[GTER] Firewalls virtuais [ERA] Metrica para Throughput
Shine
eshine at gmail.com
Fri Dec 27 17:12:48 -02 2013
Bem, nem eu vi esse ambiente Michel... por isso estou colocando a questão
na comunidade. :)
Acho que um firewall virtual ainda não tem aplicação como os appliances
(ainda), mas para o ambiente em nuvem ele faz muito sentido. Assim como
trará muitas oportunidades, essa área provavelmente trará muitos desafios
também em segurança, gestão de ativos, desenho da rede, etc.
Em 27 de dezembro de 2013 10:02, Michel L. M. B. Perez <
michelmbperez at gmail.com> escreveu:
> Eu já ajudei a implementar firewalls mas em cenários pequenos sobre VMs,
> não cheguei a ter um nivel de controle feito o que você ta falando Shine,
> com um orchestrador por trás tomando conta de praticamente tudo, como você
> cita, isso vem a ser uma tendencia e creio que fique cada vez mais forte
> ainda mais com a adoção do SDN.
>
> Mas algumas coisas ainda prefiro fora da Virtualização, como o Douglas
> falou, em alguns casos a virtual pode ser mais adequado do que o físico e
> etc..
>
> --
> Michel Perez
> Skype: michelmbperez
> michelmbperez at gmail.com
> http://br.linkedin.com/in/michelmbperez
>
>
> Em 27 de dezembro de 2013 09:01, Douglas Fischer
> <fischerdouglas at gmail.com>escreveu:
>
> > Fora do escopo das SDN, e apenas na virtualização, já implementei alguns
> > firewalls sobre VM.
> >
> > Na primeira leva, com um pouco de preciosismo, eu entregava duas
> interfaces
> > físicas diretamente à VM do firewall e fazer Dot1q no firewall.
> >
> > Depois, confiando mais no hiper-visor, passei a entregar tantas
> interfaces
> > virtuais quantas vlans eu precisa-se trabalhar dentro do firewall.
> >
> > Ainda não tive a oportunidade de analisar um cara desses fazendo IPS, ou
> > content filtering.
> > Mas sinceramente para ambientes PRO, eu ainda sou mais firewalls de
> marcas
> > consagradas, com direito a hardwares específicos como ASICs e similares.
> >
> >
> >
> >
> >
> > Em 26 de dezembro de 2013 23:52, Shine <eshine at gmail.com> escreveu:
> >
> > > Fugindo do assunto, um movimento que eu tenho visto e achei
> interessante
> > é
> > > a oferta de firewall em VMs.
> > > O balanceamento (que também está começando a oferecer orquestramento em
> > > VMs) pode ser realizado por controllers que por sua vez coordenam os
> > fluxos
> > > nos data planes.
> > >
> > > Apreciaria opiniões e experiências dos colegas com esse ambiente.
> > >
> > >
> > > Em 24 de dezembro de 2013 19:34, Marcelo Gondim <gondim at bsdinfo.com.br
> > > >escreveu:
> > >
> > > > Em 24/12/13 17:44, Marcelo Gondim escreveu:
> > > >
> > > > Em 24/12/13 09:55, Samir Patrice escreveu:
> > > >>
> > > >>> Achei interessante o texto do Alexandre Moraes, realmente eu
> somente
> > > >>> considerava o throughput para avaliar um firewall statefull. Porem
> > > agora
> > > >>> surgiu uma dúvida, como eu faço para testar essas outras métricas
> > > >>> (CPS,PPS)? Que ferramentas que eu posso usar para gerar trafego
> > > aleatório
> > > >>> tcp?
> > > >>> Antes eu simplesmente colocava um firewall em bridge entre dois
> > hosts e
> > > >>> testava com o iperf pra saber o throughput, mas depois do texto vi
> > que
> > > >>> meu
> > > >>> método não é recomendado.
> > > >>>
> > > >> Siga a RFC [1] que é a melhor maneira de você avaliar seus
> > equipamentos.
> > > >> O iperf é uma excelente ferramenta de avaliação mas precisa saber
> > usar e
> > > >> também não é a única. :)
> > > >> Seguindo a RFC você pode avaliar melhor isso.
> > > >>
> > > >> [1] http://www.ietf.org/rfc/rfc2544.txt
> > > >>
> > > > Outro detalhe que esqueci de comentar: cuidado com o stateful.
> Existem
> > > > casos em que é melhor o uso de um Firewall stateless. Stateful é bom
> > mas
> > > os
> > > > recursos podem ser consumidos rapidamente em um ataque, por isso todo
> > > > cuidado é bom. Se a sua tabela conntrack lotar, acabou seu Firewall.
> > > > Se você está pensando em um grande volume de tráfego existem 2 coisas
> > > > limitantes no hardware: throughput e pps (packet per second) o que
> > > estourar
> > > > primeiro vai parar a sua rede. Por exemplo: imagina uma situação onde
> > > você
> > > > tem uma interface de rede Gigabit que teoricamente você poderia ter
> um
> > > > tráfego de quase 1Gbps e aí no meio do tráfego de 700Mbps você
> percebe
> > > que
> > > > tudo ficou lento, perdendo pacotes e aí vai ver um tráfego de
> 300kpps.
> > > > Provavelmente o tráfego real em pps está acima do limite que a sua
> > > > interface suporta e aí não consegue passar dos 700Mbps. Isso é apenas
> > um
> > > > exemplo, o RFC vai te ajudar à entender que o pps suportado pode
> variar
> > > de
> > > > acordo com o tamanho do pacote de testes e os fabricantes deveriam
> > > colocar
> > > > isso em seus datasheets mas nem todos fazem isso e alguns até mentem.
> > > >
> > > > []'s
> > > >
> > > >
> > > >
> > > >>>
> > > >>> Em 19 de dezembro de 2013 16:18, Eng. Fabio Roberto
> > > >>> <ipsolon2005 at gmail.com>escreveu:
> > > >>>
> > > >>> corrigindo: está sendo*
> > > >>>>
> > > >>>> Em 19/12/2013 17:16, Eng. Fabio Roberto escreveu:
> > > >>>>
> > > >>>> Leia sobre a RFC2544 e RFC6349, é o que está solicitado* nas
> > > ativações
> > > >>>>> dos links.
> > > >>>>>
> > > >>>>>
> > > >>>>> Abs
> > > >>>>>
> > > >>>>> Em 19/12/2013 15:12, Guilherme Loch Waltrick Góes escreveu:
> > > >>>>>
> > > >>>>> Recomendo a leitura do Alexandre Moraes sobre o assunto:
> > > >>>>>> http://alexandremspmoraes.wordpress.com/2011/05/24/
> > > >>>>>> consideracoes-sobre-
> > > >>>>>> desempenho-de-firewalls/
> > > >>>>>>
> > > >>>>>> Att,
> > > >>>>>>
> > > >>>>>> Guilherme Loch Góes
> > > >>>>>>
> > > >>>>>>
> > > >>>>>> 2013/12/19 Thiago Gomes <thiagomespb at gmail.com>:
> > > >>>>>>
> > > >>>>>> Pessoal,
> > > >>>>>>>
> > > >>>>>>> Quais seriam os parâmetros para medir throughput de um
> hardware
> > > para
> > > >>>>>>> firewall, por exemplo
> > > >>>>>>> tenho um hardware, memoria, placa de rede, gostaria de saber
> como
> > > eu
> > > >>>>>>> faço saber
> > > >>>>>>> alguns parâmetros que tem em certos applicance .
> > > >>>>>>>
> > > >>>>>>> Ex,
> > > >>>>>>>
> > > >>>>>>> http://www.fortinet.com/products/fortigate/40C.html
> > > >>>>>>>
> > > >>>>>>> --
> > > >>>>>>> Thiago Gomes
> > > >>>>>>> --
> > > >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> > > >>>>>>>
> > > >>>>>>> --
> > > >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> > > >>>>>>
> > > >>>>>>
> > > >>>>>> --
> > > >>>> Eng. Fabio Roberto
> > > >>>> *S.O DO BRASIL TELECOMUNICACOES*
> > > >>>> /www.superonda.com.br | www.zamix.com.br /
> > > >>>> --
> > > >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> > > >>>>
> > > >>>>
> > > >>>
> > > >>>
> > > >>
> > > >> --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list