[GTER] Appliance Firewall UTM

Odilo Schwade Junior odilojuniors at gmail.com
Mon Jun 9 17:32:02 -03 2014 

Estamos há algum tempo estudando e fazendo PoC com Palo Alto e SonicWall.
No inicio comparamos os modelos:
- SonicWall SuperMassive 9400
- Palo Alto 3050

É realmente complicado comparar as soluções de fornecedores diferentes via
datasheet, cada um tem seu tipo de medição, se alguem puder falar o caminho
das pedras para avaliar por favor me informa! Mas acredito que seja como já
comentaram, comparar datasheet não funciona faça PoC.

throughput:
- SonicWall tem um throughput gigante no datasheet, porém engenheiros da
Palo Alto informaram que o teste de datasheet deles é utiilizando RFC 2889
(lan switching test, UDP) e que o do Palo Alto é utilizando tráfego
simulado de tráfego real.

Número de sessões simultâneas:
- SonicWall tem um número gigante de sessões por usuários, porém conforme
vai habilitando features esse numero vai caindo. No datasheet tem que o
número cai de 1.250.000 para 1.000.000 porém encontramos no PoC que
habilitando *todas *as features da caixa caia de 1.250.000 para 375.000.

Número de usuários identificados
- SonicWall tem limitação de numero de usuários identificados
simultaneamente: este numero não tinha no datasheet, por acaso buscando por
uma solução alternativa para user-tracking do SonicWall caímos em uma
solução de um pessoal da NZ (Delve eu acho) que mandou os números de alguns
modelos [1], o Palo Alto não tem essa limitação de usuários.

Identificação de usuários:
- Ambas as soluções se integraram ao método de autenticação em nossa rede,
tanto na rede cabeada tanto na rede WiFi (802.1X).
No PoC não conseguimos com a solução da SonicWall identificar todos (100%)
nossos usuários. A busca de informações de autenticação era feita através
de agentes nos ADs e o controlador da rede sem fio enviava via Radius
Accounting para o SonicWall.
Quanto ao Palo Alto, por limitações de tempo e da nossa solução de rede sem
fio, só conseguimos testar em uma rede paralela a nova versão beta do
firmware da Controladora WiFi que ai validamos a autenticação dos usuários
desta rede paralela.


Por motivos de limitação de número de usuários, pensando em um horizonte de
3 a 5 anos passamos a analisar o SonicWall 9600. Hoje temos em torno de
10.000 usuários simultâneos na rede e com projeções para aumentar de ano em
ano, só nossa rede WiFi de um ano para outro aumentamos de um pico de 4.500
para 7.000 usuários simultâneos (o natal foi bom, viva o android barato).

Ainda em PoCs e conversando com pessoal que tinha as duas soluções,
identificamos que para o momento atual de nossa rede o PA-3050 ia entrar
com pouca folga para crescimento (3 ou 5 anos), com isso também partimos
para o PA-5020.

App Control e AppID
- Nitidamente o módulo do Palo Alto para controle de aplicações é superior
ao do SonicWall.

Flexibilidade
- O Palo Alto é muito flexível comparado ao SonicWall, tanto em debug
quanto em integração. Fiz alguns testes com a API XML e também com alguns
comandos de debug na CLI. Também fizemos um script que lia as informações
de grupos de endereços da nossa solução atual e gerava o XML de
configuração do Palo Alto com endereços e grupos cadastrados atualmente,
foi bem simples.

Manutenção do Equipamento
- Outro ponto que analisamos foi os valores de renovação de licenças de
cada solução, onde neste caso os valores das renovações do Palo Alto são
muito superiores as da SonicWall.
Relatos dos que já estão utilizando PA ou trocaram de FG e SW?

Performance do PoC:
- Tanto PA quanto SW foram OK nas medições que fizemos, nenhum chegou a
passar dos 10% de processamento :)

Infelizmente, com todos estes relatos.. e na dificuldade de fazer um PoC
que realmente nos deixe seguros (não vamos jogar toda a rede para um
ambiente de testes, claro) ainda não conseguimos definir qual a solução que
iremos adotar, com isso também estamos analisando a possibilidade de fazer
um PoC com o FortiGate, na real foi um erro nosso de não ter analisado mais
soluções desde o início do projeto.

Mas ainda não temos uma justificativa, por exemplo: A feature X do Palo
Alto não podemos ficar sem, por isso tem que ser ele. Aos que estão usando
PA, comentários?

Outra questão aos que estão usando Palo Alto, estão com todas as regras
feitas por aplicação? Como está a utilização das regras e a manutenção?



[1]

*Specifications*

*NSA 3600*

*NSA 4600*

*NSA 5600*

*NSA 6600*

*SM 9200*

*SM 9400*

*SM 9600*

SSO Users

500

1000

2500

4,000

7,500

12,000

20,000



2014-06-09 16:46 GMT-03:00 Odilo Schwade Junior <odilojuniors at gmail.com>:

>
> Rodrigo, até hoje estou tentando entender a "real" diferença de UTM e
> NGFW.. poderias explicar?
>
> Uns falam que foi uma jogada de marketing com a Palo Alto e o Gartner para
> "bombar" o PA outros falam que não muda nada.
> Todos que antes eram UTM agora são NGFW, vide SonicWall e os FortiGate
> (atualize para versão X e "tadan" vc tem um NGFW).
>
> Vou escrever um e-mail com relatos de testes de Palo Alto e SonicWall que
> estamos fazendo aqui onde trabalho. Vamos iniciar PoC com FortiGate em
> breve.
>
>
> 2014-06-09 16:29 GMT-03:00 Rodrigo Cesine Soave <rodrigo.cesine at gmail.com>
> :
>
> UTM é uma coisa, NGFW é outra coisa.
>>
>>
>> Em 9 de junho de 2014 16:01, Thiago Gomes <thiagomespb at gmail.com>
>> escreveu:
>>
>> > Ricardo,
>> >
>> > Não confunda Josué com José =.
>> >
>> > Essa comparação que o mantunes mandou é de UTM. esse que vc mandou ai
>> > Network Firewalls
>> > acho que tem uma diferença ai.. não é ?
>> >
>> > Em 9 de junho de 2014 15:53, Ricardo Oliveira <ricardo.btu at gmail.com>
>> > escreveu:
>> > > Que mudança de 2013 para 2014, apesar que a comparação de 2013 é de
>> UTMs.
>> > >
>> >
>> http://www.gartner.com/technology/reprints.do?id=1-1T607HL&ct=140415&st=sb
>> > >
>> > > Obrigado.
>> > > Ricardo Freitas.
>> > >
>> > >
>> > > Em 9 de junho de 2014 15:42, Thiago Gomes <thiagomespb at gmail.com>
>> > escreveu:
>> > >
>> > >> >> desculpe mas "Fortigate e achei muito instável" ? não é o que diz
>> > >> >>
>> > >> >> Gartner's 2013 Magic Quadrant
>> > >> >>
>> > >> >>
>> > >> >>
>> > >> >>
>> > >>
>> >
>> http://www.fortinet.com/resource_center/analyst_reports/gartner-mq-utm-2013.html
>> > >> >
>> > >> >
>> > >> > Se o gerente de arquitetura da sua rede é o Gartner, você tem um
>> > >> problema.
>> > >> >
>> > >>
>> > >> Não vejo problema nenhum as indicações/comparações do Gartner´s.. o
>> > >> que está errado ?
>> > >> --
>> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> >
>> >
>> > --
>> > Thiago Gomes
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>>
>>
>>
>> --
>> Rodrigo Cesine Soave
>> msn: rodrigo_cesine at hotmail.com
>> yahoo: rcesine at yahoo.com
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Odilo Schwade Junior
> @dilojunior <http://twitter.com/juniorsbr>
>



-- 
Odilo Schwade Junior
@dilojunior <http://twitter.com/juniorsbr>

More information about the gter mailing list