Маркетинг Fortinet запутался в собственных datasheet

Маркетинг Fortinet запутался в собственных datasheet
FW и NGFW это разные функции и разная нагрузка, но Fortinet умудрился их приравнять


В своем пресс-релизе компания Fortinet заявляет о беспрецедентной скорости модели 4200F в 800 Гбит/с. Однако, они в своем же datasheet показывают, что скорость NGFW 40 Гбит/с.

Как получается 800 Гбит/с и 40 Гбит/с у одного и того же устройства?
  • 800 Гбит/с — это максимальная пропускная способность Fortinet 4200F в режиме L4 firewall.
  • 40 Гбит/с — это максимальная пропускная способность Fortinet 4200F с анализом набора различных приложений L7 (L7 firewall). Анализировать все 100% трафика и различать там приложения - сложно и поэтому скорость устройства падает в 20 раз, о чем они четко пишут сами. Причем измеряют в своем режиме Flow Mode. При включении Proxy Mode обычно еще в 2 раза медленнее.

Отличие L4 от L7 firewall описано кратко тут и подробно тут .

Для сравнения, скорости анализа L7 других производителей:
  • 64 Гбит/с - максимальная пропускная способность Palo Alto Networks NGFW PA-5260 с анализом набора различных приложений L7.
  • 51,5 Гбит/с - максимальная пропускная способность Check Point 28000 c анализом набора различных приложений L7.
Важно знать, что тесты у каждого вендора идут на своем наборе приложений, что создает разные потоки трафика. На разных потоках трафика будет разная максимальная производительность. Поэтому сравнивать даже эти значения скоростей - некорректно, ведь условия тестирования неравны. Нужно смотреть тесты NSS Labs, где как раз приводятся результаты на конкретных профилях трафика: финансовом, баз данных, голосовом, видео и др. Выбранный профиль трафика подается через все тестируемые устройства и там уже справедливо можно сравнивать.

Fortinet рекламирует себя как L4 firewall (FW или портовый firewall). Palo Alto Networks рекламирует себя всегда как L7 firewall (NGFW) - NGFW позволяет сделать приложения L7 критерием политики доступа. И вот эта разница в своем же собственном маркетинге сбила с толку Fortinet: когда делали пресс-релиз, не поняли почему Firewall Throughput Fortinet не то же самое, что Firewall Throughput Palo Alto Networks. Я уверен, технические специалисты Fortinet это понимают.

Еще со школьных уроков физики мы знаем, что сравнивать производительность устройств, делающих разную работу нельзя. FW и NGFW это разные режимы и разная нагрузка.

Еще аналогия, чтобы понять трудозатраты устройства в этих двух разных режимах. Что вы быстрее читаете: заголовок книги или всю книгу? Так вот Fortinet читает только заголовки книг (в режиме L4), в то время как Palo Alto Networks читает всю книгу полностью (в режиме L7). И Fortinet говорит, что прочитал книги как и все! Честно ли это?


В своем пресс-релизе Fortinet сравнивает свою скорость с выключенной безопасностью и скорость Palo Alto Networks в режиме с включенным контролем приложений L7. Это абсурд. С тем же успехом можно было сказать, что 800 рублей больше чем 64 доллара, причем, по мнению Fortinet, аж в 8 раз! )


Как правильно сравнивать NGFW


Чтобы стать таким же функциональным NGFW, как Palo Alto Networks, в Fortinet нужно включить Application Control, Policy Mode, Proxy Mode, выключить загадочный intelligent-mode и так далее. (Черт ногу сломит в этих разных режимах и обычному человеку трудно понять какой mode нужен.) В версии 6.2 появился новый режим: policy-based NGFW mode. У Palo Alto Networks все проще - там один нужный всем режим защиты.

Вообще, покупая NGFW, главная цель заказчика - включить важные функции для безопасности сети. Пропускать все 1300 приложений, использующих 443 порт сегодня нельзя. Заблокировать tor, teamviewer, bittorent, skype по-другому нельзя. И, конечно, включение дополнительных функций требует больше процессорного времени на их выполнение, что снижает скорость пропуска трафика в 20 раз, что и указано в datasheet 4200F и такая же ситуация у всех производителей - это законы физики. Это цена безопасности. Те, кто ходил в театр или футбол знают как повлияло на скорость входа введение рамок. Ну и тут вопрос для вас: хотите ли вы пустить бомбу или криптолокер к себе внутрь или хотите остановить угрозы.

Если у вас межсетевой экран, который не проверяет приложения и в сети более 300 хостов, то с большой долей вероятности бомба уже у вас внутри и ждет команды из центра управления. Вы просто об этом не знаете. И я не запугиваю: вижу результаты аудитов. Их сейчас, кстати, все производители делают бесплатно. Например, Check Point или Palo Alto Networks . Обратитесь в вашему партнеру и вы будете лучше знать свою сеть. Бесплатно!



Скорость устройства с выключенными функциями - это бесполезный параметр для безопасности сети. Нелепо говорить, что разрешение всех приложений по 443 порту - это безопасно. Вы разрешаете все бот-сети, все прокси, все хакерские утилиты вместе с обычными приложениями, где все файлообменники, вся веб-почта, youtube, другие приложения для голоса и видео. Полный список приложений идущих по 443 порту в реальной сети тут .
[

NGFW покупают для защиты сети, поэтому вам нужно выбирать устройство по производительности в режиме защиты. Это важно. И этот параметр указывает каждый производитель (смотрите на надпись Threat Prevention в datasheet). Ведь именно в этом режиме будет работать устройство в вашей сети. Зачем все эти другие скорости в Datasheet? Только сбивают с толку. Что делает NGFW для защиты: ищет туннелирование приложений внутри 443, 80 и 53 порта (которые всегда открыты в сети), в нем работает URL фильтр, IPS и антивирус, и другие движки современные.

Смотреть грамотно при выборе NGFW только в графу Threat Prevention. Все параметры влияющие на производительность в этой графе я перечислил в статье.

Всегда задавайте вопрос к условиям измерения производительности в режиме Threat Prevention, потому что все производители измеряют его в специальных условиях на своем наборе приложений и своем наборе транзакций разной длины и бывает, что завышают этот параметр в 2 - 3 раза, что видно по независимым тестам и по работе в вашей сети.

Fortinet в своем маркетинговом datasheet пишет этот самый важный параметр для заказчика Threat Prevention, и он 35 Гбит/с, а в рекламе показывает 800 Гбит/с. И опять же маркетинг говорит, что на этой скорости обеспечивается безопасность! У меня нет слов… Что это: намеренный обман или непрофессионализм? Чувствуют ли они разницу между Firewall Throughput и NGFW Throughput?



От чего зависит скорость NGFW


Важно знать, что максимально возможная скорость передачи данных через одно и то же устройство NGFW в режиме Threat Prevention может отличаться в 10 раз, когда вы подаете трафик сессиями разной длины: короткими или длинными.

Сравните:
1) 10 Гбит за секунду можно передать в одной TCP сессии, скачав файл 1,25 Гигабайт одной транзакцией;
2) 10 Гбит за секунду можно передать как 10000 TCP сессий, скачав файлы по 125 килобайт.

В роутерах длина сессии TCP не так влияет на пропускную способность, а в устройствах NGFW становится очень критична, потому что в первом случае вы запускаете внутри один раз антивирус + IPS + URL фильтр и т.д., а во втором случае 10000 раз запускаете антивирус + IPS + URL - это более сложная работа, которую надо сделать за одну секунду.

Когда Palo Alto Networks предложила измерять скорость NGFW на одинаковом трафике HTTP с транзакциями длиной 64Кб – все отказались. Поэтому надежда только на независимые тесты NSS Labs и NetSecOpen. Вот, например, тут уже начали публиковать такие тесты на разных размерах транзакций https://www.netsecopen.org/certifications

Существуют еще такие важные параметры как
  • тип трафика (SMB, FTP, HTTP, SMTP, DNS, SSL, RTP, SIP);
  • число новых соединений в секунду (время на установление соединения HTTP и HTTPS разное);
  • одновременное число сессий (память в устройстве фиксирована на хранение таблиц сессий и параметров работы всех приложений).
Однако это тема другой статьи. Stay turned.

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru
NGFW
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ksiva

Пусть будет утренний в честь того, что я его создал утром.