Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1215 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Choix Firewall pour une entreprise

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Choix Firewall pour une entreprise

n°147934
ikenzay
Posté le 17-07-2017 à 09:38:31  profilanswer
 

Bonjour,
 
Voulant mettre en place un firewall dans une PME, j'hésite encore sur le choix de celui-ci. Le réseau est composée d'un LAN et une DMZ avec 50 utilisateurs.
 
J'aimerais juste pouvoir faire des configurations de base, c'est à dire créer des règles de NAT et des règles d'accès.
 
Sachant que j'aimerais éviter les dépenses inutile lequel me conseiller vous ?
 


N'hésitez à me proposer d'autres firewall dont vous avez eu une expérience et qui pourrai correspondre aux critères que je recherche.


Message édité par ikenzay le 17-07-2017 à 10:05:50
mood
Publicité
Posté le 17-07-2017 à 09:38:31  profilanswer
 

n°147936
dims
if it ain't brocken, mod it !
Posté le 17-07-2017 à 10:22:15  profilanswer
 

Bonjour,
 
quelque chose me dit que le Cisco va être un peu juste.
ils donnent pour 50 utilisateurs, sachant qu'en général les fabriquant voient large (2 qui bossent 48 absents :D)
 
le Cisco je le vois plus pour TPE ou soho ;)
 
tu as quoi comme connexion derrière ?

n°147937
ikenzay
Posté le 17-07-2017 à 10:29:20  profilanswer
 

@dims - Nous sommes en fibre avec un débit descendant et ascendant de 4M. Je ne sais d'ailleurs pas si cela est suffisant, y a t'il un outil/moyen qui permet de déterminer le débit minimal nécessaire au bon fonctionnement du réseau.

 

J'ai mis 50 pour être un peu large, en général il y a uniquement 25 utilisateurs qui sont sur le réseau et nous en auront à l'avenir 10 utilisateurs supplémentaires qui vont se connecter à distance.
Ça ne devrait pas dépasser la quarantaine d'utilisateur en simultané même à long terme.


Message édité par ikenzay le 17-07-2017 à 10:34:24
n°147938
dims
if it ain't brocken, mod it !
Posté le 17-07-2017 à 13:52:31  profilanswer
 

connexion a distance, ça veut dire VPN ?
parceque la, c'est un autre problème.
déjà tes 4mb ne suffiront jamais, et après le Cisco va se retrouver a la rue assez rapidement.
 
non, il n'y a pas d'outil pour dire qu'il faut 1 ou 10mb/s
c'est en fonction de tellement de paramètres que c'est impossible a dire comme ça a froid.
 
déjà regarde si tes 4Mb sont occupés ou non ;)

n°147939
ikenzay
Posté le 17-07-2017 à 14:21:12  profilanswer
 

Non pour la connexion à distance ça sera l'accès à un serveur TSE pour le moment, le VPN sera peut-être pour plus tard.

 

Très bien, pour ce qui est du débit je vais donc voir avec le fournisseur d'accès pour faire une augmentation progressive jusqu'à trouver le débit idéale étant donné que je n'ai pas le matériel, ni les compétences pour faire un audit.

 

Mais du coup pour observer si le débit est occupé ou non y a t'il un outil ?


Message édité par ikenzay le 17-07-2017 à 14:23:13
n°147943
dims
if it ain't brocken, mod it !
Posté le 17-07-2017 à 15:30:00  profilanswer
 

sur le routeur actuel ?
chez ton FAI ?
 
ça sert a rien d'augmenter si t'es déjà surdimensionné ;)
 
TSE, ça consomme peu vu que c'est que de l'affichage
VPN ya des fichiers plus ou moins lourds qui peuvent transiter, des mails, et tout le trafic si tu configure le VPN comme passerelle par défaut.

n°147953
ikenzay
Posté le 17-07-2017 à 17:23:08  profilanswer
 

Je comptais augmenter le débit sur le routeur du FAI car je ressens déjà quelques ralentissements, donc je me suis dit, si en plus on y ajoute une dizaine d'utilisateurs, faut mieux anticiper le coup.
 
Sur le VPN ce sera juste l'utilisation d'un ERP sur le serveur TSE et éventuellement l'utilisation de mail rien de plus.

n°147955
dims
if it ain't brocken, mod it !
Posté le 17-07-2017 à 17:57:31  profilanswer
 

essaie déjà de voir a quel moment ça sature et quel est la charge moyenne du lien ;)
augmenter pour éviter de saturer 30s par jour, c'est totalement inutile.

n°147962
saarh
Posté le 18-07-2017 à 10:10:13  profilanswer
 

On monitore la bande passante via Centreon de notre côté. Suffit que le FAI (et la box, routeur, etc) autorise le snmp. ça peut déjà donner une bonne indication sur la conso. (on monitore LAN / WAN là dessus)  
Sinon, tu peux aussi voir directement avec ton FAI si il peut te sortir les stat d'utilisation en pourcentage data mensuelle.
Assez d'accords avec Dims (surtout vu les écart parfois monstrueux de prix pour augmenter la connec), tente d'analyser avant ;)
Tu es chez quel FAI, avec quel type d'offre ?

n°147966
CK Ze CaRi​BoO
Posté le 18-07-2017 à 12:39:20  profilanswer
 

Je déconseille vraiment le RV042, c'est du vieux matos avec une gestion du VPN vraiment moisie...
Aujourd'hui pour les TPE/PME il faut se diriger sur des pare-feu next gen, qu'on appelle aussi UTM (donc type Sophos, Sonicwall, Meraki etc...)
C'est plus cher, oui, mais je garantis qu'administrer un RV042 coûtera plus cher à l'arrivée rien qu'en agacement :p


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
mood
Publicité
Posté le 18-07-2017 à 12:39:20  profilanswer
 

n°147968
smarechal3
Posté le 18-07-2017 à 14:37:23  profilanswer
 

Salut,
 
Tu as Stormshield aussi, c'est Français.

n°147976
ikenzay
Posté le 18-07-2017 à 17:15:37  profilanswer
 

@saarh : Chez Orange Business,avec une offre FTTO à 4M.
 
@dims / @saarh : Très bien, je vais essayer de monitorer mon réseau avec Zabbix ou Centreon, il doit bien y avoir des tutos et de la doc :).
 
@CK Ze CaRiBoO : Entendu, je pense m'orienter vers le Zyxel USG 110 qui est, il me semble, un firewall next-gen (UTM).
 
@smarechal3 : J'irais jeter un coup d’œil.

Message cité 1 fois
Message édité par ikenzay le 18-07-2017 à 17:16:14
n°147981
CK Ze CaRi​BoO
Posté le 18-07-2017 à 18:47:15  profilanswer
 

Pour le monitoring, essaie Observium qui a déjà énormément de matos préconfigurés pour lesquels tu n'as qu'à renseigner l'ip et les infos SNMP...


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°147984
dims
if it ain't brocken, mod it !
Posté le 19-07-2017 à 07:37:49  profilanswer
 

ya que moi que ça choque de monter une infra de monitoring juste pour une connexion internet ???
vérifie d'abord si ta box orange est attaquable par snmp ;)
 
et commence par appeler orange voir si ils peuvent te filer les courbes d'utilisation de ton lien.

n°147985
smarechal3
Posté le 19-07-2017 à 08:20:11  profilanswer
 

dims a écrit :

ya que moi que ça choque de monter une infra de monitoring juste pour une connexion internet ???
vérifie d'abord si ta box orange est attaquable par snmp ;)
 
et commence par appeler orange voir si ils peuvent te filer les courbes d'utilisation de ton lien.


Disons que si c'est juste pour ça, c'est lourd. Après s'il y a l'infra, pourquoi pas.

n°147986
saarh
Posté le 19-07-2017 à 08:20:15  profilanswer
 

bah, on ne sait pas, sur une petite infra de 50 personnes, y a peut être déjà du monitoring ;) Et si jamais, la mise en place d'un centreon ou autre ne sera de toute façon pas du temps gâché ! (ça sera l'occase de monitorer d'autre chose)
Mais chez OBS, avec une FTTO, orange devrait être tout à fait en mesure de t'envoyer des infos sur l'utilisation actuelle ! Et si jamais tu as des soucis de monitoring, suffit de demander au service Orange de t'activer le snmp sur ta communauté sur le router (pas toujours actif par défaut)
 
Côté Firewall, je ne connais que la gamme ASA de cisco, qui feraient le boulot de façon tout à fait pro, mais avec un certain tarif.....et faut toujours faire attention au nombre de licences autorisant les connexions connexes. (de base, ils ont les mode VPN SSL autonome, avec le client cisco qui fonctionne sur tout, bien pratique^^ mais je ne sais plus aujourd'hui comment ils gèrent les licences d'accès....étant sur une offre End-User via juniper pulse chez Orange, y a plus que le service info qui passe par le VPN ^^)

n°148000
dims
if it ain't brocken, mod it !
Posté le 19-07-2017 à 12:22:24  profilanswer
 

ikenzay a écrit :

@dims / @saarh : Très bien, je vais essayer de monitorer mon réseau avec Zabbix ou Centreon, il doit bien y avoir des tutos et de la doc :).


vu cette réponse, ya rien en place ;)
 
un snmpwalk dans un script shell qui tourne en boucle sur quelques jours et qui redirige la sortie vers un fichier texte fera largement l'affaire
ensuite fichier texte dans excel et hop la jolie courbe
 
yen a pour 5mn (suis large) pour le faire au lieu de quelques heures/jours pour n'importe quoi d'autre

n°148012
ikenzay
Posté le 19-07-2017 à 13:59:52  profilanswer
 

Une infra ? Non je comptais juste placer deux machines virtuelles, un Centreon et un agent snmp pour analyser ça. Et comme c'est un projet qui était prévu mais pour plus tard c'est ok.

 

J'ai essayé de contacter OBS mais la seule réponse qu'ils me fournissent c'est que l'on reçoit bien les 4M.


Message édité par ikenzay le 20-07-2017 à 16:46:32
n°148013
ikenzay
Posté le 19-07-2017 à 14:02:14  profilanswer
 

dims a écrit :


un snmpwalk dans un script shell qui tourne en boucle sur quelques jours et qui redirige la sortie vers un fichier texte fera largement l'affaire
ensuite fichier texte dans excel et hop la jolie courbe


Je vais me renseigner sur cette méthode, merci :)

n°148094
roblenoir
Posté le 25-07-2017 à 09:57:59  profilanswer
 

Dans mon cas, j'ai un routeur/UTM Fortigate 60 C avec un lien SDSL 4.5M - 40 utilisateurs sur site et une dizaine d'utilsateurs en accès distant (soit vpn ou accès direct au serveur RDS).
Les 4M ne sont que rarement saturés et on peut facilement visualiser l'occupation de la bande sur un Fortigate.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Choix Firewall pour une entreprise

 

Sujets relatifs
QNAP - Choix: ISCSI ou serveur de fichierChoix firewall (PME)
Choix FirewallChoix certificat wildcard SSL - déploiement sur Exchange UAG et Apache
Choix d'un point d'accès Wifi en entreprise?Déployer windows 10 en entreprise
Squid en entreprise 
Plus de sujets relatifs à : Choix Firewall pour une entreprise


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR