Re: [FRnOG] [TECH] Choix d'une appliance Firewall

Mon, 23 Sep 2013 03:30:25 -0700 

Le 2013-09-23 12:27, Raphael Mazelier a écrit :

Le 23/09/2013 12:09, Raphael Maunier a écrit :


Un barbu qui s'enflamme :)

Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la 
partie Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, 
il faut que les barbus s'enflamment, sinon, les valeurs se perdraient 
!



Il faudra retester avec la sortie de Freebsd 10 et pf qui est

maintenant SMP aware. Niveau performance cela devrait commencer à 
être

intéressant avec du bon matos, type les appliances Apligo.


J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour 
chaque FW un type d'utilisation.



Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, 
pour de la prod, je partirais plutôt sur un constructeur ( apliance ou 
soft dans une vm )



Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je 
partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire 
ça pour le dernier :) ).



Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne 
de ce nom pour éviter de faire le debug en cli pour tout ce qui est 
sécu ce ne sera qu'un outsider et encore. ( je suis bon pour un coup 
de tel de Juniper maintenant :) )



Entièrement d'accord. Je suis pro Juniper aussi, mais mon avis sur
les Srx est mitigés.
Les Srx fonctionne raisonnablement bien (modulo quelques soucis
habituels avec les Alg). Niveau performance c'est OK.
Mais alors la ou la CLI Juniper est généralement un avantage sur un
routeur, sur la partie règles c'est beaucoup trop verbeux.
On peut un petit peu améliorer les choses avec les apply-groups, mais
si tu dépasse les 500 règles ça devient illisible.



Attention, le CLI est inexistant sur ces deux derniers, c'est 
clickodrome. Mais pour du firewall, très franchement, le tout cli je 
crois que c'est dépassé



L'approche Netscreen avec NSM était un compromis acceptable.
Maintenant NSM fonctionne vraiment très mal avec les SRX.



Ensuite, les trucs genre Checkpoint, Cisco ASA "leaders" du marché 
... Je passerais mon chemin. Je me demande meme comment les trucs 
comme ASA se vendent encore, jamais vu un truc aussi pénible à 
administrer. Checkpoint, bah checkpoint :) CQFD.



Checkpoint le seul gros/énorme avantage est leur GUI. ASA j'ai beau
chercher ?


bah go Stonesoft alors, c'est 100 fois mieux :)



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/























					Répondre à