question architecture réseau -> sécurité

question architecture réseau -> sécurité - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 29-11-2005 à 14:04:06    

Bonjour,  
 
J'envisage de modifier ma configuration actuelle qui est la suivante :  
 
FW (checkpoint) --> ISA (+ surfcontrol + Viruswall) --> LAN
 
Je voudrais obtenir ceci :  
 
FW --> Interscan --> ISA (+ surfcontrol) --> LAN
 
De cette façon je sépare le proxy cache/filtrage de contenu de la partie passerelle antivirale.
 
Quelqu'un a déjà bossé dans une architecture similaire, voire avec les même produits?
 
:jap:

Reply

Marsh Posté le 29-11-2005 à 14:04:06   

Reply

Marsh Posté le 29-11-2005 à 15:27:51    

up!

Reply

Marsh Posté le 29-11-2005 à 15:36:13    

nous on était sur FW francetélécom --> isa serveur2000->LAn
 
et on ai passé a  
 
FW en interne fortigate--> iwss sur une dmz--> LAN.
 
ça fonctionne bien mais on a abandonné le cache au passage.

Reply

Marsh Posté le 29-11-2005 à 15:41:19    

moi je veux juste séparer les briques en fait. Et c'est surtout savoir s'il interscan est mieux placé en frontal ou en retrait :o

Reply

Marsh Posté le 29-11-2005 à 15:50:43    

moi je le mettrait en frontal. si tu fais
 
fw-->isa-->interscan -->lan, tu pourras avoir des virus dans ton cache, j'suis pas sur que ce soit très utile ....

Reply

Marsh Posté le 29-11-2005 à 17:58:49    

ouais, mais après c'est aussi une question de débit :o

Reply

Marsh Posté le 30-11-2005 à 09:34:02    

je sais que nous on a été surpris, on avait isa 2000 pour proxy+cache, et lorqu'on a fait des test d'interscan, puis mise en prod on s'est appercu que la perte du cahce était franchement minim. A toi de voir si le caching isa est vraiment utile dans ta boite ...

Reply

Marsh Posté le 30-11-2005 à 09:38:32    

Et en plus çà permet de liberer les perfs d'un serveur. Pourquoi tu veux continuer la mise en cache ?

Reply

Marsh Posté le 30-11-2005 à 12:43:59    

parce que j'ai 15 sites en VPN sur mon lien ADSL et que je préfère largement utiliser le cache.
 
La différence est assez importante ici!

Reply

Marsh Posté le 30-11-2005 à 12:52:23    

je crois que tu peut scaler ton proxy interscan sur un autre, dans ces cas là tu met ton interscan a dépendre de  ton isa.
 
tu auras bien fw-->isa-->interscan -->lan. Je trouve çà moins propre mais tu gardes toutes tes fonctionnalité.
 
sinon tu as toujours la possibilité de changer ton fw pour un qui fait fw+av ...

Reply

Marsh Posté le 30-11-2005 à 12:52:23   

Reply

Marsh Posté le 30-11-2005 à 12:57:06    

non, mon FW est très bien, je veux juste désolidariser ISA de Interscan qui sont aujourd'hui sur la même machine, et pour ça j'hésite entre placer soit :  
FW->interscan->ISA->lan
ou
FW->ISA->interscan->lan

Reply

Marsh Posté le 30-11-2005 à 14:00:07    

dans ce cas là, pour moi le plus sécurisé c'est FW->interscan->ISA->lan, mais je connais pas bien isa et je sais pas sit tu peut le faire dépendre d'un deuxième proxy.
 
En + en faisant comme çà tu gagnes en perf, tes utilisateurs consultant les pages en cache ne verront pas leus pages scannés une deuxième fois.

Reply

Marsh Posté le 30-11-2005 à 14:43:01    

ouais, c'est pas con :)
 
mais effectivement le soucis que j'ai c'est de faire transiter les infos d'abord par interscan, et là faut que je vois comment configurer ISA pour qu'il redirige les requêtes sans les traiter directement :o

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed