Bonjour, Le 11/05/2020 à 15:20, Jerome Lien a écrit :
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par un fortigate physique ... mais il faut avouer que remonter les vlan à chaque fois, fortigate..., switch...., vswitch ... c'est plutôt fatiguant.
Oui mais ça traite les bonnes fonctions sur un équipement qui le fait bien.
Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense, opnsense .... pour gérer ces mini dmz et n'avoir qu'un lien propre vers l’extérieur.
Si ça reste de la segmentation par vlan / préfixe, je ne comprend pas en quoi s'appuyer sur un firewall en VM va améliorer la situation.
ça a l'air même pire puisque ça crée du steering entre hyperviseurs. Il faut gérer le HA donc deux VMs... Bref, ça déplace le problème.
A la rigueur dans l'univers VMWare, NSX aurait un intérêt dans ce cas en faisant de la microsegmentation.
Un seul vlan / préfixe + NSX qui gère la segmentation par VM au niveau de l'hyperviseur, ça ressemble à ce qui est recherché.
Par contre, en dehors , de cas récurrents (pour faire de la masse), c'est plutôt très chiant à gérer pour des flux très hétérogènes (du moins de que j'en ai vu lors d'un POC qui date de 3 ans maintenant...).
Bonne fin de journée -- Jérôme BERTHIER --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
