@job[$] on place du Watchguard.

Les boîtiers (ou appliances virtuelles) sont dimensionnées pour +/- n utilisateurs et sont perf avec toutes les briques de sécu activées.
HA possible (actif/actif ou actif/passif) avec deux boîtiers, VPN (Site à site et client), IDS et IPS également.
Ca peut NATer dans à peu près tous les sens
Filtrage web par catégorie/applications, spamblocker, antivirus, module antiransomware (TDR).
Multiwan (RR, failover, RFC2992, etc.).

Côté administration, il y a l'historique client lourd mais également une bonne interface web.
Les mises à jour sont ultra simplistes via le client lourd et web, et gère le HA ou non.

Gestion centralisée des logs de plusieurs boîtiers dans l'appliance virtuelle Dimension.

(Les boîtiers font offices de contrôleurs Wifi avec les bornes du même constructeur)

Très peu de bug, le support est super réactif et prend la main sur les boîtiers pour le diag.

Le 11 mars 2018 à 15:19, Guillaume Barrot <guillaume.barrot@gmail.com> a écrit :
Hello

Voilà ce que l'on va pousser chez les clients, avec les raisons :

# mode intégrateur

Le client sait pas trop ce qu'il veut faire, mais veut acheter sur catalogue (= fournisseur ayant pignon sur rue, support, etc) => Fortinet
Ca fait à peu près tout, c'est plutot stable, il y a toujours des petits bugs, mais rien de bien bloquant,il faut juste savoir qu'on va upgrader assez souvent, et downgrader de temps en temps aussi.
Niveau prix, c'est aggressif.
Gestion centralisée pas mal.

Le client veut acheter sur catalogue mais a des vrais existences de sécurité (= il sait de quoi il parle, il a un vrai SOC, ou il a des flux pas marrants genre Citrix) => Palo Alto
C'est ultra complet, ça sait venir chercher des poux à Checkpoint dans le milieu bancaire, mais c'est très limité en perf vs Fortinet à cause d'une approche FPGA.
Ca coute une couille, mais ça les vaut.
Gestion centralisée au top (+ API complète et stable, ça fait plaisir)

En entrée de Datacenter on a aussi F5, qui a maintenant un module de Firewalling complet.
En fonction de la stratégie du client, ça peut faire sens (prix élevé, gestion centralisée pas trop mal)
Plutot par opportunité : si y a déjà du F5 et qu'il est pas au taquet, autant conseiller au client de racheter juste la licence qui va bien. 

# mode service provider

Le client achete un service de firewalling, mais franchement, il se fout de savoir ce qu'on va y coller ? Par contre il veut bien un petit bout d'interface graphique.
La perf reste inférieure à 10G.
PFSense, OPNSense, IPfire en VM (pour pas avoir à s'emmerder avec les drivers des cartes Intels, Mellanox, ou Broadcom). 

# autres

SonicWall : depuis que Dell a revendu, on a plus de visu sur la pérennité de la boite. 
Stormshield : je partage la vision de Xavier, ça a été bien, puis c'est devenu une filiale officieuse d'Orange. A conserver uniquement quand le client est un OIV relou, genre Mindef. 

My 2 cents,

Le 11 mars 2018 à 08:38, Olivier Le Cam <olc@glou.fr> a écrit :
Hello,

Le 10/03/2018 à 16:18, Xavier Beaudouin a écrit :
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces
emmerdes ne seront même pas une réalité et le temps de mettre en place un truc
intelligent serait beaucoup plus court...

Sans compter que pfSense tient largement la charge sur des équipements standards d'entrée de gamme. Le système actif/passif est hyper solide pour avoir une solution redondante.

En revanche, la gestion en DC peut devenir un peu "lourdingue" au fur et à mesure que le nombre de zones augmente. Je ne sais pas pour les autres solutions opensource mais c'est pour moi le seul point faible qui m'a encouragé à me tourner vers du proprio.

--
Olivier


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/



--
Cordialement,

Guillaume BARROT

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/



--
Ludovic SCOTTI