[GTER] RES: RES: Appliance Firewall UTM

João Paulo Sbrissa joaosbri at picturecorp.com.br
Mon Jun 9 21:02:01 -03 2014 

Leomar,

Muito interessante a ética com que trabalha... "porém um cliente da Picture foi um dos que disseram que não tem comparação e que "FortiGate é bem superior""... Em nenhum momento levanto bandeira para marca nenhuma (quando me referi disse a MINHA OPINIÃO) e em nenhum momento me referi a sua empresa para nenhum tipo de comparação, inclusive achei o POST da comparação do PA com SonicWALL do Odilo fantástica... vou utilizar inclusive para estudos em nosso laboratório.

Não vou continuar este tópico defendendo a minha bandeira e muito menos agredir a sua empresa... a ética com que tratou o assunto é simplesmente triste.

Minha opinião já foi dada e espero que responda ou ajude ao POST original.

Sem mais,

João Paulo Sbrissa


   

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Leomar Viegas Junior
Enviada em: segunda-feira, 9 de junho de 2014 18:56
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Appliance Firewall UTM

Cristiano,

Como talvez você não observou, meu e-mail é particular e aqui deixo minhas opiniões particulares.

A empresa que trabalho, que não é minha, revende sim Fortinet, porém eu não, correto?

Apenas trabalho com a tecnologia, e gosto dela, e sim a Fortinet errou em algumas coisas no passado e aprendeu com os erros.

Quanto ao PaloAlto, tenho curiosidade mas até hoje ninguém conseguiu me arrumar sequer uma VM do PAN-OS para eu testar e verificar as funcionalidades deste player.

EU particularmente, não curto nem um pouco SonicWall, porém um cliente da Picture foi um dos que disseram que não tem comparação e que "FortiGate é bem superior".

Não sou comercial nem pré-venda, e sim um técnico que analisa muito bem suas opções.

Adoraria trabalhar apenas com o que nunca dê problema, mas isso existe em TI? Qual o MTBF do PaloAlto e do FortiGate (exemplo)?

E por aí vai...

Abs.

Leomar Viegas.




2014-06-09 18:29 GMT-03:00 Cristiano Maynart <cristianomaynart at unisc.br>:

> Cuide a escolha do modelo do PaloAlto, embora o processamento e número 
> de sessões simultâneas tenha folga, o tamanho da tabela ARP (2500) e 
> número de conexões simultâneas Web (webportal) são baixos no 3050. 
> Aqui coloquei um switch router na frente da rede wireless para não estourar a tabela ARP.
>
> Att.
>
> Cristiano Maynart
>
>
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br 
> > [mailto:gter-bounces at eng.registro.br]
> > Em nome de Odilo Schwade Junior
> > Enviada em: segunda-feira, 9 de junho de 2014 17:32
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] Appliance Firewall UTM
> >
> > Estamos há algum tempo estudando e fazendo PoC com Palo Alto e 
> > SonicWall.
> > No inicio comparamos os modelos:
> > - SonicWall SuperMassive 9400
> > - Palo Alto 3050
> >
> > É realmente complicado comparar as soluções de fornecedores 
> > diferentes via datasheet, cada um tem seu tipo de medição, se alguem 
> > puder falar o caminho das pedras para avaliar por favor me informa! 
> > Mas acredito que
> seja
> > como já comentaram, comparar datasheet não funciona faça PoC.
> >
> > throughput:
> > - SonicWall tem um throughput gigante no datasheet, porém 
> > engenheiros da Palo Alto informaram que o teste de datasheet deles é 
> > utiilizando RFC
> 2889
> > (lan switching test, UDP) e que o do Palo Alto é utilizando tráfego
> simulado
> > de tráfego real.
> >
> > Número de sessões simultâneas:
> > - SonicWall tem um número gigante de sessões por usuários, porém 
> > conforme vai habilitando features esse numero vai caindo. No 
> > datasheet
> tem
> > que o número cai de 1.250.000 para 1.000.000 porém encontramos no 
> > PoC que habilitando *todas *as features da caixa caia de 1.250.000 
> > para
> 375.000.
> >
> > Número de usuários identificados
> > - SonicWall tem limitação de numero de usuários identificados
> > simultaneamente: este numero não tinha no datasheet, por acaso 
> > buscando por uma solução alternativa para user-tracking do SonicWall 
> > caímos em uma solução de um pessoal da NZ (Delve eu acho) que mandou 
> > os números de alguns modelos [1], o Palo Alto não tem essa limitação de usuários.
> >
> > Identificação de usuários:
> > - Ambas as soluções se integraram ao método de autenticação em nossa 
> > rede, tanto na rede cabeada tanto na rede WiFi (802.1X).
> > No PoC não conseguimos com a solução da SonicWall identificar todos
> (100%)
> > nossos usuários. A busca de informações de autenticação era feita
> através de
> > agentes nos ADs e o controlador da rede sem fio enviava via Radius 
> > Accounting para o SonicWall.
> > Quanto ao Palo Alto, por limitações de tempo e da nossa solução de 
> > rede sem fio, só conseguimos testar em uma rede paralela a nova 
> > versão beta do firmware da Controladora WiFi que ai validamos a 
> > autenticação dos
> usuários
> > desta rede paralela.
> >
> >
> > Por motivos de limitação de número de usuários, pensando em um 
> > horizonte de
> > 3 a 5 anos passamos a analisar o SonicWall 9600. Hoje temos em torno 
> > de
> > 10.000 usuários simultâneos na rede e com projeções para aumentar de 
> > ano em ano, só nossa rede WiFi de um ano para outro aumentamos de um 
> > pico de 4.500 para 7.000 usuários simultâneos (o natal foi bom, viva 
> > o android barato).
> >
> > Ainda em PoCs e conversando com pessoal que tinha as duas soluções, 
> > identificamos que para o momento atual de nossa rede o PA-3050 ia 
> > entrar com pouca folga para crescimento (3 ou 5 anos), com isso 
> > também partimos para o PA-5020.
> >
> > App Control e AppID
> > - Nitidamente o módulo do Palo Alto para controle de aplicações é
> superior
> > ao do SonicWall.
> >
> > Flexibilidade
> > - O Palo Alto é muito flexível comparado ao SonicWall, tanto em 
> > debug quanto em integração. Fiz alguns testes com a API XML e também 
> > com alguns comandos de debug na CLI. Também fizemos um script que 
> > lia as informações de grupos de endereços da nossa solução atual e 
> > gerava o XML de configuração do Palo Alto com endereços e grupos 
> > cadastrados atualmente, foi bem simples.
> >
> > Manutenção do Equipamento
> > - Outro ponto que analisamos foi os valores de renovação de licenças 
> > de
> cada
> > solução, onde neste caso os valores das renovações do Palo Alto são 
> > muito superiores as da SonicWall.
> > Relatos dos que já estão utilizando PA ou trocaram de FG e SW?
> >
> > Performance do PoC:
> > - Tanto PA quanto SW foram OK nas medições que fizemos, nenhum 
> > chegou a passar dos 10% de processamento :)
> >
> > Infelizmente, com todos estes relatos.. e na dificuldade de fazer um 
> > PoC
> que
> > realmente nos deixe seguros (não vamos jogar toda a rede para um 
> > ambiente de testes, claro) ainda não conseguimos definir qual a 
> > solução
> que
> > iremos adotar, com isso também estamos analisando a possibilidade de
> fazer
> > um PoC com o FortiGate, na real foi um erro nosso de não ter 
> > analisado
> mais
> > soluções desde o início do projeto.
> >
> > Mas ainda não temos uma justificativa, por exemplo: A feature X do 
> > Palo
> Alto
> > não podemos ficar sem, por isso tem que ser ele. Aos que estão 
> > usando PA, comentários?
> >
> > Outra questão aos que estão usando Palo Alto, estão com todas as 
> > regras feitas por aplicação? Como está a utilização das regras e a manutenção?
> >
> >
> >
> > [1]
> >
> > *Specifications*
> >
> > *NSA 3600*
> >
> > *NSA 4600*
> >
> > *NSA 5600*
> >
> > *NSA 6600*
> >
> > *SM 9200*
> >
> > *SM 9400*
> >
> > *SM 9600*
> >
> > SSO Users
> >
> > 500
> >
> > 1000
> >
> > 2500
> >
> > 4,000
> >
> > 7,500
> >
> > 12,000
> >
> > 20,000
> >
> >
> >
> > 2014-06-09 16:46 GMT-03:00 Odilo Schwade Junior
> > <odilojuniors at gmail.com>:
> >
> > >
> > > Rodrigo, até hoje estou tentando entender a "real" diferença de 
> > > UTM e NGFW.. poderias explicar?
> > >
> > > Uns falam que foi uma jogada de marketing com a Palo Alto e o 
> > > Gartner para "bombar" o PA outros falam que não muda nada.
> > > Todos que antes eram UTM agora são NGFW, vide SonicWall e os 
> > > FortiGate (atualize para versão X e "tadan" vc tem um NGFW).
> > >
> > > Vou escrever um e-mail com relatos de testes de Palo Alto e 
> > > SonicWall que estamos fazendo aqui onde trabalho. Vamos iniciar 
> > > PoC com FortiGate em breve.
> > >
> > >
> > > 2014-06-09 16:29 GMT-03:00 Rodrigo Cesine Soave 
> > > <rodrigo.cesine at gmail.com>
> > > :
> > >
> > > UTM é uma coisa, NGFW é outra coisa.
> > >>
> > >>
> > >> Em 9 de junho de 2014 16:01, Thiago Gomes <thiagomespb at gmail.com>
> > >> escreveu:
> > >>
> > >> > Ricardo,
> > >> >
> > >> > Não confunda Josué com José =.
> > >> >
> > >> > Essa comparação que o mantunes mandou é de UTM. esse que vc
> > mandou
> > >> > ai Network Firewalls acho que tem uma diferença ai.. não é ?
> > >> >
> > >> > Em 9 de junho de 2014 15:53, Ricardo Oliveira 
> > >> > <ricardo.btu at gmail.com>
> > >> > escreveu:
> > >> > > Que mudança de 2013 para 2014, apesar que a comparação de 
> > >> > > 2013 é de
> > >> UTMs.
> > >> > >
> > >> >
> > >> http://www.gartner.com/technology/reprints.do?id=1-
> > 1T607HL&ct=140415&
> > >> st=sb
> > >> > >
> > >> > > Obrigado.
> > >> > > Ricardo Freitas.
> > >> > >
> > >> > >
> > >> > > Em 9 de junho de 2014 15:42, Thiago Gomes
> > <thiagomespb at gmail.com>
> > >> > escreveu:
> > >> > >
> > >> > >> >> desculpe mas "Fortigate e achei muito instável" ? não é o 
> > >> > >> >> que diz
> > >> > >> >>
> > >> > >> >> Gartner's 2013 Magic Quadrant
> > >> > >> >>
> > >> > >> >>
> > >> > >> >>
> > >> > >> >>
> > >> > >>
> > >> >
> > >> http://www.fortinet.com/resource_center/analyst_reports/gartner-m
> > >> q-
> > ut
> > >> m-2013.html
> > >> > >> >
> > >> > >> >
> > >> > >> > Se o gerente de arquitetura da sua rede é o Gartner, você 
> > >> > >> > tem um
> > >> > >> problema.
> > >> > >> >
> > >> > >>
> > >> > >> Não vejo problema nenhum as indicações/comparações do 
> > >> > >> Gartner´s.. o que está errado ?
> > >> > >> --
> > >> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> > >>
> > >> > > --
> > >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >
> > >> >
> > >> >
> > >> > --
> > >> > Thiago Gomes
> > >> > --
> > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >
> > >>
> > >>
> > >>
> > >> --
> > >> Rodrigo Cesine Soave
> > >> msn: rodrigo_cesine at hotmail.com
> > >> yahoo: rcesine at yahoo.com
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>
> > >
> > >
> > >
> > > --
> > > Odilo Schwade Junior
> > > @dilojunior <http://twitter.com/juniorsbr>
> > >
> >
> >
> >
> > --
> > Odilo Schwade Junior
> > @dilojunior <http://twitter.com/juniorsbr>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



--
Atenciosamente.

Leomar Viegas Junior.
LPI 2 | MCSA+Security | FCNSP | CompTIA Security+

http://br.linkedin.com/in/leomarviegas/

**********************************************************************
Informação transmitida destina-se apenas à pessoa a quem foi endereçada e pode conter informação confidencial, legalmente protegida e para conhecimento exclusivo do destinatário. Se o leitor desta advertência não for o seu destinatário, fica ciente de que sua leitura, divulgação ou cópia é estritamente proibida. Caso a mensagem tenha sido recebida por engano, favor comunicar ao remetente e apagar o texto de qualquer computador.
**********************************************************************
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list