В своем пресс-релизе Fortinet сравнивает производительность 4200F с всеми выключенными проверками и Palo Alto Networks PA-5260 с включенным контролем приложений. Это абсурд. С тем же успехом можно было сказать, что 800 рублей больше чем 64 доллара, причем, по мнению маркетинга, аж в 8 раз! ) В реальности 4200F выдает в режиме NGFW 40 Гбит/с, то есть в 20 раз меньше, что четко указано в их datasheet:
- 800 Гбит/с — это максимальная пропускная способность Fortinet 4200F в режиме когда вся безопасность выключена: L4 firewall.
- 40 Гбит/с — это максимальная пропускная способность Fortinet 4200F с анализом набора различных приложений L7 (NGFW). Анализ приложений — это сложно, и поэтому скорость устройства падает в 20 раз, о чем они четко пишут сами. Причем это скорость в быстром режиме (Flow Mode). При включении более безопасного для сети режима (Proxy Mode) обычно производительность еще в 2 раза медленнее.
- 64 Гбит/с — максимальная пропускная способность Palo Alto Networks NGFW PA-5260 с анализом набора различных приложений L7.
- 51,5 Гбит/с — максимальная пропускная способность Check Point 28000 c анализом набора различных приложений L7.
Как правильно сравнивать
- включить Application Control, чтобы видеть приложения;
- включить Policy Mode, чтобы писать правила по приложениям;
- включить Proxy Mode или NGFW Mode, чтобы нормально работал антивирус;
- выключить intelligent-mode, чтобы нормально работал IPS.
Вообще, когда мы говорим слово NGFW, главная цель — реализовать важные функции для безопасности, например, заблокировать tor, teamviewer, bittorent, skype. И, конечно, включение дополнительных функций требует больше процессорного времени на их выполнение, что снижает скорость анализа трафика в 20 раз, что и указано в datasheet 4200F и такая же ситуация у всех производителей — это законы физики. Это цена безопасности: те, кто ходил в театр или футбол знают как повлияло на скорость входа введение рамок. Ну и тут вопрос для вас: хотите ли вы пустить бомбу или криптолокер к себе внутрь, используя портовый firewall или хотите остановить угрозы, используя NGFW. Хотите ли вы пропускать все 1300 разных приложений, использующих 443 порт?
Пример: Компания Garmin была атакована криптолокером и все подразделения компаний были остановлены.
Если у вас межсетевой экран, который не проверяет приложения и в сети более 300 хостов, то с большой долей вероятности бомба уже у вас внутри и ждет команды из центра управления. Вы просто об этом не знаете. И я не запугиваю: вижу результаты аудитов. Их сейчас, кстати, все производители делают бесплатно. Например, Check Point или Palo Alto Networks. Обратитесь в вашему партнеру и вы будете лучше знать свою сеть. Бесплатно!
NGFW покупают для защиты сети, поэтому вам нужно выбирать устройство по производительности в режиме защиты. Это важно. И этот параметр указывает каждый производитель (смотрите на параметр Threat Prevention в datasheet). Ведь именно в этом режиме будет работать устройство в вашей сети. Зачем все эти другие скорости в Datasheet? Только сбивают с толку. Что делает NGFW для защиты: ищет туннелирование приложений внутри 443, 80 и 53 порта (которые всегда открыты в сети), в нем работает URL фильтр, IPS и антивирус, и другие движки современные.
Смотреть грамотно при выборе NGFW только в графу Threat Prevention. Все параметры влияющие на производительность в этой графе я перечислил в статье.
От чего зависит скорость NGFW
— тип трафика (SMB, FTP, HTTP, SMTP, DNS, SSL, RTP, SIP);
Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru
Источник — персональный блог Батранкова Дениса «Реальная безопасность».