Informations sur projet firewall

[SISCA]

Bonjour,

Etant nouveau dans le monde Cisco je m'en remets à vous pouvoir avoir vos avis sur mon cas.

En fait nous souhaitons remplacer notre système de sécurité qui est actuellement gérer par un boitier UMT par un firewall dédié.

J'ai contacté mon revendeur pour avoir des précisions sur la nouvelle gamme ASA de Cisco. Je lui expique mes besoins:

- protection du réseau local contre Internet.
- mise en place d'une DMZ avec deux ou trois services
- protection du LAN contre un réseau VPN 'partennaire'
- possibilité d'avoir des comptes VPN pour nos nomades.

Tant qu'à faire avoir de la redondance en doublant le firewall et utiliser le protocole HSRP.

Là vient s'ajouter une autre problèmatique, c'est le fait que nous avon deux connexions internet chez deux FAI différents (adresses IP fixes) et que j'aimerai si possible avoir du load-balancing sur les deux connexionx et si l'une venait à tomber passer tous le traffic sur l'autre.

Donc pour en arriver à la conclusion de mon revendeur qui me déconseille Cisco.

Car à ses dire pour le projet que je vous ai cité ci-dessus il faut compter 15 jours de travail pour la config du matériel et aller dans la série 5510 voir 5520 de la série ASA, donc un cout assez élevé.

Pour info notre réseau est compsé de moins de 100 clients qui vont sur Internet. Ce chiffre pourra parcontre passer à 250 bientôt.

En vous remerciant pour vos sentiments sur les explications de mon revendeurs.

[Padawan]

Salut,

Les modèles 5510 et 5520 sont les plus bas de gamme au niveau des ASA, en excluant l'ASA 5505 qui est plutôt pour particuliers/PME.
Donc si le coût est élevé, il faut remarquer que c'est les modèles les moins puissants pour entreprises, à avoir que le plus puissant est l'ASA 5550 qui est équipé pour de la fibre optique.

Je ne comprends pas pourquoi ton revendeur déconseille Cisco. Mais dans tous les cas, il doit forcément avoir autre chose à te proposer, comme du Juniper ou du Nokia IP. Est-ce le cas ?

L'ASA est capable de faire du load-balancing.
Pour la redondance, on parle de Failover sur les firewalls étant donné que HSRP est un protocole pour les routeurs (et les switches L3). Les ASA comme les PIX, sont capables de faire du failover.

Ensuite, il te faudrait donner plus de détails si tu veux que je t'aide à choisir le modèle de ton ASA, comme par exemple le type de trafic, le nombre de pps requis, et si tu souhaites avoir des interfaces avec des standards spécifiques (Gigabit, FO, etc...).

J'espère t'avoir aidé,

A+

Padawan

[SISCA]

Bonjour,

Déjà merci pour ta réponse.

En éffet il m'a proposé du matériel Stonesoft (inconnu au bataillon) à ce jour.

Concernant le type de traffic on va y retourver un peu de tout (http, citrix, lotus, ftp, ldap, etc...). Pour le moment nous n'avons aps de ToIP mais j'aimeraiq ue cela reste du possible (au cas où).

Pour les interfaces alors cela va rester du bon vieux cuivre en 10/100 Mbps, à la limite 2 ports gigabits pour faire des synchro entre les serveurs LAN et les serveurs en DMZ. Pour le reste Internet et VPN des ports 10/100 suffisent largelent.

Au niveau du pps et de tous ce qui est stats de connexion/transfert pas facile à dire. Je vais regarder pour essayer de te donner quelques choses de sur quoi tu puisse travailler.

A bientot

[Padawan]

Salut,

Je ne connais pas Stonesoft, mais si c'était vraiment performant, ce serait plus connu je pense. Donc si tu ne veux pas de Cisco, une alternative avec Nokia IP me parait être une bonne solution.
Tu as aussi la solution où tu crées ton firewall/IDPS/tout ce que tu veux sur une machine sous Linux ou UNIX. C'est plus flexible qu'une firewall normal. La différence est très notable. Il y a même des distribs dédiées à faire des firewalls (m0n0wall, etc...).

Pour le trafic, ça semble standard.
Pour les interfaces, c'est tout bon pour sur du Cisco. C'est quand tu demandes un standard de fibre précis que ça se complique.

J'attends pour les infos sur le nombre de pps.

J'espère t'avoir aidé,

A+

Padawan