Re: [FRnOG] [TECH] UTM pour SMB ?
Le problème de fuite mémoire ne venait pas des 200B mais de la version firmware qui était buguee. Le 12 mai 2018 à 22:40, Michel Py a écrit : >> Bertrand FRUCHET a écrit : >> Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans >> le meme panier. Tout ce que vous cherchez existe en >> open-source avec les briques de monitoring et de centralisation, faut juste >> transformer les couts de licence en cout d integration. > > Ou même un mix de logiciel libre et de commercial. > > Ce que je regarde, c'est quoi qui doit être mis à jour ou pas. > > MAJ fréquentes : AV, IPS/IDS. Non seulement les signatures tout le temps, > mais la technologie change rapidement donc nouvelles versions fréquentes. > Le routage et les choses comme BGP, çà n'a pas besoin d'être mis à jour tout > le temps, je préfère la stabilité et ne pas risquer que cette partie plante > parce que l'IDS demande une MAJ. > > Fortigate : sur les 200B on avait des problèmes de fuite de mémoire, quand > tout dépend de la même boite tout se plante en même temps, c'est pas sympa. > Résolu avec les 200D, mais il a fallu remplacer le matos. Forticlient : va > donc le faire marcher avec Windows 10, etc etc. > > 1 problème à la fois, et le truc qui peut pas planter c'est le routage, parce > que plus de routage c'est plus d'accès distant. L'apprentissage par le > kilométrage j'essaie d'éviter; la console du Fortigate sur le port Aux du > Cisco, çà économise l'essence et les pneus. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
Envoyé depuis mon smartphone Samsung Galaxy. Message d'origine De : Clément Guivy Date : 12/05/2018 20:39 (GMT+01:00) À : Denis Fondras , frnog@frnog.org Objet : Re: [FRnOG] [TECH] UTM pour SMB ? On 12/05/2018 15:18, Denis Fondras wrote: >> Pfsense ou sa version hardware netgate : il ne manque que la endpoint >> protection.plusieurs dizaines en production y compris avec du dual stack >> BGP. >> > > PFsense sait faire de la HA active/active ? Il me semble qu'il ne fait pas non plus de VPN IPSec route-based. > Sinon bon courage pour avoir un support v6 == v4 :) > (A priori chez Forti ce n'est pas le cas) chez palo alto j'ai l'impression que c'est le cas (en tout cas je n'ai pas encore trouvé de limitation à ce niveau, depuis la sortie de la 7.0 l'année dernière qui apportait MP-BGP avec le support d'IPv6 pour BGP), par contre il y a une licence supplémentaire à payer pour faire du VPN road warrior (licence qui n'apporte pas que cela mais quand même, je trouve ça exagéré) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
oups. mes excuses a michel pour avoir "écorché" l orthographe de ton nom. Envoyé depuis mon smartphone Samsung Galaxy. Message d'origine De : Michel Py Date : 12/05/2018 22:40 (GMT+01:00) À : frnog@frnog.org Objet : RE: [FRnOG] [TECH] UTM pour SMB ? > Bertrand FRUCHET a écrit : > Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans > le meme panier. Tout ce que vous cherchez existe en > open-source avec les briques de monitoring et de centralisation, faut juste > transformer les couts de licence en cout d integration. Ou même un mix de logiciel libre et de commercial. Ce que je regarde, c'est quoi qui doit être mis à jour ou pas. MAJ fréquentes : AV, IPS/IDS. Non seulement les signatures tout le temps, mais la technologie change rapidement donc nouvelles versions fréquentes. Le routage et les choses comme BGP, çà n'a pas besoin d'être mis à jour tout le temps, je préfère la stabilité et ne pas risquer que cette partie plante parce que l'IDS demande une MAJ. Fortigate : sur les 200B on avait des problèmes de fuite de mémoire, quand tout dépend de la même boite tout se plante en même temps, c'est pas sympa. Résolu avec les 200D, mais il a fallu remplacer le matos. Forticlient : va donc le faire marcher avec Windows 10, etc etc. 1 problème à la fois, et le truc qui peut pas planter c'est le routage, parce que plus de routage c'est plus d'accès distant. L'apprentissage par le kilométrage j'essaie d'éviter; la console du Fortigate sur le port Aux du Cisco, çà économise l'essence et les pneus. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] UTM pour SMB ?
> Bertrand FRUCHET a écrit : > Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans > le meme panier. Tout ce que vous cherchez existe en > open-source avec les briques de monitoring et de centralisation, faut juste > transformer les couts de licence en cout d integration. Ou même un mix de logiciel libre et de commercial. Ce que je regarde, c'est quoi qui doit être mis à jour ou pas. MAJ fréquentes : AV, IPS/IDS. Non seulement les signatures tout le temps, mais la technologie change rapidement donc nouvelles versions fréquentes. Le routage et les choses comme BGP, çà n'a pas besoin d'être mis à jour tout le temps, je préfère la stabilité et ne pas risquer que cette partie plante parce que l'IDS demande une MAJ. Fortigate : sur les 200B on avait des problèmes de fuite de mémoire, quand tout dépend de la même boite tout se plante en même temps, c'est pas sympa. Résolu avec les 200D, mais il a fallu remplacer le matos. Forticlient : va donc le faire marcher avec Windows 10, etc etc. 1 problème à la fois, et le truc qui peut pas planter c'est le routage, parce que plus de routage c'est plus d'accès distant. L'apprentissage par le kilométrage j'essaie d'éviter; la console du Fortigate sur le port Aux du Cisco, çà économise l'essence et les pneus. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
On 12/05/2018 15:18, Denis Fondras wrote: Pfsense ou sa version hardware netgate : il ne manque que la endpoint protection.plusieurs dizaines en production y compris avec du dual stack BGP. PFsense sait faire de la HA active/active ? Il me semble qu'il ne fait pas non plus de VPN IPSec route-based. Sinon bon courage pour avoir un support v6 == v4 :) (A priori chez Forti ce n'est pas le cas) chez palo alto j'ai l'impression que c'est le cas (en tout cas je n'ai pas encore trouvé de limitation à ce niveau, depuis la sortie de la 7.0 l'année dernière qui apportait MP-BGP avec le support d'IPv6 pour BGP), par contre il y a une licence supplémentaire à payer pour faire du VPN road warrior (licence qui n'apporte pas que cela mais quand même, je trouve ça exagéré) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
pfsense ne fait pas de actif / actif et je vois pas l interet a moins d avoir plus de 10 Go de transit a proteger, et encore ca reste a demontrer. je confirme qu il est full double stack y compris pour le bgp. Evidemment comme c est open-source et basé sur freeBSD c invendable aux N+x ! Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans le meme panier. Tout ce que vous cherchez existe en open-source avec les briques de monitoring et de centralisation, faut juste transformer les couts de licence en cout d integration. Envoyé depuis mon smartphone Samsung Galaxy. Message d'origine De : Denis Fondras Date : 12/05/2018 15:18 (GMT+01:00) À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] UTM pour SMB ? > Pfsense ou sa version hardware netgate : il ne manque que la endpoint > protection.plusieurs dizaines en production y compris avec du dual stack > BGP. > PFsense sait faire de la HA active/active ? Sinon bon courage pour avoir un support v6 == v4 :) (A priori chez Forti ce n'est pas le cas) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
FortiCloud permet de stocker les logs 1 an en saas chez Fortinet, avec reporting intégré. FortiClient sort en version 6.0 sous peu (beta en cours). Support Linux équivalent à Win/Mac. Si tu ne veux pas faire de NAC (Telemetry) ou management centralisé des endpoints, le Forticlient est gratuit en standalone. Tu peux l'installer sur autant de endpoints que tu veux. Le 12/05/2018 à 18:07, Mathieu Codomier a écrit : Bonjour, Oui un cluster avec un petit forti analyzer si tu souhaite avoir de bon reporting local ou bien forticloud vu que tu as déjà du cloud avec l'ubiquiti. Tu aura tout les rapports web/mails de tes rêves ☺️ Le choix de ton modèle se fera par rapport au débit voulu en firewall, filtrage utm, ipsec... Ces chiffres se trouvent facilement sur la product matrix https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf En général ce n'est pas le nombre de users/sessions simultanées le problème. Pour les endpoints tu as la liste des anti-virus compatibles avec le forticlient, cette fonction la est supportée sur Mac et pc uniquement à ma connaissance le support Linux est très limité (vpn ssl uniquement !), c'est bien dommage. Tout est indiqué dans ce pdf. https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiClient.pdf Par défaut un boîtier donne le droit à 10 licences forticlient standard. Tu peux alors configurer de la compliance enforcement et bloquer automatiquement niveau Firewall un pc ne respectant pas les règles définies. Cdt -- Mathieu Codomier On Sat, May 12, 2018, 12:49 Mathieu Poussin wrote: Concou misters et misses Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce domaine. C'est pour des bureaux de 50 personnes mais ça devrait supporter au moins 100 comme ca monte très rapidement :) En terme de features, on aimerait : - Traffic global, au mimium 1Gbps (en traffic mix, surtout web, ssh, etc.) - Traffic VPN au minimum 300 Mbps (Même chose) - CLI SSH + GUI - BGP - IPv6 (et support == à IPv4 car on est totalement dual stack) - Route based IPSEC (+BGP over IPSEC) - Policy / Source based routing et/ou VRF's - Roadwarrior VPN (Optionel mais ça serait un plus) - Pouvoir le connecter avec de l'endpoint protection serait top (Compatible Windows, OSX et idealement Linux) - IDS/IPS - Eventuellement Proxy MITM (avec injection de CA que l'on ferait nous même) - Pas de config proprietaire sur les switchs et le wifi ( On a de l'Ubiquiti aussi et on ne souhaite pas changer cette partie ) - Des fonctionnalités de reporting (graphs de traffic, traffic bloqués) et notifications en cas d'evenement (infection, traffic suspect, etc.) - Haute dispo (active active si possible) - Pas hors de prix. Dans les marques que je connais, il me semble que Fortinet serait pas trop mal. Aussi j'ai vu quelques bon avis sur Sophos et Palo Alto. Mais je pense que êtes mieux placés que moi sur ce domaine, j'ai très peu touché aux FW hadware depuis quelques annees (Genre ASA pre-X ou gros Checkpoint). Merci :) A+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] UTM pour SMB ?
> Mathieu Poussin a écrit : > En terme de features, on aimerait : Tu demandes beaucoup. Tu vas te retrouver complètement enchainé au vendeur que tu choisis et avoir un cauchemar à chaque changement de version. Il n'y a aucun produit qui fait tout ce que tu veux et qui le fait bien. La boite magique qui fait tout et le café aussi, c'est une utopie. BGP par exemple, je fais çà sur une plateforme que je connais bien (router Cisco), pareil pour le routage et le VPN routeur à routeur. Pour le VPN portable j'ai une autre solution, pour le WiFi j'ai Ubiquiti aussi, etc. AMHA tu veux mettre beaucoup d'oeufs dans le même panier. Pour vaincre, il faut diviser. Mettre l'inspection SSL dans la même boite que le chiffrement IPSEC faut être maso, surtout si tu veux du gigabit. A éviter : Sophos (il y a eu un fil il y a pas trop longtemps ici, tout le monde a plussoié que c'était pas glop, mon expérience aussi). Mes 0,02 € à propos de Fortinet : les changements de versions sont pas faciles, et avec toutes les fonctionnalités que tu veux çà va être une usine à gaz. Je suis content avec Untangle, mais j'ai pas essayé tout ce que tu veux. Pour IPS/IDS, virus, inspection SSL, spam çà marche. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
Bonjour, Oui un cluster avec un petit forti analyzer si tu souhaite avoir de bon reporting local ou bien forticloud vu que tu as déjà du cloud avec l'ubiquiti. Tu aura tout les rapports web/mails de tes rêves ☺️ Le choix de ton modèle se fera par rapport au débit voulu en firewall, filtrage utm, ipsec... Ces chiffres se trouvent facilement sur la product matrix https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf En général ce n'est pas le nombre de users/sessions simultanées le problème. Pour les endpoints tu as la liste des anti-virus compatibles avec le forticlient, cette fonction la est supportée sur Mac et pc uniquement à ma connaissance le support Linux est très limité (vpn ssl uniquement !), c'est bien dommage. Tout est indiqué dans ce pdf. https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiClient.pdf Par défaut un boîtier donne le droit à 10 licences forticlient standard. Tu peux alors configurer de la compliance enforcement et bloquer automatiquement niveau Firewall un pc ne respectant pas les règles définies. Cdt -- Mathieu Codomier On Sat, May 12, 2018, 12:49 Mathieu Poussin wrote: > Concou misters et misses > > Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation > Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce > domaine. > > C'est pour des bureaux de 50 personnes mais ça devrait supporter au moins > 100 comme ca monte très rapidement :) > > En terme de features, on aimerait : > - Traffic global, au mimium 1Gbps (en traffic mix, surtout web, ssh, etc.) > - Traffic VPN au minimum 300 Mbps (Même chose) > - CLI SSH + GUI > - BGP > - IPv6 (et support == à IPv4 car on est totalement dual stack) > - Route based IPSEC (+BGP over IPSEC) > - Policy / Source based routing et/ou VRF's > - Roadwarrior VPN (Optionel mais ça serait un plus) > - Pouvoir le connecter avec de l'endpoint protection serait top > (Compatible Windows, OSX et idealement Linux) > - IDS/IPS > - Eventuellement Proxy MITM (avec injection de CA que l'on ferait nous > même) > - Pas de config proprietaire sur les switchs et le wifi ( On a de > l'Ubiquiti aussi et on ne souhaite pas changer cette partie ) > - Des fonctionnalités de reporting (graphs de traffic, traffic bloqués) et > notifications en cas d'evenement (infection, traffic suspect, etc.) > - Haute dispo (active active si possible) > - Pas hors de prix. > > Dans les marques que je connais, il me semble que Fortinet serait pas trop > mal. Aussi j'ai vu quelques bon avis sur Sophos et Palo Alto. > > Mais je pense que êtes mieux placés que moi sur ce domaine, j'ai très peu > touché aux FW hadware depuis quelques annees (Genre ASA pre-X ou gros > Checkpoint). > > Merci :) > > A+ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?
Je plussois derechef FGT en cluster, pas d¹ennui PaloAlto très bien aussi, mais gamme de prix plus élevée CB Le 12/05/2018 16:28, « frnog-requ...@frnog.org on behalf of Guillaume Tournat » a écrit : >En effet, Fortinet coche toutes les cases. Pour le nombre de personnes, >tu as le FortiGate 81E ou 101E. > >Si tu externalises les logs (sur FortiAnalyzer par exemple), tu peux >prendre les versions sans disque, un peu moins cher (80E et 100E). > >N¹hésite pas si besoin. Je connais très bien les produits. > >A+ > > > >> Le 12 mai 2018 à 15:27, Jean-Frederic Karcher >>a écrit : >> >> Bonjour, >> >> Fortinet me semble bien plus approprié à tes exigences car il couvre >>l¹intégralité des besoins (voire davantage même) pour un prix bien >>inférieur lorsque l¹on compare les specs de débit par exemple. >> A dispo si besoin de davantage d¹info ou de contacts appropriés chez >>Fortinet >> >> Cdt, JFK >> >> Jean-Frederic KARCHER >> >> Le 12 mai 2018 à 14:37, Clément Guivy a écrit : On 12/05/2018 12:47, Mathieu Poussin wrote: Concou misters et misses Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce domaine. >>> >>> Salut, palo alto me semble faire tout ce que tu demandes (modulo la >>>partie endpoint, je ne connais pas ce sujet donc je ne peux pas te >>>dire), si tu es prêt à faire une concession sur le débit VPN IPSec tu >>>peux partir sur du PA-820 ou 850 qui restent abordables >>> , ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais >>>sensiblement plus cher. Après je ne sais pas ce que tu veux dire pas >>>"pas hors de prix", c'est assez vague :) >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?
En effet, Fortinet coche toutes les cases. Pour le nombre de personnes, tu as le FortiGate 81E ou 101E. Si tu externalises les logs (sur FortiAnalyzer par exemple), tu peux prendre les versions sans disque, un peu moins cher (80E et 100E). N’hésite pas si besoin. Je connais très bien les produits. A+ > Le 12 mai 2018 à 15:27, Jean-Frederic Karcher a > écrit : > > Bonjour, > > Fortinet me semble bien plus approprié à tes exigences car il couvre > l’intégralité des besoins (voire davantage même) pour un prix bien inférieur > lorsque l’on compare les specs de débit par exemple. > A dispo si besoin de davantage d’info ou de contacts appropriés chez Fortinet > > Cdt, JFK > > Jean-Frederic KARCHER > > >>> Le 12 mai 2018 à 14:37, Clément Guivy a écrit : >>> >>> On 12/05/2018 12:47, Mathieu Poussin wrote: >>> Concou misters et misses >>> Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation >>> Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce >>> domaine. >> >> Salut, palo alto me semble faire tout ce que tu demandes (modulo la partie >> endpoint, je ne connais pas ce sujet donc je ne peux pas te dire), si tu es >> prêt à faire une concession sur le débit VPN IPSec tu peux partir sur du >> PA-820 ou 850 qui restent abordables >> , ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais >> sensiblement plus cher. Après je ne sais pas ce que tu veux dire pas "pas >> hors de prix", c'est assez vague :) >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?
Bonjour, Fortinet me semble bien plus approprié à tes exigences car il couvre l’intégralité des besoins (voire davantage même) pour un prix bien inférieur lorsque l’on compare les specs de débit par exemple. A dispo si besoin de davantage d’info ou de contacts appropriés chez Fortinet Cdt, JFK Jean-Frederic KARCHER > Le 12 mai 2018 à 14:37, Clément Guivy a écrit : > >> On 12/05/2018 12:47, Mathieu Poussin wrote: >> Concou misters et misses >> Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation >> Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce >> domaine. > > Salut, palo alto me semble faire tout ce que tu demandes (modulo la partie > endpoint, je ne connais pas ce sujet donc je ne peux pas te dire), si tu es > prêt à faire une concession sur le débit VPN IPSec tu peux partir sur du > PA-820 ou 850 qui restent abordables > , ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais sensiblement > plus cher. Après je ne sais pas ce que tu veux dire pas "pas hors de prix", > c'est assez vague :) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ *** Please note that this message and any attachments may contain confidential and proprietary material and information and are intended only for the use of the intended recipient(s). If you are not the intended recipient, you are hereby notified that any review, use, disclosure, dissemination, distribution or copying of this message and any attachments is strictly prohibited. If you have received this email in error, please immediately notify the sender and destroy this e-mail and any attachments and all copies, whether electronic or printed. Please also note that any views, opinions, conclusions or commitments expressed in this message are those of the individual sender and do not necessarily reflect the views of Fortinet, Inc., its affiliates, and emails are not binding on Fortinet and only a writing manually signed by Fortinet's General Counsel can be a binding commitment of Fortinet to Fortinet's customers or partners. Thank you. *** --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
> Pfsense ou sa version hardware netgate : il ne manque que la endpoint > protection.plusieurs dizaines en production y compris avec du dual stack > BGP. > PFsense sait faire de la HA active/active ? Sinon bon courage pour avoir un support v6 == v4 :) (A priori chez Forti ce n'est pas le cas) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
On 12/05/2018 12:47, Mathieu Poussin wrote: Concou misters et misses Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce domaine. Salut, palo alto me semble faire tout ce que tu demandes (modulo la partie endpoint, je ne connais pas ce sujet donc je ne peux pas te dire), si tu es prêt à faire une concession sur le débit VPN IPSec tu peux partir sur du PA-820 ou 850 qui restent abordables , ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais sensiblement plus cher. Après je ne sais pas ce que tu veux dire pas "pas hors de prix", c'est assez vague :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UTM pour SMB ?
Pfsense ou sa version hardware netgate : il ne manque que la endpoint protection.plusieurs dizaines en production y compris avec du dual stack BGP. Envoyé depuis mon smartphone Samsung Galaxy. Message d'origine De : Mathieu Poussin Date : 12/05/2018 12:48 (GMT+01:00) À : frnog-tech Objet : [FRnOG] [TECH] UTM pour SMB ? Concou misters et misses Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce domaine. C'est pour des bureaux de 50 personnes mais ça devrait supporter au moins 100 comme ca monte très rapidement :) En terme de features, on aimerait : - Traffic global, au mimium 1Gbps (en traffic mix, surtout web, ssh, etc.) - Traffic VPN au minimum 300 Mbps (Même chose) - CLI SSH + GUI - BGP - IPv6 (et support == à IPv4 car on est totalement dual stack) - Route based IPSEC (+BGP over IPSEC) - Policy / Source based routing et/ou VRF's - Roadwarrior VPN (Optionel mais ça serait un plus) - Pouvoir le connecter avec de l'endpoint protection serait top (Compatible Windows, OSX et idealement Linux) - IDS/IPS - Eventuellement Proxy MITM (avec injection de CA que l'on ferait nous même) - Pas de config proprietaire sur les switchs et le wifi ( On a de l'Ubiquiti aussi et on ne souhaite pas changer cette partie ) - Des fonctionnalités de reporting (graphs de traffic, traffic bloqués) et notifications en cas d'evenement (infection, traffic suspect, etc.) - Haute dispo (active active si possible) - Pas hors de prix. Dans les marques que je connais, il me semble que Fortinet serait pas trop mal. Aussi j'ai vu quelques bon avis sur Sophos et Palo Alto. Mais je pense que êtes mieux placés que moi sur ce domaine, j'ai très peu touché aux FW hadware depuis quelques annees (Genre ASA pre-X ou gros Checkpoint). Merci :) A+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] UTM pour SMB ?
Concou misters et misses Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce domaine. C'est pour des bureaux de 50 personnes mais ça devrait supporter au moins 100 comme ca monte très rapidement :) En terme de features, on aimerait : - Traffic global, au mimium 1Gbps (en traffic mix, surtout web, ssh, etc.) - Traffic VPN au minimum 300 Mbps (Même chose) - CLI SSH + GUI - BGP - IPv6 (et support == à IPv4 car on est totalement dual stack) - Route based IPSEC (+BGP over IPSEC) - Policy / Source based routing et/ou VRF's - Roadwarrior VPN (Optionel mais ça serait un plus) - Pouvoir le connecter avec de l'endpoint protection serait top (Compatible Windows, OSX et idealement Linux) - IDS/IPS - Eventuellement Proxy MITM (avec injection de CA que l'on ferait nous même) - Pas de config proprietaire sur les switchs et le wifi ( On a de l'Ubiquiti aussi et on ne souhaite pas changer cette partie ) - Des fonctionnalités de reporting (graphs de traffic, traffic bloqués) et notifications en cas d'evenement (infection, traffic suspect, etc.) - Haute dispo (active active si possible) - Pas hors de prix. Dans les marques que je connais, il me semble que Fortinet serait pas trop mal. Aussi j'ai vu quelques bon avis sur Sophos et Palo Alto. Mais je pense que êtes mieux placés que moi sur ce domaine, j'ai très peu touché aux FW hadware depuis quelques annees (Genre ASA pre-X ou gros Checkpoint). Merci :) A+ --- Liste de diffusion du FRnOG http://www.frnog.org/