Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
997 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Choix firewall (PME)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Choix firewall (PME)

n°147556
ikenzay
Posté le 26-06-2017 à 10:32:09  profilanswer
 

Bonjour, actuellement en alternance j'ai pour projet de mettre en place un firewall, mais j'aimerais avoir quelques conseils sur le choix avant de faire un achat.

 

La config est assez simple, le firewall sera raccordé au routeur du FAI, le réseau comporte un LAN pour 30 utilisateurs et une DMZ pour un serveur TSE. Il faudrait que le firewall possède un port fibre SFP et qu'il puisse faire du NAT dynamique ainsi que jouer le rôle de VPN pour 10 utilisateurs.

 

Je pense m'orienter vers celui-là : http://www.ldlc.com/fiche/PB00216695.html
La description indique Pare-feu VPN jusqu'à 5 utilisateurs mais je ne sais pas à quoi ça correspond sachant que j'ai 30 utilisateurs dans mon lan.
Je ne suis pas sûr que ce soit le meilleur choix dans mon cas donc n'hésitez pas à me présenter d'autres modèles si ils peuvent être plus intéressant. J'attends vos avis et conseils.

 


J'en profite pour vous demander des conseils sur le branchement du firewall, sachant que nous avons la fibre le branchement du Routeur FAI vers le firewall sera fait par un cable SFP mais je ne sais pas si je dois utilisé un câble croisée ou droit. Le firewall est-il considérer comme un équipement similaire ou bien différent du routeur et du switch ?


Message édité par ikenzay le 26-06-2017 à 13:38:23
mood
Publicité
Posté le 26-06-2017 à 10:32:09  profilanswer
 

n°147561
schmosy
Posté le 26-06-2017 à 13:28:03  profilanswer
 

Salut
 
ton lien ldlc est mort.
 
Concernant le raccordement, c'est la fibre qui arrive au routeur du FAI, ensuite entre le firewall et ton routeur FAI tu peux brancher du RJ45 (à moins que tu es plus de 1Gbit en débit ce que je doute).
 
Le firewall est similaire à un routeur.

n°147564
ikenzay
Posté le 26-06-2017 à 13:45:42  profilanswer
 

schmosy a écrit :

ton lien ldlc est mort.


Effectivement, j'ai corrigé l'erreur merci.
 

schmosy a écrit :

Concernant le raccordement, c'est la fibre qui arrive au routeur du FAI, ensuite entre le firewall et ton routeur FAI tu peux brancher du RJ45 (à moins que tu es plus de 1Gbit en débit ce que je doute).
 
Le firewall est similaire à un routeur.


Oui je suis loin des 1Gbit du coup le firewall n'a pas besoin de posséder un port fibre et il va falloir que j'utilise un câble croisée entre le Routeur et le firewall.


Message édité par ikenzay le 26-06-2017 à 13:50:02
n°147566
skoizer
tripoux et tête de veau
Posté le 26-06-2017 à 14:26:13  profilanswer
 

firewall  
tu veux juste faire de la protection de port tcp ou quelque chose plus costaud qui puisse faire de la protection de protocole ?
il te faut des utm ou advanced firewall
 
tu as fortigate ou stormshield, mais ces equipements sont complexe.
Si a terme il n'y a pas d'informaticien résident ce n'est pas viable.
sur stormshield tu as la gamme u30s
https://www.stormshield.eu/wp-conte [...] eau-FR.pdf


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°147567
ikenzay
Posté le 26-06-2017 à 14:52:00  profilanswer
 

skoizer a écrit :

tu veux juste faire de la protection de port tcp ou quelque chose plus costaud qui puisse faire de la protection de protocole ?


Je veux pouvoir ouvrir ou fermer des ports TCP et/ou UDP. Mais qu'entendu par quelque chose de plus costaud ? Car la protection de protocole ne me dit rien.

 
skoizer a écrit :

tu as fortigate ou stormshield, mais ces equipements sont complexe.


Sachant que c'est le premier firewall que je met en place il ne faudrait pas que cela se complexifie de trop pour la configuration.


Message édité par ikenzay le 26-06-2017 à 14:55:44
n°147574
dims
if it ain't brocken, mod it !
Posté le 26-06-2017 à 17:46:43  profilanswer
 

celui que tu as sélectionné, ça va être un peu short pour 30 utilisateurs.
vois plutôt un USG60 ou 110.
 
par contre, ce sont des UTM donc largement au dessus de te besoins.
si tu utilises ces fonctions avancées, ça se complexifie nettement niveau configuration

n°147575
dims
if it ain't brocken, mod it !
Posté le 26-06-2017 à 17:58:17  profilanswer
 

faire gaffe aussi chez Zyxel, le nombre de connexion VPN simultané est limité par l'achat de licences ;)
le chiffre indiqué dans les specs est le nombre max, pas le nombre inclus de base.

n°147576
webmail-75​000
Posté le 27-06-2017 à 08:43:39  profilanswer
 

sinon tu as les solution sophos utm
https://www.sophos.com/fr-fr/produc [...] ement.aspx
, que tu peux mettre sur un barebone tels que ceux ci
http://www.qotom.net/goods-129-Q19 [...] ni+PC.html
et qui font le boulot.
 
je ne connais pas le prix de l'utm, mais j'utilise la version "free" à la maison (jusqu'à 50ip) et j'en suis très satisfait !
ça fait aussi endpoint protection/vpn ipsec/ssl/...


---------------
pas grand chose pour le moment  Un jour Dieu a demandé à Goo de parler plus fort...Et depuis Google
n°147577
ikenzay
Posté le 27-06-2017 à 09:37:35  profilanswer
 

dims a écrit :

celui que tu as sélectionné, ça va être un peu short pour 30 utilisateurs.


De quel caractéristique dépend le nombre d'utilisateurs ? J'ai oublié de préciser que nous sommes à 4Mo au niveau du débit et le le reste du réseau est composé de switch en cascades où sont raccordés les postes des utilisateurs.

 
dims a écrit :

par contre, ce sont des UTM donc largement au dessus de te besoins.
si tu utilises ces fonctions avancées, ça se complexifie nettement niveau configuration


Un firewall est dit UTM lorsqu'il rassemble plusieurs fonctions c'est bien ça ?


Message édité par ikenzay le 27-06-2017 à 09:41:36
n°147578
webmail-75​000
Posté le 27-06-2017 à 10:36:19  profilanswer
 

utm = Unified threat management  
donc gestion unifiée des menaces ;)
 
donc oui !


---------------
pas grand chose pour le moment  Un jour Dieu a demandé à Goo de parler plus fort...Et depuis Google
mood
Publicité
Posté le 27-06-2017 à 10:36:19  profilanswer
 

n°147579
dims
if it ain't brocken, mod it !
Posté le 27-06-2017 à 10:46:39  profilanswer
 

ikenzay, c'est le nombre de sessions max du nat dynamique et le nombre de création de session par seconde qui va limiter.
ça dépend de la taille max de la table de routage et donc indirectement de la RAM et du CPU embarqué.

 

j'ai des clients avec des USG100 (ancienne génération, CPU assez lent), c'est limite pour 10.
donc les nouvelles générations plus véloces peuvent etre un modèle en dessous pour 30 ;)

 

attention si tu active tout ce qui est UTM (virus, spam, IDP, ADP etc...) ça consomme fort niveau CPU, et ça ralenti d'autant la navigation

 

/!\ je ne parle nulle part de débit mais de latence = ressenti utilisateur

 

tu peux avoir 10gbps de bande passante, si t'as une latence de 10s, tout le monde dira que ça rame ;)

 

bon la dans ton cas avec 4mbps pour 30 utilisateurs, ça ramera tout le temps :D (surtout avec les connexion VPN qui vont se rajouter)

Message cité 1 fois
Message édité par dims le 27-06-2017 à 10:47:34
n°147580
ikenzay
Posté le 27-06-2017 à 10:53:13  profilanswer
 

@webmail-75000 @dims Très bien , je vous remercie pour vos conseils.

 
dims a écrit :

tu peux avoir 10gbps de bande passante, si t'as une latence de 10s, tout le monde dira que ça rame ;)


Ouais c'est pas dingue, c'est même mauvais je vais surement demander une augmentation. Mais de toute façon la plupart des actions se font en interne donc internet n'est pas trop utilisé à part pour la messagerie.


Message édité par ikenzay le 27-06-2017 à 10:58:21
n°147581
ikenzay
Posté le 27-06-2017 à 11:54:17  profilanswer
 

dims a écrit :

c'est le nombre de sessions max du nat dynamique et le nombre de création de session par seconde qui va limiter.


Juste une petite question pour conclure, prenons l'exemple suivant: http://www.materiel.net/firewall/l [...] 03011.html la description indique
- Utilisateurs : 100
 - Session NAT simultanées (max) : 30 000 sessions

 
Cela signifie que le firewall ne prendra en charge que 25 postes sur le LAN (utilisateurs du VPN compris) ou bien 10 000  :ouch: ?


Message édité par ikenzay le 27-06-2017 à 11:54:50
n°147607
dims
if it ain't brocken, mod it !
Posté le 27-06-2017 à 16:18:10  profilanswer
 

c'est recommandé pour 100 utilisateurs en moyenne pour un usage "normal"
 
30000 sessions, c'est la taille de la table de routage dynamique (NAT sortant)
donc si tu prend 100 utilisateurs, ça fait 300 sessions simultanées max par utilisateur
 
le VPN n'interviens pas la dedans (chaque utilisateur VPN génèrera lui aussi des sessions mais c'est pris en compte dans les 100)
 
le nombre d'utilisateurs c'est le nombre de postes


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Choix firewall (PME)

 

Sujets relatifs
Choix FirewallChoix certificat wildcard SSL - déploiement sur Exchange UAG et Apache
Choix d'un point d'accès Wifi en entreprise?Idée de Firewall
Filtrage trafic entre vlan - solution firewall ou switch de niveau 3Choix Nas 4ou5 Baies - Gros volume de data
Remplacement d’un firewall + switchChoix d'une machine pour installer des machines virtuelles
Choix entre watchguard et sonicwall 
Plus de sujets relatifs à : Choix firewall (PME)



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR