Bonjour, Tout dépends du besoin (filtrage, sécurisation, etc) et je pense qu'il faudrait plutôt partir de l'approche de la sécurité à mettre en oeuvre afin de déterminer la meilleure stratégie.
Cependant quelques points de reflexion par rapport à mon expérience: Un FW Checkpoint n'est pas indépendant d'une station de management, certes le management est très bien fait mais cela nécessite donc une VM ou un serveur dédié pour gérer le FW s'il n'y a pas d'autre équipement dans la boucle cela amène un surcoût non négligeable tant en terme OPEX que CAPEX. Si on se positionne d'un point de vue Sécurité et surtout des points de vue gouvernement Français, le Stormshield est assez répandu car c'est un des rares sinon le seul qui est validé au plus haut niveau de sécurité par l'ANSSI, c'est un peu le couteau suisse et plutôt bien ficelé, toutefois on peut être dérouté par rapport aux méthodes de configuration de l'outil. En dernier lieu et ce serait ma recommendation, le PaloAlto un PA-850 fera très bien l'affaire (4*1Gbps Cuivre + 4 SFP + 2*10Gbps SFP+) compte tenu des besoins même si la fonction proxy peut paraître un point limitatif, mais il ne nécessite pas de console centralisée, (on pourra l'ajouter ensuite) et si on pars ensuite dans un mode sécurité unifiée on pourra utiliser des solutions telles que TRAPS, WildFire afin de garantir l'ensemble des aspects de sécurité de manière unifiée au niveau du poste de travail. Tu peux me contacter en MP pour en parler plus en détail, je te donnerai mes coordonnées pro ensuite (étant dans la partie). Cordialement Stéph Le 23 mai 2018 à 16:41, LE PROVOST Guillaume < guillaume.leprov...@cotesdarmor.fr> a écrit : > Bonjour à tous, > > Je m'engage dans une démarche de remplacement des firewalls de ma boite. > > Un premier travail m'amène à la short-list suivante : > CHECKPOINT > PALOALTO > STORMSHIELD > > Notre configuration cible devra avoir les capacités suivantes : > > - Cluster de 2 équipements à minima en mode actif / passif > > - Accès internet jusqu'à 500 Mb/s > > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces > SFP en complément) > > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, > Filtrage d'URL (avec authentification utilisateur) > > - Module Sandboxing en option > > - Console d'administration centralisée si indispensable pour la > conservation des traces > > - Possibilité de fonctionner en mode proxy ou non > > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? > > Quels équipements conseilleriez-vous ? > > Merci d'avance pour vos retours avisés. > > Cordialement. > > Guillaume. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
