[GTER] RES: Appliance Firewall UTM

Leomar Viegas Junior leomar.viegas at gmail.com
Mon Jun 9 18:55:50 -03 2014


Cristiano,

Como talvez você não observou, meu e-mail é particular e aqui deixo minhas
opiniões particulares.

A empresa que trabalho, que não é minha, revende sim Fortinet, porém eu
não, correto?

Apenas trabalho com a tecnologia, e gosto dela, e sim a Fortinet errou em
algumas coisas no passado e aprendeu com os erros.

Quanto ao PaloAlto, tenho curiosidade mas até hoje ninguém conseguiu me
arrumar sequer uma VM do PAN-OS para eu testar e verificar as
funcionalidades deste player.

EU particularmente, não curto nem um pouco SonicWall, porém um cliente da
Picture foi um dos que disseram que não tem comparação e que "FortiGate é
bem superior".

Não sou comercial nem pré-venda, e sim um técnico que analisa muito bem
suas opções.

Adoraria trabalhar apenas com o que nunca dê problema, mas isso existe em
TI? Qual o MTBF do PaloAlto e do FortiGate (exemplo)?

E por aí vai...

Abs.

Leomar Viegas.




2014-06-09 18:29 GMT-03:00 Cristiano Maynart <cristianomaynart at unisc.br>:

> Cuide a escolha do modelo do PaloAlto, embora o processamento e número de
> sessões simultâneas tenha folga, o tamanho da tabela ARP (2500) e número de
> conexões simultâneas Web (webportal) são baixos no 3050. Aqui coloquei um
> switch router na frente da rede wireless para não estourar a tabela ARP.
>
> Att.
>
> Cristiano Maynart
>
>
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> > Em nome de Odilo Schwade Junior
> > Enviada em: segunda-feira, 9 de junho de 2014 17:32
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] Appliance Firewall UTM
> >
> > Estamos há algum tempo estudando e fazendo PoC com Palo Alto e
> > SonicWall.
> > No inicio comparamos os modelos:
> > - SonicWall SuperMassive 9400
> > - Palo Alto 3050
> >
> > É realmente complicado comparar as soluções de fornecedores diferentes
> > via datasheet, cada um tem seu tipo de medição, se alguem puder falar o
> > caminho das pedras para avaliar por favor me informa! Mas acredito que
> seja
> > como já comentaram, comparar datasheet não funciona faça PoC.
> >
> > throughput:
> > - SonicWall tem um throughput gigante no datasheet, porém engenheiros da
> > Palo Alto informaram que o teste de datasheet deles é utiilizando RFC
> 2889
> > (lan switching test, UDP) e que o do Palo Alto é utilizando tráfego
> simulado
> > de tráfego real.
> >
> > Número de sessões simultâneas:
> > - SonicWall tem um número gigante de sessões por usuários, porém
> > conforme vai habilitando features esse numero vai caindo. No datasheet
> tem
> > que o número cai de 1.250.000 para 1.000.000 porém encontramos no PoC
> > que habilitando *todas *as features da caixa caia de 1.250.000 para
> 375.000.
> >
> > Número de usuários identificados
> > - SonicWall tem limitação de numero de usuários identificados
> > simultaneamente: este numero não tinha no datasheet, por acaso buscando
> > por uma solução alternativa para user-tracking do SonicWall caímos em uma
> > solução de um pessoal da NZ (Delve eu acho) que mandou os números de
> > alguns modelos [1], o Palo Alto não tem essa limitação de usuários.
> >
> > Identificação de usuários:
> > - Ambas as soluções se integraram ao método de autenticação em nossa
> > rede, tanto na rede cabeada tanto na rede WiFi (802.1X).
> > No PoC não conseguimos com a solução da SonicWall identificar todos
> (100%)
> > nossos usuários. A busca de informações de autenticação era feita
> através de
> > agentes nos ADs e o controlador da rede sem fio enviava via Radius
> > Accounting para o SonicWall.
> > Quanto ao Palo Alto, por limitações de tempo e da nossa solução de rede
> > sem fio, só conseguimos testar em uma rede paralela a nova versão beta do
> > firmware da Controladora WiFi que ai validamos a autenticação dos
> usuários
> > desta rede paralela.
> >
> >
> > Por motivos de limitação de número de usuários, pensando em um horizonte
> > de
> > 3 a 5 anos passamos a analisar o SonicWall 9600. Hoje temos em torno de
> > 10.000 usuários simultâneos na rede e com projeções para aumentar de ano
> > em ano, só nossa rede WiFi de um ano para outro aumentamos de um pico
> > de 4.500 para 7.000 usuários simultâneos (o natal foi bom, viva o android
> > barato).
> >
> > Ainda em PoCs e conversando com pessoal que tinha as duas soluções,
> > identificamos que para o momento atual de nossa rede o PA-3050 ia entrar
> > com pouca folga para crescimento (3 ou 5 anos), com isso também partimos
> > para o PA-5020.
> >
> > App Control e AppID
> > - Nitidamente o módulo do Palo Alto para controle de aplicações é
> superior
> > ao do SonicWall.
> >
> > Flexibilidade
> > - O Palo Alto é muito flexível comparado ao SonicWall, tanto em debug
> > quanto em integração. Fiz alguns testes com a API XML e também com alguns
> > comandos de debug na CLI. Também fizemos um script que lia as
> > informações de grupos de endereços da nossa solução atual e gerava o XML
> > de configuração do Palo Alto com endereços e grupos cadastrados
> > atualmente, foi bem simples.
> >
> > Manutenção do Equipamento
> > - Outro ponto que analisamos foi os valores de renovação de licenças de
> cada
> > solução, onde neste caso os valores das renovações do Palo Alto são muito
> > superiores as da SonicWall.
> > Relatos dos que já estão utilizando PA ou trocaram de FG e SW?
> >
> > Performance do PoC:
> > - Tanto PA quanto SW foram OK nas medições que fizemos, nenhum chegou
> > a passar dos 10% de processamento :)
> >
> > Infelizmente, com todos estes relatos.. e na dificuldade de fazer um PoC
> que
> > realmente nos deixe seguros (não vamos jogar toda a rede para um
> > ambiente de testes, claro) ainda não conseguimos definir qual a solução
> que
> > iremos adotar, com isso também estamos analisando a possibilidade de
> fazer
> > um PoC com o FortiGate, na real foi um erro nosso de não ter analisado
> mais
> > soluções desde o início do projeto.
> >
> > Mas ainda não temos uma justificativa, por exemplo: A feature X do Palo
> Alto
> > não podemos ficar sem, por isso tem que ser ele. Aos que estão usando PA,
> > comentários?
> >
> > Outra questão aos que estão usando Palo Alto, estão com todas as regras
> > feitas por aplicação? Como está a utilização das regras e a manutenção?
> >
> >
> >
> > [1]
> >
> > *Specifications*
> >
> > *NSA 3600*
> >
> > *NSA 4600*
> >
> > *NSA 5600*
> >
> > *NSA 6600*
> >
> > *SM 9200*
> >
> > *SM 9400*
> >
> > *SM 9600*
> >
> > SSO Users
> >
> > 500
> >
> > 1000
> >
> > 2500
> >
> > 4,000
> >
> > 7,500
> >
> > 12,000
> >
> > 20,000
> >
> >
> >
> > 2014-06-09 16:46 GMT-03:00 Odilo Schwade Junior
> > <odilojuniors at gmail.com>:
> >
> > >
> > > Rodrigo, até hoje estou tentando entender a "real" diferença de UTM e
> > > NGFW.. poderias explicar?
> > >
> > > Uns falam que foi uma jogada de marketing com a Palo Alto e o Gartner
> > > para "bombar" o PA outros falam que não muda nada.
> > > Todos que antes eram UTM agora são NGFW, vide SonicWall e os FortiGate
> > > (atualize para versão X e "tadan" vc tem um NGFW).
> > >
> > > Vou escrever um e-mail com relatos de testes de Palo Alto e SonicWall
> > > que estamos fazendo aqui onde trabalho. Vamos iniciar PoC com
> > > FortiGate em breve.
> > >
> > >
> > > 2014-06-09 16:29 GMT-03:00 Rodrigo Cesine Soave
> > > <rodrigo.cesine at gmail.com>
> > > :
> > >
> > > UTM é uma coisa, NGFW é outra coisa.
> > >>
> > >>
> > >> Em 9 de junho de 2014 16:01, Thiago Gomes <thiagomespb at gmail.com>
> > >> escreveu:
> > >>
> > >> > Ricardo,
> > >> >
> > >> > Não confunda Josué com José =.
> > >> >
> > >> > Essa comparação que o mantunes mandou é de UTM. esse que vc
> > mandou
> > >> > ai Network Firewalls acho que tem uma diferença ai.. não é ?
> > >> >
> > >> > Em 9 de junho de 2014 15:53, Ricardo Oliveira
> > >> > <ricardo.btu at gmail.com>
> > >> > escreveu:
> > >> > > Que mudança de 2013 para 2014, apesar que a comparação de 2013 é
> > >> > > de
> > >> UTMs.
> > >> > >
> > >> >
> > >> http://www.gartner.com/technology/reprints.do?id=1-
> > 1T607HL&ct=140415&
> > >> st=sb
> > >> > >
> > >> > > Obrigado.
> > >> > > Ricardo Freitas.
> > >> > >
> > >> > >
> > >> > > Em 9 de junho de 2014 15:42, Thiago Gomes
> > <thiagomespb at gmail.com>
> > >> > escreveu:
> > >> > >
> > >> > >> >> desculpe mas "Fortigate e achei muito instável" ? não é o que
> > >> > >> >> diz
> > >> > >> >>
> > >> > >> >> Gartner's 2013 Magic Quadrant
> > >> > >> >>
> > >> > >> >>
> > >> > >> >>
> > >> > >> >>
> > >> > >>
> > >> >
> > >> http://www.fortinet.com/resource_center/analyst_reports/gartner-mq-
> > ut
> > >> m-2013.html
> > >> > >> >
> > >> > >> >
> > >> > >> > Se o gerente de arquitetura da sua rede é o Gartner, você tem
> > >> > >> > um
> > >> > >> problema.
> > >> > >> >
> > >> > >>
> > >> > >> Não vejo problema nenhum as indicações/comparações do
> > >> > >> Gartner´s.. o que está errado ?
> > >> > >> --
> > >> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> > >>
> > >> > > --
> > >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >
> > >> >
> > >> >
> > >> > --
> > >> > Thiago Gomes
> > >> > --
> > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >
> > >>
> > >>
> > >>
> > >> --
> > >> Rodrigo Cesine Soave
> > >> msn: rodrigo_cesine at hotmail.com
> > >> yahoo: rcesine at yahoo.com
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>
> > >
> > >
> > >
> > > --
> > > Odilo Schwade Junior
> > > @dilojunior <http://twitter.com/juniorsbr>
> > >
> >
> >
> >
> > --
> > Odilo Schwade Junior
> > @dilojunior <http://twitter.com/juniorsbr>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Atenciosamente.

Leomar Viegas Junior.
LPI 2 | MCSA+Security | FCNSP | CompTIA Security+

http://br.linkedin.com/in/leomarviegas/

**********************************************************************
Informação transmitida destina-se apenas à pessoa a quem foi endereçada e
pode conter informação confidencial, legalmente protegida e para
conhecimento exclusivo do destinatário. Se o leitor desta advertência não
for o seu destinatário, fica ciente de que sua leitura, divulgação ou cópia
é estritamente proibida. Caso a mensagem tenha sido recebida por engano,
favor comunicar ao remetente e apagar o texto de qualquer computador.
**********************************************************************



More information about the gter mailing list