mettre > dans la liste (si le prix est un critere primordial, F5 aura des gros > soucis). > >> Juniper ISG > Juniper SRX ? > >> Cisco ASA (pas trop fan) >> Fortigate 3600 > > Ca depend vraiment de ce que tu veux accomplir ou de ce que tu veux > "proteger". > - Les ADC : pour les utiliser vraiment en mode "firewall" (et non pas > en mode "reverse proxy"), il faut generalement (mais pas toujours) les > mettre en paserelle par default (ou dan un autre endroit ou ils sont en > coupure). Pour le trafic en venant de l'exterieur ca marche bien, mais > pour la partie trafic interne, ca peut consommer des ressources de > l'ADC, parfois en quantite non-negligeable. La pertinence de cette > solution depend vraiment de ton archi. > - Juniper / ScreenOS (ISG/SSG) - personellement je n'aime pas l'OS. En > plus j'ai eu des experiences pas super-positives avec. > - Juniper / JunOS (SRX) - pourquoi pas; il y a d'autre personnes sur la > liste qui pourront te faire un retour plus detaille > - ASA : tres penible a administrer, ca fait trop "firewall a > l'ancienne". Historiquement ca fait pas mal de choses "pas propres" par > default, de comportements qu'il faut explicitement desactiver pour un > fonctionnement "normal" (normal cote Service Provider). > - Fortinet : Mes dernieres experiences avec etait tres positives, pas > contre il faut s'abstenir a utiliser toutes les fonctionalites affiches > (exit les "NG", IDS/IPS, AV, URL filtering....). Pour du firewall "pur > et dur" ce sont des betes de course, et fonctionenet tres bien. > > Par contre faire attention au nombre de "nouveaux connexions par > seconde": > - les ADC se comportent assez bien de ce point de vue. Il y a meme > certains qui depassent les firewalls (en ncps/pps a bps equivalent). > - les firewalls, pas necessairement. Les spec "daatsheet" presentent en > general des valeurs "traffic accepte" et non pas "traffic rejete" (ou > il faut assez souvent regarder les choffres des nouveaux connexions par > seconde). > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
