[GTER] RES: Appliance Firewall UTM

[Cristiano Maynart]

Cuide a escolha do modelo do PaloAlto, embora o processamento e número de sessões simultâneas tenha folga, o tamanho da tabela ARP (2500) e número de conexões simultâneas Web (webportal) são baixos no 3050. Aqui coloquei um switch router na frente da rede wireless para não estourar a tabela ARP.

Att.

Cristiano Maynart


> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em nome de Odilo Schwade Junior
> Enviada em: segunda-feira, 9 de junho de 2014 17:32
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Appliance Firewall UTM
> 
> Estamos há algum tempo estudando e fazendo PoC com Palo Alto e
> SonicWall.
> No inicio comparamos os modelos:
> - SonicWall SuperMassive 9400
> - Palo Alto 3050
> 
> É realmente complicado comparar as soluções de fornecedores diferentes
> via datasheet, cada um tem seu tipo de medição, se alguem puder falar o
> caminho das pedras para avaliar por favor me informa! Mas acredito que seja
> como já comentaram, comparar datasheet não funciona faça PoC.
> 
> throughput:
> - SonicWall tem um throughput gigante no datasheet, porém engenheiros da
> Palo Alto informaram que o teste de datasheet deles é utiilizando RFC 2889
> (lan switching test, UDP) e que o do Palo Alto é utilizando tráfego simulado
> de tráfego real.
> 
> Número de sessões simultâneas:
> - SonicWall tem um número gigante de sessões por usuários, porém
> conforme vai habilitando features esse numero vai caindo. No datasheet tem
> que o número cai de 1.250.000 para 1.000.000 porém encontramos no PoC
> que habilitando *todas *as features da caixa caia de 1.250.000 para 375.000.
> 
> Número de usuários identificados
> - SonicWall tem limitação de numero de usuários identificados
> simultaneamente: este numero não tinha no datasheet, por acaso buscando
> por uma solução alternativa para user-tracking do SonicWall caímos em uma
> solução de um pessoal da NZ (Delve eu acho) que mandou os números de
> alguns modelos [1], o Palo Alto não tem essa limitação de usuários.
> 
> Identificação de usuários:
> - Ambas as soluções se integraram ao método de autenticação em nossa
> rede, tanto na rede cabeada tanto na rede WiFi (802.1X).
> No PoC não conseguimos com a solução da SonicWall identificar todos (100%)
> nossos usuários. A busca de informações de autenticação era feita através de
> agentes nos ADs e o controlador da rede sem fio enviava via Radius
> Accounting para o SonicWall.
> Quanto ao Palo Alto, por limitações de tempo e da nossa solução de rede
> sem fio, só conseguimos testar em uma rede paralela a nova versão beta do
> firmware da Controladora WiFi que ai validamos a autenticação dos usuários
> desta rede paralela.
> 
> 
> Por motivos de limitação de número de usuários, pensando em um horizonte
> de
> 3 a 5 anos passamos a analisar o SonicWall 9600. Hoje temos em torno de
> 10.000 usuários simultâneos na rede e com projeções para aumentar de ano
> em ano, só nossa rede WiFi de um ano para outro aumentamos de um pico
> de 4.500 para 7.000 usuários simultâneos (o natal foi bom, viva o android
> barato).
> 
> Ainda em PoCs e conversando com pessoal que tinha as duas soluções,
> identificamos que para o momento atual de nossa rede o PA-3050 ia entrar
> com pouca folga para crescimento (3 ou 5 anos), com isso também partimos
> para o PA-5020.
> 
> App Control e AppID
> - Nitidamente o módulo do Palo Alto para controle de aplicações é superior
> ao do SonicWall.
> 
> Flexibilidade
> - O Palo Alto é muito flexível comparado ao SonicWall, tanto em debug
> quanto em integração. Fiz alguns testes com a API XML e também com alguns
> comandos de debug na CLI. Também fizemos um script que lia as
> informações de grupos de endereços da nossa solução atual e gerava o XML
> de configuração do Palo Alto com endereços e grupos cadastrados
> atualmente, foi bem simples.
> 
> Manutenção do Equipamento
> - Outro ponto que analisamos foi os valores de renovação de licenças de cada
> solução, onde neste caso os valores das renovações do Palo Alto são muito
> superiores as da SonicWall.
> Relatos dos que já estão utilizando PA ou trocaram de FG e SW?
> 
> Performance do PoC:
> - Tanto PA quanto SW foram OK nas medições que fizemos, nenhum chegou
> a passar dos 10% de processamento :)
> 
> Infelizmente, com todos estes relatos.. e na dificuldade de fazer um PoC que
> realmente nos deixe seguros (não vamos jogar toda a rede para um
> ambiente de testes, claro) ainda não conseguimos definir qual a solução que
> iremos adotar, com isso também estamos analisando a possibilidade de fazer
> um PoC com o FortiGate, na real foi um erro nosso de não ter analisado mais
> soluções desde o início do projeto.
> 
> Mas ainda não temos uma justificativa, por exemplo: A feature X do Palo Alto
> não podemos ficar sem, por isso tem que ser ele. Aos que estão usando PA,
> comentários?
> 
> Outra questão aos que estão usando Palo Alto, estão com todas as regras
> feitas por aplicação? Como está a utilização das regras e a manutenção?
> 
> 
> 
> [1]
> 
> *Specifications*
> 
> *NSA 3600*
> 
> *NSA 4600*
> 
> *NSA 5600*
> 
> *NSA 6600*
> 
> *SM 9200*
> 
> *SM 9400*
> 
> *SM 9600*
> 
> SSO Users
> 
> 500
> 
> 1000
> 
> 2500
> 
> 4,000
> 
> 7,500
> 
> 12,000
> 
> 20,000
> 
> 
> 
> 2014-06-09 16:46 GMT-03:00 Odilo Schwade Junior
> <odilojuniors at gmail.com>:
> 
> >
> > Rodrigo, até hoje estou tentando entender a "real" diferença de UTM e
> > NGFW.. poderias explicar?
> >
> > Uns falam que foi uma jogada de marketing com a Palo Alto e o Gartner
> > para "bombar" o PA outros falam que não muda nada.
> > Todos que antes eram UTM agora são NGFW, vide SonicWall e os FortiGate
> > (atualize para versão X e "tadan" vc tem um NGFW).
> >
> > Vou escrever um e-mail com relatos de testes de Palo Alto e SonicWall
> > que estamos fazendo aqui onde trabalho. Vamos iniciar PoC com
> > FortiGate em breve.
> >
> >
> > 2014-06-09 16:29 GMT-03:00 Rodrigo Cesine Soave
> > <rodrigo.cesine at gmail.com>
> > :
> >
> > UTM é uma coisa, NGFW é outra coisa.
> >>
> >>
> >> Em 9 de junho de 2014 16:01, Thiago Gomes <thiagomespb at gmail.com>
> >> escreveu:
> >>
> >> > Ricardo,
> >> >
> >> > Não confunda Josué com José =.
> >> >
> >> > Essa comparação que o mantunes mandou é de UTM. esse que vc
> mandou
> >> > ai Network Firewalls acho que tem uma diferença ai.. não é ?
> >> >
> >> > Em 9 de junho de 2014 15:53, Ricardo Oliveira
> >> > <ricardo.btu at gmail.com>
> >> > escreveu:
> >> > > Que mudança de 2013 para 2014, apesar que a comparação de 2013 é
> >> > > de
> >> UTMs.
> >> > >
> >> >
> >> http://www.gartner.com/technology/reprints.do?id=1-
> 1T607HL&ct=140415&
> >> st=sb
> >> > >
> >> > > Obrigado.
> >> > > Ricardo Freitas.
> >> > >
> >> > >
> >> > > Em 9 de junho de 2014 15:42, Thiago Gomes
> <thiagomespb at gmail.com>
> >> > escreveu:
> >> > >
> >> > >> >> desculpe mas "Fortigate e achei muito instável" ? não é o que
> >> > >> >> diz
> >> > >> >>
> >> > >> >> Gartner's 2013 Magic Quadrant
> >> > >> >>
> >> > >> >>
> >> > >> >>
> >> > >> >>
> >> > >>
> >> >
> >> http://www.fortinet.com/resource_center/analyst_reports/gartner-mq-
> ut
> >> m-2013.html
> >> > >> >
> >> > >> >
> >> > >> > Se o gerente de arquitetura da sua rede é o Gartner, você tem
> >> > >> > um
> >> > >> problema.
> >> > >> >
> >> > >>
> >> > >> Não vejo problema nenhum as indicações/comparações do
> >> > >> Gartner´s.. o que está errado ?
> >> > >> --
> >> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>
> >> > > --
> >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> >
> >> >
> >> > --
> >> > Thiago Gomes
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >
> >>
> >>
> >>
> >> --
> >> Rodrigo Cesine Soave
> >> msn: rodrigo_cesine at hotmail.com
> >> yahoo: rcesine at yahoo.com
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
> > --
> > Odilo Schwade Junior
> > @dilojunior <http://twitter.com/juniorsbr>
> >
> 
> 
> 
> --
> Odilo Schwade Junior
> @dilojunior <http://twitter.com/juniorsbr>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter