Aller au contenu
Avanet

Sophos Firewall - Appliance matérielle ou virtuelle ?

Sophos Firewall

Mise à jour : Les informations de ce billet de blog ne sont plus tout à fait à jour. Le matériel UTM n’est plus disponible et nous recommandons dans tous les cas la nouvelle XG Firewall.

Un pare-feu devrait être utilisé par tous. Que ce soit la version gratuite Home pour sécuriser le réseau domestique, ou la version Business pour l’entreprise. Il existe différentes façons de l’exploiter. D’une part, il y a les boîtiers UTM et SG, les appliances virtuelles, les images cloud et la version logicielle pour votre propre matériel. Dans cet article, je souhaite aborder brièvement trois possibilités différentes. Ensuite, vous devriez savoir quelle variante de déploiement est la bonne pour vous.

Désignations des produits

Sophos, ou auparavant Astaro, a du mal avec les désignations produits et il semble même qu’ils ne soient pas encore sûrs de la direction à prendre.

Autrefois, les appareils s’appelaient “Astaro Security Gateway” (ASG), après le rachat par Sophos ils sont devenus “Sophos UTM” et actuellement “Sophos Security Gateway” (SG).

Même pour les modules comme “Web Security” ou “Web Protection”, seule la dénomination change. Que la boîte affiche Astaro, Sophos, UTM ou SG, le système reste toujours le même.

Appliance matérielle

La version matérielle de Sophos est disponible en petit boîtier ou en solution rack 19". Les appareils diffèrent par leurs performances et conviennent aux petites entreprises avec un seul employé jusqu’aux grandes sociétés de 5000 employés.

Actuellement (janvier 2015), il existe 19 boîtiers différents chez Sophos. Parmi eux, 7 sont des UTM et 14 appartiennent à la série SG. À mon avis, il n’est plus judicieux d’acheter une nouvelle UTM. Les SG ont des prix similaires mais offrent de meilleures performances. Les UTM restent toutefois disponibles dans notre boutique pour permettre aux clients d’acheter des licences ou de remplacer une UTM défectueuse dans un cluster.

Il reste donc 14 modèles différents de Sophos SG. Pour choisir un modèle, il faut se poser deux questions :

  1. Combien d’utilisateurs ou d’appareils sont derrière le pare-feu ?
  2. Quels modules souhaitez-vous licencier ?

Prenez en compte les possibilités suivantes :

  • Sophos RED, qui connecte des sites supplémentaires via VPN.
  • Points d’accès sans fil Sophos, qui ajoutent encore plus d’utilisateurs au réseau.

Sur la base de ces informations, l’échelle suivante aide assez bien à choisir un matériel.

Tableau du guide de dimensionnement Sophos

En cas de doute, mieux vaut choisir un modèle supérieur. Chaque année, de nouvelles fonctionnalités nécessitent plus de ressources. Les SG105 à SG135 sont encore disponibles en modèle (w) avec module Wi-Fi intégré. Dans la plupart des cas, le pare-feu n’est cependant pas placé assez centralement pour que la réception soit bonne.

Appliance virtuelle

Sophos est également disponible en version virtuelle. Si vous disposez déjà d’un environnement virtuel, vous n’avez plus besoin d’investir dans du matériel. Le système peut être installé sur VMware vSphere Hypervisor, Microsoft Hyper-V, Citrix XEN ou KVM. Une ISO peut être téléchargée gratuitement depuis les serveurs FTP de Sophos et offre une période d’essai de 30 jours. Amazon Web Services propose également une image EC2 pour démarrer immédiatement.

Contrairement à la boîte matérielle, la solution virtuelle permet de régler soi-même la performance. Pour cette raison, Sophos propose un modèle de licence différent.

Chaque adresse IP doit être licenciée. Cela inclut donc chaque client Wi-Fi ou imprimante réseau. Dans certains cas, la version matérielle est donc beaucoup plus économique. Un bureau avec 3 employés et leurs smartphones et tablettes peut rapidement dépasser 10 appareils. Le forfait supérieur suivant couvre 25 adresses IP, puis 50.

Matériel personnel

La Sophos Firewall peut aussi être installée sur votre propre matériel. Il faut cependant veiller à ce que le matériel réponde aux exigences minimales du système Sophos.

La Sophos UTM regroupe toutes les applications de sécurité dans un seul système d’exploitation. Tous les composants sont intégrés dans une seule image logicielle et peuvent être facilement installés sur le matériel de votre choix. Le paquet logiciel auto-démarrable s’installe en quelques minutes sur un ordinateur dédié compatible Intel. Un changement ultérieur vers un matériel Sophos est possible via la sauvegarde/restauration de la configuration. Les performances dépendent du matériel sélectionné. Les recommandations et tests des systèmes serveurs et composants sont disponibles dans la liste de compatibilité matérielle. Le modèle de licence est alors basé sur les adresses IP, comme pour l’appliance virtuelle.

Nous sommes toujours heureux de vous aider et de partager notre expérience avec vous.