NGFW Gua para dimensionar Firewall de nueva generacin

Guia para dimensionar Firewall/UTM/NGFW

Objetivo

EL propsito de esta gua es comentar y entender los parmetros necesarios para
dimensionar firewalls , sistemas UTM (Unified Threat Management) y NGFW, para
diferentes escenarios. Esta gua es til tanto para los Consultores Comerciales de
integradores como para los propios clientes, para que puedan especificar la solucin
apropiada para su entorno. La explicacin es terica pero tambin se utiliza un ejemplo
de un cliente con 300 usuarios.
En cualquier caso solo pretende ser una GUIA bsica, ante cualquier duda o complejidad
en el anlisis, es fundamental consultar con los PREVENTAS CERTIFICADOS para
que nos ayuden en el dimensionamiento.





Autores
Jean-Marc Catalaa : Dell SonicWALL Argentina
Nicasio de Toms: Dell Sonicwall Espaa (revisin 1.1 2 revisin)





Revisin





Revison

Fecha

Autores

Decripcion

1.1

20/06/2012

J ean-Marc Catalaa
Nicasio de Toms

2 Revisin
Realizada por Nicasio de Toms
Introduccin
2 Dell Sonicwall Gua rpida para dimensionar NGFW




NDICE:

INTRODUCCIN ........................................................................................................................... 3

QUE ES UN UTM? Y CUAL ES LA DIFERENCIA CON UN FIREWALL?.NGFW?? .............. 3
FIREWALL ,UTM Y NGFW.................................................................. 3
VALORES REQUERIDOS PARA EL ANLISIS ..........................................................................3

CONSIDERACIN 1: RENDIMIENTO ....................................................................................... 4

RENDIMIENTO DE FIREWALL...................................................................................................... 4
RENDIMIENTO DE UTM Y NGFW.....................................................................................:........... 4

CONSIDERACIN 2: CONEXIONES MXIMAS CONCURRENTES................................... 5

CONEXIONES CONCURRENTES POR USUARIO ................................................................:...... 5
CONEXIONES CONCURRENTES MXIMAS DE FIREWALL................................................... 5
CONEXIONES CONCURRENTES MXIMAS DE UTM/ NGFW................................................. 5

CONSIDERACIN 3: TOPOLOGA .............................................................................................. 6

TOPOLOGA TOTALMENTE PERIMETRAL ........................................................................:........ 6
TOPOLOGA CON ZONAS DE SEGURIDAD ................................................................................. 6

CONSIDERACIN 4: OTROS ELEMENTOS............................................................................... 7

FUNCIONALIDADES .........................................................................................................................7
DPI-SSL .................................................................................................................................................7
CAMBIOS Y CRECIMIENTO FUTURO ............................................................................................7


EJEMPLO PRCTICO.. .................................................................................................................. 7

EJ EMPLO 1: PARA 300 USUARIOS ................................................................................................. 7
La Gua Rpida ..8
Topologa Totalmente Perimetral......................................................................................................... 8
Topologa con DMZ ............................................................................................................................. 8

CONCLUSIN ................................................................................................................................... 8

DIMENSIONAMIENTOS RPIDOS............................................................................................... 8
Introduccin
3 Dell Sonicwall Gua rpida para dimensionar NGFW






Introduccin

Primero se comentan algunos conceptos tiles para el dimensionamiento de un firewall / UTM /NGFW


Que es un UTM? Y cual es la diferencia con un Firewall? Que es NGFW??

En realidad desde el punto de vista de rendimiento, existe una gran diferencia entre firewall y UTM
(Unitfied Threat Management). UTM es la evolucin natural del firewall donde, adems de las
funcionalidades de firewall, el UTM agrega nuevos servicios. Lo ms importante del UTM, es la
inspeccin profunda de paquetes, pero tambin incluye servicios como filtrado de contenidos y anti-spam.
El UTM es capaz de analizar la porcin de los datos del paquete, lo cual contrasta con el firewall cuya
inspeccin de estado solo se basa en la inspeccin del estado de las cabeceras de los paquetes. Por
buscar un ejemplo, Un firewall podra ser un Cartero, que en base a un origen y un destino es capaz de
entregar un paquete o una carta, pero no sabe lo que hay dentro del paquete.
Un UTM, sera la persona que pasa los paquetes por un scanner o directamente los abre para ver su
contenido.

El UTM a veces es referido tambin como Firewall multi-funcional. Gartner, por ejemplo, usa este
nombre para la categora UTM.

Tambin, los trminos descriptos son referidos muchas veces en Ingles como:
- Stateful Packet Inspection (SPI): Inspeccin de estado de los paquetes
- Deep Packet Inspection (DPI): Inspeccin profunda de los paquetes

La inspeccin profunda incluye tres componentes principales:
- Anti-Virus en Gateway: Servicio realizado sobre la transferencia de archivos con un protocolo (web, correo,
mensajera instantnea, etc.) y escaneo en bsqueda de virus, troyanos y otros tipos de elementos
nocivos en el mismo.
- Deteccion y Prevecion de Intrusos: esto es conocido en Ingles como IPS (intrusion Prevention
Services). El sistema aqu analiza la parte de datos de los paquetes por ataques conocidos a
vulnerabilidades. Incluso, puede reconocer cuando agentes nocivos instalados en las PCs de usuarios
se comunican con centro de control ubicado en Internet.
- Anti-Spyware: Anti-spyware es parecido a como opera el IPS. Solo cambia en los componentes que
busca como, por ejemplo, cdigo nocivo escrito en J avaScript o Active-X que lee el navegador web
del usuario.


La Modalidad Firewall y la Modalidad UTM

En realidad, hoy en da, la gran mayora de los Fabricantes tienen UTMs. Lo que cambia es la modalidad
en la que se los utilice y la tecnologa utilizada en la inspeccin profunda. Si los servicios estn activados, es
un UTM. Si los servicios estn sin activar es un firewall. Como veremos ms adelante el equipo trabaja de
forma diferente en cada modalidad y sus parmetros de rendimiento varan en funcin de los servicios que
estn activados

Un UTM con todos los servicios NO ACTIVOS es un firewall.

Que es un Firewall de Nueva Generacin??

Segn Garner, se definen as a la evolucin de los UTM, que:
.- Permiten visualizar y gestionar Aplicaciones directamente ( ver sus consumos de ancho de banda , Usuarios que las
utilizan, etc.)
.- Tener capacidad de inspeccionar trfico SSL

4 Dell Sonicwall Gua rpida para dimensionar NGFW
Consideracin 1: Rendimiento


Consideracion 1: Rendimiento

Rendimiento de Firewall

Es conocido que todos los fabricantes midan sus equipos de la forma ms conveniente. Por eso es
importante pedir un rendimiento superior al especificado en las caractersticas de los modelos.

Por ejemplo, el rendimiento de firewall es medida por SonicWALL usando RFC 2544 donde se utilizan
paquetes grandes y trafico UDP unidireccional. El valor obtenido es alto pero no contempla, por
ejemplo, que los paquetes que normalmente atraviesan la red son una mezcla de paquetes grandes y
pequeos. SonicWALL adems ofrece la medicin de rendimiento usando IMIX que es una mezcla
estndar de paquetes grandes y pequeos. El resultado es que el rendimiento usando IMIX decae entre la
mitad o un tercio de la prueba con paquetes grandes. Adems, la comunicacin UDP no requiere una
respuesta del receptor (un paquete de ACK) por lo cual es ms eficiente. En situaciones tpicas el trafico es
un balance entre trafico TCP y UDP, por lo cual el valor bajara aun mas.

Una regla conservadora, es considerar el trfico real soportado en un cuarto (1/4)
del valor con paquetes grandes UDP.


Rendimiento de UTM

Cuando activamos los servicios UTM, el rendimiento tambin cambia mucho. La diferencia es que en
modo UTM el sistema estar haciendo un anlisis ms detallado y exhaustivo del trfico ( inspeccin
profunda de los paquetes) y esto reduce el rendimiento.

No todos los servicios consumen lo mismo. El filtro de contenido es el ms ligero, con un pequeo cambio
en el rendimiento. La prevencin de intrusos y el anti-spyware tiene un impacto moderado. Mientras que
el anti- virus en red que escanea y analiza archivos enviados es el ms intenso y, entonces, el que mas
reduce el rendimiento.

SonicWALL, en sus especificaciones detalla el rendimiento con 5 opciones
- Solo firewall
- Firewall +IPS
- Firewall +Anti-Virus
- UTM =Firewall +IPS +AS +Anti-Virus +Filtro de Contenido

Es importante conocer los servicios que se van a utilizar. En esa consideracin,
debera aplicar la regla de :
Rendimiento con todos los Servicios activados, es CINCO VECES INFERIOR al
rendimiento de solo Firewal


Rendimiento de UTM+ NGFW ( Firewall de nueva Generacin)
A la consideracin del rendimiento como UTM, tenemos que considerar otros dos grandes factores si se van a utilizar:
Visualizacin de Aplicaciones y Gestin de las mismas, aqu podemos considerar un 20% adicional de uso de memoria,
NO EXISTE IMPACTO EN EL RENDIMIENTO del FIREWALL

Inspeccionar trfico SSL, ( con el proceso de desencriptacin del mismo )

La situacin en este escenario donde se requiere el mximo consumo de recursos del NGFW, sera:

- NGFW =Firewall +IPS +AS +Anti-Virus +Filtro de Contenido +AI +DPISSL
-
NOTA: En el caso de utilizar DPISSL, los protocos que utilicen SSL, por ejemplo HTTPS, se reducir su
rendimiento en un 50% aproximadamente
5 Dell Sonicwall Gua rpida para dimensionar NGFW
Consideracin 2: Conexiones Mximas Concurrentes


Consideracion 2: Conexiones Mximas Concurrentes

Conexiones Concurrentes por Usuario

Cuando un usuario navega una pgina web, tpicamente utiliza varias conexiones concurrentes. Eso es
porque las pginas web son compuestas. Adems de bajar el HTML y cdigo (J avaScript, CSS) embebido
en la pagina, las paginas frecuentemente hacen referencias a informacin adicional tales como imgenes,
flash, J avascript y CSS stylesheets. Cada referencia abre una nueva conexin hacia Internet (y a travs del
firewall). Adems, nuevas tecnologas como el AJ AX corresponden a programas basados en J avascript
embebidas en el HTML que sondean y actualizan la pagina web de forma continua. Por ejemplo, una
pgina de finanzas puede mostrar el precio de actualizacin actual en bolsa de una cuenta mientras este
cambia, sin necesidad de intervencin del usuario.

Entonces, cuantas conexiones promedio utiliza un usuario? Bueno, la respuesta (no muy querida) es
depende. Mientras es bastante seguro asumir que un usuario use tpicamente unas 50 conexiones
concurrentes, eso tambin depende si el usuario tambin este utilizando ciertas aplicaciones como Skype o
BitTorrent que pueden superar las 200 conexiones concurrentes.

Una estimacin muy extrema para dimensionar seria considerar 200 conexiones concurrentes por
usuario, de esta forma siempre tendremos las conexiones muy por encima de sus necesidades.
Adems estamos considerando el impacto del uso de Aplication Intelligent.

NOTA: Si se considera el escenarios de que detrs del NGFW, tenemos Servicios hacia internet ( WEB, FTP,
Correo, etc.), en este caso habra que considera el nmero de conexiones de Internet hacia los Servicios,
sumndose al las conexiones concurrentes comentados para los usuarios LAN


Conexiones Concurrentes Mximas de Firewall
Son las consideradas, sin ningn servicio activado

Conexiones Concurrentes Mximas de UTM
Son las consideradas, con todos los servicios activados


SONICWALL NGFW NSA 220 NSA 250M
NSA
2400
NSA
3500
NSA
4500
NSA
E5500
NSA
E6500
NSA
E8500
Usuarios
Recomendados** 20 a 60 30 a 100 50 a 150 100 a 300
250 a
500
500 a
1000
1000 a
3500
Hasta
6000
Conexiones nuevas por
segundo 2.200 3.000 4.000 7.000 10.000 30.000 60.000 85.000
Conexiones simultaneas 85.000 110.000 225.000 325.000 500.000 750.000 1.000.000 1.500.000
Conexiones simultaneas
DPI 32.000 64.000 125.000 175.000 250.000 500.000 650.000 1.250.000
6 Dell Sonicwall Gua rpida para dimensionar NGFW
Consideracin 3: Topologa


Consideracin 3: Topologa

La topologa en donde se coloque el equipo tambin determina la especificacin del producto.


Topologa Totalmente Perimetral

El equipo es totalmente perimetral cuando la comunicacin que atraviesa el firewall consiste solamente
de trfico de Internet.

En estas circunstancias, el requerimiento de rendimiento no es muy elevado. El ancho de banda no
supera la suma de enlaces a Internet ya que cualquier comunicacin entre usuarios y entre los usuarios y
los servidores no pasa por el NGFW.





















Topologa perimetral + Zonas de Seguridad

La zona de seguridad mas conocida es la DMZ. Es una zona que tpicamente los usuarios de LAN pueden acceder,
pero esta no puede acceder a los usuarios LAN. la DMZ en una red diferente que la de los usuarios (la LAN),
permitir que el NGFW pueda escanear ese trfico protegiendo los usuarios en la LAN y los servidores en la DMZ
.

7 Dell Sonicwall Gua rpida para dimensionar NGFW




Consideracin 4: Otros Elementos a tener en cuenta en la solucin

Funcionalidades
N de puertos y sus caractersticas ( esto para muchos entornos es fundamental)
Puertos 10/100/1000 cobre
Puertos SFP / SFP+
Puertos dedicados para HA

Cantidad de Tneles VPN Sitio-a-Sitio soportados
Cantidad de Clientes VPN (IPSec y SSL-VPN)
Servicios ofrecidos que estn detrs del NGFW: Correo, WEB, FTP (consideracin de su impacto)
Disponibilidad Activo/Activo y licenciamiento
Para soluciones WI-FI seguras: SonicPoints soportados por cada modelo

VLAN soportadas y control de las mismas por el Firewall


Consideraciones de Futuro

Es importante evaluar la cantidad de usuarios y servicios dentro de los siguientes 3 aos en el dimensionamiento


DPI-SSL

Las conexiones concurrentes donde se desencripta y examina trafico SSL varia con el equipo.
En SonicWALL esta funcionalidad esta a partir del NSA 220 y cada modelo tiene un ratio de conexiones
DPI SSL soportadas y recomendables



Ejemplo Prctico:

Ejemplo 1: Para 300 Usuarios
Una Empresa de 300 personas, requiere reemplazar su firewall por uno de SonicWALL de ltima generacin.
Tiene 2 WAN de 30 y 10 MB simtricos
Cual debera usar?
La Gua Rpida: La gua rpida para 300 usuarios mostrara a un NSA 3500 como la solucin apropiada.

Vamos a analizar otras consideraciones para ver el resultado final:

Topologa Totalmente Perimetral
Pero, asumiendo de que la cantidad de usuarios se quede en 300, que solo desea utilizar IPS y que
la implementacin es 100% perimetral.


El rendimiento del NSA 2400 es de 275 Mbps con IPS, usando la regla de 25%, y ponindonos en la peor
condicin tendramos 70 Mbps de trfico real. Habra que analizar la WANs en la que se est balanceando trfico.
Si se desea pretender tambin la funcionalidad anti-virus se bajara a 40 Mbps, todava aceptable para la WAN

Analizando las conexiones concurrentes soportadas, en modo UTM utiliza 125K conexiones. Eso es un
equivalente a 400 por usuario. Hasta un clculo en la peor condicin, opinara que esa cantidad es suficiente para
los 300 usuarios. Habra que saber si existen servicios hacia Internet para ver conexiones de fuera hacia dentro.







8 Dell Sonicwall Gua rpida para dimensionar NGFW





SONICWALL NGFW NSA 2400 NSA 3500 NSA 4500
Usuarios Recomendados** 50 a 150 100 a 300 250 a 500
CARACTERTICAS
Rendimiento FW Stateful Packet 775Mbps 1,5Gbps 2,75Gbps
Rendimiento VPN (3DES & AES) 350Mbps 650Mbps 1Gbps
Rendimiento IPS/IDP 275Mbps 750Mbps 1,4Mbps
Rendimiento GAV 160Mbps 350Mbps 690Mbps
Rendimiento Completo DPI 150Mbps 240Mbps 600Mbps
Conexiones nuevas por segundo 4.000 7.000 10.000
Conexiones simultaneas 225.000 325.000 500.000
Conexiones simultaneas DPI 125.000 175.000 250.000
Usuario en el FW (B.D. interna) 150 300 1000
Inicios de sesion unica (SSO) 250 500 1000


Topologa con DMZ

Pero que pasara si el cliente implementara una DMZ. Eso incrementara el trfico de LAN a DMZ y
posiblemente de WAN a DMZ, por ser servicios hacia internet.
Si el trfico a la DMZ es elevado como, por ejemplo, todos los usuarios suben y bajan archivos
a un servidor en la DMZ, o hay servicios hacia internet, entonces un NSA 3500 es ms
recomendable.

CONCLUSIONES:
La idea de esta Gua es ayudar de una forma rpida a dimensionar adecuadamente los requerimientos de
los clientes, y que las personas que trabajan en el mbito de desarrollo de Negocio puedan realizar esta
funcin en la mayora de las ocasiones, sin tener que recurrir al personal tcnico de Preventa.
En cualquier caso en muchas ocasiones por la propia complejidad de la integracin de NGFW en la
infraestructura del cliente, por requerimientos tcnicos ms complejos, etc., la labor del Preventa en
fundamental.

Dimensionamientos Rpidos
A veces uno necesita dar una respuesta rpida. Siempre es importante condicionar la respuesta a un mejor
conocimiento de la necesidad y metas del cliente como de su topologa.

Pero, a veces hay que responder sin saber todos los detalles. Para eso se recomienda la siguiente tabla donde
los usuarios estimados es el valor ms importante.



SONICWALL NGFW TZ105 TZ205 TZ215 NSA 220 NSA 250M NSA 2400 NSA 3500 NSA 4500 NSA E5500 NSA E6500 NSA E8500 NSA E8510
Usuarios Recomendados** Hasta 10 Hasta 20 Hasta 30 20 a 60 30 a 80 50 a 150 100 a 300 250 a 500 500 a 1000 1000 a 3500 Hasta 6000 Hasta 6000
VPN site-to-site 5 10 15 25 50 75 800 1500 4.000 6.000 10000 10000
Cliente VPN inluidos(soportados) (0)5 (2)10 (2)25 2(25) 2(25) 10(250) 50(1000) 500(3000) 2000(4000) 2000(6000) 2000(10000) 2000(10000)
Accesos VPN SSL inluidos(soportad (1)5 (1)10 (2)10 2(15) 2(15) 2(25) 2(30) 2(30) 2(50) 2(50) 2(50) 2(50)
Virtual Assist inluidos(soportados) (0)0 (0)1 (0)2 0(5) 0(5) 1(5) 2(10) 2(10) 1(25) 1(25) 1(25) 1(25)
Monitor Aplicaciones (AI) No No Si Si Si Si Si Si Si Si Si Si
Puertos 5xFE/1USB 5xGB/1USB 7xGB/2xUSB 7xGbE 5xGbE+Mdulo 6xGbE 6xGbE 6xGbE 8GbE+1HA 8GbE+1HA 4GbE+4SFP 4GbE+2SFP+
Soporta Sonicpoint wi-fi Si (1) Si (2) Si (8) Si (12) Si (16) Si(24) Si(32) Si(48) Si(64) Si(96) Si(128) Si(128)
Interfaces VLAN 5 10 20 25 35 25 50 200 400 500 512 512
CARACTERTICAS
Memoria Flash / Ram 32MB/256Mb 32MB/256Mb 32MB/512Mb32MB/256M32MB/256Mb12MB/512M512MB/512M12MB/512M512MB/1Gb 512MB/1Gb 512MB/4Gb 512MB/4Gb
Rendimiento FW Stateful Packet 200Mbps 500Mbps 500Mbps 600Mbps 750Mbps 775Mbps 1,5Gbps 2,75Gbps 3,9 Gbps 5 Gbps 8 Gbps 8 Gbps
Rendimiento VPN (3DES & AES) 75 Mbps 100 Mbps 130 Mbps 150Mbps 200Mbps 350Mbps 650Mbps 1Gbps 1,7 Gbps 2,7 Gbps 4 Gbps 4 Gbps
Rendimiento IPS/IDP 60 Mbps 80 Mbps 110 Mbps 195Mbps 250Mbps 275Mbps 750Mbps 1,4Mbps 2Gbps 2,3Gbps 3,7 GBps 3,7 GBps
Rendimiento GAV 40 Mbps 60 Mbps 70 Mbps 115Mbps 140Mbps 160Mbps 350Mbps 690Mbps 2 Gbps 2,3 Gbps 3,7 GBps 3,7 GBps
Rendimiento Completo DPI 25Mbps 40Mbps 60Mbps 110Mbps 130Mbps 150Mbps 240Mbps 600Mbps 850Mbps 1,59Gbps 2,2 GBps 2,2 GBps
Conexiones nuevas por segundo 1.000 1.500 1.800 2.200 3.000 4.000 7.000 10.000 30.000 60.000 85.000 85.000
Conexiones simultaneas 8.000 12.000 48.000 85.000 110.000 225.000 325.000 500.000 750.000 1.000.000 1.500.000 1.500.000
Conexiones simultaneas DPI 8.000 12.000 32.000 32.000 64.000 125.000 175.000 250.000 500.000 650.000 1.250.000 1.250.000
Usuario en el FW (B.D. interna) 150 150 150 150 150 150 300 1000 1500 2500 2.500 2.500
Inicios de sesion unica (SSO) 250 250 250 150 150 250 500 1000 2500 4000 7.500 7.500
Servicios de AntiSpam ( CASS) SI SI SI SI SI SI SI SI SI SI SI SI
Refrigeracin Ventidadores 0 0 0 0 2 2 2 2 2x HP 2X HP 2X HP 2X HP
Fuente Alimentacin 1x FA Ext 1x FA Ext 1x FA Ext 1x FA Ext 1x FA Ext 1x FA 1x FA 1x FA 1x FA 1x FA 2x FA Red/HP2x FA Red/HP
** La recomendacin de Usuarios solo pretende ser una referencia, Pack Seguridad Incluye ( CGSS):
Para la recomendacin del modelo adecuado analizar unos mnimos requerimientos: * Soporte 24 x 7
.- Nmero de Usuarios en la parte LAN // si van activos todos los servicios de seguridad ( IPS,AV,AI, etc) * AI/ IPS/GAV/SpyWare: (Application Intelligent, IPS, Antivirus, Antispayware)
.- Necesidades de Puertos para WAN, WAN1, DMZ, otras necesidades por subnetting, etc * Filtro de Contenidos
.- Si tiene Servidores WEB, FTP, Correo, protegidos por el FW
.- Numero de VPN site to site Licencias permanentes:
.- Nmero de VPN de cliente / Nmero de conexiones VPNSSL Viewpoint, Analyzer
.- Nmero de Sonicpoint a conectar para entorno WI-FI seguro Virtual Assist
.- Velocidad de los puertos y necesidades de SFP,sfp+,ETC. Global VPN client
Deep Packet Inspection SSL
NOTA: Licencias renovables:
Para Soluciones en HA, los servicios solo se adquieren una vez para la solucin Antivirus Client /Server & Client
, Salvo en E-Class y E-10XXX si estn Activo-Activo Completos Servicios de AntiSpam ( CASS)
CGSS ( y cualquiera de sus componentes)