[GTER] Firewalls virtuais [ERA] Metrica para Throughput
Douglas Fischer
fischerdouglas at gmail.com
Fri Dec 27 09:01:16 -02 2013
Fora do escopo das SDN, e apenas na virtualização, já implementei alguns
firewalls sobre VM.
Na primeira leva, com um pouco de preciosismo, eu entregava duas interfaces
físicas diretamente à VM do firewall e fazer Dot1q no firewall.
Depois, confiando mais no hiper-visor, passei a entregar tantas interfaces
virtuais quantas vlans eu precisa-se trabalhar dentro do firewall.
Ainda não tive a oportunidade de analisar um cara desses fazendo IPS, ou
content filtering.
Mas sinceramente para ambientes PRO, eu ainda sou mais firewalls de marcas
consagradas, com direito a hardwares específicos como ASICs e similares.
Em 26 de dezembro de 2013 23:52, Shine <eshine at gmail.com> escreveu:
> Fugindo do assunto, um movimento que eu tenho visto e achei interessante é
> a oferta de firewall em VMs.
> O balanceamento (que também está começando a oferecer orquestramento em
> VMs) pode ser realizado por controllers que por sua vez coordenam os fluxos
> nos data planes.
>
> Apreciaria opiniões e experiências dos colegas com esse ambiente.
>
>
> Em 24 de dezembro de 2013 19:34, Marcelo Gondim <gondim at bsdinfo.com.br
> >escreveu:
>
> > Em 24/12/13 17:44, Marcelo Gondim escreveu:
> >
> > Em 24/12/13 09:55, Samir Patrice escreveu:
> >>
> >>> Achei interessante o texto do Alexandre Moraes, realmente eu somente
> >>> considerava o throughput para avaliar um firewall statefull. Porem
> agora
> >>> surgiu uma dúvida, como eu faço para testar essas outras métricas
> >>> (CPS,PPS)? Que ferramentas que eu posso usar para gerar trafego
> aleatório
> >>> tcp?
> >>> Antes eu simplesmente colocava um firewall em bridge entre dois hosts e
> >>> testava com o iperf pra saber o throughput, mas depois do texto vi que
> >>> meu
> >>> método não é recomendado.
> >>>
> >> Siga a RFC [1] que é a melhor maneira de você avaliar seus equipamentos.
> >> O iperf é uma excelente ferramenta de avaliação mas precisa saber usar e
> >> também não é a única. :)
> >> Seguindo a RFC você pode avaliar melhor isso.
> >>
> >> [1] http://www.ietf.org/rfc/rfc2544.txt
> >>
> > Outro detalhe que esqueci de comentar: cuidado com o stateful. Existem
> > casos em que é melhor o uso de um Firewall stateless. Stateful é bom mas
> os
> > recursos podem ser consumidos rapidamente em um ataque, por isso todo
> > cuidado é bom. Se a sua tabela conntrack lotar, acabou seu Firewall.
> > Se você está pensando em um grande volume de tráfego existem 2 coisas
> > limitantes no hardware: throughput e pps (packet per second) o que
> estourar
> > primeiro vai parar a sua rede. Por exemplo: imagina uma situação onde
> você
> > tem uma interface de rede Gigabit que teoricamente você poderia ter um
> > tráfego de quase 1Gbps e aí no meio do tráfego de 700Mbps você percebe
> que
> > tudo ficou lento, perdendo pacotes e aí vai ver um tráfego de 300kpps.
> > Provavelmente o tráfego real em pps está acima do limite que a sua
> > interface suporta e aí não consegue passar dos 700Mbps. Isso é apenas um
> > exemplo, o RFC vai te ajudar à entender que o pps suportado pode variar
> de
> > acordo com o tamanho do pacote de testes e os fabricantes deveriam
> colocar
> > isso em seus datasheets mas nem todos fazem isso e alguns até mentem.
> >
> > []'s
> >
> >
> >
> >>>
> >>> Em 19 de dezembro de 2013 16:18, Eng. Fabio Roberto
> >>> <ipsolon2005 at gmail.com>escreveu:
> >>>
> >>> corrigindo: está sendo*
> >>>>
> >>>> Em 19/12/2013 17:16, Eng. Fabio Roberto escreveu:
> >>>>
> >>>> Leia sobre a RFC2544 e RFC6349, é o que está solicitado* nas
> ativações
> >>>>> dos links.
> >>>>>
> >>>>>
> >>>>> Abs
> >>>>>
> >>>>> Em 19/12/2013 15:12, Guilherme Loch Waltrick Góes escreveu:
> >>>>>
> >>>>> Recomendo a leitura do Alexandre Moraes sobre o assunto:
> >>>>>> http://alexandremspmoraes.wordpress.com/2011/05/24/
> >>>>>> consideracoes-sobre-
> >>>>>> desempenho-de-firewalls/
> >>>>>>
> >>>>>> Att,
> >>>>>>
> >>>>>> Guilherme Loch Góes
> >>>>>>
> >>>>>>
> >>>>>> 2013/12/19 Thiago Gomes <thiagomespb at gmail.com>:
> >>>>>>
> >>>>>> Pessoal,
> >>>>>>>
> >>>>>>> Quais seriam os parâmetros para medir throughput de um hardware
> para
> >>>>>>> firewall, por exemplo
> >>>>>>> tenho um hardware, memoria, placa de rede, gostaria de saber como
> eu
> >>>>>>> faço saber
> >>>>>>> alguns parâmetros que tem em certos applicance .
> >>>>>>>
> >>>>>>> Ex,
> >>>>>>>
> >>>>>>> http://www.fortinet.com/products/fortigate/40C.html
> >>>>>>>
> >>>>>>> --
> >>>>>>> Thiago Gomes
> >>>>>>> --
> >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>> Eng. Fabio Roberto
> >>>> *S.O DO BRASIL TELECOMUNICACOES*
> >>>> /www.superonda.com.br | www.zamix.com.br /
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>>
> >>>
> >>>
> >>
> >> --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list