Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1571 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Idée de Firewall

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Idée de Firewall

n°145147
Micko77666
Posté le 06-03-2017 à 17:54:02  profilanswer
 


Bonjour tout le monde,
 
 
Actuellement nous possédons une vielle distribution IPCOP qui nous sert de :
 
 
- Routeur
- VPN inter-sites (13 au total)
- VPN pour les users
- Firewall  
 
Il tourne sur un vieux PC, sans maintenance er sans la moindre documentation avec plus de 600 règles ....
Rien que cet après-midi 7 coupures ... bref il est temps de mettre ça à la poubelle.
 
Sur nos autres sites nous avons des petits Zyxel qui font le boulot.
 
Je cherche donc un boîtier matériel qui fasse :
 
- Firewall simple à configurer via une interface web
- VPN ipsec pour nous sites (Au moins 20 liaisons).
- VPN clients avec identifiants LDAP (aujourd'hui c'est du OpenVPN + certificat + mdp)
- Routeur
 
S'il fait plus tant mieux :)
 
Le tout avec un budget raisonnable (dur de vendre un truc à la direction quand l'ancien est la depuis 15 ans ....).
 
Merci pour vos retours et avis :)

mood
Publicité
Posté le 06-03-2017 à 17:54:02  profilanswer
 

n°145150
sohiermdp
Posté le 06-03-2017 à 19:15:27  profilanswer
 

tu cherches uniquement le matériel ou alors le soft qui va avec également ?
as-tu regardé du côté des pfSense ? opnSense ? (firewall, ipsec, openvpn, ...)
Chez nous on tourne en opnSense et pas de problème à constater :-)
 
Il existe des entreprises qui te proposent le soft avec la machine conçue pour, après je ne sais pas ce que ça vaut :
- https://www.applianceshop.eu/?___store=fr
- https://www.osnet.eu/fr
 

n°145151
Micko77666
Posté le 06-03-2017 à 19:35:33  profilanswer
 


J'aimerai rester sur du matériel plutôt qu'un soft sur un serveur

n°145153
Ivy gu
3 blobcats dans un trenchcoat
Posté le 06-03-2017 à 20:03:57  profilanswer
 

qu'est-ce que c'est qu'un budget raisonnable chez toi ?
 
quel est le débit à traiter en gros ?


---------------
on n'emmène pas des saucisses quand on va à Francfort
n°145154
Micko77666
Posté le 06-03-2017 à 20:41:46  profilanswer
 


Bas une boîte qui n'a jamais investi dans l'infra ... ou que du libre .. Je pense que dans les 2000 ou 3000€ ça devrait être jouable.
 
En terme de débit j'ai pas trop d'idée.

n°145155
snipereyes
Posté le 06-03-2017 à 21:03:21  profilanswer
 

Prend un nuc avec des adaptateurs rj45 usb3 et tu y met un opus ensemble et ça va  tourner


---------------
-- Topic de vente -- FeedBack --
n°145167
Ivy gu
3 blobcats dans un trenchcoat
Posté le 06-03-2017 à 23:01:56  profilanswer
 

Micko77666 a écrit :


En terme de débit j'ai pas trop d'idée.


 
ben renseigne toi là-dessus d'abord parce que tes besoins fonctionnels sont basiques, ce qui fera une grosse différence en terme de choix possible dans les solutions commerciales étant donné ton budget ce sera surtout le débit que tu as besoin de traiter.


---------------
on n'emmène pas des saucisses quand on va à Francfort
n°145169
Lone Morge​n
Posté le 07-03-2017 à 01:04:04  profilanswer
 

+1 il faut les chiffres et les prévisions d'evol à 5 ans
Nombre de liaison + Débit des liaisons + Nombre de vpn intersites + nombre de clients vpn.
en libre Pfsense devrait faire le boulot et pour de l'achat y a watchguard avec des couts raisonnables et facile a administrer.

n°145170
Micko77666
Posté le 07-03-2017 à 06:50:08  profilanswer
 


Le soucis c'est que la boîte évolue super vite, il y a 3 ans il était dans les 150 aujourd'hui presque 400 ... Et il prenne 30% de CA tous les ans ... donc vraiment très dur de prévoir quelque chose.
 
Aujourd'hui nous avons 13 sites, en prenant 20 mini ça devrait assez large. Niveau débit nous avons du 100Mo actuellement fibre sur les deux plus gros sites. Mais j'ai pas de reporting sur le volume total. Donc mise à part prévoir très large ...
 
Après j'aimerai ne plus avoir de produit sans maintenance. Les connexions Internet reste ultra importantes, me retrouver avec un nouveau futur IPCOP ou du même genre je le sens pas trop :)

n°145174
sohiermdp
Posté le 07-03-2017 à 08:43:24  profilanswer
 

Pour de l'OPNSense ou du PFsense, tu as des tables pour t'aider à dimensionner ton hardware (les requirements)
- https://www.pfsense.org/hardware/
- https://opnsense.org/users/get-started/
 
pfsense propose des hardwares en vente, au moins en plus d'utiliser du libre, tu le soutiens...

mood
Publicité
Posté le 07-03-2017 à 08:43:24  profilanswer
 

n°145175
Micko77666
Posté le 07-03-2017 à 08:46:24  profilanswer
 


Pas mal ce qu'il propose en tout cas, à voir les garanties niveau hardware et soft, sinon pas mal et prix très correct :)

n°145176
ShonGail
En phase de calmitude ...
Posté le 07-03-2017 à 08:59:36  profilanswer
 

Micko77666 a écrit :


Le soucis c'est que la boîte évolue super vite, il y a 3 ans il était dans les 150 aujourd'hui presque 400 ... Et il prenne 30% de CA tous les ans ... donc vraiment très dur de prévoir quelque chose.
 
Aujourd'hui nous avons 13 sites, en prenant 20 mini ça devrait assez large. Niveau débit nous avons du 100Mo actuellement fibre sur les deux plus gros sites. Mais j'ai pas de reporting sur le volume total. Donc mise à part prévoir très large ...
 
Après j'aimerai ne plus avoir de produit sans maintenance. Les connexions Internet reste ultra importantes, me retrouver avec un nouveau futur IPCOP ou du même genre je le sens pas trop :)


 
400 users sur 13 sites et un IPCOP rouillé qui plante 7 fois par jour !?? :o
 
Et ben ils sont cools dans ta boite.
Ca doit rester une des dernières pour qui l'info n'est pas critique.
 
Si tu veux du clé en main, tu peux aussi solliciter les FAI
Ils proposent des solutions VPN où t'as juste à exiger que cela fonctionne.

n°145178
Micko77666
Posté le 07-03-2017 à 10:11:05  profilanswer
 


Et le pire ... c'est que nos produits sont 100% sur le web (mais hébergé chez OVH car plus de 200 serveurs chez eux).
 
Après les coupures dures même pas 30s chacunes, car je relance la config de l'ipcop à chaque fois, mais c'est une sombre daube surtout ce truc lol.

n°145181
rom91
Posté le 07-03-2017 à 10:39:38  profilanswer
 

Salut Micko77666,
Je te conseille ce Routeur firewall compact avec une interface graphique sympa.
Il a toutes les fonctionnalités que doit comprendre un Routeur et un firewall ;).
http://www.alliedtelesis.com/produ [...] /ar3050s-0

n°145191
logre
Posté le 07-03-2017 à 14:27:49  profilanswer
 

Si tu cherches coté UTM et pas seulement Firewall, tu as les Fortigate qui ne sont pas trop cher néanmoins il faut prévoir coup d'achat et maintenant des licences tous les ans/3ans
 
En plus de toutes les fonction que tu site il peut te faire de l'Antivirus, filtrage web / IPS / Filtrage par application etcc.... Un autre avantage c'est qu'en cas de problème tu as un vrai support au bout du fil, j'ai pas été persuadé par pfSense et son forum officiel qui donne l'impression d'être maintenu par 1 ou 2 personnes.
 
Dans tous les cas ton débit Internet actuel sera un élément clé pour le dimensionnement de l'équipement que tu choisira


Message édité par logre le 07-03-2017 à 14:29:48
n°145194
Micko77666
Posté le 07-03-2017 à 15:16:16  profilanswer
 


Débit de 100Mo Fibre actuellement, j'étais parti sur du Fortigate justement aussi, mais il y a surement plein d'autres produits dans le même genre.

n°145195
logre
Posté le 07-03-2017 à 15:37:05  profilanswer
 

Je ne sais pas si c'est toujours le cas, mais il me semble bien qu'en 2016 ils étaient les leader coté Gartner sur les UTM.
 
Je dois avoir les prix publiques qq part chez moi pour les boiters, peut être pas ceux des nouvelle game E, mais j'te vois bien avec un petit cluster HA de deux FG-100D ou deux FG-90E :-), ya un débit NGFW à environ 200Mb donc ça devrait aller côté évolution.
 
Euuh, débit 100Mops (Genre ~1Gbps) ou 100 Mbps ?

n°145196
Micko77666
Posté le 07-03-2017 à 15:39:34  profilanswer
 

100Mbps  (toujours vicieux ce truc lol)

n°145205
Lone Morge​n
Posté le 07-03-2017 à 20:21:27  profilanswer
 

Ouep un cluster de NGFW serait sympa mais le budget me parait un chouilla faible pour ça.
600 règles !!!?WtF?
 
Pour dimensionner correctement il faudra évaluer:
-le nombre de liaisons WAN sur le site
-les débits nécessaire (le debit de données pouvant être traité varie en fonction des services de sécurité activés et c'est là qu'il faut bien comparer les différentes solutions a prix équivalents) Attention a pas sous estimer le débit LAN to LAN si plusieurs pattes LAN avec le pare feux en tant que cœur de réseau
-le nombre de tunnels VPN site a site et leurs types (ssl/ ipsec)
-le nombre d'utilisateurs "mobiles" avec accès VPN
 
Après y a la facilité d'administration de monitoring et une éventuelle solution de serveur de log pas toujours inclue.
 
Les serveur Ovh son accessibles depuis l’extérieur ou seulement a travers des VPN?
Combien d'utilisateurs sur le site " principal"?
le maillage vpn c'est comment tout vers un site central ?
 
En tout cas les renouvellements d'abonnement de secu ça douille faudra les prévoir au budget et la migration risque d’être difficile

n°145231
logre
Posté le 08-03-2017 à 13:26:23  profilanswer
 

En effet, 90D prix public à 1800€ la bête avec 1 ans de protection "NG"

n°145242
Alza
Posté le 08-03-2017 à 17:54:29  profilanswer
 

Micko77666 a écrit :


 
Le tout avec un budget raisonnable (dur de vendre un truc à la direction quand l'ancien est la depuis 15 ans ....).
 


 
bonsoir, tu dépenses combien tous les mois pour l'ensemble de ces sites en VPN en abonnement internet ? merci, Alza

n°145372
Lone Morge​n
Posté le 14-03-2017 à 09:06:51  profilanswer
 

Petit retour Fortigate Vs watchguard : pour un cluster les services de securité etait a souscrire 2x contre une seul fois pour le membre actif chez watchguard ça fait du coup une énorme différence de coût

n°145422
Micko77666
Posté le 16-03-2017 à 11:35:07  profilanswer
 


Je regarde pour le Fortigate 90D et 100D pour notre site (150 personnes) et nos 13 sites en VPN dessus.
 
J'ai du mal à voir la réel différence entre les deux, mais d'après le fichier Excel pour choisir sa solution, il est conseillé le 100D pour 150 users. Maintenant ça reste un fichier commercial quoi ...

n°145435
Lone Morge​n
Posté le 16-03-2017 à 20:53:53  profilanswer
 

t(as un lien ?

n°145437
Micko77666
Posté le 17-03-2017 à 09:03:18  profilanswer
 
n°145438
Ivy gu
3 blobcats dans un trenchcoat
Posté le 17-03-2017 à 11:16:35  profilanswer
 

pars sur de la série E déjà non ? quitte à prendre un plus petit modèle.


---------------
on n'emmène pas des saucisses quand on va à Francfort
n°145442
Micko77666
Posté le 17-03-2017 à 12:54:49  profilanswer
 


La j'ai trouvé chez un fournisseur un cluster actif-actif pour du 100D à 4300€ avec support 36 mois. Je pense que je vais partir sur ça, à voir comment migrer nos 13 sites avec le moins d'impacte possible .... :(

n°145443
snipereyes
Posté le 17-03-2017 à 13:10:36  profilanswer
 

Pourquoi ne pas partir sur watchguard ?


---------------
-- Topic de vente -- FeedBack --
n°145445
Micko77666
Posté le 17-03-2017 à 13:50:47  profilanswer
 


Notre responsable sécu a une préférence pour Fortigate, et très bonne réputation. Et j'ai pas trouvé le produit beaucoup moins chers en plus (enfin pas à l'échelle quoi).

n°145447
gasolina
Posté le 18-03-2017 à 01:00:32  profilanswer
 

Micko77666 a écrit :


Notre responsable sécu a une préférence pour Fortigate, et très bonne réputation. Et j'ai pas trouvé le produit beaucoup moins chers en plus (enfin pas à l'échelle quoi).

 

Salut,

 

Tu as eu un prix à quel endroit pour les fortigate?

n°145451
Lone Morge​n
Posté le 18-03-2017 à 12:33:21  profilanswer
 

et quelles options de secu dessus ?  
Pour les Fortigate je trouve un peut abusé le nombre de vpns possibles en pratique je vois mal le truc tourner correctement en tendant vres ces limites.

n°145462
Micko77666
Posté le 20-03-2017 à 08:36:53  profilanswer
 


Pour l'instant uniquement les fonctions de bases, pas le budget pour aller plus loin de toute façon. Oui c'est un peu pipo je pense le nombre de liaison max.

n°145466
Ivy gu
3 blobcats dans un trenchcoat
Posté le 20-03-2017 à 10:16:25  profilanswer
 

pourquoi ce serait pipeau ? un VPN ça bouffe pas tellement de ressources tant qu'il n'y a pas de débit qui passe dedans.


---------------
on n'emmène pas des saucisses quand on va à Francfort
n°145467
logre
Posté le 20-03-2017 à 10:27:29  profilanswer
 

Concernant les perfs, ca reste les max dans les meilleurs conditions. Donc sans aucun traffic à côté et surtout pas de "NGFW". Donc pas forcement du pipeau, mais faut prendre ça plus comme des indicateurs. Je pense pas que ton boiter pourra faire max perf VPN + max perf NGFW etc...
 
C'pas bien cher ton cluster de FW Micko, surtout avec 3 ans de support !! Le support est fournis par Fortinet ou une societé tierce ?

n°145470
Micko77666
Posté le 20-03-2017 à 11:19:51  profilanswer
 


Société Tierce, je me demande d'ailleurs si vraiment pénalisant au final ... car ils ont les MAJ et le support de leur boite qui est pas mauvais (société sur Lyon).

n°145471
logre
Posté le 20-03-2017 à 11:47:41  profilanswer
 

Le seul point "pénalisant" c'est que tu ne pourras pas escalader à Forti, après s'ils sont la compétence dans la solution aucun problème, ils pourront résoudre tous tes problèmes.
Et puis ta configuration n'étant pas trop complexe y'a peu de chance de rencontrer de gros soucis.

n°145473
Micko77666
Posté le 20-03-2017 à 12:01:17  profilanswer
 


Oui c'est ce que je me dis, et quand je vois qu'il y a une économie de 1800€ par rapport à notre fournisseur habituel (qui a de bon tarif pourtant ....).

n°145493
logre
Posté le 21-03-2017 à 09:10:44  profilanswer
 

dans les 1800€ ya pas le Fortiguard? (Car au final c'est quasiment ce qui coute le plus chere dans ce genre ce solution)
 
 
 

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Idée de Firewall

 

Sujets relatifs
Filtrage trafic entre vlan - solution firewall ou switch de niveau 3Remplacement d’un firewall + switch
Filtrage RDP (Firewall Windows SRV2008R2)Configuration livrebox pro + firewall NetASQ pour VPN nomade
firewall/router 10gbit/s pas cherAvis WATCHGUARD FW
[RESOLU]cherche mini boitier firewall pas routeur.GPO firewall
Recherche routeur firewallParamètre firewall AP CISCO WAP 121
Plus de sujets relatifs à : Idée de Firewall


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR