information Routeur Firewall Matériel

[mikey18]

Bonjour <BR>Je suis à la recherche d'information concernant les routeurs firewall Hard tels que le boitier Firewall de symantec ou autres. Je dois protéger 30 utilisateurs qui se connecte sur Internet, On utilise des connexion CITRIX et on voudrait monter une DMZ pour les serveurs sensibles. J'aimerais connaitre votre opinion sur ce type de matériel et sur les solutions que vous avez mis en place <BR> <BR>Merci

[JuLeS]

Il existe beaucoup de matériels différents pour ce genre d'opérations (Symantec, SonicWall, Cisco...). <BR>Par rapport à ta problématique, je dirais que tout dépend du budget (si on délire, on peut mettre en place une plate forme Nokia avec un CheckPoint embarqué, mais bon $$$$$). <BR>Par rapport à mon expérience sur diverses marques, je te conseillerais plutot un Netasq F100 (qui répond très bien à ton besoin). <BR>Si quelqu'un à d'autres idées <IMG SRC="images/smiles/icon_up.gif">

[gla]

Question 1 : <BR>Les serveurs Citrix sont ils utilisés depuis l'interne ou l'externe ? <BR> <BR>Question 2 : <BR>Si interne à la question 1 alors l'accès Internet est il utilisé uniquement pour sortir, mailer et surfer ? <BR> <BR>Question 3 : <BR>Lorsque tu parles de serveurs sensibles sur la DMZ, s'agit-il des serveurs citrix ? <BR> <BR>Si tu veux placer des serveurs Citrix, sur la DMZ, il sera possible de les voir depuis l'internet (a condition d'ouvrir les ports ICA correspondant sur le FW) <BR> <BR> <BR>

[mikey18]

La connexion Internet permet de surfer mais aussi de faire du pcAnywhere. <BR>Les serveurs citrix sont accessible depuis l'interieur pour des besoins interne et l'exterieur pour des clients. Les serveurs sensibles inclus dans la DMZ seront un serveur Web un serveur MAIL <BR> <BR> <BR>

[remi]

Je pense que dans ton cas, le Velociraptor de Symantec, mais il as un défaut, assez genant dans ton cas : Il est limiter en nombre de client... <BR>

[stardust]

Salut, <BR> <BR>Le netasq F100 est très bien mais je pense que tu peux te satisfaire d'un Netasq F50-3 (3 portsEthernet) conseillé pour 50 utilisateurs max. <BR> <BR>D'autant que j'imagine que le débit de ta connexion Internet est < 9 Mbps (Throughput du F50). <BR> <BR>Pour infos : <BR>Prix Public mai 2003 du F50-3 illimité (up to 50 users conseillé) : 2 690 € HT <BR>Prix Public mai 2003 du F100-3 (up to 500 users conseillé et throughput de 80 Mbps) : 3 940 € HT. <BR> <BR>Nota : Le F100 est un produit en fin de production. La commercialisation de ce produit sera arrêtée en juillet 2003. <BR> <BR>

[gla]

Attention, dans ton cas les Citrix doivent se trouver sur DMZ car sinon tu doit ouvrir les ports ICA depuis l'interne et c'est super cool ! <BR>

[mikey18]

Effectivement le F50-3 de chez netasq semble répondre à mes besoins. Je vais essayer de m'orienter vers cette solution. En terme de sécurité et d'administration comment se comporte il (Facilité de config,log...)? <BR> <BR>Merci

[stardust]

<BR> <BR>Les produits Netasq sont basés sur un OS Free BSD sécurisé et sont livrés de base avec 3 softs (Environnement Windows) : <BR> <BR>Firewall Manager : Interface graphique de configuration, <BR>Firewall Monitor : Interface Graphique de Monitoring temps réel de l'activité du firewall, <BR>Firewall Reporter : Interface Graphique permettant de consulter les logs. <BR> <BR>Pour le F50-3 (pas de disque dur intégré), nécessite un serveur syslog sur le réseau : <BR>Un soft Syslog tournant sous windows est fournit avec les 3 précédent. <BR> <BR>Netasq est une société française basé à Villeneuve d'Asq: <BR>--> Docs en français <BR>--> Support technique en français <BR>--> Très bonne réactivité du support <BR> <BR>

[gla]

Sinon tu peux faire avec deux PIX 501 de Cisco (600 euros) <BR>PIX 501 = FW + Switch 4 ports 10/100 <BR> <BR>Ca te donne une soluce à 1200 Euros <BR> <BR>Internet <BR> | <BR> | <BR> | <BR> FW1 <BR> |||| <BR> |------DMZ <BR> | <BR> FW2 <BR> |||| <BR> | <BR> | <BR>Réseau interne <BR> <BR>En plus si l'un des deux tombe en panne, tu dispose d'une solution de secours (dégradée) qui te permet de remettre en place ton accès assez vite <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">

[remi]

Oui, mais a ce moment la, pourquoi ne pas coupler comme je l'ai fais professionnelement un PIX506E et un IPCOP... ca marche terriblement bien...

[JuLeS]

En effet, on peut coupler 2 FW, ce qui ne facilite pas la config <IMG SRC="images/smiles/icon_eek.gif"> <BR>Les solutions appliances sont quand même assez fiables au niveau matériel (soit il n'y a que des puces qui ne "grillent", ou alors, comme chez Netasq, il s'agit tout betement d'un Pc, et se procurer des pieces de remplacement rapidement n'est pas un probleme). <BR>A+

[gla]

D'accord avec toi Remi, <BR>de plus cela permet lorsque le FW est compromis de pouvoir garder une protection <BR>cela étant, avoir deux FW identiques permet une souplesse d'admin et une rapidité de mise en place si panne de matos <BR> <IMG SRC="images/smiles/icon_smile.gif">

[remi]

Oui, mais deux firewall differents, c "type de faille possible" differents...

[gla]

ouais, mais pareil !!! <BR> <BR>si une faille existe sur l'un elle n'est pas forcement pareil sur l'autre s'il sont différents (ex : pix + ipcop) <BR>cela te laisse donc le temps de réagir si le problème est publié ! <BR>(ce qui n'est pas toujours le cas !!!) <IMG SRC="images/smiles/icon_frown.gif">