HelloVoilà ce que l'on va pousser chez les clients, avec les raisons :# mode intégrateurLe client sait pas trop ce qu'il veut faire, mais veut acheter sur catalogue (= fournisseur ayant pignon sur rue, support, etc) => FortinetCa fait à peu près tout, c'est plutot stable, il y a toujours des petits bugs, mais rien de bien bloquant,il faut juste savoir qu'on va upgrader assez souvent, et downgrader de temps en temps aussi.Niveau prix, c'est aggressif.Gestion centralisée pas mal.Le client veut acheter sur catalogue mais a des vrais existences de sécurité (= il sait de quoi il parle, il a un vrai SOC, ou il a des flux pas marrants genre Citrix) => Palo AltoC'est ultra complet, ça sait venir chercher des poux à Checkpoint dans le milieu bancaire, mais c'est très limité en perf vs Fortinet à cause d'une approche FPGA.Ca coute une couille, mais ça les vaut.Gestion centralisée au top (+ API complète et stable, ça fait plaisir)En entrée de Datacenter on a aussi F5, qui a maintenant un module de Firewalling complet.En fonction de la stratégie du client, ça peut faire sens (prix élevé, gestion centralisée pas trop mal)Plutot par opportunité : si y a déjà du F5 et qu'il est pas au taquet, autant conseiller au client de racheter juste la licence qui va bien.# mode service providerLe client achete un service de firewalling, mais franchement, il se fout de savoir ce qu'on va y coller ? Par contre il veut bien un petit bout d'interface graphique.La perf reste inférieure à 10G.PFSense, OPNSense, IPfire en VM (pour pas avoir à s'emmerder avec les drivers des cartes Intels, Mellanox, ou Broadcom).# autresSonicWall : depuis que Dell a revendu, on a plus de visu sur la pérennité de la boite.Stormshield : je partage la vision de Xavier, ça a été bien, puis c'est devenu une filiale officieuse d'Orange. A conserver uniquement quand le client est un OIV relou, genre Mindef.My 2 cents,--Le 11 mars 2018 à 08:38, Olivier Le Cam <olc@glou.fr> a écrit :Hello,
Le 10/03/2018 à 16:18, Xavier Beaudouin a écrit :
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces
emmerdes ne seront même pas une réalité et le temps de mettre en place un truc
intelligent serait beaucoup plus court...
Sans compter que pfSense tient largement la charge sur des équipements standards d'entrée de gamme. Le système actif/passif est hyper solide pour avoir une solution redondante.
En revanche, la gestion en DC peut devenir un peu "lourdingue" au fur et à mesure que le nombre de zones augmente. Je ne sais pas pour les autres solutions opensource mais c'est pour moi le seul point faible qui m'a encouragé à me tourner vers du proprio.
--
OlivierCordialement,
Guillaume BARROT
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/