Re: [FRnOG] [MISC] 10G l3/l4 firewall
Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Bonjour à tous, Nouveau dans la liste de diffusion, je profite de l'occasion, ne sachant pas vraiment si elle est justifiée, mais qu'en est-il de Netasq, surtout pour ce genre de besoins ? J'ai travaillé avec pas mal d'équipements de netasq mais pas à sur cette taille de besoins, et pour le coup j'aurais bien aimé avoir vos retours. En tout cas, j'apprécie beaucoup les retours détaillés, j'essaierai d'en faire de même si l'occasion se présente. Bonne journée à vous, 2013/6/26 Youssef Ghorbal youssef.ghor...@gmail.com Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Bon a savoir. Fortinet a effectivement très bonne réputation. Merci pour ces infos c'est toujours intéressant Adrien Le 26 juin 2013 15:15, Romain GUICHARD guichard.romai...@gmail.com a écrit : Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Je n'ai pas testé mais ce qui remonte souvent c'est que lorsqu’on empile l’utilisation des fonctionnalités IDS/IPS/L7 le Fortinet lâche rapidement prise. Si quelqu'un a de l'info la dessus? SBU Le 26/06/2013 15:15, Romain GUICHARD a écrit : Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com mailto:pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Pour le 10G sur Netasq oublie Pour info Youssef, tu peux regarder du côté des VDOM pour avoir une sorte de virtu sur le boitier hardware que tu achètes, ca permettra de séparer les deux (VDOM L3/L4 only + VDOM L7) en fonction de ton archi. Pas encore testé la feature, mais c'est intéressant à mon avis sur du hardware au dessus de la gamme SMB. Quand à la remarque sur le fait que les boitiers s'effondrent sur analyse L7, je pense que tous les constructeurs sont dans ce cas, à la différence que les ASICs Fortinet en SP semble bien puissant (encore une fois jamais testé, mais les features annoncées semblent sympa, y compris sur l'antivirus flow-based) --- --- Fabien VINCENT Twitter : @beufanet Le 26/06/2013 14:47, Naskaputt a écrit : Bonjour à tous, Nouveau dans la liste de diffusion, je profite de l'occasion, ne sachant pas vraiment si elle est justifiée, mais qu'en est-il de Netasq, surtout pour ce genre de besoins ? J'ai travaillé avec pas mal d'équipements de netasq mais pas à sur cette taille de besoins, et pour le coup j'aurais bien aimé avoir vos retours. En tout cas, j'apprécie beaucoup les retours détaillés, j'essaierai d'en faire de même si l'occasion se présente. Bonne journée à vous, 2013/6/26 Youssef Ghorbal youssef.ghor...@gmail.com Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Le 26/06/2013 15:36, Sylvain Busson a écrit : Je n'ai pas testé mais ce qui remonte souvent c'est que lorsqu’on empile l’utilisation des fonctionnalités IDS/IPS/L7 le Fortinet lâche rapidement prise. Si quelqu'un a de l'info la dessus? ca dépend du modèle. en effet, sur l'entrée de gamme, pas d'ASIC, puis vient l'ASIC network, puis l'ASIC content, puis les deux. donc selon le besoin, il faut bien dimensionner l'appliance. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
La gamme SRX est effectivement jeune et souffre de quelques limitations regrettable. Surtout lors du passage en mode cluster. Cependant, le hardware est très bien foutu et performant. Les performances sont largement au rendez vous. Les limitations sont levées à un rythme satisfaisant. Entre les versions 10.x et 12.x de Junos c'est le jour et la nuit. Par rapport aux besoins exprimés, ils répondent parfaitement et constituent un bon investissement sur la durée je pense. Ma petite expérience est d'avoir implémenté du 100, 210, 240, 650 et 3600 sur 2 Datacenters et une vingtaine de sites. Avec tout l'éventail que cela nécessite : Firewalling, IPSEC, OSPF …. Bref, peut encore mieux mais beaucoup de potentiel. Julien. Le 24 juin 2013 à 22:17, Mattieu Baptiste mattie...@gmail.com a écrit : Le 24 juin 2013 21:41, Raphael Mazelier r...@futomaki.net a écrit : Même si on met de côté les limitations stupides de la HA pour les modèles =650, le SRX n'est pas un produit au niveau. Peux tu détailler s'il te plait ? Parce que même si je dois reconnaitre que si les SRX sont loin d'être parfait (configuration trop verbeuse, Alg qui déconnent, limitations stupides en mode cluster) ce sont les firewalls matériels les moins pire que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la Gui en moins). J'ai des fois les envois syslog qui plantent. Faut redémarrer le service, c'est comme ça, et plutôt ballot quand tu perds plusieurs heures/jours de logs. Ou la feature qui t'oblige à rebooter le nœud quand tu perds le control link. D'ailleurs, le switching non recommandé sur le control link (quelque soit les modèles), sur quelle planète ils vivent Juniper ? Et puis récemment, j'ai eu droit à un SRX650 qui ne redémarrait pas. Au début, notre support m'a dit c'est normal, c'est la carte flash qui doit avoir des problèmes, il suffit (sic) de réinstaller l'OS. Après 1h30 à tenter de réinstaller JunOS, on a fini par changer le châssis. Honnêtement, de l'avis d'un certain nombre d'intégrateurs, je suis loin d'être le seul à avoir des soucis sur SRX. La gamme est jeune, ça s'améliore avec le temps mais clairement ils ont encore un wagon de retard. Bien mieux en tout cas que Cisco et Checkpoint par exemple. Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que c'est bien ? Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage L4, ils ont pas mauvaise réputation. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Par curiosite quand vous parlez de limitations en mode cluster vous avez des exemples precis/concrets ? Je suis tombe sur ce post en googlant SRX : http://forums.juniper.net/t5/SRX-Services-Gateway/Convince-me-to-stay-with-SRX-vs-Fortinet-Honest-input-requested/td-p/186575 Youssef 2013/6/25 Duga dug...@gmail.com: La gamme SRX est effectivement jeune et souffre de quelques limitations regrettable. Surtout lors du passage en mode cluster. Cependant, le hardware est très bien foutu et performant. Les performances sont largement au rendez vous. Les limitations sont levées à un rythme satisfaisant. Entre les versions 10.x et 12.x de Junos c'est le jour et la nuit. Par rapport aux besoins exprimés, ils répondent parfaitement et constituent un bon investissement sur la durée je pense. Ma petite expérience est d'avoir implémenté du 100, 210, 240, 650 et 3600 sur 2 Datacenters et une vingtaine de sites. Avec tout l'éventail que cela nécessite : Firewalling, IPSEC, OSPF …. Bref, peut encore mieux mais beaucoup de potentiel. Julien. Le 24 juin 2013 à 22:17, Mattieu Baptiste mattie...@gmail.com a écrit : Le 24 juin 2013 21:41, Raphael Mazelier r...@futomaki.net a écrit : Même si on met de côté les limitations stupides de la HA pour les modèles =650, le SRX n'est pas un produit au niveau. Peux tu détailler s'il te plait ? Parce que même si je dois reconnaitre que si les SRX sont loin d'être parfait (configuration trop verbeuse, Alg qui déconnent, limitations stupides en mode cluster) ce sont les firewalls matériels les moins pire que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la Gui en moins). J'ai des fois les envois syslog qui plantent. Faut redémarrer le service, c'est comme ça, et plutôt ballot quand tu perds plusieurs heures/jours de logs. Ou la feature qui t'oblige à rebooter le nœud quand tu perds le control link. D'ailleurs, le switching non recommandé sur le control link (quelque soit les modèles), sur quelle planète ils vivent Juniper ? Et puis récemment, j'ai eu droit à un SRX650 qui ne redémarrait pas. Au début, notre support m'a dit c'est normal, c'est la carte flash qui doit avoir des problèmes, il suffit (sic) de réinstaller l'OS. Après 1h30 à tenter de réinstaller JunOS, on a fini par changer le châssis. Honnêtement, de l'avis d'un certain nombre d'intégrateurs, je suis loin d'être le seul à avoir des soucis sur SRX. La gamme est jeune, ça s'améliore avec le temps mais clairement ils ont encore un wagon de retard. Bien mieux en tout cas que Cisco et Checkpoint par exemple. Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que c'est bien ? Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage L4, ils ont pas mauvaise réputation. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] 10G l3/l4 firewall
Hello, J'en ai une petite 10 aine (FG200/FG110) pour des raccordements de filiales, effectivement la Gui Web est plutôt pas mal mais assez changeante suivant les versions ce qui est vite pénible pour retrouver ses petits... La CLI est effectivement assez mal foutue et les montées en version assez aléatoires (il est fortement conseillé de rebalancer la config via la CLI après l'upgrade pour vérifier ce qui fait hurler le bouzin). Ceci dit le matos est bon j'en ai pas eu avec un pb en à peu près 6 ans. Le web support en inde est à chier techniquement et ne comprend pas grand-chose mais les techs français qui rappellent sont très bons par contre, faut faire gaffe au type de support qu'on prend du coup. Attention aussi aux délais d'appros, compter ~un mois en France. @++ Mathieu La GUI web est bien foutue, et quand le numéro de révision de l'OS est élevé ça marche bien. À côté de ça, la CLI est abominable (et on n'y coupe pas pour les fonctions avancées comme le routage dynamique), et quand l'OS est trop récent, c'est trop buggé (mais ce n'est pas une exclusivité). Le 24 juin 2013 à 22:17, Mattieu Baptiste mattie...@gmail.com a écrit : Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage L4, ils ont pas mauvaise réputation. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
J'en ai 3 qui me viennent en tête : - Le commit confirm qui disparait (Regrettable mais loin d'être problématique). - Le GRE pour la partie VPN. - Les capacités de switching. Ce qui empêchent de se protéger contre des pannes croisées de switch et de firewall. (Il me semble que cette limitation a été levé avec la version 11.X ou 12.x). Julien. Le 25 juin 2013 à 11:21, Youssef Ghorbal youssef.ghor...@gmail.com a écrit : Par curiosite quand vous parlez de limitations en mode cluster vous avez des exemples precis/concrets ? Je suis tombe sur ce post en googlant SRX : http://forums.juniper.net/t5/SRX-Services-Gateway/Convince-me-to-stay-with-SRX-vs-Fortinet-Honest-input-requested/td-p/186575 Youssef 2013/6/25 Duga dug...@gmail.com: La gamme SRX est effectivement jeune et souffre de quelques limitations regrettable. Surtout lors du passage en mode cluster. Cependant, le hardware est très bien foutu et performant. Les performances sont largement au rendez vous. Les limitations sont levées à un rythme satisfaisant. Entre les versions 10.x et 12.x de Junos c'est le jour et la nuit. Par rapport aux besoins exprimés, ils répondent parfaitement et constituent un bon investissement sur la durée je pense. Ma petite expérience est d'avoir implémenté du 100, 210, 240, 650 et 3600 sur 2 Datacenters et une vingtaine de sites. Avec tout l'éventail que cela nécessite : Firewalling, IPSEC, OSPF …. Bref, peut encore mieux mais beaucoup de potentiel. Julien. Le 24 juin 2013 à 22:17, Mattieu Baptiste mattie...@gmail.com a écrit : Le 24 juin 2013 21:41, Raphael Mazelier r...@futomaki.net a écrit : Même si on met de côté les limitations stupides de la HA pour les modèles =650, le SRX n'est pas un produit au niveau. Peux tu détailler s'il te plait ? Parce que même si je dois reconnaitre que si les SRX sont loin d'être parfait (configuration trop verbeuse, Alg qui déconnent, limitations stupides en mode cluster) ce sont les firewalls matériels les moins pire que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la Gui en moins). J'ai des fois les envois syslog qui plantent. Faut redémarrer le service, c'est comme ça, et plutôt ballot quand tu perds plusieurs heures/jours de logs. Ou la feature qui t'oblige à rebooter le nœud quand tu perds le control link. D'ailleurs, le switching non recommandé sur le control link (quelque soit les modèles), sur quelle planète ils vivent Juniper ? Et puis récemment, j'ai eu droit à un SRX650 qui ne redémarrait pas. Au début, notre support m'a dit c'est normal, c'est la carte flash qui doit avoir des problèmes, il suffit (sic) de réinstaller l'OS. Après 1h30 à tenter de réinstaller JunOS, on a fini par changer le châssis. Honnêtement, de l'avis d'un certain nombre d'intégrateurs, je suis loin d'être le seul à avoir des soucis sur SRX. La gamme est jeune, ça s'améliore avec le temps mais clairement ils ont encore un wagon de retard. Bien mieux en tout cas que Cisco et Checkpoint par exemple. Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que c'est bien ? Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage L4, ils ont pas mauvaise réputation. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Le 2013-06-25 11:21, Youssef Ghorbal a écrit : Par curiosite quand vous parlez de limitations en mode cluster vous avez des exemples precis/concrets ? Je suis tombe sur ce post en googlant SRX : http://forums.juniper.net/t5/SRX-Services-Gateway/Convince-me-to-stay-with-SRX-vs-Fortinet-Honest-input-requested/td-p/186575 Youssef Les soit disantes limitations pour le control link qui doit être direct sans switching (bon en pratique ça marche quand même) , le commit qui ne peut se faire qu'au top, les limitations niveau reth, des trucs chelou niveau ipsec... -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
pas de zero downtime du cluster lors d'un upgrade (un comble pour un cluster!): http://kb.juniper.net/InfoCenter/index?page=contentid=KB17947 Zero downtime is not currently possible on SRX clusters. The goal of this article is to provide a means to upgrade an SRX cluster with the minimum amount of downtime possible. alors que les SSG le supportait nickel. Le 25 juin 2013 11:48, r...@futomaki.net a écrit : Le 2013-06-25 11:21, Youssef Ghorbal a écrit : Par curiosite quand vous parlez de limitations en mode cluster vous avez des exemples precis/concrets ? Je suis tombe sur ce post en googlant SRX : http://forums.juniper.net/t5/**SRX-Services-Gateway/Convince-** me-to-stay-with-SRX-vs-**Fortinet-Honest-input-**requested/td-p/186575http://forums.juniper.net/t5/SRX-Services-Gateway/Convince-me-to-stay-with-SRX-vs-Fortinet-Honest-input-requested/td-p/186575 Youssef Les soit disantes limitations pour le control link qui doit être direct sans switching (bon en pratique ça marche quand même) , le commit qui ne peut se faire qu'au top, les limitations niveau reth, des trucs chelou niveau ipsec... -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Disons que la fonction n'est pas présente dans la version de base des équipements … Mais il est tout de même possible de le faire (Sauf erreur de ma part) si on peut faire une rallonge financière. Le 25 juin 2013 à 12:05, Eric Fourage e...@fourage.net a écrit : pas de zero downtime du cluster lors d'un upgrade (un comble pour un cluster!): http://kb.juniper.net/InfoCenter/index?page=contentid=KB17947 Zero downtime is not currently possible on SRX clusters. The goal of this article is to provide a means to upgrade an SRX cluster with the minimum amount of downtime possible. alors que les SSG le supportait nickel. Le 25 juin 2013 11:48, r...@futomaki.net a écrit : Le 2013-06-25 11:21, Youssef Ghorbal a écrit : Par curiosite quand vous parlez de limitations en mode cluster vous avez des exemples precis/concrets ? Je suis tombe sur ce post en googlant SRX : http://forums.juniper.net/t5/SRX-Services-Gateway/Convince-me-to-stay-with-SRX-vs-Fortinet-Honest-input-requested/td-p/186575 Youssef Les soit disantes limitations pour le control link qui doit être direct sans switching (bon en pratique ça marche quand même) , le commit qui ne peut se faire qu'au top, les limitations niveau reth, des trucs chelou niveau ipsec... -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Le 2013-06-25 12:05, Eric Fourage a écrit : pas de zero downtime du cluster lors d'un upgrade (un comble pour un cluster!): http://kb.juniper.net/InfoCenter/index?page=contentid=KB17947 [3] Zero downtime is not currently possible on SRX clusters. The goal of this article is to provide a means to upgrade an SRX cluster with the minimum amount of downtime possible. alors que les SSG le supportait nickel. Alors la encore la littérature est peu claire. J'ai récemment upgrader 5 cluster de SRX 240H avec ISSU, et c'est bien une upgrade sans downtime. Les states sont bien synchronisé, tu perds seulement des trucs annexes, genre ipsec. Cdt, -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Ah cool merci de l'info... ça me rassure (un peu), j'attends la réponse de mon intégrateur... Le 25 juin 2013 12:11, r...@futomaki.net a écrit : Le 2013-06-25 12:05, Eric Fourage a écrit : pas de zero downtime du cluster lors d'un upgrade (un comble pour un cluster!): http://kb.juniper.net/**InfoCenter/index?page=content**id=KB17947http://kb.juniper.net/InfoCenter/index?page=contentid=KB17947[3] Zero downtime is not currently possible on SRX clusters. The goal of this article is to provide a means to upgrade an SRX cluster with the minimum amount of downtime possible. alors que les SSG le supportait nickel. Alors la encore la littérature est peu claire. J'ai récemment upgrader 5 cluster de SRX 240H avec ISSU, et c'est bien une upgrade sans downtime. Les states sont bien synchronisé, tu perds seulement des trucs annexes, genre ipsec. Cdt, -- Raphael -- -- Eric FOURAGE --- 5 av. de la république 69160 TASSIN-LA-DEMI-LUNE - gsm: 06 03 35 80 81 tel: 09 51 31 44 14 - e...@fourage.net Twitter: @efourage https://twitter.com/efourage - Choisir un bon mot de passehttp://www.securite-informatique.gouv.fr/autoformations/motdepasse/co/Mots_de_Passe_CH01_SCH02.html( securite-informatique.gouv.fr) Les 10 commandements de la sécurité sur l’internethttp://www.securite-informatique.gouv.fr/gp_rubrique34.html(securite-informatique.gouv.fr) Le guide du bon sens numériquehttp://www.axaprevention.fr/Documents/fichiers_pdf/transcriptions_pdf_html/transcription_bsn_clients_2012.html(AXA) Comprendre le phishinghttp://www.securite-informatique.gouv.fr/gp_article44.html( securite-informatique.gouv.fr) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Le 25/06/2013 12:05, Eric Fourage a écrit : pas de zero downtime du cluster lors d'un upgrade (un comble pour un cluster!): http://kb.juniper.net/InfoCenter/index?page=contentid=KB17947 Zero downtime is not currently possible on SRX clusters. The goal of this article is to provide a means to upgrade an SRX cluster with the minimum amount of downtime possible. alors que les SSG le supportait nickel. du coup, on est passé sur Fortinet chez nous. bye bye SRX... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Bonjour, Un bon vieux NS 5400 ultra robuste et ultra fiable. ++ Alain Le 23 juin 2013 16:17, Antoine Jacot-Descombes anto...@jacot-descombes.cha écrit : Le 23.06.13 14:49, Youssef Ghorbal a écrit : Bonjour, Est ce que c'est possible de trouver dans la nature des statefull firewall l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est filtrage l7, antivirus antispam applicationID machin chose capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en terme de pps (web, mail applications metiers) Le Cisco ASA5585-X avec le superviseur SSP-40 ou SSP-60. Ils ont 4 ports SFP+. Utilisables en mode transparent ou en mode routeur. ++ Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Ou Juniper SSG 550 Le 24 juin 2013 à 10:54, proreseau proreseautele...@gmail.com a écrit : Bonjour, Un bon vieux NS 5400 ultra robuste et ultra fiable. ++ Alain Le 23 juin 2013 16:17, Antoine Jacot-Descombes anto...@jacot-descombes.cha écrit : Le 23.06.13 14:49, Youssef Ghorbal a écrit : Bonjour, Est ce que c'est possible de trouver dans la nature des statefull firewall l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est filtrage l7, antivirus antispam applicationID machin chose capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en terme de pps (web, mail applications metiers) Le Cisco ASA5585-X avec le superviseur SSP-40 ou SSP-60. Ils ont 4 ports SFP+. Utilisables en mode transparent ou en mode routeur. ++ Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
+1 pour les Juniper SSG 5xx (et peut etre les SRX 5xx) où les fonctions antivirus/antispam/filtrage URL sont activables et sous licence séparément, et un mode cluster béton. Le 24 juin 2013 11:30, Guillaume Tournat guilla...@ironie.org a écrit : Ou Juniper SSG 550 Le 24 juin 2013 à 10:54, proreseau proreseautele...@gmail.com a écrit : Bonjour, Un bon vieux NS 5400 ultra robuste et ultra fiable. ++ Alain Le 23 juin 2013 16:17, Antoine Jacot-Descombes anto...@jacot-descombes.cha écrit : Le 23.06.13 14:49, Youssef Ghorbal a écrit : Bonjour, Est ce que c'est possible de trouver dans la nature des statefull firewall l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est filtrage l7, antivirus antispam applicationID machin chose capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en terme de pps (web, mail applications metiers) Le Cisco ASA5585-X avec le superviseur SSP-40 ou SSP-60. Ils ont 4 ports SFP+. Utilisables en mode transparent ou en mode routeur. ++ Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
+1 pour Juniper en version SRX3xxx ou 5xxx. Julien. Le 24 juin 2013 11:41, Eric Fourage e...@fourage.net a écrit : +1 pour les Juniper SSG 5xx (et peut etre les SRX 5xx) où les fonctions antivirus/antispam/filtrage URL sont activables et sous licence séparément, et un mode cluster béton. Le 24 juin 2013 11:30, Guillaume Tournat guilla...@ironie.org a écrit : Ou Juniper SSG 550 Le 24 juin 2013 à 10:54, proreseau proreseautele...@gmail.com a écrit : Bonjour, Un bon vieux NS 5400 ultra robuste et ultra fiable. ++ Alain Le 23 juin 2013 16:17, Antoine Jacot-Descombes anto...@jacot-descombes.cha écrit : Le 23.06.13 14:49, Youssef Ghorbal a écrit : Bonjour, Est ce que c'est possible de trouver dans la nature des statefull firewall l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est filtrage l7, antivirus antispam applicationID machin chose capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en terme de pps (web, mail applications metiers) Le Cisco ASA5585-X avec le superviseur SSP-40 ou SSP-60. Ils ont 4 ports SFP+. Utilisables en mode transparent ou en mode routeur. ++ Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
++1 pour les srx de la série 3k et 5k. Ce sont des monstres de puissance. Un de nos clients (un hébergeur) avait testé et comparé plusieurs firewall (checkpoint et cisco entre autre) et les SRX ont été les seuls à tenir sans broncher les perfs annoncées. Il y a d'ailleurs plusieurs provider en suisse qui utilise ce type de matériel pour les accès mobiles 3g/4g entre autre ;-) En plus, cerise sur le gâteau, une fois que l'on a goûté au cli junos, difficile de se remettre à de l'ios ou autre... Bonne recherche. Daniel. Le 24 juin 2013 11:56, Duga Duga dug...@gmail.com a écrit : +1 pour Juniper en version SRX3xxx ou 5xxx. Julien. Le 24 juin 2013 11:41, Eric Fourage e...@fourage.net a écrit : +1 pour les Juniper SSG 5xx (et peut etre les SRX 5xx) où les fonctions antivirus/antispam/filtrage URL sont activables et sous licence séparément, et un mode cluster béton. Le 24 juin 2013 11:30, Guillaume Tournat guilla...@ironie.org a écrit : Ou Juniper SSG 550 Le 24 juin 2013 à 10:54, proreseau proreseautele...@gmail.com a écrit : Bonjour, Un bon vieux NS 5400 ultra robuste et ultra fiable. ++ Alain Le 23 juin 2013 16:17, Antoine Jacot-Descombes anto...@jacot-descombes.cha écrit : Le 23.06.13 14:49, Youssef Ghorbal a écrit : Bonjour, Est ce que c'est possible de trouver dans la nature des statefull firewall l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est filtrage l7, antivirus antispam applicationID machin chose capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en terme de pps (web, mail applications metiers) Le Cisco ASA5585-X avec le superviseur SSP-40 ou SSP-60. Ils ont 4 ports SFP+. Utilisables en mode transparent ou en mode routeur. ++ Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Daniel Borloz Senior Security Engineer CISSP certification nr 329672 Tel: +41 76 301 10 64 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
2013/6/24 Daniel Borloz dbor...@x-dan.ch ++1 pour les srx de la série 3k et 5k. Ce sont des monstres de puissance. Le 24 juin 2013 11:56, Duga Duga dug...@gmail.com a écrit : +1 pour Juniper en version SRX3xxx ou 5xxx. +1 pour les Juniper SSG 5xx (et peut etre les SRX 5xx) où les fonctions Je ne recommanderais pour ma part pas de SRX. Stabilité douteuse, HA très limitée (jusqu'au 650), problèmes de fiabilité hardware. Par contre, l'avantage indéniable des SRX est la cli junos. Comme souvent, Juniper a du mal avec ses gammes jeunes (EX), mais pour le SRX ça fait une paire d'années qu'ils rament. -- Mattieu Baptiste /earth is 102% full ... please delete anyone you can. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
On Sun, Jun 23, 2013, at 15:07, François JOMIER wrote: Bonjour, De mémoire, il y a des bundles chez Fortinet qui ne comprennent pas les fonctionnalités L7. Si, ils comprennent tous toutes les fonctionalites, il y a juste les licences pour les listes d'URL (clasification) ou pour les signatures (AV, IPS) qui manquent. Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Cote prix, pour du 10G en L3/L4, pareil, difficile de faire mieux (le SRX1400 s'approche). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
On Mon, Jun 24, 2013, at 18:47, Mattieu Baptiste wrote: +1 pour les Juniper SSG 5xx (et peut etre les SRX 5xx) où les fonctions Je ne recommanderais pour ma part pas de SRX. Stabilité douteuse, HA très limitée (jusqu'au 650), problèmes de fiabilité hardware. Ca tombe bien, la categorie 10Gbps+, commence a partir des 1400 :) Les SSG/ISG sont du coup totalement hors categorie. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
2013/6/24 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net On Mon, Jun 24, 2013, at 18:47, Mattieu Baptiste wrote: +1 pour les Juniper SSG 5xx (et peut etre les SRX 5xx) où les fonctions Je ne recommanderais pour ma part pas de SRX. Stabilité douteuse, HA très limitée (jusqu'au 650), problèmes de fiabilité hardware. Ca tombe bien, la categorie 10Gbps+, commence a partir des 1400 :) Les SSG/ISG sont du coup totalement hors categorie. Même si on met de côté les limitations stupides de la HA pour les modèles =650, le SRX n'est pas un produit au niveau. -- Mattieu Baptiste /earth is 102% full ... please delete anyone you can. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Même si on met de côté les limitations stupides de la HA pour les modèles =650, le SRX n'est pas un produit au niveau. Peux tu détailler s'il te plait ? Parce que même si je dois reconnaitre que si les SRX sont loin d'être parfait (configuration trop verbeuse, Alg qui déconnent, limitations stupides en mode cluster) ce sont les firewalls matériels les moins pire que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la Gui en moins). Bien mieux en tout cas que Cisco et Checkpoint par exemple. Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que c'est bien ? Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Le 24 juin 2013 21:41, Raphael Mazelier r...@futomaki.net a écrit : Même si on met de côté les limitations stupides de la HA pour les modèles =650, le SRX n'est pas un produit au niveau. Peux tu détailler s'il te plait ? Parce que même si je dois reconnaitre que si les SRX sont loin d'être parfait (configuration trop verbeuse, Alg qui déconnent, limitations stupides en mode cluster) ce sont les firewalls matériels les moins pire que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la Gui en moins). J'ai des fois les envois syslog qui plantent. Faut redémarrer le service, c'est comme ça, et plutôt ballot quand tu perds plusieurs heures/jours de logs. Ou la feature qui t'oblige à rebooter le nœud quand tu perds le control link. D'ailleurs, le switching non recommandé sur le control link (quelque soit les modèles), sur quelle planète ils vivent Juniper ? Et puis récemment, j'ai eu droit à un SRX650 qui ne redémarrait pas. Au début, notre support m'a dit c'est normal, c'est la carte flash qui doit avoir des problèmes, il suffit (sic) de réinstaller l'OS. Après 1h30 à tenter de réinstaller JunOS, on a fini par changer le châssis. Honnêtement, de l'avis d'un certain nombre d'intégrateurs, je suis loin d'être le seul à avoir des soucis sur SRX. La gamme est jeune, ça s'améliore avec le temps mais clairement ils ont encore un wagon de retard. Bien mieux en tout cas que Cisco et Checkpoint par exemple. Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que c'est bien ? Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage L4, ils ont pas mauvaise réputation. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
La GUI web est bien foutue, et quand le numéro de révision de l'OS est élevé ça marche bien. À côté de ça, la CLI est abominable (et on n'y coupe pas pour les fonctions avancées comme le routage dynamique), et quand l'OS est trop récent, c'est trop buggé (mais ce n'est pas une exclusivité). Le 24 juin 2013 à 22:17, Mattieu Baptiste mattie...@gmail.com a écrit : Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage L4, ils ont pas mauvaise réputation. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Bonjour, De mémoire, il y a des bundles chez Fortinet qui ne comprennent pas les fonctionnalités L7. ++ François Le 23 juin 2013 14:49, Youssef Ghorbal youssef.ghor...@gmail.com a écrit : Bonjour, Est ce que c'est possible de trouver dans la nature des statefull firewall l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est filtrage l7, antivirus antispam applicationID machin chose capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en terme de pps (web, mail applications metiers) La seule option que je vois aujourd'hui c'est de prendre un boitier qui fait tout et d'ignorer les fonctionnalites qui ne servent pas mais je n'aime pas trop l'approche. Les fonctionnalites de filtrages dites avancees sont generalement inclues d'office dans les boiboites et shiftent les prix dangereusement vers le haut. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Le 23.06.13 14:49, Youssef Ghorbal a écrit : Bonjour, Est ce que c'est possible de trouver dans la nature des statefull firewall l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est filtrage l7, antivirus antispam applicationID machin chose capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en terme de pps (web, mail applications metiers) Le Cisco ASA5585-X avec le superviseur SSP-40 ou SSP-60. Ils ont 4 ports SFP+. Utilisables en mode transparent ou en mode routeur. ++ Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/
