В своем пресс-релизе Fortinet сравнивает производительность 4200F с выключенным контролем приложений и Palo Alto Networks PA-5260 с включенным контролем приложений. Это абсурд. Кому-то нужно повторить школьные уроки, где учили приводить к общему знаменателю. С тем же успехом можно было сравнивать скорости груженого и пустого автомобиля. Или еще пуще сказать, что 800 рублей больше чем 64 доллара. Причем, по мнению маркетинга, раз числа отличаются в 8 раз, то и реальная производительность, измеренная в разных режимах - тоже! ) В реальности все наоборот: 4200F выдает в режиме NGFW 40 Гбит/с, то есть в 20 раз меньше рекламируемой тут, что четко указано в их datasheet:
Как получается 800 Гбит/с и 40 Гбит/с у одного устройства?
- 800 Гбит/с — это максимальная пропускная способность Fortinet 4200F в режиме когда вся безопасность выключена: L4 firewall.
- 40 Гбит/с — это максимальная пропускная способность Fortinet 4200F с анализом набора различных приложений L7 (NGFW). Анализ приложений - это сложно, и поэтому скорость устройства падает в 20 раз, о чем они четко пишут сами. Причем это скорость в быстром режиме (Flow Mode). При включении более безопасного для сети режима (Proxy Mode) обычно производительность еще в 2 раза медленнее, плюс производительность антивируса медленнее, потому что трафик не попадает на чипы ускорения.
Для сравнения, скорости анализа L7 других производителей:
- 64 Гбит/с - максимальная пропускная способность Palo Alto Networks NGFW PA-5260 с анализом набора различных приложений L7.
- 51,5 Гбит/с - максимальная пропускная способность Check Point 28000 c анализом набора различных приложений L7.
Очевидно, когда делали пресс-релиз, не поняли почему Firewall Throughput Fortinet не то же самое, что Firewall Throughput Palo Alto Networks. Я уверен, технические специалисты Fortinet это понимают.
Важно знать, что тесты производительности у каждого устройства идут на своем наборе приложений, что создает разную нагрузку на процессоры и память. Поэтому сравнивать значения из разных datasheet разных вендоров - некорректно, ведь условия тестирования неравны. Нужно смотреть тесты NSS Labs, где приводятся результаты на одинаковых профилях трафика: финансовом, баз данных, голосовом, видео и др. Выбранный профиль трафика подается через все тестируемые устройства и там уже справедливо можно сравнивать и оценить какая пропускная способность будет в вашей сети.
Еще со школьных уроков физики мы знаем, что сравнивать производительность устройств, делающих разную работу нельзя. FW и NGFW это разные режимы и разная нагрузка.
Еще аналогия, чтобы понять трудозатраты устройства в этих двух разных режимах. Что вы быстрее читаете: заголовок книги или всю книгу? Так вот Fortinet читает только заголовки книг (в режиме L4), в то время как Palo Alto Networks читает всю книгу полностью (в режиме L7). И Fortinet говорит, что "читает" книги быстрее! Честно ли это?
Как правильно сравнивать
Чтобы стать таким же функциональным NGFW, как Palo Alto Networks, в Fortinet нужно
- включить Application Control, чтобы видеть приложения;
- включить Policy Mode, чтобы писать правила по приложениям;
- включить Proxy Mode или NGFW Mode, чтобы нормально работал антивирус;
- выключить intelligent-mode, чтобы нормально работал IPS.
У Palo Alto Networks все проще - там один нужный всем режим защиты.
Вообще, когда мы говорим слово NGFW, главная цель - реализовать важные функции для безопасности, например, заблокировать tor, teamviewer, bittorent, skype. И, конечно, включение дополнительных функций требует больше процессорного времени на их выполнение, что снижает скорость анализа трафика в 20 раз, что и указано в datasheet 4200F и такая же ситуация у всех производителей - это законы физики. Это цена безопасности: те, кто ходил в театр или футбол знают как повлияло на скорость входа введение рамок. Ну и тут вопрос для вас: хотите ли вы пустить бомбу или криптолокер к себе внутрь, используя портовый firewall или хотите остановить угрозы, используя NGFW. Хотите ли вы пропускать все 1300 разных приложений, использующих 443 порт?
Пример: Компания Garmin была атакована криптолокером и все подразделения компаний были остановлены.
Вообще, когда мы говорим слово NGFW, главная цель - реализовать важные функции для безопасности, например, заблокировать tor, teamviewer, bittorent, skype. И, конечно, включение дополнительных функций требует больше процессорного времени на их выполнение, что снижает скорость анализа трафика в 20 раз, что и указано в datasheet 4200F и такая же ситуация у всех производителей - это законы физики. Это цена безопасности: те, кто ходил в театр или футбол знают как повлияло на скорость входа введение рамок. Ну и тут вопрос для вас: хотите ли вы пустить бомбу или криптолокер к себе внутрь, используя портовый firewall или хотите остановить угрозы, используя NGFW. Хотите ли вы пропускать все 1300 разных приложений, использующих 443 порт?
Пример: Компания Garmin была атакована криптолокером и все подразделения компаний были остановлены.
Пример: Международная компания Norsk Hydro была атакована криптолокером LockerGoga, остановлены заводы, склады, офисы по всему миру и только облачная почта Office365 осталась функционировать
Если у вас межсетевой экран, который не проверяет приложения и в сети более 300 хостов, то с большой долей вероятности бомба уже у вас внутри и ждет команды из центра управления. Вы просто об этом не знаете. И я не запугиваю: вижу результаты аудитов. Их сейчас, кстати, все производители делают бесплатно. Например, Check Point или Palo Alto Networks. Обратитесь в вашему партнеру и вы будете лучше знать свою сеть. Бесплатно!
Скорость устройства с выключенными функциями - это бесполезный параметр для безопасности сети. Нелепо говорить, что разрешение всех приложений по 443 порту - это безопасно. Вы разрешаете все бот-сети, все прокси, все хакерские утилиты вместе с обычными приложениями, где все файлообменники, вся веб-почта, youtube, другие приложения для голоса и видео. Полный список приложений идущих по 443 порту в реальной сети тут.
NGFW покупают для защиты сети, поэтому вам нужно выбирать устройство по производительности в режиме защиты. Это важно. И этот параметр указывает каждый производитель (смотрите на параметр Threat Prevention в datasheet). Ведь именно в этом режиме будет работать устройство в вашей сети. Зачем все эти другие скорости в Datasheet? Только сбивают с толку. Что делает NGFW для защиты: ищет туннелирование приложений внутри 443, 80 и 53 порта (которые всегда открыты в сети), в нем работает URL фильтр, IPS и антивирус, и другие движки современные.
Смотреть грамотно при выборе NGFW только в графу Threat Prevention. Все параметры влияющие на производительность в этой графе я перечислил в статье.
NGFW покупают для защиты сети, поэтому вам нужно выбирать устройство по производительности в режиме защиты. Это важно. И этот параметр указывает каждый производитель (смотрите на параметр Threat Prevention в datasheet). Ведь именно в этом режиме будет работать устройство в вашей сети. Зачем все эти другие скорости в Datasheet? Только сбивают с толку. Что делает NGFW для защиты: ищет туннелирование приложений внутри 443, 80 и 53 порта (которые всегда открыты в сети), в нем работает URL фильтр, IPS и антивирус, и другие движки современные.
Смотреть грамотно при выборе NGFW только в графу Threat Prevention. Все параметры влияющие на производительность в этой графе я перечислил в статье.
Всегда задавайте вопрос к условиям измерения производительности в режиме Threat Prevention, потому что все производители измеряют его в специальных условиях на своем наборе приложений и своем наборе транзакций разной длины и бывает, что завышают этот параметр в 2 - 3 раза, что видно по независимым тестам и по работе в вашей сети.
Fortinet в своем маркетинговом datasheet пишет этот самый важный параметр для заказчика Threat Prevention, и он 35 Гбит/с, а в рекламе показывает 800 Гбит/с. И опять же маркетинг пишет, что на этой скорости обеспечивается безопасность! У меня нет слов… Что это: намеренный обман или непрофессионализм? Чувствуют ли они разницу между Firewall Throughput и NGFW Throughput?
От чего зависит скорость NGFW
Важно знать, что максимально возможная скорость передачи данных через одно и то же устройство NGFW в режиме Threat Prevention может отличаться в 10 раз, когда вы подаете трафик сессиями разной длины: короткими или длинными.
Сравните:
1) 10 Гбит за секунду можно прогнать в одной TCP сессии, скачав файл 1,25 Гигабайт одной транзакцией;
2) 10 Гбит за секунду можно прогнать как 10000 TCP сессий, скачав файлы по 125 килобайт.
В роутерах длина сессии TCP не так влияет на пропускную способность, а в устройствах NGFW становится очень критична, потому что в первом случае вы запускаете внутри один раз антивирус + IPS + URL фильтр и т.д., а во втором случае 10000 раз запускаете антивирус + IPS + URL - это более сложная работа, которую надо сделать за одну секунду.
Когда Palo Alto Networks предложила измерять скорость NGFW на одинаковом трафике HTTP с транзакциями длиной 64Кб – все отказались. Поэтому надежда только на независимые тесты NSS Labs и NetSecOpen. Вот, например, тут уже начали публиковать такие тесты на разных размерах транзакций https://www.netsecopen.org/certifications
Существуют еще такие важные параметры как
- тип трафика (SMB, FTP, HTTP, SMTP, DNS, SSL, RTP, SIP);
- тип трафика (SMB, FTP, HTTP, SMTP, DNS, SSL, RTP, SIP);
- число новых соединений в секунду (время на установление соединения HTTP и HTTPS разное);
- одновременное число сессий (память в устройстве фиксирована на хранение таблиц сессий и параметров работы всех приложений).
Однако это тема другой статьи. Stay turned.
Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru