Le 25/01/2014 00:35, Guillaume Barrot a écrit :
Question récurrente, posée environ tous les deux mois sur la liste.
Je vais te résumer à la grosse les positions trollesques que tu vas avoir :
** "discussion stérile sur firewalling c'est du niveau 3/4" vs "meuh non
c'est du niveau 7, UTM sa maman" etc pendant environ 20-30 mails **
** puis on invoque les trolls pro technos **
gna gna gna SRX gna gna CLI super cool et MPLS gna gna
grouf grouf grouf Fortinet grouf grouf parce qu'ASA ah ah ah
gna gna Fortinet c'est de la dreum, la CLI est pourrie gna gna gna
grouf grouf Juniper m'en fous du MPLS sur mon firewall grouf grouf
** discussion stérile pendant 45 mails environ **
** intervention d'un pro solution en train de trepasser (Checkpoint,
Stonesoft, etc...) **
ki ki ki Firewall truc truc ? ki ki ki
=> atomisation de l'outrecuidant
** intervention d'un pro firewall opensource **
pouet pouet Pfsenso-Mikrotiko-Gentoo-over-x86 ? pouet pouet
=> double atomisation "soyons serieux bordel" et finalisation du lustrage
par un point Godwin bien mérité.
Tu finis avec mal aux yeux, des idées bien embrouillées, voire quelques
envies de meurtres.
Bref :
1- pose une sonde (serveur + snort), fais des stat (netflow est ton ami)
2- fais en un cahier des charges et un cahier de tests (fais toi ta matrice
IMIX). Oublie pas de bien qualifier les usages que tu comptes en faire et
les SLA que tu veux pouvoir offrir.
3- envoie ça aux fournisseurs
4- rencontre les et avec un couteau bien aiguisé sous la gorge, négocie des
POC chez eux et du pret de matos
5- fais des labs et des tests (merci la virtualisation, quasiment tous les
firewalls serieux ont une demo en VM downloadable directement sur le site
=> tests fonctionnels, test de l'API etc.)
6- si tu as un injecteur, vérifie les datasheets. Si t'en as pas, va faire
des pocs chez les constructeurs. Si c'est trop long/compliqué => fais donc
confiance aux Datasheets ou au Gartner (et pleure).
Et fais toi ta propre opinion en fonction des tes besoins, du niveau des
tes équipes, de tes habitudes (CLI, GUI, API) et du niveau de tes devs.
Demande l'avis à une mailing list ... autant regarder le Gartner et choisir
le point en haut à droite !
PS : Juniper ISG ? Tu veux pas installer un PIX non plus ???
Ahaha très bon résumé, tu viens de nous éviter 40 posts (auquel j'aurais
fatalement participé à un moment, j'avoue).
Sinon il n'y a que moi que cela choque l'expression "Firewall
Datacenter" ? qu'est ce que cela veut dire ? c'est par opposition à un
firewall chez un particulier ?
Il existe autant de solutions/réponses que
d'architectures/besoins/budgets. Donc même conseil, affine ton cahier
des charges.
--
Raphael Mazelier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
