Bonjour,
 
Je désire réaliser cette config :
 
FW(Cisco Pix 525)--->NGS(Symantec gateway Scurity 5620)--->LAN.
 
Quelqu'un a déjà bossé dans une architecture similaire, voire avec les mêmes produits?
 
Merci  
 

je croyais que ça existait plus les pix est qu'il était remplacé par des ASA 55x .
 
tu compte faire quoi avec cette archi ? quelle est l'expression de besoin ? quelles sont les exigences de sécurité ?

Au fait mon réseau actuel ne comporte pas d'antivirus et j'ai un SGS 5620 qui fera mon filtrage d'url, mon IDS/IPS, mon antispam et mon antivirus.
Mon pb c'est de faire du SGS la paserelle par défaut de mon LAN et du Pix la passerelle du SGS.
 
 

pour l'anvirus, tu peux pas utiliser ICAP pour tes flux ?
en gros, sur ton pix, tu as une pate sur le LAN, une pate pour le net et une pate pour ton NGS ..

Je peux plus rien acheter et j'ai les licences du pix et du ngs.
Pour la config j'ai une patte pour le net, une pour le DMZ, et une pour le NGS qui fera office de passerelle pour le LAN.
 

bon ok
 
et qu'est ce qui te pose problème ?

Je compte faire ceci:
 
10.0.0.1 comme adresse de la patte interne du NGS qui sera aussi la passerelle par défaut de mon LAN
10.0.1.2 comme adresse de la patte externe du NGS
10.0.1.1 comme adresse de la patte interne du PIX qui sera la passerelle du NGS
10.0.2.1 comme adresse de la patte du DMZ
 
! problème: si je dois adopter cette config serai-je obligé de redéfinir les routes et la NAT sur le NGS

ben quel est l'existant en terme d'ip pour ton pix ?
 
le ngs n'est pas transparent je pense, tu verras son ip circuler et non pas les postes ... ( à confirmer )....

Je dispose d'une adresse publique pour la patte externe du pix.
Je dispose de 2 sites distants reliés à mon LAN par une LS.
Mon routeur internet dispose de son adresse publique.
Je voudrai que le ngs soit tranparent.

Rectification  
 
Je dispose d'une adresse publique pour la patte externe du pix.  
Je dispose de 2 sites distants reliés à mon LAN par une LS.  
Mon routeur internet dispose de son adresse publique.  
Je ne voudrai pas que le ngs soit transparent.

ce que j'en vois dans les doc ( les publiques du moins sur le site de symantec), le sgs n'est pas transparent, il est en coupure entre le LAN et l'exterieur .. ce qui implique que tu dois redéfinir tes règles de filtrage  de ton pix ... et ya encore plein d'autre choses : quid de l'architecture DNS : les postes utilisent lesquel ? ( le sgs est relais dns  + cache etc..),
 
après faut étudier le bazar, mais  à pairt le mode icap pour l'antivirus et le fitlrage d'url, un truc transparent, et en coupure, je suis pas sur !

Les postes utilisent le DNS du FAI, que me suggérez vous?

ben déja, potasser à mort la doc des SGS surtout d'un point de vue architecture, si pour vous les composants techniques et les choix des services sont "figés"
 
il faut étudier les services 1 par 1 :  
 
routage, filtrage, dns, décontamination antivirale, serviecs web ...
 
 
en fait, en général, on réfléchit  à l" l'envers" , c'est à dire qu'on part d'une expression de besoin fonctionelle, et de part les prescriptions sécurité ( et législatif aussi, beaucoup de gens l'oublies comme la politique de rétention des log des utilisateurs et leur utilisatio), on en déduit une architecture technique qui réponds au besoin initial : architecture évolution, et on fait un plan de migration ... enfin c'est la théorie !

Merci pour tout, je vous ferai part des évolutions.