> Je reviens en revanche sur l’idée d’un gros firewall sur un site et des > petits sur les autres, je ne conseille pas cela pour plusieurs raison : un > gros SPOF en puissance, de multiples pertes potentielles de latence et gigue > selon le montage opérateurs...
Tu as parfaitement raison, ça a des inconvénients. Et des avantages aussi, avec un CPE banale sur tous les sites distants. Le SPOF il est évitable si le site central a un peu de moyens. > C’est typiquement la raison pour laquelle on est en train de monter notre > offre opérateur et proposer à nos clients des liens « nus » qu’on collecte > depuis divers opérateurs sur notre propre réseau, et leur permettre d’avoir > du clés en mains, voire même de poser leur propre « gros firewall central » > doublé, sécurisé, etc dans nos baies, ou d’avoir tout cela « aaS » comme > c’est la mode. Pour une grosse structure, ça peut valoir le coup de faire > cela en interne, mais c’est quand même assez lourd d’un point de vue de > l’organisation, je pense que seuls les très grands groupes font cela en > réalité. Tout à fait, c’est ce qu’on fait aussi, mais ce n’est pas une migration simple pour le client, et pour reprendre ton argument du SPOF, il faudra alors prouver au client que tu n’as pas de SPOF chez toi. Et tu en as peut-être un, vu que certaines offres de collecte ne sont pas simples à redonder. Tu n’as pas forcément tout doubler dans 2 DC parce que ça coûte un bras, parce que être sûr qu’il n’y a aucune interdépendance entre les portes sur les 2 DC, c’est pas simple, voir impossible. Mais ça peut quand même être plus simple de connecter le site principal du client avec un RS3. Reste le problème de latence. Là, ça dépend avec quoi sont connectés les petits sites. Si c’est de l’ADSL, ça va pas changer grande chose. Après, on peut reprendre la même idée mais en restant en architecture traditionnelle. Il faut juste trouver un UTM software qui tienne la route au niveau fonctionnel (si on considère que Untangle ou opnSense ne tiennent pas la route face à Palo ou Forti) et en perfs. Et on supprime l’obsolescence du hardware. L’offre de Forti a l’inconvénient d'être chère (j’ai jamais trop compris à qui elle était destinée). Palo, je sais pas. Dans les joueurs de niche, Stormshield est plus raisonnable. On peut aussi imaginer Fortigate central au siège, et plus de FW sur les sites distants: tout le monde en Forticlient avec policies poussées par le Fortigate. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
