Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2487 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  [PME 50 personnes]Firewall qui fait tout ?

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

[PME 50 personnes]Firewall qui fait tout ?

n°163807
gasimoto
Posté le 28-06-2019 à 10:26:50  profilanswer
 

Bonjour à tous,
 
j'étudie l’infrastructure de nos futurs locaux car pour l'instant nous sommes dans un hôtel d'entreprises.
 
Nous serons 50 collaborateurs avec une box internet fibre, un réseau gigabit, un active directory et des besoins d’accès VPN pour des collaborateurs en télétravail.
 
Je cherche un firewall adapté à notre taille et qui ferait un maximum de boulot. C'est à dire DHCP, VPN SSL (pour que les collaborateurs aient juste un navigateur à utiliser), Proxy et bloquer les intrusions.
 
J'ai vu quelques modèles pour un budget de 1000€ HT : FortiGate 90E, Firewall pfSense® XG-7100 et ZyXEL USG210.
 
J'ai peur que le le pfSense soit un peu trop complexe à configurer et sans support français.
 
Auriez-vous un avis sur la question ?
 
Merci d'avance
Cordialement

mood
Publicité
Posté le 28-06-2019 à 10:26:50  profilanswer
 

n°163808
antoincy
Posté le 28-06-2019 à 10:36:12  profilanswer
 

pour ton cas, je prendrais ça : https://www.wifi-france.com/ubiquiti/edgerouter-pro-8 pour gérer toute la partie firewall/DPI/DHCP
 
pour ton VPN tu peux monter un serveur L2TP IPSec sur ce EdgeRouter. Infos https://help.ubnt.com/hc/en-us/arti [...] VPN-Server mais ce sera pas 'juste avec un navigateur'

n°163811
gasimoto
Posté le 28-06-2019 à 11:11:04  profilanswer
 

Merci je vais regarder ce que ça vaut. Il ne semble pas faire Proxy
 
Dommage pour le VPN, j'aimerais ne pas avoir à gérer la config des postes que je ne vois plus une fois fourni au collaborateur
 
Et j'ai oublié de préciser que le top serait de lier l'Active Directory au VPN pour n'avoir qu'un seul compte


Message édité par gasimoto le 28-06-2019 à 11:14:07
n°163813
HPIR40
Posté le 28-06-2019 à 11:33:38  profilanswer
 

Pour
 
Gestion VPN, les protections intrusion, liaison AD, etc (la liste est longue)...
 
Il faut partir sur des UTM type stormshield, watchguard, sophos, palo alto etc, mais le budget n'est plus du tout le même.

n°163814
gasimoto
Posté le 28-06-2019 à 11:37:34  profilanswer
 

C'est pour ça que j'avais mis dans ma liste le ZyXEL et le Fortinet. Ils sont UTM et le tarif reste raisonnable
 
A priori un FortiGate se lie à un AD : https://paretape.com/vpn-ssl-fortigate-5-4/

n°163815
antoincy
Posté le 28-06-2019 à 11:37:40  profilanswer
 

HPIR40 a écrit :

Pour
 
Gestion VPN, les protections intrusion, liaison AD, etc (la liste est longue)...
 
Il faut partir sur des UTM type stormshield, watchguard, sophos, palo alto etc, mais le budget n'est plus du tout le même.


+1 voilà le pourquoi de ma proposition.
après ce n’est pas un UTM, qui te permettra aussi de tracer l’activité. Mais pour moi, on ne mélange pas proxy et routeur/FW.


Message édité par antoincy le 28-06-2019 à 11:37:53
n°163816
gasimoto
Posté le 28-06-2019 à 11:45:04  profilanswer
 

Un UTM ne permet pas de tracer l'activité ?
Pour la partie proxy, tu verrais quoi comme solution/matériel ?

n°163817
HPIR40
Posté le 28-06-2019 à 11:56:42  profilanswer
 

Bien sur qu'il trace tout

n°163818
antoincy
Posté le 28-06-2019 à 12:07:28  profilanswer
 

on s’est mal compris, le EGDEROUTER n’est pas un UTM.

n°163819
gasimoto
Posté le 28-06-2019 à 12:07:40  profilanswer
 

ça me rassure
 
ZyXEL en série USG se connecte aussi aux AD. Vous pensez quoi de cette marque ?

mood
Publicité
Posté le 28-06-2019 à 12:07:40  profilanswer
 

n°163821
ShonGail
En phase de calmitude ...
Posté le 28-06-2019 à 14:17:35  profilanswer
 

Le Fortigate fait ce que tu demandes.

n°163822
gasimoto
Posté le 28-06-2019 à 14:28:23  profilanswer
 

Merci.  
 
J'étais parti sur la version FortiGate 90E à 929€ HT sur firewallshop mais le prix est complètement différent ailleurs.  
 
D'après un revendeur certifié FORTINET les produits disponibles sur firewallshop sont des
produits qui ne proviennent pas du marché français. Donc pas possible de
mettre des licences et de les renouveler.
 

n°163824
HPIR40
Posté le 28-06-2019 à 19:20:25  profilanswer
 
n°163832
doudoufr
Posté le 29-06-2019 à 17:48:38  profilanswer
 

untangle (www.untangle.com) fait tout ca, et depuis la version 14.2, tu dois pouvoir le connecter a AD (meme azure AD)
 
L'avantage c'est qu'il peut s'installer sur ta propre machine.
L'inconvénient, c'est qu'il est peu distribué chez nous. Du coup, support en anglais, et avec 6/8h de décalage (ils sont sur la cote ouest des US).
 

n°163846
gasimoto
Posté le 01-07-2019 à 09:43:02  profilanswer
 

Merci mais je cherche une solution packagée dans un boitier dédié  
 
Et pour les ZyXEL ? Personne ne connait ?
 

n°163896
cotorep
Posté le 02-07-2019 à 22:44:12  profilanswer
 
n°163903
gasimoto
Posté le 03-07-2019 à 08:56:57  profilanswer
 

Malheureusement il n'accepte que 2 connexions VPN et 1 connexion supplémentaire coûte 60€ (https://www.netwalkerstore.com/global-vpn-client-sonicwall-licence-1-utilisateur-c2x9625823)

n°163921
keep3r
Posté le 03-07-2019 à 13:34:59  profilanswer
 

un pfsense ? y a suffisament de matos ad hoc pour le poser et ça fait tout ce que tu veux : vpn/dhcp/dns/proxy

n°163922
gasimoto
Posté le 03-07-2019 à 13:40:04  profilanswer
 

J'avais pensé au pfSense® XG-7100 mais il n'y a pas de support français et l'interface de la config n'a pas l'air très conviale

n°163923
keep3r
Posté le 03-07-2019 à 14:24:54  profilanswer
 

support français et IT .... après oui, si c'est un critère, bonne chance.
Pour l'interface je la trouve impec et relativement simple

n°163930
gasimoto
Posté le 03-07-2019 à 16:17:23  profilanswer
 

Sinon ça à l'air bien puissant pour le prix
 
Par contre, pas de VPN SSL...

n°163936
Lone Morge​n
Posté le 03-07-2019 à 18:03:03  profilanswer
 

Watchguard ?

n°163938
dolantrunk
Posté le 03-07-2019 à 21:45:39  profilanswer
 

De mon côté j'utilise la solution Watchguard, superbe solution extrêment stable et simple à mettre en place.
Firewall, VPN SSL et DHCP tout ce qui faut pour toi :)

n°163944
gasimoto
Posté le 04-07-2019 à 02:37:42  profilanswer
 

Effectivement on m'en a dit du bien mais les prix s'envolent surtout avec les licences (M270 1100€ sur achatpc et 7800€ chez inmac) . Vous utilisez quelle version ?

Message cité 1 fois
Message édité par gasimoto le 04-07-2019 à 02:43:34
n°163946
skoizer
tripoux et tête de veau
Posté le 04-07-2019 à 09:00:32  profilanswer
 

si tu regarde le magic quadrant 2019, FORTINET est bien placé.
Fortinet ont beaucoup de sondes IPS (Intrusion Prevention System )
Pour administrer toutes les solutions que nous avons cité.  
il faut :
-Avoir un support avec l'editeur (pour bénéficier des maj et nouvelle fonctionnalité) $$$
-Passer du temps pour le paramétrer, exemple faire des régles pour enlever les faux positifs, créé les régles de firewall etc..
- régulièrement le mettre a jours.
-Regarder les log.
Il faut une formation, ou alors un support étendu avec une société agréé tierce. (Axians, spie etc...) qui se chargera de cela.
 
 
 
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°163947
gasimoto
Posté le 04-07-2019 à 09:28:52  profilanswer
 

C'est bon à savoir
Le support effectivement c'est $$$, je ne suis pas sur que ça passe auprès de la direction (surtout quand le suport dépasse le cout du matériel)
Après le temps je le possède car c'est ma fonction
Par contre, la formation ça peut être un plus

n°163956
HPIR40
Posté le 04-07-2019 à 14:40:05  profilanswer
 

dolantrunk a écrit :

De mon côté j'utilise la solution Watchguard, superbe solution extrêment stable et simple à mettre en place.
Firewall, VPN SSL et DHCP tout ce qui faut pour toi :)

 

+1000  :jap:

 
gasimoto a écrit :

Effectivement on m'en a dit du bien mais les prix s'envolent surtout avec les licences (M270 1100€ sur achatpc et 7800€ chez inmac) . Vous utilisez quelle version ?

 

Pour les UTM il ne faut pas aller chercher sur les plateformes de vente en ligne qui te vendent que de la boite en carton à prix d'or.

 

Contacte un revendeur informatique de ta région qui vend le matériel et prend rdv avec lui.

 

Un UTM efficace c'est un UTM bien configuré (et non configuré à l'arrache) et sur lequel tu peux prendre la main via une mini formation et avoir du support si besoin est.

 

Maintenant il faut être conscient que la sécurité informatique à un coût non négligeable (les attaques deviennent aussi de plus en plus élaborées), mais d'un autre coté c'est le coeur et le cerveau de toutes entreprises.

 

Demain, si ton réseau et les données de l'entreprise sont downs ou corrompus, ou mises à disposition de n'importe qui,etc... quel est le coût de ce désastre?

 

C'est ce qu'il faut regarder en premier et mettre en concurrence avec le coût de cette fameuse sécurité.

 

Une boite de 50 personnes qui dit: tu as 1000€ pour nous protéger, c'est déjà une boite qui ne s'est pas posée les bonnes questions, n'a pas vraiment évaluée les risques et considère que la protection de ses données n'est pas une priorité.


Message édité par HPIR40 le 04-07-2019 à 14:45:48
n°163958
gasimoto
Posté le 04-07-2019 à 15:37:42  profilanswer
 

ça me rassure un peu, je vais m'orienter vers des revendeurs
 
Du coup, les firewall classiques sont tous obsolètes pour assurer une sécurité optimale (style PfSense) ?
 
A la louche c'est combien le budget à attribuer à une entreprise de 50 personnes point de vue routeur/firewall ?

n°163965
HPIR40
Posté le 05-07-2019 à 10:10:23  profilanswer
 

PFsense n'est pas à la rue, c'est une des references opensource, par contre il faut sacrement mettre les mains dans le cambouis pour le configurer d'une manière optimale et le maintenir à jour.

 

Pour ceux que je connais, les watchguards, à la mise en place il faut compter entre 2000 et 3000€ (suivant les modèles T35 ou T55) avec les licences à jour pendant 3 ans. A cela il faut ajouter la prestation de configuration et la formation.

 

A cela il faut ajouter une petite VM sur un serveur avec un disque de 300 à 500Go pour recevoir et stocker les logs, surveiller le systeme etc...

 

Pas la peine de prendre la version avec wifi qui est plus cher. Si tu veux distribuer du wifi, tu connecte un PA sur une des prises du watchguard et tu peux mettre en place du wifi en portail captif.


Message édité par HPIR40 le 05-07-2019 à 10:18:21
n°163968
gasimoto
Posté le 05-07-2019 à 10:48:10  profilanswer
 

C'est bien ce que je craignais pour pfSense
 
Le T55 semble intéressant. Par contre, le jour où on aura une fibre à 1Gb il risque de brider la connexion ?
 
Je ne pensais pas que les logs serait si gros (encore une bonne chose à savoir, merci). Je pensai consulter les logs en direct dessus avec un navigateur web
 
Pour le wifi, je pensai aussi prendre des PA ailleurs (Cisco Aironet 1815). Intéressant le portail captif

n°163969
HPIR40
Posté le 05-07-2019 à 11:31:15  profilanswer
 

Ben à ce moment il sera temps de la changer et donc de prendre un modele plus gros ;)
 
Les logs sont gros car il écrit absolument tout.
 
Après tout se consulte via watchguard dimension qui est une appli via interface web
 
https://www.watchguard.com/docs/dat [...] ion_ds.pdf
 
https://www.youtube.com/watch?v=Poggzbr-Y6w

Message cité 1 fois
Message édité par HPIR40 le 05-07-2019 à 11:34:20
n°163970
Micko77666
Posté le 05-07-2019 à 11:44:18  profilanswer
 


Je partirai sur les Fortigate perso c'est vraiment top !

n°163972
gasimoto
Posté le 05-07-2019 à 13:44:09  profilanswer
 

HPIR40 a écrit :

Ben à ce moment il sera temps de la changer et donc de prendre un modele plus gros ;)
 
Les logs sont gros car il écrit absolument tout.
 
Après tout se consulte via watchguard dimension qui est une appli via interface web
 
https://www.watchguard.com/docs/dat [...] ion_ds.pdf
 
https://www.youtube.com/watch?v=Poggzbr-Y6w


 
Un partenaire Platinum WatchGuard vient me faire une présentation mardi, j'en saurai plus sur les tarifs

n°163973
gasimoto
Posté le 05-07-2019 à 13:45:07  profilanswer
 

Micko77666 a écrit :


Je partirai sur les Fortigate perso c'est vraiment top !


Tu possèdes quel modèle ? Tu commande ça chez qui ? Tu prends les licences ?

n°163974
Micko77666
Posté le 05-07-2019 à 14:02:52  profilanswer
 


Chez nous, nous avons du 60 DSL, 90D et E, 100D et 101E.
 
Sinon je prends ça chez mon fournisseur habituel (Misco/Inmac) et pour les licences j'ai pris de base car j'ai d'autres produit pour la partie antivirus etc...
 
Mais j'adore l'interface et la simplicité des boitiers, et en plus ça fait controleur wifi (j'ai 32 bornes Fortinet aussi gérer par mon cluster 100D).

n°163975
gasimoto
Posté le 05-07-2019 à 14:07:54  profilanswer
 

Tu es bien équipé !!
 
Les licences de base sont tout de même payante ?
 
Je cherche quelque chose de simple justement. 32 Bornes !! ça commence à causer

n°163976
Micko77666
Posté le 05-07-2019 à 14:27:52  profilanswer
 


Non les licences de bases sont gratuites (de base il fait juste firewall, controleur et VPN).
 
Par contre tu dois rajouter des licences supplémentaires pour avoir plus de x utilisateurs en vpn en simultanés (je me souviens plus du nombre de base).
 
Franchement le 90D est très bien, tu as aussi des broker (firewall shop) qui ont des offres mais avec un support assuré par eux et non par Fortigate (j'ai pris le cluster 100D via eux)

n°163977
ShonGail
En phase de calmitude ...
Posté le 05-07-2019 à 14:29:59  profilanswer
 

Sur les fortigate, pas besoin de licences pour les VPN SSL ou IPSEC.
Les licences c'est pour les fonctions avancées des forticlient.

n°163987
Micko77666
Posté le 05-07-2019 à 15:17:41  profilanswer
 


Si pour SSL tu en as besoin selon le nombre de users de souvenir. De base tu peux, mais tu es limité en quantité.

n°163990
gasimoto
Posté le 05-07-2019 à 15:31:19  profilanswer
 

Il me semble également que la licence limite le nombre d'utilisateurs en SSL
 
Merci pour ton avis sur "firewall shop" car les prix sont abattables
 
Par contre les perfs en SSL font peur avec le 90D : 35 Mbps

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  [PME 50 personnes]Firewall qui fait tout ?

 

Sujets relatifs
Création Système Informatique petite PMEarchitecture firewall nginx double firewall
Client de messagerie pour PMELigne OVH / Firewall PFSense : connexion PPPoE
Propositions de solutions emails pour PME 40 utilisateursInfrastructure pour PME
Dimensionnement Firewall Appliance VirtuelleFirewall SSG5 avec serveur Web perso placé en Dmz
Besoin d'aide sur le firewall OPNsense pour un réglage 
Plus de sujets relatifs à : [PME 50 personnes]Firewall qui fait tout ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR