Firewall Appliances pour Baie chez OVH

Pour ma part c'est cisco powa
C'est pas simple à configurer (quelle me*** !) mais ca marche bien
Mais après si ton firewall laisse passer tout le port 80, si t'as une faille en php derrière ca ne changeras rien, tu te feras hacker pareil
C'est pour ca que c'est pas forcément judicieux comme achat.
Pour la surveillance BP et cie, un nagios te fait ca gratuitement. Et un mec qui veut faire tomber ta machine la fera tomber. J'ai codé des tests de montée en charge qui te mettent à genoux n'importe quel serveur (sature apache), ca m'a permis de tuner mon serveur + finement. Mais après ce genre de choses ca se trouve un peu partout, le mec qui fait ca à partir de 100pc hackés (avec un scanner ca va vite) il te mets à genoux facilement :/
Et je parles pas de toutes les variantes ddos qu'on peut trouver. Les imbéciles sont les gens les + répandus hélas...

Le Cahier des Charges, je l'ai, il est relativement simple et précis :

- point d'accès unique de mon hebergement. Derriere çà sera une pseudo DMZ. Je précise pseudo car je n'aurais pas de LAN (forcement).

- comme tout firewall, çà ferme tout par défaut et c'est à moi d'ouvrir et celà dans les deux sens (contrairement à IPCop par exemple qui autorise tout ce qui va du GREEN vers le RED).

- simple à utiliser c'est plutot simple à mettre en place. Je me suis **amusé** à tester ShoreWall sous Linux, çà marche bien, avec un WebMin çà rends le FireWall simple à utiliser mais comme je ne suis pas un Admin Linux, je ne pourrais jamais garantir que je n'ai pas laisser un enorme trou de sécurité à coté. Enfin et comme toujours, mon boulot c'est pas de passer 15 jours à me former à Linux, c'est de la perte de temps et surtout d'argent, là ou une solution type IPCop (dans l'esprit) me va beaucoup mieux car en 1 jour çà peut tourner.

- multiIP & Gestion de Bande Passante : je veux pouvoir limiter le traffic par service (ftp, http, mail) pour certaine IP (ie clients.).

- administration proActive : je veux pouvoir recevoir des mails d'alerte en cas de grosses attaques, de staturation de la bande passante pendant plus de 10 secondes etc...

- serveur VPN : pour que les admins puissent se connecter et travailler tranquillement sur les serveurs.

Par la suite, je me poserai aussi la question de la tolérance de pannes coté FireWall mais ce n'est pas encore d'actualité, je ne dois pas encore fournir ce type de garantie, c'est pourquoi je cherche un modele d'entrée de gamme.

Peut être que je ne trouverai pas de produits répondant à mes attentes dans mon budget mais au moins je ferai un choix...


J'ai trouvé un Zyxel zyWall 35 par exemple qui arrive en Juillet 2004 : http://www.zyxel.fr/products.cfm?act...=2&art=ZY-ZW35

Merci pour vos remarques en tout cas.

Nicko

De plus, mieux vaut utiliser un bon filer en RAID à 4 ou 5 000¤ avec une ou deux machines derrières si tu veux depoter.
Pour la gestion de BP, le QoS dans le noyau linux est top, et gratuit (il limite en emission, avec un système de priorité)
Et pour moi un firewall/routeur est aussi complexe (voir +) à configurer qu'un linux...

Bonjour Nicko,


Ne mets pas la charrue avant d'avoir le champs à labourer. Si tu veux mettre un fw devant tes machines, pense d'abord à ton architecture réseau inter machines.


Ensuite, avant de regarder toutes les solutions, essaye de voir précisemment ce dont tu as besoin, c'est ce qu'on appelle un cahier des charges. Ensuite, intéresse toi aux seuls produits qui proposent ces solutions.

Simplr à utiliser : Sauf sous MS-windows, je ne vois pas.
Sécurisé : Ce mot est par essence induit par le mot firewall, donc ne cherche pas de firewall sécurisés, cherche un vrai firewall.

Il n'y a pas besoin d'être un linux guru pour utiliser un firewall. Il n'existe pas de solution "idéale" qui soit à la fois tout ce que tu demandes.

Il existe des firewalls pensés pour des usages particuliers, fait par des entreprises. C'est vers ces solutions qu'il faut s'orienter.

Parmi les solutions "simples et robustes" qui existent, il y a par exemple firewall-1 de Sun-MS. C'est un outil très performant, notamment s'il tourne sous Solaris.

Ensuite, dans ton cas, tu peux réfléchir à une solution en plusieurs morceaux :

- Gestion de Bande passante : Switchs (je sais que les c-5000 font ca par exemple)

- Filtrage : Firewall logiciel

Cependant, n'oublie pas un précepte simple mais souvent vrai :
Il vaut mieux pas de firewall qu'un mauvaus firewall

Olivier

Bonjour,

Je planifie l'hebergement de plusieurs serveurs dédiés dans une baie chez OVH et j'étudie donc les différents modèles de Firewall Appliances existants...

Je me suis vite rendu compte que les prix montent trés vite (Cisco, Nokia, Netasq etc...) et surtout que les fonctionnalités utiles (exemple gestion de la bande passante) n'apparaissent que dans les gros modèles donc les plus chers...

Au final il me faut un truc simple à utiliser, sécurisé (je ne suis pas un Linux Guru donc déjà un firewall sous Linux configuré par mes soins risque de pas être trés secure) et qui me permet d'avoir des bons journaux, des alertes, du multi-ip et de la gestion de bande passante : ie. j'alloue 20% de ma BP à telle IP et surtout qui ne sert qu'à publier des serveurs...

Merci

Nicko