Маркетинг Fortinet запутался в собственных datasheet

FW и NGFW это разные функции и разная нагрузка, но Fortinet умудрился их приравнять.

В своем пресс-релизе Fortinet сравнивает производительность 4200F с всеми выключенными проверками и Palo Alto Networks PA-5260 с включенным контролем приложений. Это абсурд. С тем же успехом можно было сказать, что 800 рублей больше чем 64 доллара, причем, по мнению маркетинга, аж в 8 раз! ) В реальности 4200F выдает в режиме NGFW 40 Гбит/с, то есть в 20 раз меньше, что четко указано в их datasheet:

Как получается 800 Гбит/с и 40 Гбит/с у одного устройства?

800 Гбит/с — это максимальная пропускная способность Fortinet 4200F в режиме когда вся безопасность выключена: L4 firewall.
40 Гбит/с — это максимальная пропускная способность Fortinet 4200F с анализом набора различных приложений L7 (NGFW). Анализ приложений — это сложно, и поэтому скорость устройства падает в 20 раз, о чем они четко пишут сами. Причем это скорость в быстром режиме (Flow Mode). При включении более безопасного для сети режима (Proxy Mode) обычно производительность еще в 2 раза медленнее.

Отличие L4 firewall от NGFW описано кратко тут и подробно тут.

Для сравнения, скорости анализа L7 других производителей:

64 Гбит/с — максимальная пропускная способность Palo Alto Networks NGFW PA-5260 с анализом набора различных приложений L7.
51,5 Гбит/с — максимальная пропускная способность Check Point 28000 c анализом набора различных приложений L7.

Очевидно, когда делали пресс-релиз, не поняли почему Firewall Throughput Fortinet не то же самое, что Firewall Throughput Palo Alto Networks. Я уверен, технические специалисты Fortinet это понимают.

Важно знать, что тесты производительности у каждого устройства идут на своем наборе приложений, что создает разную нагрузку на процессоры и память. Поэтому сравнивать значения из разных datasheet разных вендоров — некорректно, ведь условия тестирования неравны. Нужно смотреть тесты NSS Labs, где приводятся результаты на одинаковых профилях трафика: финансовом, баз данных, голосовом, видео и др. Выбранный профиль трафика подается через все тестируемые устройства и там уже справедливо можно сравнивать и оценить какая пропускная способность будет в вашей сети.

Еще со школьных уроков физики мы знаем, что сравнивать производительность устройств, делающих разную работу нельзя. FW и NGFW это разные режимы и разная нагрузка.

Еще аналогия, чтобы понять трудозатраты устройства в этих двух разных режимах. Что вы быстрее читаете: заголовок книги или всю книгу? Так вот Fortinet читает только заголовки книг (в режиме L4), в то время как Palo Alto Networks читает всю книгу полностью (в режиме L7). И Fortinet говорит, что читает книги быстрее! Честно ли это?

Как правильно сравнивать

Чтобы стать таким же функциональным NGFW, как Palo Alto Networks, в Fortinet нужно

включить Application Control, чтобы видеть приложения;
включить Policy Mode, чтобы писать правила по приложениям;
включить Proxy Mode или NGFW Mode, чтобы нормально работал антивирус;
выключить intelligent-mode, чтобы нормально работал IPS.

У Palo Alto Networks все проще — там один нужный всем режим защиты.

Вообще, когда мы говорим слово NGFW, главная цель — реализовать важные функции для безопасности, например, заблокировать tor, teamviewer, bittorent, skype. И, конечно, включение дополнительных функций требует больше процессорного времени на их выполнение, что снижает скорость анализа трафика в 20 раз, что и указано в datasheet 4200F и такая же ситуация у всех производителей — это законы физики. Это цена безопасности: те, кто ходил в театр или футбол знают как повлияло на скорость входа введение рамок. Ну и тут вопрос для вас: хотите ли вы пустить бомбу или криптолокер к себе внутрь, используя портовый firewall или хотите остановить угрозы, используя NGFW. Хотите ли вы пропускать все 1300 разных приложений, использующих 443 порт?

Пример: Компания Garmin была атакована криптолокером и все подразделения компаний были остановлены.

Пример: Международная компания Norsk Hydro была атакована криптолокером LockerGoga, остановлены заводы, склады, офисы по всему миру и только облачная почта Office365 осталась функционировать

Если у вас межсетевой экран, который не проверяет приложения и в сети более 300 хостов, то с большой долей вероятности бомба уже у вас внутри и ждет команды из центра управления. Вы просто об этом не знаете. И я не запугиваю: вижу результаты аудитов. Их сейчас, кстати, все производители делают бесплатно. Например, Check Point или Palo Alto Networks. Обратитесь в вашему партнеру и вы будете лучше знать свою сеть. Бесплатно!

Скорость устройства с выключенными функциями — это бесполезный параметр для безопасности сети. Нелепо говорить, что разрешение всех приложений по 443 порту — это безопасно. Вы разрешаете все бот-сети, все прокси, все хакерские утилиты вместе с обычными приложениями, где все файлообменники, вся веб-почта, youtube, другие приложения для голоса и видео. Полный список приложений идущих по 443 порту в реальной сети тут.

NGFW покупают для защиты сети, поэтому вам нужно выбирать устройство по производительности в режиме защиты. Это важно. И этот параметр указывает каждый производитель (смотрите на параметр Threat Prevention в datasheet). Ведь именно в этом режиме будет работать устройство в вашей сети. Зачем все эти другие скорости в Datasheet? Только сбивают с толку. Что делает NGFW для защиты: ищет туннелирование приложений внутри 443, 80 и 53 порта (которые всегда открыты в сети), в нем работает URL фильтр, IPS и антивирус, и другие движки современные.

Смотреть грамотно при выборе NGFW только в графу Threat Prevention. Все параметры влияющие на производительность в этой графе я перечислил в статье.

Всегда задавайте вопрос к условиям измерения производительности в режиме Threat Prevention, потому что все производители измеряют его в специальных условиях на своем наборе приложений и своем наборе транзакций разной длины и бывает, что завышают этот параметр в 2 — 3 раза, что видно по независимым тестам и по работе в вашей сети.

Fortinet в своем маркетинговом datasheet пишет этот самый важный параметр для заказчика Threat Prevention, и он 35 Гбит/с, а в рекламе показывает 800 Гбит/с. И опять же маркетинг пишет, что на этой скорости обеспечивается безопасность! У меня нет слов… Что это: намеренный обман или непрофессионализм? Чувствуют ли они разницу между Firewall Throughput и NGFW Throughput?

От чего зависит скорость NGFW

Важно знать, что максимально возможная скорость передачи данных через одно и то же устройство NGFW в режиме Threat Prevention может отличаться в 10 раз, когда вы подаете трафик сессиями разной длины: короткими или длинными.

Сравните:

1) 10 Гбит за секунду можно прогнать в одной TCP сессии, скачав файл 1,25 Гигабайт одной транзакцией;

2) 10 Гбит за секунду можно прогнать как 10000 TCP сессий, скачав файлы по 125 килобайт.

В роутерах длина сессии TCP не так влияет на пропускную способность, а в устройствах NGFW становится очень критична, потому что в первом случае вы запускаете внутри один раз антивирус + IPS + URL фильтр и т.д., а во втором случае 10000 раз запускаете антивирус + IPS + URL — это более сложная работа, которую надо сделать за одну секунду.

Когда Palo Alto Networks предложила измерять скорость NGFW на одинаковом трафике HTTP с транзакциями длиной 64Кб – все отказались. Поэтому надежда только на независимые тесты NSS Labs и NetSecOpen. Вот, например, тут уже начали публиковать такие тесты на разных размерах транзакций https://www.netsecopen.org/certifications

Существуют еще такие важные параметры как
— тип трафика (SMB, FTP, HTTP, SMTP, DNS, SSL, RTP, SIP);

— число новых соединений в секунду (время на установление соединения HTTP и HTTPS разное);

— одновременное число сессий (память в устройстве фиксирована на хранение таблиц сессий и параметров работы всех приложений).

Однако это тема другой статьи. Stay turned.

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru

Источник — персональный блог Батранкова Дениса «Реальная безопасность».