Modifié pour ajouter : Je regarde les Firefox M290/M390, en pensant que la M290 sera plus que suffisante.
Nous utilisons actuellement une paire de Palo Alto PA-220, qui sont en fin de vente et désormais sous-dimensionnées pour nos besoins. Bien que j’aime les pare-feux PA, je suis laissé un peu déçu par le support et le fait qu’ils ne nous permettent pas d’ajouter de nouvelles abonnements simplement parce qu’ils ne sont plus en vente me rend mécontent.
Je n’ai jamais été fan de Fortigate ou Cisco firewalls, donc ils sont hors course, tout comme Sonicwall. J’ai travaillé avec WatchGuards pendant 3-4 ans au début des années 2010 et je les trouvais à bon rapport qualité-prix et faciles à utiliser, mais c’était il y a presque une décennie. J’aimerais entendre des personnes qui ont récemment changé ou utilisent encore des firewalls Watchguard pour avoir un retour avant de faire des démarches.
Nos besoins sont assez basiques / standards, je les énumère ici pour aider à garder les réponses pertinentes. Merci d’avance pour tout retour !
Support VPN client sur Mac, Android et Windows (actuellement avec GlobalProtect)
Souhaite continuer à utiliser M365 & Azure MFA pour SSO
Politiques VPN granulaires selon l’utilisateur
Blocage géographique (actuellement réalisé dans les politiques de sécurité)
Protection de zone (pas indispensable mais souhaitable)
Haute disponibilité (actif / standby)
Redirection basée sur la politique
QoS pour réseau vocal
Capacité à configurer NAT en boucle (ou l’équivalent chez WG)
VPN IPSec
Serveur/détournement DHCP standard (simultanés)
Liste blanche / noire d’URL et catégories
Forwarding des logs vers syslog
Export Netflow vers PRTG
Capacité à utiliser Bitlocker Network Unlock (idéal, pas disponible sur PA, pas indispensable)
Pages de bloc personnalisées (par ex., lorsqu’une catégorie d’URL blackistée est visitée)
Support de ports SFP+ 10 Gbps (je comprends que cela peut être fait en achetant un module d’extension ?)
Commentaires:
étant donné qu’ils ne veulent pas nous laisser ajouter de nouvelles abonnements simplement parce qu’ils sont en fin de vente, cela m’a rendu mécontent.
C’est une plainte sauvage. Aucun fournisseur ne laissera ça faire.
étant donné qu’ils ne veulent pas nous laisser ajouter de nouvelles abonnements simplement parce qu’ils sont en fin de vente, cela m’a rendu mécontent.
C’est une plainte sauvage. Aucun fournisseur ne laissera ça faire.
La dernière fois que j’ai dû configurer un WatchGuard, c’était il y a plus de dix ans et ils utilisaient un programme horrible uniquement sur Windows pour la configuration, et l’appareil devait être redémarré pour presque chaque changement de configuration. Je suppose qu’ils ont évolué depuis ?
Je ne comprends pas pourquoi tu n’aimes pas FortiGate. Deuxième après PA, ils ont beaucoup de fonctionnalités et je n’ai jamais rencontré de problème pour renouveler une licence tant qu’elle est à jour. Il semblerait que ton revendeur essaie peut-être de te faire acheter de nouveaux PA.
Je combinerais Watchguard avec SonicWall et Ubiquiti. Je déteste tout ça.
J’ai travaillé dans une MSP qui gérait un mélange de Fortigate, Sonicwall et Watchguard. Peut-être que je manque d’expérience avec les Watchguards, mais j’ai préféré travailler avec les Fortigates. Je travaille actuellement dans une boutique Fortigate et nous sommes en train de remplacer quelques Checkpoint pour un client, je serai content de les voir partir aussi. Fortigate rend tout plus facile avec une interface plus fluide à mon avis. Je n’ai pas encore travaillé avec Palo Alto, c’est le seul grand que je n’ai pas expérimenté.
Le MFA pour VPN est très limité sur Watchguard. Ils ont leur propre service MFA appelé AuthPoint qu’ils veulent que vous utilisiez. Pour Entra ID, vous devrez utiliser l’extension MFA NPS et RADIUS pour l’authentification, et l’extension NPS a aussi ses limitations que vous devrez examiner.
Je suis d’accord avec toi, c’est un excellent rapport qualité-prix et il offre toutes les fonctionnalités mentionnées ci-dessus. Support génial et améliorations régulières des produits, toujours en avance sur les tendances. Aussi désormais avec MFA et gestion cloud.
Je déploie Watchguard tout le temps pour des clients parce que c’est ce que nous vendons. J’ai aussi beaucoup d’expérience avec Cisco, Forti, et un peu avec SonicWall. Je touche peu à PA et Juniper.
Rapport qualité/prix, tu as tout à fait raison.
Ils sont meilleurs qu’il y a 10 ans.
Ils font tout ce que tu as listé.
Quiconque dit que WG est au même niveau que SonicWall et Ubi n’a jamais utilisé WG.
Si WG te convient et que tu l’aimes, alors c’est évident. D’autres pare-feux ont leurs points forts… Forti est plus connu dans l’industrie, mais SonicWall aussi. Pour la terminaison VPN, personne ne fait mieux que Cisco avec son AnyConnect. Le contrôle du contenu et les rapports sont excellents sur PA. Le point est que chaque pare-feu a ses propres avantages. Si WG te convient, alors n’hésite pas.
Je vais graduellement retirer les Watchguards au profit de Fortigate et Palo Alto. Pourquoi dégrader ? De plus, le PA220 n’est pas très rapide, il faudrait passer à un modèle plus récent. Dell ne supporte plus un R710 non plus, et si tu pouvais, cela coûterait aussi cher qu’un nouveau serveur.
Le VPN GlobalProtect est parmi les meilleurs du secteur. Le VPN WG est très limité dans ses options, essentiellement OpenVPN. Cependant, tu ne peux avoir qu’un seul profil, ce qui est dommage.
Le journal de débogage du trafic sur le PA est excellent, celui de FortiGate est correct, mais pas parfait. Celui de WG était très moyen.
Sur le FG, tu as au moins des zones, très similaires à celles du PA. Les zones sur WG ont des rôles spécifiques qui peuvent mener à des comportements bizarres. Ce n’est pas comme le PA ou le FG où c’est un groupe d’interfaces avec un rôle attribué. Par exemple, une interface WAN sur WG nécessite toujours une passerelle.
Les outils de gestion système pour modifier les alias sont horribles, pas de vérification des doublons, petits boîtes de texte ou surlignages. La fonction d’auto-remplissage n’existe pas non plus. Le WebUI est mieux à ce sujet, mais laisse à désirer.
On avait un module SFP+ sur le M4600, c’était correct. Pour le PA, il faut un PA1410, et avec FG, un 100F ou au-delà selon le besoin.
Nous avons aussi FortiManager, principalement pour la journalisation et la sauvegarde de configuration.
Tu devrais reconsidérer Fortigate. Mon dernier poste d’administrateur réseau m’a fait les utiliser et j’ai adoré. Ils sont très riches en fonctionnalités et faciles à utiliser. C’est tout en un : WLC, gestionnaire de switch, pare-feu, routeur et plus encore ! Pourquoi s’en priver ?
Chez mon nouvel emploi, ils utilisent SonicWall, et je suis moins impressionné. Mais, pour être juste, on ne les utilise que pour SSL VPN et ACL. Je pense que Fortigate est meilleur mais je dois m’y habituer.
Désolé, je n’ai jamais utilisé Watchguard, donc je ne peux pas dire pourquoi je laisse ce commentaire.
WatchGuard a beaucoup évolué ces dernières années, investissement massif, ce n’est peut-être pas encore un Checkpoint mais le coût non plus. Sophos/Sonicwall sont moins chers que WatchGuard de beaucoup, surtout à cause des services de sécurité, un SonicWall est à peine un switch avec un peu d’antivirus intégré, terrible.
Je ne comprends pas pourquoi tu n’aimes pas FortiGate. Deuxième après PA, ils ont beaucoup de fonctionnalités et je n’ai jamais eu de problème pour renouveler une licence tant qu’elle est à jour. On dirait que ton revendeur essaie peut-être de te faire acheter de nouveaux PA.
Je combinerais Watchguard avec SonicWall et Ubiquiti. Je déteste tout ça.
Man. Beaucoup de gens n’aiment vraiment pas Watchguard ici. Je travaille pour un MSP, et nous déployons plus de 100 Watchguards. Facile à gérer, et avec le serveur Dimensions, il est facile d’auditer les changements (je programme toutes les boîtes, donc seul notre gestionnaire de mot de passe détient le mot de passe admin, tout le monde utilise ses propres comptes). Ils continuent d’évoluer et de s’améliorer.
Utilisation de Watchguard dans six emplacements et nous sommes satisfaits du choix, franchement.
Fonctionne très bien et le moniteur de trafic est fantastique. Peu de choses à redire.
Jeter un œil à Checkpoint.
Ils sont, à mon avis, au niveau de Palo.
Très pratique et facile à utiliser, stable et doté de beaucoup de fonctionnalités. Ce n’est pas l’option la moins chère mais ça vaut le coup d’œil.
