Un FW next-gen ne doit plus s'administrer en cli ^^ c'était avant ça, je vois mal du debug de patern d'attaque sur du malware and Cie via Le cli. La webui la mieux aboutie reste pour ce genre de chose Palo-Alto lorsque l'on se connecte directement sur le FW
Fortinet pousse tout sur le fortimanager ( management centralisé ) ou tu peux vraiment commencer à avoir des fonctionnalités intéressantes sur tout ce qui est analytic / correlation and Cie. Le hic, Les licences. L'intérêt de Fortinet mis à par l'asic c'est les vdom, mais Avec Le fortimanager, dont Le model de licence est au nombre de firewall( dans la price-list ) , et bien en fait il considère chaque vdom comme un firewall. Donc cette licence , devient a un moment un vrai frein au management centralisé et a tout ce qui est corrélation . Chez Palo-Alto, c'est panorama , Le modèle de licence est identique ( de mémoire ) Chez Juniper, c'est pareil Avec security director. Le cli Le plus abouti reste Juniper sur srx mais pour faire les règles et comprendre la logique des fois Ben ... t'as juste envie de prendre le dev de la webui et lui faire manger son clavier ( tout en en lui faisant des lowkick ) Le meilleur rapport prix/perf reste Fortinet si tu n'utilise pas toutes les fonctions UTM. Des que tu rajoutes les fonctions de filtrages appli Arif, tu fais un bon /10 sur les perfs ( validé Avec un injecteur de traffic L4-L7 ) Palo Alto, c'est super si tu as décidé de vendre un rein et de faire une hypothèque sur ta maison :) Apres, il y'a Cisco ... non en fait non y a pas Cisco ^^ J'ai les 3 en prod ( et même du sophos qui traîne pour du lab ) pour des usages bien spécifiques mais des que tu demandes de faire le job de l'autre fireWall ben , tu fais tomber en marche et des fois pas naturellement ^^ J'ai même migré mon bureau @home sur un F60E Avec le full utm, apres 15 jours j'ai commencé à virer des règles et des fonctions UTM alors que sur du sophos ça juste marchait mais avec des perfs ridicules. Des fois les forti, il faut rebooter pour que ça refonctionne ( quand tu as l'utm car sans c'est relativement stable ) Envoyé de mon iPhone > Le 23 août 2017 à 23:35, Gaëtan Ferez <gaetan.fe...@neuf.fr> a écrit : > > Bonjour, > > On a cluster N2 de FG100D avec 2 VDOM (nécessité lié à du routage asymétrique > historique). Ca bronche pas d’un poil. > > On a la formule AV/IPS qui reste assez efficace sur les différents tests que > l’on a essayé. > > Le WebUI est bien pratique mais la puissance du fw reste dans la CLI qui > permet d’être très très pointilleux. > Côté log, ca reste exploitable mais c’est vite compliqué si l’on veut faire > de l’analyse poussé. > > Gaëtan > > >> Le 23 août 2017 à 19:32, tcccorp <tccc...@gmail.com> a écrit : >> >> Bonjour , >> >> >> J'ai un 60d wifi à la maison et c'est franchement bien pour mon besoin . >> C'est très complet >> >> Néanmoins j'ai quelques petites remarques : >> >> - pas d asic ou puces d'accélération, le cpu monte vite surtout en webui. >> - dans cette version , pas de disque non plus , donc c'est très limité >> pour les logs, il faut passer par un syslog ou un forti anlyser. >> - les modifications sont prises en direct dès validation contrairement à >> pfsense ou l'on peut modifier autant de chose que l'on veut et appliquer à >> un moment choisi >> - la licence est incluse , en général, la première année, mais après ca >> coûte assez cher ( je trouve ) . Bien sur ça couvre beaucoup de choses >> comme la partie ids, av, ... ainsi que l'upgrade soft. Du coup si l os >> est troué vous avez intérêt à avoir une maintenance >> - si vous voulez changer de version, regardez bien les différentes étapes >> à respecter sous peine de perdre votre boîtier ( c'est pas propre à forti >> 😀) >> - en ce qui me concerne, je trouve que le wifi n'est pas très bon . J'ai >> du mettre un AP annexe pour corriger ça >> >> J'aime bien aussi pfsense (ou le fork opnsense). Avec un petit pc , ça >> se monte assez vite et tout est dispo en Webui si vous êtes allergiques au >> cli . >> >> Au niveau consommation, je pense qu un 60d consomme moins qu un pc . >> >> >> Je parle bien de petite structure..après si on monte en gamme , avec un >> fortimanager , un fortianalyser, un 1500d , avec des interfaces 10g , >> c'est une autre histoire >> >> >> >> Le 23 août 2017 17:58, "David Ponzone" <david.ponz...@gmail.com> a écrit : >> >>> Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu >>> ajouter un VDOM pour un client avec un VPN MPLS, avec du NAT sur >>> l'interface virtuelle entre le VDOM du client et le VDOM root, sans même >>> lire la doc. >>> C'est assez bluffant de simplicité. >>> Ca se corse juste un peu sur la partie logging/reporting qui manque de >>> clarté je trouve. >>> >>> David Ponzone >>> >>> >>> >>>> Le 23 août 2017 à 21:25, B Manu <bmanu...@gmail.com> a écrit : >>>> >>>> oui j'ai vu fortinet, >>>> est ce que quelqu'un a deja utilise la solution virtual domain sur >>> fortinet >>>> je sais que palo alto network a le meme change de fonction >>>> avoir plusieurs firewall sous un seul bati >>>> >>>>> Le 23 août 2017 à 15:17, B Manu <bmanu...@gmail.com> a écrit : >>>>> >>>>> Bonjour, >>>>> >>>>> je deploie chez mes clients du soniwall >>>>> pour le budget je recherche une bonne solution (sans emmerde) enfin >>>>> j'espere >>>>> j'ai de la place pour le hardware il me faudrait multi tenant >>>>> virtualisation pas de soucis j'ai la structure >>>>> >>>>>> Le 23 août 2017 à 15:06, Nathan TUTARD <nathan33...@live.fr> a écrit : >>>>>> >>>>>> Bonjour, >>>>>> >>>>>> ça dépend de beaucoup de chose : >>>>>> >>>>>> - as-tu des expériences avec les firewalls si oui quels systeme ? >>>>>> >>>>>> - Quel est ton budget ? >>>>>> >>>>>> - As-tu de la place physiquement ? >>>>>> >>>>>> - As-tu de la capacité de virtualisation? >>>>>> >>>>>> >>>>>> Dans le cas de solution virtu je te suggère pfsense qui selon moi est >>> un >>>>>> des meilleurs firewall soft en virtu qui est aussi capable que les >>> payants >>>>>> mais en opensource. >>>>>> >>>>>> Dans le cas de solution physique comme j'ai pour les sites distants >>>>>> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que >>> bas >>>>>> dans la gamme ya des bugs ... :/ >>>>>> >>>>>> >>>>>> n'hésites pas à revenir vers la liste 😊 >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> *TUTARD Nathan * >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> *Master 2 Réseau et télécommunication à l'université Pierre et Marie >>>>>> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur >>> DIFFE >>>>>> et BAFA* >>>>>> nathan33...@live.fr, 07.60.08.58.60 >>>>>> >>>>>> >>>>>> ------------------------------ >>>>>> *De :* frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part >>> de B >>>>>> Manu <bmanu...@gmail.com> >>>>>> *Envoyé :* mercredi 23 août 2017 14:53 >>>>>> *À :* Frnog-tech >>>>>> *Objet :* [FRnOG] [TECH] firewall >>>>>> >>>>>> Bonjour, >>>>>> >>>>>> je suis entrain de rechercher une solution de firewall(hardware ou >>>>>> virtuel) >>>>>> pour proposer >>>>>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS >>>>>> la solution serai heberge dans DC >>>>>> >>>>>> quel solution pouvez-vous me conseille ou deconseiller >>>>>> ou votre retour d'experience >>>>>> >>>>>> Merci d'avance. >>>>>> >>>>>> Cordialement, >>>>>> >>>>>> manu >>>>>> >>>>>> --------------------------- >>>>>> Liste de diffusion du FRnOG >>>>>> http://www.frnog.org/ >>>>>> >>>>> >>>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
