Choix UTM

Choix UTM - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 22-09-2009 à 19:10:57    

Bonjour,
 
Je suis Actuellement équipé d'un UTM Arkoon A210R depuis Dec 2006.
 
Ce matériel est très bien pour son interface, et ses fonctionnalités sur le papier mais ..  
  - 4 pannes matériel en 3 ans  (reboots intempestifs puis remplacement par Arkoon)
  - si on cherche à utiliser toutes les fonctionnalités de l'arkoon les perf s'effondrent ..
 
Pour exemple, en 2006 j'utilisais : Le proxy avec antivirus, le relais SMTP, l'anti-spam + Antivirus mail .. et le VPN nomades
 
Aujourd'hui j'ai du le décharger des antivirus, de l'antispam, des mails entrants sur le relais SMTP .. Et j'ai allégé au max mes règles de proxy et la journalisation.  
Tout ceci pour gagner un peu de perf sur le proxy qui malgré tout ça continue de ramer ...  
 
J'ai environ 100 utilisateurs avec une grosse utilisation d'internet
Sur l'UPN j'utilise les 5 interfaces :  
       - 1 sous réseau principal
       - 1 ligne ADSL 18Mo pour le surf des utilisateurs  (sous proxy)
       - 1 ligne SDSL 2Mo pour les accès VPN, les mails, les trafics FTP côté traitements serveur
       - 1 ligne SDSL 2Mo pour les accès internet du département graphique (transferts de gros documents) (pas de proxy)
       - 1 sous réseau secondaire
 
 
Une chose certaine, le prochain devra fonctionner en cluster (mode HA chez Arkoon) pour éviter d'être en panne totale si 1 des boitier plante.
 
 
Avez vous un retour d'expérience, des produits à me conseiller ... ?  
 
 
Merci d'avance.
 
 :hello:


Message édité par SHUM27 le 22-09-2009 à 19:31:40
Reply

Marsh Posté le 22-09-2009 à 19:10:57   

Reply

Marsh Posté le 22-09-2009 à 21:01:23    

J'aime bien les produits Netasq ou Juniper.
Je connais mieux les Netasq.  
Quel que soit l'UTM je déteste avoir à utiliser les fonctions de proxy ou antivirus sur ce genre de produits, les équipements dédiés sont tellement mieux. Chez Netasq un U120 a 6 interfaces Gb, un ASIC VPN, et gère la HA pour un tarif trés correct je trouve.

Reply

Marsh Posté le 22-09-2009 à 21:59:10    

en boitier dédié pour les proxy tu utilises quoi ?

Reply

Marsh Posté le 22-09-2009 à 22:13:30    

Olfeo par exemple que tu mettrais en DMZ (proxy + filtrage URL complet, bien adapté pour la France).  
Mais y en a plein d'autres.

Reply

Marsh Posté le 23-09-2009 à 09:30:16    

Tu ne rencontres pas de problèmes de lenteur sur le surf via proxy  .? moi tout ce qui charge des photos c'est une cata..

Reply

Marsh Posté le 23-09-2009 à 09:36:46    

Pas avec un proxy dédié.
Mais via un proxy sur un UTM ca m'étonne pas.

Reply

Marsh Posté le 23-09-2009 à 10:04:43    

ok donc c'est bien ce que je pensais.. SI je veux des performances correctes il faut que je m'oriente vers des boitiers séparés..  
 

Reply

Marsh Posté le 23-09-2009 à 10:23:36    

Clairement, en terme de performances ou même de fonctionnalités.

Reply

Marsh Posté le 23-09-2009 à 11:14:24    

Nous avons deux A800 en HA.
Les perf sont correctes pour 200 users, mais il faut faire attention à beaucoup de choses en effet.
 
Nous n'utilisons pas l'antispam et le relais SMTP uniquement en entrant.
 
PS: tu as virer le cache du proxy?
 

Reply

Marsh Posté le 23-09-2009 à 11:54:22    

oui j'ai viré le cache, j'ai aussi allégé les règles sur le relais HTTP.;
 
mais malgré tout c'est pas top en perf dès qu'on passe par le proxy ..  
 
Tu les as depuis combine de temps ?  fiabilité  ?  
 
Quand tu dis il faut faire attention à beaucoup de choses, tu penses à quoi ?

Reply

Marsh Posté le 23-09-2009 à 11:54:22   

Reply

Marsh Posté le 23-09-2009 à 12:05:02    

SHUM27 a écrit :

oui j'ai viré le cache, j'ai aussi allégé les règles sur le relais HTTP.;
 
mais malgré tout c'est pas top en perf dès qu'on passe par le proxy ..  
 
Tu les as depuis combine de temps ?  fiabilité  ?  
 
Quand tu dis il faut faire attention à beaucoup de choses, tu penses à quoi ?


 
On en a depuis 2002 :)
 
au début un A200 en France puis un A50 au Mexique puis un A200 en Chine puis un A50 en Argentine puis 2 A800 en France.
Bref on en met partout :)
 
Question fiabilité juste un soucis sur le DD 2 fois au Mexique, notre support revendeur nous en un fourni un identique en remplacement: juste à inverser.
 
Sinon il faut penser à:
-ne pas garder beaucoup de log: archivage très fréquent.
-journaliser que peu de règles de flux lorsque c'est obligatoire.
-limiter le nombre de règle applicatives du proxy
-supprimer le cache du proxy
-Utiliser des DNS interne
 
 


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 23-09-2009 à 12:12:29    

Je pense que mes problèmes sont également des problèmes de DD . . .
 
J'ai également pris les mêmes mesures, mais entre nous je trouve domage d'en etre arrivé car au final je ne peux pas l'utiliser à 100 % ..
 
Par exemple, au niveau des règles applicatives c'est très limité pour ne pas écrouler les perf ..  
Je ne sais pas ce que donne la concurrence mais là je suis refroidis.
 
En plus c'est difficile de comparer avec la concurrence car en fait très peu d'articles mentionnent Arkoon..
 

Reply

Marsh Posté le 23-09-2009 à 12:16:17    

Oui je suis d'accord.
 
Notre démarche à été (comme beaucoup) d'avoir un boitier qui fait tout (question de tarif) et ensuite on externalise petit à petit:
-antispam externe (serveur spamassasin "interfacé" avec l'Arkoon)
-SMTP sortant
... proxy http
 
D'ailleurs je pense peut être utiliser un proxy Linux un de ces jours et là plus aucun pb avec l'Arkoon je pense.

Reply

Marsh Posté le 23-09-2009 à 12:29:10    

A signaler la nouvelle gamme d'UTM Cisco SA500 : http://www.cisco.com/en/US/product [...] rison.html

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed