architecture sécurité - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 07-08-2007 à 15:57:25
je croyais que ça existait plus les pix est qu'il était remplacé par des ASA 55x .
tu compte faire quoi avec cette archi ? quelle est l'expression de besoin ? quelles sont les exigences de sécurité ?
Marsh Posté le 07-08-2007 à 16:20:20
Au fait mon réseau actuel ne comporte pas d'antivirus et j'ai un SGS 5620 qui fera mon filtrage d'url, mon IDS/IPS, mon antispam et mon antivirus.
Mon pb c'est de faire du SGS la paserelle par défaut de mon LAN et du Pix la passerelle du SGS.
Marsh Posté le 07-08-2007 à 16:29:26
pour l'anvirus, tu peux pas utiliser ICAP pour tes flux ?
en gros, sur ton pix, tu as une pate sur le LAN, une pate pour le net et une pate pour ton NGS ..
Marsh Posté le 07-08-2007 à 16:53:20
Je peux plus rien acheter et j'ai les licences du pix et du ngs.
Pour la config j'ai une patte pour le net, une pour le DMZ, et une pour le NGS qui fera office de passerelle pour le LAN.
Marsh Posté le 07-08-2007 à 17:25:40
Je compte faire ceci:
10.0.0.1 comme adresse de la patte interne du NGS qui sera aussi la passerelle par défaut de mon LAN
10.0.1.2 comme adresse de la patte externe du NGS
10.0.1.1 comme adresse de la patte interne du PIX qui sera la passerelle du NGS
10.0.2.1 comme adresse de la patte du DMZ
! problème: si je dois adopter cette config serai-je obligé de redéfinir les routes et la NAT sur le NGS
Marsh Posté le 07-08-2007 à 17:33:53
ben quel est l'existant en terme d'ip pour ton pix ?
le ngs n'est pas transparent je pense, tu verras son ip circuler et non pas les postes ... ( à confirmer )....
Marsh Posté le 07-08-2007 à 17:48:45
Je dispose d'une adresse publique pour la patte externe du pix.
Je dispose de 2 sites distants reliés à mon LAN par une LS.
Mon routeur internet dispose de son adresse publique.
Je voudrai que le ngs soit tranparent.
Marsh Posté le 07-08-2007 à 17:52:50
Rectification
Je dispose d'une adresse publique pour la patte externe du pix.
Je dispose de 2 sites distants reliés à mon LAN par une LS.
Mon routeur internet dispose de son adresse publique.
Je ne voudrai pas que le ngs soit transparent.
Marsh Posté le 07-08-2007 à 17:54:55
ce que j'en vois dans les doc ( les publiques du moins sur le site de symantec), le sgs n'est pas transparent, il est en coupure entre le LAN et l'exterieur .. ce qui implique que tu dois redéfinir tes règles de filtrage de ton pix ... et ya encore plein d'autre choses : quid de l'architecture DNS : les postes utilisent lesquel ? ( le sgs est relais dns + cache etc..),
après faut étudier le bazar, mais à pairt le mode icap pour l'antivirus et le fitlrage d'url, un truc transparent, et en coupure, je suis pas sur !
Marsh Posté le 07-08-2007 à 18:01:48
Les postes utilisent le DNS du FAI, que me suggérez vous?
Marsh Posté le 07-08-2007 à 18:07:18
ben déja, potasser à mort la doc des SGS surtout d'un point de vue architecture, si pour vous les composants techniques et les choix des services sont "figés"
il faut étudier les services 1 par 1 :
routage, filtrage, dns, décontamination antivirale, serviecs web ...
en fait, en général, on réfléchit à l" l'envers" , c'est à dire qu'on part d'une expression de besoin fonctionelle, et de part les prescriptions sécurité ( et législatif aussi, beaucoup de gens l'oublies comme la politique de rétention des log des utilisateurs et leur utilisatio), on en déduit une architecture technique qui réponds au besoin initial : architecture évolution, et on fait un plan de migration ... enfin c'est la théorie !
Marsh Posté le 07-08-2007 à 15:42:05
Bonjour,
Je désire réaliser cette config :
FW(Cisco Pix 525)--->NGS(Symantec gateway Scurity 5620)--->LAN.
Quelqu'un a déjà bossé dans une architecture similaire, voire avec les mêmes produits?
Merci
---------------
securité seulement