Bonjour,  
 
J'envisage de modifier ma configuration actuelle qui est la suivante :  
 
FW (checkpoint) --> ISA (+ surfcontrol + Viruswall) --> LAN
 
Je voudrais obtenir ceci :  
 
FW --> Interscan --> ISA (+ surfcontrol) --> LAN
 
De cette façon je sépare le proxy cache/filtrage de contenu de la partie passerelle antivirale.
 
Quelqu'un a déjà bossé dans une architecture similaire, voire avec les même produits?
 

up!

nous on était sur FW francetélécom --> isa serveur2000->LAn
 
et on ai passé a  
 
FW en interne fortigate--> iwss sur une dmz--> LAN.
 
ça fonctionne bien mais on a abandonné le cache au passage.

moi je veux juste séparer les briques en fait. Et c'est surtout savoir s'il interscan est mieux placé en frontal ou en retrait

moi je le mettrait en frontal. si tu fais
 
fw-->isa-->interscan -->lan, tu pourras avoir des virus dans ton cache, j'suis pas sur que ce soit très utile ....

ouais, mais après c'est aussi une question de débit

je sais que nous on a été surpris, on avait isa 2000 pour proxy+cache, et lorqu'on a fait des test d'interscan, puis mise en prod on s'est appercu que la perte du cahce était franchement minim. A toi de voir si le caching isa est vraiment utile dans ta boite ...

Et en plus çà permet de liberer les perfs d'un serveur. Pourquoi tu veux continuer la mise en cache ?

parce que j'ai 15 sites en VPN sur mon lien ADSL et que je préfère largement utiliser le cache.
 
La différence est assez importante ici!

je crois que tu peut scaler ton proxy interscan sur un autre, dans ces cas là tu met ton interscan a dépendre de  ton isa.
 
tu auras bien fw-->isa-->interscan -->lan. Je trouve çà moins propre mais tu gardes toutes tes fonctionnalité.
 
sinon tu as toujours la possibilité de changer ton fw pour un qui fait fw+av ...

non, mon FW est très bien, je veux juste désolidariser ISA de Interscan qui sont aujourd'hui sur la même machine, et pour ça j'hésite entre placer soit :  
FW->interscan->ISA->lan
ou
FW->ISA->interscan->lan

dans ce cas là, pour moi le plus sécurisé c'est FW->interscan->ISA->lan, mais je connais pas bien isa et je sais pas sit tu peut le faire dépendre d'un deuxième proxy.
 
En + en faisant comme çà tu gagnes en perf, tes utilisateurs consultant les pages en cache ne verront pas leus pages scannés une deuxième fois.

ouais, c'est pas con
 
mais effectivement le soucis que j'ai c'est de faire transiter les infos d'abord par interscan, et là faut que je vois comment configurer ISA pour qu'il redirige les requêtes sans les traiter directement