Choisir un parefeu matériel

Choisir un parefeu matériel - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 16-03-2011 à 18:35:34    

Bonjour,
 
Je suis en train de réflechir sur la refonte de mon réseau personnel. Je vais m'acheter (courant avril) un serveur NAS et j'espère bientot passer à la fibre optique. Je cherche un parefeu externe qui me permettrait d'externaliser cette fonction. L'objectif est de réduire l'impact sur les performances de mon PC d'une part, et de créer une zone DMZ pour mon NAS (et peut être plus tard pour un site web).
 
Pour l'instant je vois 2 possibilités:
  - un parefeu logiciel, du type de pfsense ou ipcop, qui implique de disposer d'une 2e machine et d'autant de cartes réseau que de sous réseau nécessaire
  - un parefeu matériel comme par exemple le Netgear SRXN3205 http://www.ldlc.com/fiche/PB00083136.html
 
Autant je connais déjà assez bien pfsense et ipcop, autant je n'y connais rien en firewall matériel.
 
L'intérêt que j'y vois, mais je peux me tromper, c'est qu'un parefeu matériel présente les avantages d'être moins bruyant (silencieux?), moins volumineux, aussi (moins?) cher qu'une machine que l'on doit acheter et monter pour l'occasion, et aussi (plus?) efficace.
 
C'est là que j'ai besoin de vos lumières.
 
D'après vous, quelle solution est la meilleure selon vous? La moins bruyante?
 
Que conseilleriez vous dans le cas d'un routeur matériel (contrainte: réseau lan, wan et dmz en gigabit et budget pas extensible (400€ max je pense))?
 
J'ai regardé sur Ldlc (c'est là que je me fournis en général, mais si vous connaissez d'autres adresses pour ce type de matériel), mais je dois dire que je ne me rend pas trop compte de ce que les modèles valent:
   - NETGEAR SRXN3205 à 270€
   - CISCO SMALL BUSINESS PRO SA520 à 370€
   - ZYXEL ZYWALL USG 20 300€
   - Netgear UTM5EW  400€
 
Question subsidaire, le port série est-il généralement encore une constantesur ces matériels (car je n'en ai pas sur mon pc)?
 
Merci pour votre réponse.

Reply

Marsh Posté le 16-03-2011 à 18:35:34   

Reply

Marsh Posté le 17-03-2011 à 10:06:37    

en y réfléchissant, ce n'est peut-être pas la meilleure catégorie pour répondre à mon post? J'aurais peut-être dû plutot poster mon thread dans Réseaux grand public / SoHo > Sécurité.
 
Si un (gentil :) ) modérateur pouvait me venir en aide pour déplacer mon poste...
 
Désolé pour le dérangement.

Reply

Marsh Posté le 17-03-2011 à 10:42:39    

Salut,
pour un réseau perso, tu peux prendre ce que tu veux.
Après cisco et zyxel sont plus orientés matériel pro, donc peut être une meilleure longévité.
Après à toi de voir en fonction du budget et des fonctionnalités voulues.
A+


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
Reply

Marsh Posté le 17-03-2011 à 11:07:26    

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Réseaux grand public / SoHo par Wolfman

Reply

Marsh Posté le 17-03-2011 à 12:02:09    

Bonjour franck31195, et merci pour ta réponse.
 
En terme de budget je vais effectivement devoir choisir, mais je n'arrives pas à définir quelle solution est la plus adéquate.
 
En terme de critères de choix
- volume occupé: plutôt un parefeu matèriel, mais un mini-pc pourrait convenir
- prix: plutôt un parefeu matèriel
- Silence: Je n'ai aucune idée de ce que ca donne pour un parefeu matériel.
- Sécurité:qui est le plus fiable? Je sais que ca dépend des règles et de l'utilisation que l'on fait du réseau, mais en règle générale ca donne quoi?
- Interface:?
- Mises à jour régulières? (dépend des marques pour les firewall matériel je pense)
- Problèmes sur les différentes solutions (logiciel ou matériel)?
 
Merci pour vos réponses


Message édité par bossgama le 17-03-2011 à 12:02:35
Reply

Marsh Posté le 17-03-2011 à 12:07:00    

je pense que si je devais monter un tel truc je prendrais un boîtier chez soekris ou un truc du genre. Ca permet de mettre du logiciel libre dedans et c'est fait pour ça.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 17-03-2011 à 12:14:45    

pour ma part c'est ce que j'ai !
 
une plateforme Alix, une CF pour l'OS et une PfSense qui tourne dessus.  
 
Le tout est passif (donc pas de bruit), marche avec un petit transfo, et fonctionne comme ça depuis bientôt 4 ans !

Reply

Marsh Posté le 17-03-2011 à 14:20:08    

Hello slywalker et Misssardonik,
merci pour vos réponses.
 

Misssardonik a écrit :

je pense que si je devais monter un tel truc je prendrais un boîtier chez soekris ou un truc du genre. Ca permet de mettre du logiciel libre dedans et c'est fait pour ça.


 
Je ne connaissais pas. Je viens de regarder leur site, et ils proposent du matériels intéressants, mais qui présente 2 inconvénients apparents:
- pas de ports gigabits
- des performances un peu limite il me semble pour gérer un réseau local avec ftp et site web. il me semblait que 500 Mhz, voire 1 Ghz etait conseillé pour un parefeu
 
Il y a bien le modèle net6501 qui est annoncé pour 2011 et qui est plus puissant et possèdes des ports gigabits, mais pas de dates pour l'instant.
 

slywalker a écrit :

pour ma part c'est ce que j'ai !
 
une plateforme Alix, une CF pour l'OS et une PfSense qui tourne dessus.  
 
Le tout est passif (donc pas de bruit), marche avec un petit transfo, et fonctionne comme ça depuis bientôt 4 ans !


 
Je ne connais pas les plateformes alix. Si j'ai bien compris les recherches que j'ai fait, c'est des cartes mères, c'est ca?  Quels sont les caractéristiques (performances, prix moyen, ports ethernet, etc..) de ton système?  
 
 

Reply

Marsh Posté le 17-03-2011 à 14:31:53    

La mienne c'est une Alix 2D2 (http://alix.wikia.com/wiki/ALIX_2) + une carte wifi
 
Les ports sont en 100Mb, mais j'ai pas besoin de plus étant donné que c'est juste derrière ma box.
 
Mon firewall gère les accès pour :

  • 2 PCs fixes
  • 2 PCs portables en wifi
  • 1 ampli, 1 lecteur BR, 1 lecteur video netgear
  • 2 serveurs


Je n'ai jamais rencontré de problèmes de performances, les seules fois où mon firewall a été rebooté c'est lors de mes déménagements  :D  
 
Remarque importante : sur PfSense, tu peux installer si tu veux des modules Squid ou autres. Impossible de le faire sur une plateforme embarquée type Alix ou Soekris !

Reply

Marsh Posté le 17-03-2011 à 15:07:02    

C'est intéressant, mais 2 choses me font hésiter:
 - L'absence de ports gigabits
 - 3 ports maximums, donc 1 seule dmz possible
 
Dans le 1er cas, ca me semble vraiment génant car je compte (dés que j'aurais la freebox v6) passer en fibre optique, donc du coup ca me limiterais en terme de débits.
 
Dans le 2e cas, ce n'est pas trop grave, je n'ai pas tant de besoin à l'heure actuelle ;)
 
Je n'ai pas vraiment besoin de squid pour l'instant, même si le besoin pourrait arriver plus tard. Par contre c'est aussi une bonne chose que l'on ne puisse pas trop ajouter de modules car je ne trouve pas forcement ca terrible un parefeu sur lequel on ajoute pleins d'autres fonctionnalités. Si le besoin se fait sentir, j'aurais tendance a mettre une autre machine derrière pour faire du proxy.

Reply

Marsh Posté le 17-03-2011 à 15:07:02   

Reply

Marsh Posté le 17-03-2011 à 15:12:54    

bon, je ne suis pas trop au fait des dernières évolutions chez Free, mais en optique, tu dépasses le 100mb/s ???

Reply

Marsh Posté le 17-03-2011 à 15:44:07    

C'est une excellente question...
 
Après vérification, les débits annoncés sont 100Mb en down et 50 en Up.
 
Si c'est le cas, je n'ai effectivement pas besoin de gigabits, je pense.
 
questions subsidiaires:
sur ton pfsense, tu as toutes les fonctionnalités standards (Alias, portail captif, serveur dhcp, nat, etc...)? Tu n'est pas limité par la carte de 4 Go? Quid de l'installation de pfsense par défaut? Elle est paramétrée comment?

Reply

Marsh Posté le 17-03-2011 à 15:52:43    

J'ai bien tout ce que tu cites.
 
Pas de limitation de la carte sauf si j'active tous les logs de toutes les connections (mais tu peux tout remonter vers un syslog si tu veux !)
 
De souvenir, par défaut, l'install autorise tous les flux sortants mais aucun entrant (normal en fait  :D )
 
 
Après moi j'ai pas mal configuré ma PfSense, en modifiant les règles de NAT pour des besoins particuliers (j'ai désactivé le NAT 1:1) et en mettant en place du PBR (sans compter certains VPNs en IPSec)
 
Pour mes besoins, c'est du tout bon  :sol:

Reply

Marsh Posté le 17-03-2011 à 15:58:25    

Ca me semble vraiment pas mal comme solution.  Il ne reste plus qu'à vérifier un peu plus cette histoire de débit.
 
Tu l'as acheté via quel fournisseur?

Reply

Marsh Posté le 17-03-2011 à 16:00:21    

oulaaaa ! je sais que je ne l'ai pas acheté en France, je dirai Suisse ou Allemagne.
 
Par contre le site, je n'en ai plus aucune idée (et je ne peux pas chercher là, je suis au boulot avec un proxy nazi en amont !)

Reply

Marsh Posté le 19-03-2011 à 11:50:02    

pour 250 euro tu peux taper du Firebox Watchguard x750e : c'est le top.
 
moi j'ai ça , c'est monstrueux !!!
 
Sinon plus raisonnable Zyxell zywall : la ce sont de très bons produits , par contre pas de filtrage de flux ni un moteur de détection de menace balaize,
Le miens (le zywall 5 , vendu à un pote et silencieux) à déja fait quelques looping.


Message édité par tron20 le 19-03-2011 à 11:52:23
Reply

Marsh Posté le 06-04-2011 à 16:00:19    

En plus de tous les modéles déjà cités, tu peux regarder chez DRAYTEK qui propose des rapports qualité/prix corrects.
Quel que soit ton choix, il ne faut rien acheter avant d'avoir lu la doc en entiier pour vérifier si tu comprends ce qu'elle dit et si le produit correspond bien à tes besoins.
L'important, c'est ton besoin, tu auras sans doute une foule de paramétrages et de fonctions inutiles, cela n'a pas d'importance si ton besoin est satisfait à un prix correct.
Par exemple, si tu es sûr de ton besoin de gigabit, tu peux trouver un modèle avec double wan à un prix correct, même si tu n'utiliseras jamais le double wan.

Reply

Marsh Posté le 06-04-2011 à 20:51:58    

Pour des cartes mères ALIX, tu peux voir du côté de ITX France, ou encore si tu es patient une solution "toute faîte" chez Think ITX ;)
Les ALIX embarque des AMD Geode, processeur faible consommation allant jusqu'au Gigahertz, conçu pour les applications embarquées.
 
Autre solution : un PC "classique"... version low consommation.
ASUS E35M1-M, une Intel Pro 1000 pour le port PCI Express 1x, 2 D-Link DGE-528T pour les ports PCI, le boîtier de ton choix à 35€ maxi sans alim (Cooler Master Elite RC342 par exemple), et une bonne alim (Antec Neo Eco 400 80Plus). En RAM vu le prix 1Go de chez Crucial c'est offert :D
Rajoute une clé USB pour l'OS, et tu as un "super parefeu" pour 300€ environ.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed