Маркетинг Fortinet запутался в собственных datasheet

Дата: 08.12.2020. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
Маркетинг Fortinet запутался в собственных datasheet

FW и NGFW это разные функции и разная нагрузка, но Fortinet умудрился их приравнять.



В своем пресс-релизе Fortinet сравнивает производительность 4200F с всеми выключенными проверками и Palo Alto Networks PA-5260 с включенным контролем приложений. Это абсурд. С тем же успехом можно было сказать, что 800 рублей больше чем 64 доллара, причем, по мнению маркетинга, аж в 8 раз! ) В реальности 4200F выдает в режиме NGFW 40 Гбит/с, то есть в 20 раз меньше, что четко указано в их datasheet
Как получается 800 Гбит/с и 40 Гбит/с у одного устройства? 
  • 800 Гбит/с — это максимальная пропускная способность Fortinet 4200F в режиме когда вся безопасность выключена: L4 firewall.
  • 40 Гбит/с — это максимальная пропускная способность Fortinet 4200F с анализом набора различных приложений L7 (NGFW). Анализ приложений — это сложно, и поэтому скорость устройства падает в 20 раз, о чем они четко пишут сами. Причем это скорость в быстром режиме (Flow Mode). При включении более безопасного для сети режима (Proxy Mode) обычно производительность еще в 2 раза медленнее. 
Отличие L4 firewall от NGFW описано кратко тут и подробно тут

Для сравнения, скорости анализа L7 других производителей:
  • 64 Гбит/с — максимальная пропускная способность Palo Alto Networks NGFW PA-5260 с анализом набора различных приложений L7.
  • 51,5 Гбит/с — максимальная пропускная способность Check Point 28000 c анализом набора различных приложений L7.
Очевидно, когда делали пресс-релиз, не поняли почему Firewall Throughput Fortinet не то же самое, что Firewall Throughput  Palo Alto Networks. Я уверен, технические специалисты Fortinet это понимают.
Важно знать, что тесты производительности у каждого устройства идут на своем наборе приложений, что создает разную нагрузку на процессоры и память. Поэтому сравнивать значения из разных datasheet разных вендоров — некорректно, ведь условия тестирования неравны. Нужно смотреть тесты NSS Labs, где приводятся результаты на одинаковых профилях трафика: финансовом, баз данных, голосовом, видео и др. Выбранный профиль трафика подается через все тестируемые устройства и там уже справедливо можно сравнивать и оценить какая пропускная способность будет в вашей сети.
Еще со школьных уроков физики мы знаем, что сравнивать производительность устройств, делающих разную работу нельзя. FW и NGFW это разные режимы и разная нагрузка. 

Еще аналогия, чтобы понять трудозатраты устройства в этих двух разных режимах. Что вы быстрее читаете: заголовок книги или всю книгу? Так вот Fortinet читает только заголовки книг (в режиме L4), в то время как Palo Alto Networks читает всю книгу полностью (в режиме L7). И Fortinet говорит, что читает книги быстрее! Честно ли это? 

Как правильно сравнивать

Чтобы стать таким же функциональным NGFW, как Palo Alto Networks, в Fortinet нужно 

  • включить Application Control, чтобы видеть приложения;
  • включить Policy Mode, чтобы писать правила по приложениям;
  • включить Proxy Mode или NGFW Mode, чтобы нормально работал антивирус;
  • выключить intelligent-mode, чтобы нормально работал IPS. 

У Palo Alto Networks все проще — там один нужный всем режим защиты.

Вообще, когда мы говорим слово NGFW, главная цель — реализовать важные функции для безопасности, например, заблокировать tor, teamviewer, bittorent, skype. И, конечно, включение дополнительных функций требует больше процессорного времени на их выполнение, что снижает скорость анализа трафика в 20 раз, что и указано в datasheet 4200F и такая же ситуация у всех производителей — это законы физики. Это цена безопасности: те, кто ходил в театр или футбол знают как повлияло на скорость входа введение рамок. Ну и тут вопрос для вас: хотите ли вы пустить бомбу или криптолокер к себе внутрь, используя портовый firewall или хотите остановить угрозы, используя NGFW. Хотите ли вы пропускать все 1300 разных приложений, использующих 443 порт? 

Пример: Компания Garmin была атакована криптолокером и все подразделения компаний были остановлены. 


Пример: Международная компания Norsk Hydro была атакована криптолокером LockerGoga, остановлены заводы, склады, офисы по всему миру и только облачная почта Office365 осталась функционировать

Если у вас межсетевой экран, который не проверяет приложения и в сети более 300 хостов, то с большой долей вероятности бомба уже у вас внутри и ждет команды из центра управления. Вы просто об этом не знаете. И я не запугиваю: вижу результаты аудитов. Их сейчас, кстати, все производители делают бесплатно. Например, Check Point или Palo Alto Networks. Обратитесь в вашему партнеру и вы будете лучше знать свою сеть. Бесплатно!


Скорость устройства с выключенными функциями — это бесполезный параметр для безопасности сети. Нелепо говорить, что разрешение всех приложений по 443 порту — это безопасно. Вы разрешаете все бот-сети, все прокси, все хакерские утилиты вместе с обычными приложениями, где все файлообменники, вся веб-почта, youtube, другие приложения для голоса и видео. Полный список приложений идущих по 443 порту в реальной сети тут.

NGFW покупают для защиты сети, поэтому вам нужно выбирать устройство по производительности в режиме защиты. Это важно. И этот параметр указывает каждый производитель (смотрите на параметр Threat Prevention в datasheet). Ведь именно в этом режиме будет работать устройство в вашей сети. Зачем все эти другие скорости в Datasheet? Только сбивают с толку. Что делает NGFW для защиты: ищет туннелирование приложений внутри 443, 80 и 53 порта (которые всегда открыты в сети), в нем работает URL фильтр, IPS и антивирус, и другие движки современные. 

Смотреть грамотно при выборе NGFW только в графу Threat Prevention. Все параметры влияющие на производительность в этой графе я перечислил в статье.


Всегда задавайте вопрос к условиям измерения производительности в режиме Threat Prevention, потому что все производители измеряют его в специальных условиях на своем наборе приложений и своем наборе транзакций разной длины и бывает, что завышают этот параметр в 2 — 3 раза, что видно по независимым тестам и по работе в вашей сети.

Fortinet в своем маркетинговом datasheet пишет этот самый важный параметр для заказчика Threat Prevention, и он 35 Гбит/с, а в рекламе показывает 800 Гбит/с. И опять же маркетинг пишет, что на этой скорости обеспечивается безопасность! У меня нет слов… Что это: намеренный обман или непрофессионализм? Чувствуют ли они разницу между Firewall Throughput и NGFW Throughput?

От чего зависит скорость NGFW


Важно знать, что максимально возможная скорость передачи данных через одно и то же устройство NGFW в режиме Threat Prevention может отличаться в 10 раз, когда вы подаете трафик сессиями разной длины: короткими или длинными. 

Сравните:
1) 10 Гбит за секунду можно прогнать в одной TCP сессии, скачав файл 1,25 Гигабайт одной транзакцией;
2) 10 Гбит за секунду можно прогнать как 10000 TCP сессий, скачав файлы по 125 килобайт. 

В роутерах длина сессии TCP не так влияет на пропускную способность, а в устройствах NGFW становится очень критична, потому что в первом случае вы запускаете внутри один раз антивирус + IPS + URL фильтр и т.д., а во втором случае 10000 раз запускаете антивирус + IPS + URL — это более сложная работа, которую надо сделать за одну секунду.

Когда Palo Alto Networks предложила измерять скорость NGFW на одинаковом трафике HTTP с транзакциями длиной 64Кб – все отказались. Поэтому надежда только на независимые тесты NSS Labs и NetSecOpen. Вот, например, тут уже начали публиковать такие тесты на разных размерах транзакций https://www.netsecopen.org/certifications

Существуют еще такие важные параметры как
— тип трафика (SMB, FTP, HTTP, SMTP, DNS, SSL, RTP, SIP);
— число новых соединений в секунду (время на установление соединения HTTP и HTTPS разное);
— одновременное число сессий (память в устройстве фиксирована на хранение таблиц сессий и параметров работы всех приложений).

Однако это тема другой статьи. Stay turned.

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru



Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *