Un coupe-feu hautes performances

Performances ou facilité d'administration, les PME semblent devoir faire le choix au moment d'opter pour un boîtier coupe-feu prêt à l'emploi. Lors de notre évaluation de cinq de ces produits, dans le cadre d'un banc d'essai comparatif en avril dernier, le boîtier NetScreen 50 nous est toutefois apparu comme un très bon compromis : ses performances sont excellentes et son interface d'administration simple et très riche. Seule la définition de ses règles manque de souplesse, comparativement à certains produits concurrents, mais elle se montre tout à fait satisfaisante.À l'occasion du test, nous avons simulé le réseau d'une PME proposant un accès Internet à ses employés et leur permettant de se connecter à son LAN depuis l'extérieur, par le biais d'un RPV. Une DMZ hébergeait également le serveur web/FTP de l'intranet et un serveur web public. Côté performances, le NetScreen 50 n'a rien à envier à ses concurrents : le filtrage est assuré par un Asic consacré à la tâche, tandis que le recours au processeur et à la mémoire RAM du boîtier est limité au maximum. Cette architecture matérielle optimisée pour le filtrage, associée au ScreenOS, un système d'exploitation propriétaire, permet au NetScreen 50 d'obtenir un temps de réponse meilleur, entre trois et cent fois inférieur à celui de ses concurrents, pour 90 % des requêtes. L'interface d'administration du boîtier est accessible depuis n'importe quel navigateur web, grâce au serveur HTTP embarqué dans le boîtier, ce qui évite l'installation d'une console dédiée. Elle se révèle simple, pratique et surtout complète : tout y est accessible, depuis la configuration des règles jusqu'à la consultation des journaux. La conservation de ces derniers est cependant décevante. Il est en effet impossible de garder un historique des log sans utiliser une solution tierce, telle que l'incontournable Syslog d'un quelconque serveur annexe, ou bien le logiciel WebTrend. NetScreen conseille pour sa part le logiciel Global PRO. Celui-ci, très pratique pour centraliser la journalisation de plusieurs boîtiers NetScreen, est cependant proposé en option. Et nous n'avons pas pu le tester.

Une création de règles rapide et efficace

Point essentiel dans l'administration d'un coupe-feu : la gestion des règles. Celle-ci est satisfaisante, quoique pas aussi riche que celle offerte par d'autres équipements. On regrette notamment que NetScreen ne propose pas de règles prédéfinies. Cinquante services réseaux sont toutefois reconnus par défaut, et il est possible d'activer et de désactiver chaque règle. Mais si la création des règles manque certes d'une certaine souplesse, elle est en revanche rapide et efficace. Il est possible de les grouper par utilisateur, par adresses IP ou réseaux. Le NetScreen 50 dispose également d'un système de vérification de la cohérence des règles, qui peut se révéler très utile. Celui-ci intervient en fait dès la validation d'une nouvelle règle, et évite ainsi la mise en place de règles contradictoires. Toutefois, ce haut niveau de rapidité et cette richesse d'administration se payent au prix fort.