Reprise du message précédent :

Oui pour Palo Alto pas mal de clients.. très bon produit et un véritable filtrage applicatifs. En même temps ce sont les précurseurs depuis bien longtemps pour ce genre de chose. Les autres ne font que copier et sont encore loin derrière. Leur seul bémol le prix d'entrée. Pour les renew çà va c'est correct. Pour gêrer plusieurs Palo Alto je te conseille Panorama en VM. De plus pour le reporting çà sera beaucoup plus rapide pour l'analyse. Si tu as du matos sans fil Aruba tu peux même remonter le reporting des communuications sans fil.
Sinon un bon compromis c'est Watchgard. Le support est excellent et le prix est plus bas.
Pour vraiment différencier un bon FW aujourd'hui c'est de regarder la taille de la base du filtrage applicatifs (Palo Alto est vraiment au dessus).
Sinon je te déconseille les fonctions VPN SSL des FW. (yen a pas de toute façon chez Palo). Autant utiliser plutôt une passerelle SSL dédié (ex Juniper MAG 2600 pas cher et très bon produit).
Voilà pour plus de precisions MP.
Dsl si je suis rester très général..

C'est de moins en moins vrai... Suffit de regarder les Appels d'offre actuelles....Quand on montre au client le reporting et le filtrage applicatif il change vite de vision des choses...

Merci pour ce retour

Global Protect, you're welcome.
Pourquoi éviter ça?

Oui enfin, les appels d'offres c'est le monde des bisounours, on veut du filtrage applicatif avec IPS et reconnaissance des utilisateurs. Le tout en Actif-Actif-Backup. Mais au final, dans beaucoup de secteurs, ça va pas souvent plus loin que le filtrage par port.

Par contre, +1 pour le reporting, il est très bon sur PA.

Sur la gestion des profils et authentifications par exemple... c'est souvent très loin derrière une passerelle SSL dédiée.
Le licencing reviens vite plus cher avec du VPN sur FW. Et dans un environnement avec bcp de connexions VPN çà finira pas baisser les perfs du FW. Autant dédié cette charge à un boitier dédié.
Pour les appels d'offres je suis d'accord avec toi... Mais dans ce cas c'est le prestataire qui ne fait pas correctement son boulot...

quelques mois que j'y suis passé, FG200B pour ~100 users. Je n'utilise déjà pas trop l'UTM mais les perfs c'est un gros mystère. une fois le CPU passe à 99% pour aucune raison, la mémoire grimpe à gogo. besoin de le rebooter toute les semaines. au final ça n'affecte pas trop les perfs réseau, Je sais pas si c'est leur nouveau firmware mais ça fait peur

Chez Palo y'a 2 CPU...

C'est marrant cette vision de Palo Alto la révolution du marché...
C'était vrai quand PA est arrivé en France, et encore plus quand ils ont débuté aux US.
Ca fait bien 2 ans que la concurrence est à niveau. Aujourd'hui, Checkpoint est par exemple très à niveau côté filtrage applicatif, et bien meilleur sur de nombreuses fonctions purement firewall.
Sur la question des performances, y'a pas de mystère : tous les équipements du marché diminuent leurs perfs en activant les fonctions UTM. Regardez les datasheets d'un Fortinet, vous verrez que les perfs annoncées en IPS/AV sont très en dessous des perfs FW. Et les conditions réelles sont tellement difficiles à définir qu'il faut toujours dimensionner avec une marge non négligeable. C'est aussi valable pour CKP, PA ou encore pire Watchguard.
Enfin, pour le débat sur l'appcontrol, effectivement tous les AO le demandent aujourd'hui. Ce n'est pas pour ça que c'est appliqué en production. Et dieu soit loué, car déjà que le filtrage d'URL était chiant à gérer, le filtrage applicatif est encore bien pire (au final, le client l'active sur Facebook, YouTube, et voilà tout).

il y a des fois des gros bugs chez fortinet.
J'ai upgradé le mien la semaine dernière (après avoir vérifié le path bien sur) et je me suis retrouvé avec un cpu à 100% alors que j'utilise peu les fonctions utm.

J'ai eu un Palo en test mode bridge, gros point noir : la lenteur de la console d'admin. Le reste est plutot bien fait, je ne sais pas encore les tests de perf puisque le boitier n'était pas en prod mais si je le choisis je reviendrai vous en faire part.  
Les rapports ont l'air bien pensé aussi ...  
 
Cisco a l'air a la traine, ils viennent de rajouter un module hardware pour l'applicatif sur leur série X, pas très convaincant.
 
Fortinet, bah vous m'avez tous un peu refroidie et j'étais déjà pas très chaude avec les UTM : c'est vous dire le froid glacial !  
 
Reste Checkpoint que je n'ai pas vu, on m'a parlé de licences et de MAJ lourdes à gérer ...  
 
Merci en tout cas pour toutes vos infos, c'est super utile

Pour Palo, je suis d'accord avec toi la console admin est assez lente. Par contre via Panorama plus de soucis.

 
Ayant touché à tous les modèles de PA, je peux affirmer sans soucis que cette gène n'est présente que sur les "petits" modèles (PA-200 voire 500). Cela s'explique par le fait que le PA dispose de deux systèmes séparés: la management et l'opération. Et sur ces petits modèles, la management est un peu délaissée (question de coût sûrement)...  
 
Le fait de passer par un panorama ne change rien, tout dépend du hardware, s'il est en appliance, pas de soucis, par contre en vm, s'il est mal dimensionné, il  y aura toujours des lenteurs.

Merci pour la precision. J'ai la même chose en PA-500. Par contre avec Panorama en VM pas de soucis trouvé pour ma part.

 
Dans la mesure où, effectivement, l'infra est plus proche d'un Bagdad, que d'un Système d'Information
 
Je pense avoir mis les choses dans le bon ordre :
 
- Mise en place d'un gestion de parc
- Mise en place d'un outil de monitoring, mais qui est bloqué par le satané FW...
 
Je suis en cours de finalisation de rédac de mon audit. Et c'est pas joli joli... En tout cas je compte sur ce document, pour faire prendre conscience à ma direction qu'il faut (et faudra) engager des projets de modernisation et de rationalisation de l'infra. D'où ma volonté de mettre en place des matériels "simples" à administrer (UTM, Infra VMWare, Réseau Niveau3...), pour moi, pour un prestataire ou mon futur remplaçant...
 
Mais faut quand même voir que je suis seul pour gérer : le parc, les systèmes, applis, PABX, réseaux (of course), support utilisateurs (rasibus), les contrats...  
Mon principal problème est le temps... et la tranquillité !

Conseil du jour : achète un bonzaï, tu va voir, ça calme et au moins, pas d'informatique a gérer le soir, c't'un très bon loisir

Joli conseil !
 
Ceci dit, le jour (très proche) où ça va merder, ce n'est pas vers mon Bonzaï qu'on va se tourner...
 
Remarque, peut-être qu'à ce moment là, les crédits pour un projet de PRA se débloqueront ???

Couvre toi en signalant par écrit a ton DSI ... Oh wait, pas de DSI ? Ben fait un rapport préliminaire de ton audit fissa et fait le signer a ton patron/rh/DRH/Whatever au dessus de toi comme quoi c'est merdique et que dans l'état actuel des choses tu couvre le plus urgent, qu'un rapport d'audit complet va venir mais que ça risque fortement de merder, avec explication "a la murphy"
 
Edit : et le week end, prend du temps pour toi, un admin stressé fait du boulot de stressé : de la merde.

Fortinet fg200b

Surtout quand la secrétaire blonde du boss t'appelle au 1er petit soucis "ultra urgent car c'est pour le boss", alors qu'il s'agit juste de cliquer sur "Oui" dans une fenêtre.
J'imagine tout à fait la situation là.
 
A défaut d'un bonzai, pour te consacrer du temps pour toi, quitte à éteindre le téléphone portable ou à laisser un gentil message indiquant qu'en dehors des heures de bureau, tu n'es pas joignable. Quitte à devoir inventer un truc pourri du style "j'habite dans un endroit où le portable ne passe pas".

Fortinet FG200B : perso plus jamais, 4 retour sav en deux ans (3xmaster et 1xslave).
 
Je cherche une alternative...

le premier firmware v5.0 de fortinet c'était de la daube. j'ai eu la grosse impression de beta tester le truc pour eux. depuis qu'ils ont release une MAJ ça s'est amélioré.
 
par contre un weekend, coupure de courant. Le FG200B était pas sur onduleur. Lundi matin. patatrac plus de réseau. le bazar ne bootait même plus.
il a fallu booter sur le firmware de secours, reset usine, et remettre la conf
 

depuis les crédits pour un onduleur vont se débloquer....  

Nous avons le forti depuis 1 mois, on a eu un soucis de conf sur le portail captif...une modification dans css/html pour afficher notre message et pouf, plus accès à la conf du portail captif. Up de la conf sauvegardé auparavant et c'était tout bon.
 
Sinon, pas de problème pour l'instant.
 
@daprod : c'était quoi vos soucis ?

Erreur de lecture/écriture sur la compact flash.
 
Conséquence interface administration qui ne répond plus, problème de communication entre les deux firewall. Solution arrêter le fw et retour sav.

Les 4 retours ?! J'espère qu'ils ont changé leur cf depuis

oui les 4

Bonjour,
 
Personnellement j'ai 2 Fortigate 80C et c'est l'enfer...
 
J'en suis à 3 retours SAV avec 3 fois le disque flash en cause...
I/o error , perte de conf, boot qui ne se fait pas, latence inter site horrible, time out...
 
D'après les retours que j'ai eu chez différentes boites ce serait la gamme de firm le problème 4.0 MR3, la MR2 parait plus stable...
Ils conseillent également de délocaliser les logs...
 
Si quelqu'un a une suggestion d'un matoss équivalent à ce 80C je suis preneur...  (need : 4 tunnels inter sites, 25 user ssl vpn, monitoring application, traffic shaping, antivirus, anti spam...)

Un WatchGuard XTM 525.

Intéressant, j'ai aussi du Fortigate et j'ai quand même eu aussi pas mal de soucis avec mais jamais avec le disque Flash (60C, 50B et 30B) et nos problèmes étaient soit matériels (2 chargeurs morts) ou de performances du hardware (soit firmware trop évolué donc downgrade de celui-ci soit sur d'autre il faut "simplement" rebooter le FW pour qu'il se sente mieux)...

ça à l'air un syndrome assez fréquent chez Forti...
je comprend pas qu'il soit biens réputés car j'ai l'impression qu'il y a pas mal de problèmes.

 
On a du palo 2000 et 4000 ici, ben c'est vraiment super lent, que ce soit en se connectant directement sur le boîtier ou par panorama. Ca peut prendre plus de 10 minutes pour "comiter" une simple règle firewall, perso je trouve pas ça très utilisable, heureusement que j'ai pas à faire des modifs dessus tous les jours.  
Après oui le filtrage applicatif est un argument, on peut pas lui enlever ça (ceci dit je n'ai pas testé de solution concurrente), même si c'est aussi plus galère à débugger.
 

 
on a des dizaines de fortigates ici (principalement du 60c et 80c, mais aussi 110, 320, 620...), très peu de problème globalement.

Le dernier gartner sur la question :

 
Checkpoint régulièrement bien placé...

Palo, ou l'effet de mode des dsi ...

 
 
Ils sont bien réputé sur le haut de gamme mais sur l'entrée de gamme c'est autre chose visiblement...
car d'après mes contacts revendeurs Fortinet je suis loin d'être le seul à remonter des soucis de disques sur ces modèles.

 
 
 
 
 
 
 
 
Je suis très intéressé par vos config "stable" des 60 et 80C, quel firmware utilisez vous ? Depuis quand les avez vous ?  
Je suspecte un lot de disque défectueux, peut être avez vous été épargné...?

on est en 4.0 MR2 pour la plupart, en parc depuis 2 ans.

haha no comment, 10 min pour commit sur un 4000 ? proof or it didn't happen ...
En tout cas, une règle qui s'applique à tous les constructeurs, ne pas mettre les dernières versions ... sauf si on aime le statut de beta testeur

Bon ! On avance !!!
Je sors d'un présentation des produits StoneSoft. Et ça me parait pas mal du tout, à première vue évidemment... Reste à savoir le prix !
 
Après, j'ai quasiment fini mon audit, ce qui va me permettre de poser le cadre de mes actions futures (si actions futures il y a...).
 
Sinon, pour sortir de la partie FW, j'ai aussi eu une présentation de la solution de sauvegarde Arkeia. Pas mal aussi.
Des expériences là dessus ?