[GTER] Firewalls virtuais [ERA] Metrica para Throughput

Shine eshine at gmail.com
Fri Dec 27 20:11:50 -02 2013


Bem, existem várias marcas, a Barracuda também tem VM, a Cisco tem o ASA
1000V... todos eles com opções, quanto mais vCPU geralmente são mais
potentes (relativo, um software pode ser mais eficiente e fazer o mesmo com
menos recurso de CPU, mas ainda duvido que um software que consome 2 vCPUs
possa ser mais eficaz que um que consome 16 vCPUs...)
E cada um tem sua forma de gerenciar os ativos. O que seria bom entender
melhor é como escalar isso dentro da nuvem, por exemplo usar um
FortiManager e entender qual o limite de gestão dele.

Para a maioria do público em geral dentro da comunidade, o mais importante
é entender o sizing do sistema de firewall e como escalar dentro de um
contexto de rede.


Em 27 de dezembro de 2013 18:54, Francisco V Brasileiro <
francisco at brasileiro.adm.br> escreveu:

> A fortinet tem a VM do fortigate suporte ate 10 interfaces.
> Em 27/12/2013 16:52, "Shine" <eshine at gmail.com> escreveu:
>
> > Bem, nem eu vi esse ambiente Michel... por isso estou colocando a questão
> > na comunidade. :)
> >
> > Acho que um firewall virtual ainda não tem aplicação como os appliances
> > (ainda), mas para o ambiente em nuvem ele faz muito sentido. Assim como
> > trará muitas oportunidades, essa área provavelmente trará muitos desafios
> > também em segurança, gestão de ativos, desenho da rede, etc.
> >
> >
> >
> > Em 27 de dezembro de 2013 10:02, Michel L. M. B. Perez <
> > michelmbperez at gmail.com> escreveu:
> >
> > > Eu já ajudei a implementar firewalls mas em cenários pequenos sobre
> VMs,
> > > não cheguei a ter um nivel de controle feito o que você ta falando
> Shine,
> > > com um orchestrador por trás tomando conta de praticamente tudo, como
> > você
> > > cita, isso vem a ser uma tendencia e creio que fique cada vez mais
> forte
> > > ainda mais com a adoção do SDN.
> > >
> > > Mas algumas coisas ainda prefiro fora da Virtualização, como o Douglas
> > > falou, em alguns casos a virtual pode ser mais adequado do que o
> físico e
> > > etc..
> > >
> > > --
> > > Michel Perez
> > > Skype: michelmbperez
> > > michelmbperez at gmail.com
> > > http://br.linkedin.com/in/michelmbperez
> > >
> > >
> > > Em 27 de dezembro de 2013 09:01, Douglas Fischer
> > > <fischerdouglas at gmail.com>escreveu:
> > >
> > > > Fora do escopo das SDN, e apenas na virtualização, já implementei
> > alguns
> > > > firewalls sobre VM.
> > > >
> > > > Na primeira leva, com um pouco de preciosismo, eu entregava duas
> > > interfaces
> > > > físicas diretamente à VM do firewall e fazer Dot1q no firewall.
> > > >
> > > > Depois, confiando mais no hiper-visor, passei a entregar tantas
> > > interfaces
> > > > virtuais quantas vlans eu precisa-se trabalhar dentro do firewall.
> > > >
> > > > Ainda não tive a oportunidade de analisar um cara desses fazendo IPS,
> > ou
> > > > content filtering.
> > > > Mas sinceramente para ambientes PRO, eu ainda sou mais firewalls de
> > > marcas
> > > > consagradas, com direito a hardwares específicos como ASICs e
> > similares.
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > Em 26 de dezembro de 2013 23:52, Shine <eshine at gmail.com> escreveu:
> > > >
> > > > > Fugindo do assunto, um movimento que eu tenho visto e achei
> > > interessante
> > > > é
> > > > > a oferta de firewall em VMs.
> > > > > O balanceamento (que também está começando a oferecer
> orquestramento
> > em
> > > > > VMs) pode ser realizado por controllers que por sua vez coordenam
> os
> > > > fluxos
> > > > > nos data planes.
> > > > >
> > > > > Apreciaria opiniões e experiências dos colegas com esse ambiente.
> > > > >
> > > > >
> > > > > Em 24 de dezembro de 2013 19:34, Marcelo Gondim <
> > gondim at bsdinfo.com.br
> > > > > >escreveu:
> > > > >
> > > > > > Em 24/12/13 17:44, Marcelo Gondim escreveu:
> > > > > >
> > > > > >  Em 24/12/13 09:55, Samir Patrice escreveu:
> > > > > >>
> > > > > >>> Achei interessante o texto do Alexandre Moraes, realmente eu
> > > somente
> > > > > >>> considerava o throughput para avaliar um firewall statefull.
> > Porem
> > > > > agora
> > > > > >>> surgiu uma dúvida, como eu faço para testar essas outras
> métricas
> > > > > >>> (CPS,PPS)? Que ferramentas que eu posso usar para gerar trafego
> > > > > aleatório
> > > > > >>> tcp?
> > > > > >>> Antes eu simplesmente colocava um firewall em bridge entre dois
> > > > hosts e
> > > > > >>> testava com o iperf pra saber o throughput, mas depois do texto
> > vi
> > > > que
> > > > > >>> meu
> > > > > >>> método não é recomendado.
> > > > > >>>
> > > > > >> Siga a RFC [1] que é a melhor maneira de você avaliar seus
> > > > equipamentos.
> > > > > >> O iperf é uma excelente ferramenta de avaliação mas precisa
> saber
> > > > usar e
> > > > > >> também não é a única.  :)
> > > > > >> Seguindo a RFC você pode avaliar melhor isso.
> > > > > >>
> > > > > >> [1] http://www.ietf.org/rfc/rfc2544.txt
> > > > > >>
> > > > > > Outro detalhe que esqueci de comentar: cuidado com o stateful.
> > > Existem
> > > > > > casos em que é melhor o uso de um Firewall stateless. Stateful é
> > bom
> > > > mas
> > > > > os
> > > > > > recursos podem ser consumidos rapidamente em um ataque, por isso
> > todo
> > > > > > cuidado é bom. Se a sua tabela conntrack lotar, acabou seu
> > Firewall.
> > > > > > Se você está pensando em um grande volume de tráfego existem 2
> > coisas
> > > > > > limitantes no hardware: throughput e pps (packet per second) o
> que
> > > > > estourar
> > > > > > primeiro vai parar a sua rede. Por exemplo: imagina uma situação
> > onde
> > > > > você
> > > > > > tem uma interface de rede Gigabit que teoricamente você poderia
> ter
> > > um
> > > > > > tráfego de quase 1Gbps e aí no meio do tráfego de 700Mbps você
> > > percebe
> > > > > que
> > > > > > tudo ficou lento, perdendo pacotes e aí vai ver um tráfego de
> > > 300kpps.
> > > > > > Provavelmente o tráfego real em pps está acima do limite que a
> sua
> > > > > > interface suporta e aí não consegue passar dos 700Mbps. Isso é
> > apenas
> > > > um
> > > > > > exemplo, o RFC vai te ajudar à entender que o pps suportado pode
> > > variar
> > > > > de
> > > > > > acordo com o tamanho do pacote de testes e os fabricantes
> deveriam
> > > > > colocar
> > > > > > isso em seus datasheets mas nem todos fazem isso e alguns até
> > mentem.
> > > > > >
> > > > > > []'s
> > > > > >
> > > > > >
> > > > > >
> > > > > >>>
> > > > > >>> Em 19 de dezembro de 2013 16:18, Eng. Fabio Roberto
> > > > > >>> <ipsolon2005 at gmail.com>escreveu:
> > > > > >>>
> > > > > >>>  corrigindo: está sendo*
> > > > > >>>>
> > > > > >>>> Em 19/12/2013 17:16, Eng. Fabio Roberto escreveu:
> > > > > >>>>
> > > > > >>>>  Leia sobre a RFC2544 e RFC6349, é o que está solicitado* nas
> > > > > ativações
> > > > > >>>>> dos links.
> > > > > >>>>>
> > > > > >>>>>
> > > > > >>>>> Abs
> > > > > >>>>>
> > > > > >>>>> Em 19/12/2013 15:12, Guilherme Loch Waltrick Góes escreveu:
> > > > > >>>>>
> > > > > >>>>>  Recomendo a leitura do Alexandre Moraes sobre o assunto:
> > > > > >>>>>> http://alexandremspmoraes.wordpress.com/2011/05/24/
> > > > > >>>>>> consideracoes-sobre-
> > > > > >>>>>> desempenho-de-firewalls/
> > > > > >>>>>>
> > > > > >>>>>> Att,
> > > > > >>>>>>
> > > > > >>>>>> Guilherme Loch Góes
> > > > > >>>>>>
> > > > > >>>>>>
> > > > > >>>>>> 2013/12/19 Thiago Gomes <thiagomespb at gmail.com>:
> > > > > >>>>>>
> > > > > >>>>>>  Pessoal,
> > > > > >>>>>>>
> > > > > >>>>>>> Quais seriam os parâmetros para medir  throughput de um
> > > hardware
> > > > > para
> > > > > >>>>>>> firewall, por exemplo
> > > > > >>>>>>> tenho um hardware, memoria, placa de rede, gostaria de
> saber
> > > como
> > > > > eu
> > > > > >>>>>>> faço saber
> > > > > >>>>>>> alguns parâmetros que tem em certos applicance .
> > > > > >>>>>>>
> > > > > >>>>>>> Ex,
> > > > > >>>>>>>
> > > > > >>>>>>> http://www.fortinet.com/products/fortigate/40C.html
> > > > > >>>>>>>
> > > > > >>>>>>> --
> > > > > >>>>>>> Thiago Gomes
> > > > > >>>>>>> --
> > > > > >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > >>>>>>>
> > > > > >>>>>>>  --
> > > > > >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>>>>>
> > > > > >>>>>>
> > > > > >>>>>>  --
> > > > > >>>> Eng. Fabio Roberto
> > > > > >>>> *S.O DO BRASIL TELECOMUNICACOES*
> > > > > >>>> /www.superonda.com.br | www.zamix.com.br /
> > > > > >>>> --
> > > > > >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>>>
> > > > > >>>>
> > > > > >>>
> > > > > >>>
> > > > > >>
> > > > > >>  --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Douglas Fernando Fischer
> > > > Engº de Controle e Automação
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list