Bonjour à tous
 
Suite à une problématique de saturation de la bande passante, ma boite s'est décidée à nous filer le budget pour l'achat d'une solution de filtrage web type Fortiguard (ou autres...)
 
le contexte :
- environ 70 utilisateurs au total dont 50 fixes et 20 nomades
- de la VOIP
- environ 100 machines susceptibles de communiquer avec l'extérieur
 
Ce qu'on aimerait :
 - pouvoir bloquer certaines URL
 - pouvoir analyser quels sont les machines consommatrices de bande passante qui pourrissent les accès extérieurs (et vu qu'on est sur office365, je vous laisse imaginer les impacts sur la prod...)
 - pouvoir rediriger certains services/ports sur une sortie internet spécifique (nous avons 2 ISP)
 
Cerise sur le gateau : que le boitier puisse assurer un service VPN pour nos 20 utilisateurs nomades. pou l'instant, nous avons un BVPN chez orange qui nous coûte un rein chaque mois. Comme il n'y a que 70 utilisateurs, ça ne fait que 70 reins, donc 6,5 ans de VPN avant de s'attaquer au 2ème rein de chacun (il parait que ca n'est pas recommandé, cela dit...   )
 
Mon responsable pensait partir sur une solution avec un Fortigate 70d, mais j'ai un peu de mal à comprendre tout ce qui est inclus (ou pas) dans leurs offres. je ne suis pas certain que ça puisse répondre à toutes nos problématiques.
 
Bien entendu, côté budget, la direction aimerait que ce soit le moins cher possible... (sans nous avoir donné de fourchette, cela va de soi   )
 
Voilà. Si une âme charitable pouvait m'aiguiller, je pourrais garder mon rein (je l'aime bien, c'est sentimental)

Hello,
 
Je ne suis pas un grand connaisseur des produits Forti, alors pour ce qui est des fonctions de blocage d'URL, peut-être faudra-t-il coupler le FW avec une licence supplémentaire ou autre BOX de la marque pour ce type de foncions.  
Pour le remote VPN, beaucoup de FW ont cette fonction, apres suivant les marques il y a un type de licencing a acheter. Par exemple chez Cisco, AnyConnect est limite a 2 user concurrents, au dela, il faut payer. Sinon, un tunnel classique IPSEC avec un client compatible peut également faire l'affaire! Mais je recommanderai plus d'utiliser un client fourni par le fabriquant de ta VPN gateway.
 
Ensuite, pour voir la consommation de bande passante, si tu as du matériel compatible avec Netflow, cela pourra répondre a cette question. Tu pourras donc faire exporter ces flow vers un collecteur qui t'indiquera en détail, comment ta bande passante est utilisée,etc.
 
Ensuite pour le dernier point, si ta GW te permet de faire du policy based routing, tu pourras rediriger certains services vers l'un ou l'autre ISP!
 
Cordialement
 
 

A priori, c'est une fonction intégrée au FortiOS. par contre, je ne comprends pas trop s'il y a des licences à rajouter en fonction du nombre d'utilisateurs, et surtout si ce qu'ils appellent Fortiview est en standard ou un logiciel à acheter séparément.

Si on prend chez fortinet, pas très envie d'utiliser leur client. Et pour cause : C'est une espèce de client AIO qui comprend aussi un PFW et un antivirus. Sauf qu'on a déjà une solution antivirus qui nous convient bien. donc la fonctionnalité de base avec un accès VPN par portail web serait largement suffisante dans notre cas.

Je connaissais pas Netflow
J'ai fait un peu joujou avec prtg sur mes switch, ça fait des jolis tableaux, mais ça ne me dit pas que telle connexion sur le port 80 a été initiée par telle machine et consomme tant de kbps.

Les boitiers forti font ça, a priori en standard. (je répète "a priori", parce que je n'ai pas trouvé de tableau récap des offres commerciales, fonctionnalités incluses etc...)
C'est pour ça que je demande, et je ne suis pas fermé vers Fortinet. Si une autre solution , un autre fournisseur plus performant, dans les mêmes tarifs, et surtout plus clair existe, je suis preneur    
 
Dans tous les cas, merci de t'être intéressé à ma demande, et si une autre bonne âme a des idées, je prends

Hello Jesalvien,
 
Je suis content d'avoir pu te donner quelques lumières et j'espère que cela puisse t'aider dans ta mission.
Pour la partie "Licence" blocage URL, ce n'est pas qu'une supposition.
Pour 70 Utilisateurs, il y a des outils/logiciels qui peuvent bien faire l'affaire. Je pense surtout à des proxy ou des suites Antivirus qui proposent ces filtres.
 
Pour le remote VPN, il y a vraiment plein de solutions et somme toute, ce n'est pas compliqué à implémenter. Seulement, la partie "admin" peut être plus lourde suivant les choix. Pour 70 utilisateurs, j'opterai pour une suite "tout en un". Donc du VPN basé sur TLS avec une authentification web sur la gateway; authentification AD/Radius.
 
Pour le monitoring, j'ai déjà joué une peut avec prtg. C'est un bel outil et il est largement suffisant sur des petites/moyennes infra qui utilisent SNMP.
Pour Netflow, il est mauvais. Il vaut mieux utiliser un outil tel que Solarwinds. En passant, on utilise aussi en interne "Observium" partis tant d'autres outils pour le monitoring. L'avantage est qu'il supporte SNMP/Syslog/Netflow et c'est gratuit. Il monitor parfaitement un parc vraiment vaste de matériel Cisco,principalement.
 
Pour le PBR, il n'y a pas vraiment de choix. En tout cas, à ma connaissance. C'est très simple et cela correspond exactement au dernier point.

merci pour tout, je vais regarder tout ca de plus près (surtout Observium qui m'a l'air vraiment bien fichu)
En ce qui nous concerne, nous avons finalement opté pour l'achat d'un Fortigate 90E.
On va voir ce que ca donne

Hello.
 
Effectivement chez Fortigate et sur le boitier Fortigate, tu as une licence "Fortiguard" pour X temps.
 
De mémoire avec cette licences, tu as :  
-Filtrage d'URL - permet d'utilier les catégories dynamique (maj régulièrement par Fortinet)
-Maj de la base antiviral
-Maj de la base IPS.
 
Sans licence, tu pourra toujours utiliser l'IPS et l'antivirus, par contre les bases ne seront pas mise à jours (il est ship avec une base + ou - à jour). Pour le filtrage d'URL sans licences, tu sera limité aux URL statique. C'est à dire que tu devras lister les sites 1 à 1 que tu veux bloquer par exemple (ou ceux que tu veux utiliser).
 
Concernant le Forticlient (nom du client du Fortigate) il est possible d'installer que le composant VPN, et ne pas avoir la partie Antivirus.
 
PBR, tu pourras en faire avec ou sans licences