[GTER] RES: RES: Appliance Firewall UTM

Michel L. M. B. Perez michelmbperez at gmail.com
Mon Jun 9 22:35:34 -03 2014


Meus 50 centavos, existem os UTM, os NGFW e os FWs.

A maioria dos appliances do mercado é UTM, que quando você habilita todas
as features da caixa a caixa senta, seja ela o tamanho que for cai de 2gb
pra 100Mb num breve exemplo prático.

Entre eles estão Checkpoint, Sonicwall e Fortigate. Falando de caixas UTM.

O único cara que não mente no datasheet realmente é o Palo Alto.

Experiência própria, já testamos todos acima em POC em cliente
consideráveis.

O Palo Alto não é barato, mas entrega bem e aguenta o tranco com tudo
habilitado, o Palo Alto foi um projeto nascido dentro da Cisco pra quem não
sabe, só o Mr. Chambers não deu bola, ele tentou comprar a Palo Alto não
lembro ao certo quantas vezes.

Tanto que hoje a Cisco tem a nova linha de Firewalls ASA-CX pelo lado da
Cisco, com a mesma ideia do Palo Alto.

Eu acho que você tem que avaliar bem o que quer e realmente ponderar cada
produto nas funções que você deseja.

Eu sou fã de carteirinha Cisco, acho o ASA fantástico, tive a oportunidade
de acompanhar POC com Sonicwall, Fortigate e Palo Alto, fiquei muito
surpreso com o Palo Alto em ação. Mas se você tem maquina boa e pouco
orçamento não deixaria de considerar o PfSenSe.

Lembro isso aqui é uma lista, só to constando o que eu já vi. não defendo
produto A ou B, te dei a minha opinião com base no que já testei, existem
diversos produtos bons no mercado, cabe a você escolher aquele que se
adapta melhor ao seu ambiente.

Se quiser trocar uma idéia em PVT, estou a disposição. Beleza?

--
Michel Perez
Skype: michelmbperez
michelmbperez at gmail.com
http://br.linkedin.com/in/michelmbperez


Em 9 de junho de 2014 21:02, João Paulo Sbrissa <joaosbri at picturecorp.com.br
> escreveu:

> Leomar,
>
> Muito interessante a ética com que trabalha... "porém um cliente da
> Picture foi um dos que disseram que não tem comparação e que "FortiGate é
> bem superior""... Em nenhum momento levanto bandeira para marca nenhuma
> (quando me referi disse a MINHA OPINIÃO) e em nenhum momento me referi a
> sua empresa para nenhum tipo de comparação, inclusive achei o POST da
> comparação do PA com SonicWALL do Odilo fantástica... vou utilizar
> inclusive para estudos em nosso laboratório.
>
> Não vou continuar este tópico defendendo a minha bandeira e muito menos
> agredir a sua empresa... a ética com que tratou o assunto é simplesmente
> triste.
>
> Minha opinião já foi dada e espero que responda ou ajude ao POST original.
>
> Sem mais,
>
> João Paulo Sbrissa
>
>
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Leomar Viegas Junior
> Enviada em: segunda-feira, 9 de junho de 2014 18:56
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] RES: Appliance Firewall UTM
>
> Cristiano,
>
> Como talvez você não observou, meu e-mail é particular e aqui deixo minhas
> opiniões particulares.
>
> A empresa que trabalho, que não é minha, revende sim Fortinet, porém eu
> não, correto?
>
> Apenas trabalho com a tecnologia, e gosto dela, e sim a Fortinet errou em
> algumas coisas no passado e aprendeu com os erros.
>
> Quanto ao PaloAlto, tenho curiosidade mas até hoje ninguém conseguiu me
> arrumar sequer uma VM do PAN-OS para eu testar e verificar as
> funcionalidades deste player.
>
> EU particularmente, não curto nem um pouco SonicWall, porém um cliente da
> Picture foi um dos que disseram que não tem comparação e que "FortiGate é
> bem superior".
>
> Não sou comercial nem pré-venda, e sim um técnico que analisa muito bem
> suas opções.
>
> Adoraria trabalhar apenas com o que nunca dê problema, mas isso existe em
> TI? Qual o MTBF do PaloAlto e do FortiGate (exemplo)?
>
> E por aí vai...
>
> Abs.
>
> Leomar Viegas.
>
>
>
>
> 2014-06-09 18:29 GMT-03:00 Cristiano Maynart <cristianomaynart at unisc.br>:
>
> > Cuide a escolha do modelo do PaloAlto, embora o processamento e número
> > de sessões simultâneas tenha folga, o tamanho da tabela ARP (2500) e
> > número de conexões simultâneas Web (webportal) são baixos no 3050.
> > Aqui coloquei um switch router na frente da rede wireless para não
> estourar a tabela ARP.
> >
> > Att.
> >
> > Cristiano Maynart
> >
> >
> > > -----Mensagem original-----
> > > De: gter-bounces at eng.registro.br
> > > [mailto:gter-bounces at eng.registro.br]
> > > Em nome de Odilo Schwade Junior
> > > Enviada em: segunda-feira, 9 de junho de 2014 17:32
> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > Assunto: Re: [GTER] Appliance Firewall UTM
> > >
> > > Estamos há algum tempo estudando e fazendo PoC com Palo Alto e
> > > SonicWall.
> > > No inicio comparamos os modelos:
> > > - SonicWall SuperMassive 9400
> > > - Palo Alto 3050
> > >
> > > É realmente complicado comparar as soluções de fornecedores
> > > diferentes via datasheet, cada um tem seu tipo de medição, se alguem
> > > puder falar o caminho das pedras para avaliar por favor me informa!
> > > Mas acredito que
> > seja
> > > como já comentaram, comparar datasheet não funciona faça PoC.
> > >
> > > throughput:
> > > - SonicWall tem um throughput gigante no datasheet, porém
> > > engenheiros da Palo Alto informaram que o teste de datasheet deles é
> > > utiilizando RFC
> > 2889
> > > (lan switching test, UDP) e que o do Palo Alto é utilizando tráfego
> > simulado
> > > de tráfego real.
> > >
> > > Número de sessões simultâneas:
> > > - SonicWall tem um número gigante de sessões por usuários, porém
> > > conforme vai habilitando features esse numero vai caindo. No
> > > datasheet
> > tem
> > > que o número cai de 1.250.000 para 1.000.000 porém encontramos no
> > > PoC que habilitando *todas *as features da caixa caia de 1.250.000
> > > para
> > 375.000.
> > >
> > > Número de usuários identificados
> > > - SonicWall tem limitação de numero de usuários identificados
> > > simultaneamente: este numero não tinha no datasheet, por acaso
> > > buscando por uma solução alternativa para user-tracking do SonicWall
> > > caímos em uma solução de um pessoal da NZ (Delve eu acho) que mandou
> > > os números de alguns modelos [1], o Palo Alto não tem essa limitação
> de usuários.
> > >
> > > Identificação de usuários:
> > > - Ambas as soluções se integraram ao método de autenticação em nossa
> > > rede, tanto na rede cabeada tanto na rede WiFi (802.1X).
> > > No PoC não conseguimos com a solução da SonicWall identificar todos
> > (100%)
> > > nossos usuários. A busca de informações de autenticação era feita
> > através de
> > > agentes nos ADs e o controlador da rede sem fio enviava via Radius
> > > Accounting para o SonicWall.
> > > Quanto ao Palo Alto, por limitações de tempo e da nossa solução de
> > > rede sem fio, só conseguimos testar em uma rede paralela a nova
> > > versão beta do firmware da Controladora WiFi que ai validamos a
> > > autenticação dos
> > usuários
> > > desta rede paralela.
> > >
> > >
> > > Por motivos de limitação de número de usuários, pensando em um
> > > horizonte de
> > > 3 a 5 anos passamos a analisar o SonicWall 9600. Hoje temos em torno
> > > de
> > > 10.000 usuários simultâneos na rede e com projeções para aumentar de
> > > ano em ano, só nossa rede WiFi de um ano para outro aumentamos de um
> > > pico de 4.500 para 7.000 usuários simultâneos (o natal foi bom, viva
> > > o android barato).
> > >
> > > Ainda em PoCs e conversando com pessoal que tinha as duas soluções,
> > > identificamos que para o momento atual de nossa rede o PA-3050 ia
> > > entrar com pouca folga para crescimento (3 ou 5 anos), com isso
> > > também partimos para o PA-5020.
> > >
> > > App Control e AppID
> > > - Nitidamente o módulo do Palo Alto para controle de aplicações é
> > superior
> > > ao do SonicWall.
> > >
> > > Flexibilidade
> > > - O Palo Alto é muito flexível comparado ao SonicWall, tanto em
> > > debug quanto em integração. Fiz alguns testes com a API XML e também
> > > com alguns comandos de debug na CLI. Também fizemos um script que
> > > lia as informações de grupos de endereços da nossa solução atual e
> > > gerava o XML de configuração do Palo Alto com endereços e grupos
> > > cadastrados atualmente, foi bem simples.
> > >
> > > Manutenção do Equipamento
> > > - Outro ponto que analisamos foi os valores de renovação de licenças
> > > de
> > cada
> > > solução, onde neste caso os valores das renovações do Palo Alto são
> > > muito superiores as da SonicWall.
> > > Relatos dos que já estão utilizando PA ou trocaram de FG e SW?
> > >
> > > Performance do PoC:
> > > - Tanto PA quanto SW foram OK nas medições que fizemos, nenhum
> > > chegou a passar dos 10% de processamento :)
> > >
> > > Infelizmente, com todos estes relatos.. e na dificuldade de fazer um
> > > PoC
> > que
> > > realmente nos deixe seguros (não vamos jogar toda a rede para um
> > > ambiente de testes, claro) ainda não conseguimos definir qual a
> > > solução
> > que
> > > iremos adotar, com isso também estamos analisando a possibilidade de
> > fazer
> > > um PoC com o FortiGate, na real foi um erro nosso de não ter
> > > analisado
> > mais
> > > soluções desde o início do projeto.
> > >
> > > Mas ainda não temos uma justificativa, por exemplo: A feature X do
> > > Palo
> > Alto
> > > não podemos ficar sem, por isso tem que ser ele. Aos que estão
> > > usando PA, comentários?
> > >
> > > Outra questão aos que estão usando Palo Alto, estão com todas as
> > > regras feitas por aplicação? Como está a utilização das regras e a
> manutenção?
> > >
> > >
> > >
> > > [1]
> > >
> > > *Specifications*
> > >
> > > *NSA 3600*
> > >
> > > *NSA 4600*
> > >
> > > *NSA 5600*
> > >
> > > *NSA 6600*
> > >
> > > *SM 9200*
> > >
> > > *SM 9400*
> > >
> > > *SM 9600*
> > >
> > > SSO Users
> > >
> > > 500
> > >
> > > 1000
> > >
> > > 2500
> > >
> > > 4,000
> > >
> > > 7,500
> > >
> > > 12,000
> > >
> > > 20,000
> > >
> > >
> > >
> > > 2014-06-09 16:46 GMT-03:00 Odilo Schwade Junior
> > > <odilojuniors at gmail.com>:
> > >
> > > >
> > > > Rodrigo, até hoje estou tentando entender a "real" diferença de
> > > > UTM e NGFW.. poderias explicar?
> > > >
> > > > Uns falam que foi uma jogada de marketing com a Palo Alto e o
> > > > Gartner para "bombar" o PA outros falam que não muda nada.
> > > > Todos que antes eram UTM agora são NGFW, vide SonicWall e os
> > > > FortiGate (atualize para versão X e "tadan" vc tem um NGFW).
> > > >
> > > > Vou escrever um e-mail com relatos de testes de Palo Alto e
> > > > SonicWall que estamos fazendo aqui onde trabalho. Vamos iniciar
> > > > PoC com FortiGate em breve.
> > > >
> > > >
> > > > 2014-06-09 16:29 GMT-03:00 Rodrigo Cesine Soave
> > > > <rodrigo.cesine at gmail.com>
> > > > :
> > > >
> > > > UTM é uma coisa, NGFW é outra coisa.
> > > >>
> > > >>
> > > >> Em 9 de junho de 2014 16:01, Thiago Gomes <thiagomespb at gmail.com>
> > > >> escreveu:
> > > >>
> > > >> > Ricardo,
> > > >> >
> > > >> > Não confunda Josué com José =.
> > > >> >
> > > >> > Essa comparação que o mantunes mandou é de UTM. esse que vc
> > > mandou
> > > >> > ai Network Firewalls acho que tem uma diferença ai.. não é ?
> > > >> >
> > > >> > Em 9 de junho de 2014 15:53, Ricardo Oliveira
> > > >> > <ricardo.btu at gmail.com>
> > > >> > escreveu:
> > > >> > > Que mudança de 2013 para 2014, apesar que a comparação de
> > > >> > > 2013 é de
> > > >> UTMs.
> > > >> > >
> > > >> >
> > > >> http://www.gartner.com/technology/reprints.do?id=1-
> > > 1T607HL&ct=140415&
> > > >> st=sb
> > > >> > >
> > > >> > > Obrigado.
> > > >> > > Ricardo Freitas.
> > > >> > >
> > > >> > >
> > > >> > > Em 9 de junho de 2014 15:42, Thiago Gomes
> > > <thiagomespb at gmail.com>
> > > >> > escreveu:
> > > >> > >
> > > >> > >> >> desculpe mas "Fortigate e achei muito instável" ? não é o
> > > >> > >> >> que diz
> > > >> > >> >>
> > > >> > >> >> Gartner's 2013 Magic Quadrant
> > > >> > >> >>
> > > >> > >> >>
> > > >> > >> >>
> > > >> > >> >>
> > > >> > >>
> > > >> >
> > > >> http://www.fortinet.com/resource_center/analyst_reports/gartner-m
> > > >> q-
> > > ut
> > > >> m-2013.html
> > > >> > >> >
> > > >> > >> >
> > > >> > >> > Se o gerente de arquitetura da sua rede é o Gartner, você
> > > >> > >> > tem um
> > > >> > >> problema.
> > > >> > >> >
> > > >> > >>
> > > >> > >> Não vejo problema nenhum as indicações/comparações do
> > > >> > >> Gartner´s.. o que está errado ?
> > > >> > >> --
> > > >> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> > >>
> > > >> > > --
> > > >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> >
> > > >> >
> > > >> >
> > > >> > --
> > > >> > Thiago Gomes
> > > >> > --
> > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> >
> > > >>
> > > >>
> > > >>
> > > >> --
> > > >> Rodrigo Cesine Soave
> > > >> msn: rodrigo_cesine at hotmail.com
> > > >> yahoo: rcesine at yahoo.com
> > > >> --
> > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >>
> > > >
> > > >
> > > >
> > > > --
> > > > Odilo Schwade Junior
> > > > @dilojunior <http://twitter.com/juniorsbr>
> > > >
> > >
> > >
> > >
> > > --
> > > Odilo Schwade Junior
> > > @dilojunior <http://twitter.com/juniorsbr>
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Atenciosamente.
>
> Leomar Viegas Junior.
> LPI 2 | MCSA+Security | FCNSP | CompTIA Security+
>
> http://br.linkedin.com/in/leomarviegas/
>
> **********************************************************************
> Informação transmitida destina-se apenas à pessoa a quem foi endereçada e
> pode conter informação confidencial, legalmente protegida e para
> conhecimento exclusivo do destinatário. Se o leitor desta advertência não
> for o seu destinatário, fica ciente de que sua leitura, divulgação ou cópia
> é estritamente proibida. Caso a mensagem tenha sido recebida por engano,
> favor comunicar ao remetente e apagar o texto de qualquer computador.
> **********************************************************************
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list