[GTER] RES: RES: Appliance Firewall UTM

Odilo Schwade Junior odilojuniors at gmail.com
Tue Jun 10 08:51:26 -03 2014


Eu acredito que o interessante para essa thread é que realmente façam
relatos baseando-se em features e performance de cada solução,
provavelmente muitos de vocês já fizeram vários PoCs para definir a solução
que estão usando atualmente, ou simplesmente fecharam os olhos e falaram
"vamos comprar esse"? Duvido muito.. Quem usa no dia-a-dia a solução deve
ter bons relatos também.

Aqui vale mais a experiência obtida nos PoCs ou no uso diário por técnicos
do que uma revenda puxando peixe para o fornecedor que ela vende. E outra
uma coisa que vi nesse estudo é que toda solução tem um gráfico no Gartner
e no NSS Labs que estão em primeiro, ou seja, na minha opinião usar esses
argumentos são simply bullshit.. Quando falaram que o Gartner não é o
gerente ou da suporte a rede achei muito boa :)

Enfim:

- Breve resumo do seu ambiente de rede e objetivo da troca/aquisição;
- Quais soluções fizeram PoCs?
- Quais foram as métricas utilizadas para comparação?
- Quais foram as diferenças entre as soluções?
- Por fim, qual foi a solução adotada e por que?

Acredito que as respostas destas simples questões ajudariam tanto nosso
colega que iniciou a thread quanto eu ( :) ) e provavelmente vários outros
que estão fazendo analise de soluções ou farão um dia.
É realmente difícil encontrar estas respostas, li diversos fóruns e blogs
gringos e sempre tem um cara que é revenda que acaba puxando pra um ou
outro..

[]'s



2014-06-10 3:57 GMT-03:00 Leomar Viegas Junior <leomar.viegas at gmail.com>:

> Prezado João,
>
> Me desculpe quanto as palavras utilizadas, porém, se um cliente teu fala
> bem de uma solução que vocês vendem, isso não seria bom pra vocês?
> (Estranho você discordar não?)
>
> O PaloAlto até onde eu entendi utiliza engine de IPS para realizar
> controles de aplicações (provavelmente utilizando assinaturas predefinidas
> para isso), porém não posso afirmar pois não realizei nenhum teste ainda do
> PAN-OS.
>
> Quanto a queda de performance em FortiGates deve ser analisada a
> arquitetura do FortiOS antes de mais nada, além é claro da correta
> configuração do "fine tunning" do mesmo. Já cansei de ver vários clientes
> meus, que não foram implantações minhas, com problemas de performance e
> entrando constantemente em "conserve mode" por conta de mal uso ou mal
> dimensionamento dos recursos.
>
> Assim com o Michel, aceito trocar uma idéia em PVT numa boa.
>
> Possuo caixas de firewalls em casa e caso alguém se interesse podemos fazer
> "trocas" para LAB's.
>
> Abs.
>
> Leomar Viegas.
>
>
> 2014-06-09 22:35 GMT-03:00 Michel L. M. B. Perez <michelmbperez at gmail.com
> >:
>
> > Meus 50 centavos, existem os UTM, os NGFW e os FWs.
> >
> > A maioria dos appliances do mercado é UTM, que quando você habilita todas
> > as features da caixa a caixa senta, seja ela o tamanho que for cai de 2gb
> > pra 100Mb num breve exemplo prático.
> >
> > Entre eles estão Checkpoint, Sonicwall e Fortigate. Falando de caixas
> UTM.
> >
> > O único cara que não mente no datasheet realmente é o Palo Alto.
> >
> > Experiência própria, já testamos todos acima em POC em cliente
> > consideráveis.
> >
> > O Palo Alto não é barato, mas entrega bem e aguenta o tranco com tudo
> > habilitado, o Palo Alto foi um projeto nascido dentro da Cisco pra quem
> não
> > sabe, só o Mr. Chambers não deu bola, ele tentou comprar a Palo Alto não
> > lembro ao certo quantas vezes.
> >
> > Tanto que hoje a Cisco tem a nova linha de Firewalls ASA-CX pelo lado da
> > Cisco, com a mesma ideia do Palo Alto.
> >
> > Eu acho que você tem que avaliar bem o que quer e realmente ponderar cada
> > produto nas funções que você deseja.
> >
> > Eu sou fã de carteirinha Cisco, acho o ASA fantástico, tive a
> oportunidade
> > de acompanhar POC com Sonicwall, Fortigate e Palo Alto, fiquei muito
> > surpreso com o Palo Alto em ação. Mas se você tem maquina boa e pouco
> > orçamento não deixaria de considerar o PfSenSe.
> >
> > Lembro isso aqui é uma lista, só to constando o que eu já vi. não defendo
> > produto A ou B, te dei a minha opinião com base no que já testei, existem
> > diversos produtos bons no mercado, cabe a você escolher aquele que se
> > adapta melhor ao seu ambiente.
> >
> > Se quiser trocar uma idéia em PVT, estou a disposição. Beleza?
> >
> > --
> > Michel Perez
> > Skype: michelmbperez
> > michelmbperez at gmail.com
> > http://br.linkedin.com/in/michelmbperez
> >
> >
> > Em 9 de junho de 2014 21:02, João Paulo Sbrissa <
> > joaosbri at picturecorp.com.br
> > > escreveu:
> >
> > > Leomar,
> > >
> > > Muito interessante a ética com que trabalha... "porém um cliente da
> > > Picture foi um dos que disseram que não tem comparação e que
> "FortiGate é
> > > bem superior""... Em nenhum momento levanto bandeira para marca nenhuma
> > > (quando me referi disse a MINHA OPINIÃO) e em nenhum momento me referi
> a
> > > sua empresa para nenhum tipo de comparação, inclusive achei o POST da
> > > comparação do PA com SonicWALL do Odilo fantástica... vou utilizar
> > > inclusive para estudos em nosso laboratório.
> > >
> > > Não vou continuar este tópico defendendo a minha bandeira e muito menos
> > > agredir a sua empresa... a ética com que tratou o assunto é
> simplesmente
> > > triste.
> > >
> > > Minha opinião já foi dada e espero que responda ou ajude ao POST
> > original.
> > >
> > > Sem mais,
> > >
> > > João Paulo Sbrissa
> > >
> > >
> > >
> > >
> > > -----Mensagem original-----
> > > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> > Em
> > > nome de Leomar Viegas Junior
> > > Enviada em: segunda-feira, 9 de junho de 2014 18:56
> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > Assunto: Re: [GTER] RES: Appliance Firewall UTM
> > >
> > > Cristiano,
> > >
> > > Como talvez você não observou, meu e-mail é particular e aqui deixo
> > minhas
> > > opiniões particulares.
> > >
> > > A empresa que trabalho, que não é minha, revende sim Fortinet, porém eu
> > > não, correto?
> > >
> > > Apenas trabalho com a tecnologia, e gosto dela, e sim a Fortinet errou
> em
> > > algumas coisas no passado e aprendeu com os erros.
> > >
> > > Quanto ao PaloAlto, tenho curiosidade mas até hoje ninguém conseguiu me
> > > arrumar sequer uma VM do PAN-OS para eu testar e verificar as
> > > funcionalidades deste player.
> > >
> > > EU particularmente, não curto nem um pouco SonicWall, porém um cliente
> da
> > > Picture foi um dos que disseram que não tem comparação e que
> "FortiGate é
> > > bem superior".
> > >
> > > Não sou comercial nem pré-venda, e sim um técnico que analisa muito bem
> > > suas opções.
> > >
> > > Adoraria trabalhar apenas com o que nunca dê problema, mas isso existe
> em
> > > TI? Qual o MTBF do PaloAlto e do FortiGate (exemplo)?
> > >
> > > E por aí vai...
> > >
> > > Abs.
> > >
> > > Leomar Viegas.
> > >
> > >
> > >
> > >
> > > 2014-06-09 18:29 GMT-03:00 Cristiano Maynart <
> cristianomaynart at unisc.br
> > >:
> > >
> > > > Cuide a escolha do modelo do PaloAlto, embora o processamento e
> número
> > > > de sessões simultâneas tenha folga, o tamanho da tabela ARP (2500) e
> > > > número de conexões simultâneas Web (webportal) são baixos no 3050.
> > > > Aqui coloquei um switch router na frente da rede wireless para não
> > > estourar a tabela ARP.
> > > >
> > > > Att.
> > > >
> > > > Cristiano Maynart
> > > >
> > > >
> > > > > -----Mensagem original-----
> > > > > De: gter-bounces at eng.registro.br
> > > > > [mailto:gter-bounces at eng.registro.br]
> > > > > Em nome de Odilo Schwade Junior
> > > > > Enviada em: segunda-feira, 9 de junho de 2014 17:32
> > > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > > > Assunto: Re: [GTER] Appliance Firewall UTM
> > > > >
> > > > > Estamos há algum tempo estudando e fazendo PoC com Palo Alto e
> > > > > SonicWall.
> > > > > No inicio comparamos os modelos:
> > > > > - SonicWall SuperMassive 9400
> > > > > - Palo Alto 3050
> > > > >
> > > > > É realmente complicado comparar as soluções de fornecedores
> > > > > diferentes via datasheet, cada um tem seu tipo de medição, se
> alguem
> > > > > puder falar o caminho das pedras para avaliar por favor me informa!
> > > > > Mas acredito que
> > > > seja
> > > > > como já comentaram, comparar datasheet não funciona faça PoC.
> > > > >
> > > > > throughput:
> > > > > - SonicWall tem um throughput gigante no datasheet, porém
> > > > > engenheiros da Palo Alto informaram que o teste de datasheet deles
> é
> > > > > utiilizando RFC
> > > > 2889
> > > > > (lan switching test, UDP) e que o do Palo Alto é utilizando tráfego
> > > > simulado
> > > > > de tráfego real.
> > > > >
> > > > > Número de sessões simultâneas:
> > > > > - SonicWall tem um número gigante de sessões por usuários, porém
> > > > > conforme vai habilitando features esse numero vai caindo. No
> > > > > datasheet
> > > > tem
> > > > > que o número cai de 1.250.000 para 1.000.000 porém encontramos no
> > > > > PoC que habilitando *todas *as features da caixa caia de 1.250.000
> > > > > para
> > > > 375.000.
> > > > >
> > > > > Número de usuários identificados
> > > > > - SonicWall tem limitação de numero de usuários identificados
> > > > > simultaneamente: este numero não tinha no datasheet, por acaso
> > > > > buscando por uma solução alternativa para user-tracking do
> SonicWall
> > > > > caímos em uma solução de um pessoal da NZ (Delve eu acho) que
> mandou
> > > > > os números de alguns modelos [1], o Palo Alto não tem essa
> limitação
> > > de usuários.
> > > > >
> > > > > Identificação de usuários:
> > > > > - Ambas as soluções se integraram ao método de autenticação em
> nossa
> > > > > rede, tanto na rede cabeada tanto na rede WiFi (802.1X).
> > > > > No PoC não conseguimos com a solução da SonicWall identificar todos
> > > > (100%)
> > > > > nossos usuários. A busca de informações de autenticação era feita
> > > > através de
> > > > > agentes nos ADs e o controlador da rede sem fio enviava via Radius
> > > > > Accounting para o SonicWall.
> > > > > Quanto ao Palo Alto, por limitações de tempo e da nossa solução de
> > > > > rede sem fio, só conseguimos testar em uma rede paralela a nova
> > > > > versão beta do firmware da Controladora WiFi que ai validamos a
> > > > > autenticação dos
> > > > usuários
> > > > > desta rede paralela.
> > > > >
> > > > >
> > > > > Por motivos de limitação de número de usuários, pensando em um
> > > > > horizonte de
> > > > > 3 a 5 anos passamos a analisar o SonicWall 9600. Hoje temos em
> torno
> > > > > de
> > > > > 10.000 usuários simultâneos na rede e com projeções para aumentar
> de
> > > > > ano em ano, só nossa rede WiFi de um ano para outro aumentamos de
> um
> > > > > pico de 4.500 para 7.000 usuários simultâneos (o natal foi bom,
> viva
> > > > > o android barato).
> > > > >
> > > > > Ainda em PoCs e conversando com pessoal que tinha as duas soluções,
> > > > > identificamos que para o momento atual de nossa rede o PA-3050 ia
> > > > > entrar com pouca folga para crescimento (3 ou 5 anos), com isso
> > > > > também partimos para o PA-5020.
> > > > >
> > > > > App Control e AppID
> > > > > - Nitidamente o módulo do Palo Alto para controle de aplicações é
> > > > superior
> > > > > ao do SonicWall.
> > > > >
> > > > > Flexibilidade
> > > > > - O Palo Alto é muito flexível comparado ao SonicWall, tanto em
> > > > > debug quanto em integração. Fiz alguns testes com a API XML e
> também
> > > > > com alguns comandos de debug na CLI. Também fizemos um script que
> > > > > lia as informações de grupos de endereços da nossa solução atual e
> > > > > gerava o XML de configuração do Palo Alto com endereços e grupos
> > > > > cadastrados atualmente, foi bem simples.
> > > > >
> > > > > Manutenção do Equipamento
> > > > > - Outro ponto que analisamos foi os valores de renovação de
> licenças
> > > > > de
> > > > cada
> > > > > solução, onde neste caso os valores das renovações do Palo Alto são
> > > > > muito superiores as da SonicWall.
> > > > > Relatos dos que já estão utilizando PA ou trocaram de FG e SW?
> > > > >
> > > > > Performance do PoC:
> > > > > - Tanto PA quanto SW foram OK nas medições que fizemos, nenhum
> > > > > chegou a passar dos 10% de processamento :)
> > > > >
> > > > > Infelizmente, com todos estes relatos.. e na dificuldade de fazer
> um
> > > > > PoC
> > > > que
> > > > > realmente nos deixe seguros (não vamos jogar toda a rede para um
> > > > > ambiente de testes, claro) ainda não conseguimos definir qual a
> > > > > solução
> > > > que
> > > > > iremos adotar, com isso também estamos analisando a possibilidade
> de
> > > > fazer
> > > > > um PoC com o FortiGate, na real foi um erro nosso de não ter
> > > > > analisado
> > > > mais
> > > > > soluções desde o início do projeto.
> > > > >
> > > > > Mas ainda não temos uma justificativa, por exemplo: A feature X do
> > > > > Palo
> > > > Alto
> > > > > não podemos ficar sem, por isso tem que ser ele. Aos que estão
> > > > > usando PA, comentários?
> > > > >
> > > > > Outra questão aos que estão usando Palo Alto, estão com todas as
> > > > > regras feitas por aplicação? Como está a utilização das regras e a
> > > manutenção?
> > > > >
> > > > >
> > > > >
> > > > > [1]
> > > > >
> > > > > *Specifications*
> > > > >
> > > > > *NSA 3600*
> > > > >
> > > > > *NSA 4600*
> > > > >
> > > > > *NSA 5600*
> > > > >
> > > > > *NSA 6600*
> > > > >
> > > > > *SM 9200*
> > > > >
> > > > > *SM 9400*
> > > > >
> > > > > *SM 9600*
> > > > >
> > > > > SSO Users
> > > > >
> > > > > 500
> > > > >
> > > > > 1000
> > > > >
> > > > > 2500
> > > > >
> > > > > 4,000
> > > > >
> > > > > 7,500
> > > > >
> > > > > 12,000
> > > > >
> > > > > 20,000
> > > > >
> > > > >
> > > > >
> > > > > 2014-06-09 16:46 GMT-03:00 Odilo Schwade Junior
> > > > > <odilojuniors at gmail.com>:
> > > > >
> > > > > >
> > > > > > Rodrigo, até hoje estou tentando entender a "real" diferença de
> > > > > > UTM e NGFW.. poderias explicar?
> > > > > >
> > > > > > Uns falam que foi uma jogada de marketing com a Palo Alto e o
> > > > > > Gartner para "bombar" o PA outros falam que não muda nada.
> > > > > > Todos que antes eram UTM agora são NGFW, vide SonicWall e os
> > > > > > FortiGate (atualize para versão X e "tadan" vc tem um NGFW).
> > > > > >
> > > > > > Vou escrever um e-mail com relatos de testes de Palo Alto e
> > > > > > SonicWall que estamos fazendo aqui onde trabalho. Vamos iniciar
> > > > > > PoC com FortiGate em breve.
> > > > > >
> > > > > >
> > > > > > 2014-06-09 16:29 GMT-03:00 Rodrigo Cesine Soave
> > > > > > <rodrigo.cesine at gmail.com>
> > > > > > :
> > > > > >
> > > > > > UTM é uma coisa, NGFW é outra coisa.
> > > > > >>
> > > > > >>
> > > > > >> Em 9 de junho de 2014 16:01, Thiago Gomes <
> thiagomespb at gmail.com>
> > > > > >> escreveu:
> > > > > >>
> > > > > >> > Ricardo,
> > > > > >> >
> > > > > >> > Não confunda Josué com José =.
> > > > > >> >
> > > > > >> > Essa comparação que o mantunes mandou é de UTM. esse que vc
> > > > > mandou
> > > > > >> > ai Network Firewalls acho que tem uma diferença ai.. não é ?
> > > > > >> >
> > > > > >> > Em 9 de junho de 2014 15:53, Ricardo Oliveira
> > > > > >> > <ricardo.btu at gmail.com>
> > > > > >> > escreveu:
> > > > > >> > > Que mudança de 2013 para 2014, apesar que a comparação de
> > > > > >> > > 2013 é de
> > > > > >> UTMs.
> > > > > >> > >
> > > > > >> >
> > > > > >> http://www.gartner.com/technology/reprints.do?id=1-
> > > > > 1T607HL&ct=140415&
> > > > > >> st=sb
> > > > > >> > >
> > > > > >> > > Obrigado.
> > > > > >> > > Ricardo Freitas.
> > > > > >> > >
> > > > > >> > >
> > > > > >> > > Em 9 de junho de 2014 15:42, Thiago Gomes
> > > > > <thiagomespb at gmail.com>
> > > > > >> > escreveu:
> > > > > >> > >
> > > > > >> > >> >> desculpe mas "Fortigate e achei muito instável" ? não é
> o
> > > > > >> > >> >> que diz
> > > > > >> > >> >>
> > > > > >> > >> >> Gartner's 2013 Magic Quadrant
> > > > > >> > >> >>
> > > > > >> > >> >>
> > > > > >> > >> >>
> > > > > >> > >> >>
> > > > > >> > >>
> > > > > >> >
> > > > > >>
> http://www.fortinet.com/resource_center/analyst_reports/gartner-m
> > > > > >> q-
> > > > > ut
> > > > > >> m-2013.html
> > > > > >> > >> >
> > > > > >> > >> >
> > > > > >> > >> > Se o gerente de arquitetura da sua rede é o Gartner, você
> > > > > >> > >> > tem um
> > > > > >> > >> problema.
> > > > > >> > >> >
> > > > > >> > >>
> > > > > >> > >> Não vejo problema nenhum as indicações/comparações do
> > > > > >> > >> Gartner´s.. o que está errado ?
> > > > > >> > >> --
> > > > > >> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >> > >>
> > > > > >> > > --
> > > > > >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >> >
> > > > > >> >
> > > > > >> >
> > > > > >> > --
> > > > > >> > Thiago Gomes
> > > > > >> > --
> > > > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >> >
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >> --
> > > > > >> Rodrigo Cesine Soave
> > > > > >> msn: rodrigo_cesine at hotmail.com
> > > > > >> yahoo: rcesine at yahoo.com
> > > > > >> --
> > > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Odilo Schwade Junior
> > > > > > @dilojunior <http://twitter.com/juniorsbr>
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Odilo Schwade Junior
> > > > > @dilojunior <http://twitter.com/juniorsbr>
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > >
> > >
> > > --
> > > Atenciosamente.
> > >
> > > Leomar Viegas Junior.
> > > LPI 2 | MCSA+Security | FCNSP | CompTIA Security+
> > >
> > > http://br.linkedin.com/in/leomarviegas/
> > >
> > > **********************************************************************
> > > Informação transmitida destina-se apenas à pessoa a quem foi
> endereçada e
> > > pode conter informação confidencial, legalmente protegida e para
> > > conhecimento exclusivo do destinatário. Se o leitor desta advertência
> não
> > > for o seu destinatário, fica ciente de que sua leitura, divulgação ou
> > cópia
> > > é estritamente proibida. Caso a mensagem tenha sido recebida por
> engano,
> > > favor comunicar ao remetente e apagar o texto de qualquer computador.
> > > **********************************************************************
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Atenciosamente.
>
> Leomar Viegas Junior.
> LPI 2 | MCSA+Security | FCNSP | CompTIA Security+
>
> http://br.linkedin.com/in/leomarviegas/
>
> **********************************************************************
> Informação transmitida destina-se apenas à pessoa a quem foi endereçada e
> pode conter informação confidencial, legalmente protegida e para
> conhecimento exclusivo do destinatário. Se o leitor desta advertência não
> for o seu destinatário, fica ciente de que sua leitura, divulgação ou cópia
> é estritamente proibida. Caso a mensagem tenha sido recebida por engano,
> favor comunicar ao remetente e apagar o texto de qualquer computador.
> **********************************************************************
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Odilo Schwade Junior
@dilojunior <http://twitter.com/juniorsbr>



More information about the gter mailing list