Choix UTM - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 22-09-2009 à 21:01:23
J'aime bien les produits Netasq ou Juniper.
Je connais mieux les Netasq.
Quel que soit l'UTM je déteste avoir à utiliser les fonctions de proxy ou antivirus sur ce genre de produits, les équipements dédiés sont tellement mieux. Chez Netasq un U120 a 6 interfaces Gb, un ASIC VPN, et gère la HA pour un tarif trés correct je trouve.
Marsh Posté le 22-09-2009 à 22:13:30
Olfeo par exemple que tu mettrais en DMZ (proxy + filtrage URL complet, bien adapté pour la France).
Mais y en a plein d'autres.
Marsh Posté le 23-09-2009 à 09:30:16
Tu ne rencontres pas de problèmes de lenteur sur le surf via proxy .? moi tout ce qui charge des photos c'est une cata..
Marsh Posté le 23-09-2009 à 09:36:46
Pas avec un proxy dédié.
Mais via un proxy sur un UTM ca m'étonne pas.
Marsh Posté le 23-09-2009 à 10:04:43
ok donc c'est bien ce que je pensais.. SI je veux des performances correctes il faut que je m'oriente vers des boitiers séparés..
Marsh Posté le 23-09-2009 à 10:23:36
Clairement, en terme de performances ou même de fonctionnalités.
Marsh Posté le 23-09-2009 à 11:14:24
Nous avons deux A800 en HA.
Les perf sont correctes pour 200 users, mais il faut faire attention à beaucoup de choses en effet.
Nous n'utilisons pas l'antispam et le relais SMTP uniquement en entrant.
PS: tu as virer le cache du proxy?
Marsh Posté le 23-09-2009 à 11:54:22
oui j'ai viré le cache, j'ai aussi allégé les règles sur le relais HTTP.;
mais malgré tout c'est pas top en perf dès qu'on passe par le proxy ..
Tu les as depuis combine de temps ? fiabilité ?
Quand tu dis il faut faire attention à beaucoup de choses, tu penses à quoi ?
Marsh Posté le 23-09-2009 à 12:05:02
SHUM27 a écrit : oui j'ai viré le cache, j'ai aussi allégé les règles sur le relais HTTP.; |
On en a depuis 2002
au début un A200 en France puis un A50 au Mexique puis un A200 en Chine puis un A50 en Argentine puis 2 A800 en France.
Bref on en met partout
Question fiabilité juste un soucis sur le DD 2 fois au Mexique, notre support revendeur nous en un fourni un identique en remplacement: juste à inverser.
Sinon il faut penser à:
-ne pas garder beaucoup de log: archivage très fréquent.
-journaliser que peu de règles de flux lorsque c'est obligatoire.
-limiter le nombre de règle applicatives du proxy
-supprimer le cache du proxy
-Utiliser des DNS interne
Marsh Posté le 23-09-2009 à 12:12:29
Je pense que mes problèmes sont également des problèmes de DD . . .
J'ai également pris les mêmes mesures, mais entre nous je trouve domage d'en etre arrivé car au final je ne peux pas l'utiliser à 100 % ..
Par exemple, au niveau des règles applicatives c'est très limité pour ne pas écrouler les perf ..
Je ne sais pas ce que donne la concurrence mais là je suis refroidis.
En plus c'est difficile de comparer avec la concurrence car en fait très peu d'articles mentionnent Arkoon..
Marsh Posté le 23-09-2009 à 12:16:17
Oui je suis d'accord.
Notre démarche à été (comme beaucoup) d'avoir un boitier qui fait tout (question de tarif) et ensuite on externalise petit à petit:
-antispam externe (serveur spamassasin "interfacé" avec l'Arkoon)
-SMTP sortant
... proxy http
D'ailleurs je pense peut être utiliser un proxy Linux un de ces jours et là plus aucun pb avec l'Arkoon je pense.
Marsh Posté le 23-09-2009 à 12:29:10
A signaler la nouvelle gamme d'UTM Cisco SA500 : http://www.cisco.com/en/US/product [...] rison.html
Marsh Posté le 22-09-2009 à 19:10:57
Bonjour,
Je suis Actuellement équipé d'un UTM Arkoon A210R depuis Dec 2006.
Ce matériel est très bien pour son interface, et ses fonctionnalités sur le papier mais ..
- 4 pannes matériel en 3 ans (reboots intempestifs puis remplacement par Arkoon)
- si on cherche à utiliser toutes les fonctionnalités de l'arkoon les perf s'effondrent ..
Pour exemple, en 2006 j'utilisais : Le proxy avec antivirus, le relais SMTP, l'anti-spam + Antivirus mail .. et le VPN nomades
Aujourd'hui j'ai du le décharger des antivirus, de l'antispam, des mails entrants sur le relais SMTP .. Et j'ai allégé au max mes règles de proxy et la journalisation.
Tout ceci pour gagner un peu de perf sur le proxy qui malgré tout ça continue de ramer ...
J'ai environ 100 utilisateurs avec une grosse utilisation d'internet
Sur l'UPN j'utilise les 5 interfaces :
- 1 sous réseau principal
- 1 ligne ADSL 18Mo pour le surf des utilisateurs (sous proxy)
- 1 ligne SDSL 2Mo pour les accès VPN, les mails, les trafics FTP côté traitements serveur
- 1 ligne SDSL 2Mo pour les accès internet du département graphique (transferts de gros documents) (pas de proxy)
- 1 sous réseau secondaire
Une chose certaine, le prochain devra fonctionner en cluster (mode HA chez Arkoon) pour éviter d'être en panne totale si 1 des boitier plante.
Avez vous un retour d'expérience, des produits à me conseiller ... ?
Merci d'avance.
Message édité par SHUM27 le 22-09-2009 à 19:31:40