[GTER] Firewalls virtuais [ERA] Metrica para Throughput

Shine eshine at gmail.com
Fri Dec 27 12:20:44 -02 2013


É, esse assunto é bem novo, ainda mais falando de SDN.

Se pensarmos no cloud, a camada de serviços de firewall se torna um ponto
de convergência, o que não é muito animador para quem pensa em
flexibilidade.

Opção de ter vários firewalls (algumas gratuitas como M0n0wall) é uma
opção, mas orquestrar esse parque pode ser um desafio.

Outra opção, integra direto no NSX.
http://www.networkcomputing.com/security/palo-alto-integrates-next-generation-fir/240164259



Em 27 de dezembro de 2013 09:01, Douglas Fischer
<fischerdouglas at gmail.com>escreveu:

> Fora do escopo das SDN, e apenas na virtualização, já implementei alguns
> firewalls sobre VM.
>
> Na primeira leva, com um pouco de preciosismo, eu entregava duas interfaces
> físicas diretamente à VM do firewall e fazer Dot1q no firewall.
>
> Depois, confiando mais no hiper-visor, passei a entregar tantas interfaces
> virtuais quantas vlans eu precisa-se trabalhar dentro do firewall.
>
> Ainda não tive a oportunidade de analisar um cara desses fazendo IPS, ou
> content filtering.
> Mas sinceramente para ambientes PRO, eu ainda sou mais firewalls de marcas
> consagradas, com direito a hardwares específicos como ASICs e similares.
>
>
>
>
>
> Em 26 de dezembro de 2013 23:52, Shine <eshine at gmail.com> escreveu:
>
> > Fugindo do assunto, um movimento que eu tenho visto e achei interessante
> é
> > a oferta de firewall em VMs.
> > O balanceamento (que também está começando a oferecer orquestramento em
> > VMs) pode ser realizado por controllers que por sua vez coordenam os
> fluxos
> > nos data planes.
> >
> > Apreciaria opiniões e experiências dos colegas com esse ambiente.
> >
> >
> > Em 24 de dezembro de 2013 19:34, Marcelo Gondim <gondim at bsdinfo.com.br
> > >escreveu:
> >
> > > Em 24/12/13 17:44, Marcelo Gondim escreveu:
> > >
> > >  Em 24/12/13 09:55, Samir Patrice escreveu:
> > >>
> > >>> Achei interessante o texto do Alexandre Moraes, realmente eu somente
> > >>> considerava o throughput para avaliar um firewall statefull. Porem
> > agora
> > >>> surgiu uma dúvida, como eu faço para testar essas outras métricas
> > >>> (CPS,PPS)? Que ferramentas que eu posso usar para gerar trafego
> > aleatório
> > >>> tcp?
> > >>> Antes eu simplesmente colocava um firewall em bridge entre dois
> hosts e
> > >>> testava com o iperf pra saber o throughput, mas depois do texto vi
> que
> > >>> meu
> > >>> método não é recomendado.
> > >>>
> > >> Siga a RFC [1] que é a melhor maneira de você avaliar seus
> equipamentos.
> > >> O iperf é uma excelente ferramenta de avaliação mas precisa saber
> usar e
> > >> também não é a única.  :)
> > >> Seguindo a RFC você pode avaliar melhor isso.
> > >>
> > >> [1] http://www.ietf.org/rfc/rfc2544.txt
> > >>
> > > Outro detalhe que esqueci de comentar: cuidado com o stateful. Existem
> > > casos em que é melhor o uso de um Firewall stateless. Stateful é bom
> mas
> > os
> > > recursos podem ser consumidos rapidamente em um ataque, por isso todo
> > > cuidado é bom. Se a sua tabela conntrack lotar, acabou seu Firewall.
> > > Se você está pensando em um grande volume de tráfego existem 2 coisas
> > > limitantes no hardware: throughput e pps (packet per second) o que
> > estourar
> > > primeiro vai parar a sua rede. Por exemplo: imagina uma situação onde
> > você
> > > tem uma interface de rede Gigabit que teoricamente você poderia ter um
> > > tráfego de quase 1Gbps e aí no meio do tráfego de 700Mbps você percebe
> > que
> > > tudo ficou lento, perdendo pacotes e aí vai ver um tráfego de 300kpps.
> > > Provavelmente o tráfego real em pps está acima do limite que a sua
> > > interface suporta e aí não consegue passar dos 700Mbps. Isso é apenas
> um
> > > exemplo, o RFC vai te ajudar à entender que o pps suportado pode variar
> > de
> > > acordo com o tamanho do pacote de testes e os fabricantes deveriam
> > colocar
> > > isso em seus datasheets mas nem todos fazem isso e alguns até mentem.
> > >
> > > []'s
> > >
> > >
> > >
> > >>>
> > >>> Em 19 de dezembro de 2013 16:18, Eng. Fabio Roberto
> > >>> <ipsolon2005 at gmail.com>escreveu:
> > >>>
> > >>>  corrigindo: está sendo*
> > >>>>
> > >>>> Em 19/12/2013 17:16, Eng. Fabio Roberto escreveu:
> > >>>>
> > >>>>  Leia sobre a RFC2544 e RFC6349, é o que está solicitado* nas
> > ativações
> > >>>>> dos links.
> > >>>>>
> > >>>>>
> > >>>>> Abs
> > >>>>>
> > >>>>> Em 19/12/2013 15:12, Guilherme Loch Waltrick Góes escreveu:
> > >>>>>
> > >>>>>  Recomendo a leitura do Alexandre Moraes sobre o assunto:
> > >>>>>> http://alexandremspmoraes.wordpress.com/2011/05/24/
> > >>>>>> consideracoes-sobre-
> > >>>>>> desempenho-de-firewalls/
> > >>>>>>
> > >>>>>> Att,
> > >>>>>>
> > >>>>>> Guilherme Loch Góes
> > >>>>>>
> > >>>>>>
> > >>>>>> 2013/12/19 Thiago Gomes <thiagomespb at gmail.com>:
> > >>>>>>
> > >>>>>>  Pessoal,
> > >>>>>>>
> > >>>>>>> Quais seriam os parâmetros para medir  throughput de um hardware
> > para
> > >>>>>>> firewall, por exemplo
> > >>>>>>> tenho um hardware, memoria, placa de rede, gostaria de saber como
> > eu
> > >>>>>>> faço saber
> > >>>>>>> alguns parâmetros que tem em certos applicance .
> > >>>>>>>
> > >>>>>>> Ex,
> > >>>>>>>
> > >>>>>>> http://www.fortinet.com/products/fortigate/40C.html
> > >>>>>>>
> > >>>>>>> --
> > >>>>>>> Thiago Gomes
> > >>>>>>> --
> > >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>>>>>>
> > >>>>>>>  --
> > >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>>>>>
> > >>>>>>
> > >>>>>>  --
> > >>>> Eng. Fabio Roberto
> > >>>> *S.O DO BRASIL TELECOMUNICACOES*
> > >>>> /www.superonda.com.br | www.zamix.com.br /
> > >>>> --
> > >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>>>
> > >>>>
> > >>>
> > >>>
> > >>
> > >>  --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list