Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivo
EL proposito de esta guia es explicar el criterio necesario para dimensionar firewalls y sistemas UTMs
(United Threat Management) para diferentes escenarios. Esta guia es util tanto para integardores como
para clientes para que puedan especificar la solucion apropiada para su entorno. La explicacion es teorica
pero tambien se utiliza un ejemplo de un cliente con 300 usuarios.
Autor
Jean-Marc Catalaa
Manager, Southern Cone
Argentina, Bolivia, Chile, Paraguay, Uruguay
VoIP: +1-408-752-7895
jmcatalaa@sonicwall.com
Revision
1/12
Introduccion
Tabla de Contenido
INTRODUCCION ........................................................................................................................... 3
QUE ES UN UTM? Y CUAL ES LA DIFERENCIA CON UN FIREWALL?..................................................... 3
LA MODALIDAD FIREWALL Y LA MODALIDAD UTM ............................................................................ 3
VALORES REQUERIDOS PARA EL ANALISIS ...................................................................................... 3
CONSIDERACION 1: PERFORMANCE ....................................................................................... 4
PERFORMANCE DE FIREWALL......................................................................................................... 4
PERFORMANCE DE UTM................................................................................................................ 4
CONSIDERACION 2: CONEXIONES MAXIMAS CONCURRENTES ........................................... 5
CONEXIONES CONCURRENTES POR USUARIO ................................................................................. 5
CONEXIONES CONCURRENTES MAXIMAS DE FIREWALL .................................................................... 5
CONEXIONES CONCURRENTES MAXIMAS DE UTM ........................................................................... 5
CONSIDERACION 3: TOPOLOGIA .............................................................................................. 6
TOPOLOGIA TOTALMENTE PERIMETRAL .......................................................................................... 6
TOPOLOGIA CON ZONAS DE SEGURIDAD ......................................................................................... 6
MODO TRANSPARENTE (L2B MODE) .............................................................................................. 7
L2B, Totalmente Perimetral ..................................................................................................... 7
L2B Interno .............................................................................................................................. 7
CONSIDERACION 4: OTROS ELEMENTOS................................................................................ 8
CAMBIOS Y CRECIMIENTO FUTURO ................................................................................................. 8
UTM-SSL .................................................................................................................................... 8
FUNCIONALIDADES ........................................................................................................................ 8
SOPORTE ..................................................................................................................................... 8
DIMENSIONAMIENTOS RÁPIDOS ............................................................................................... 9
EJEMPO PRÁCTICOS ................................................................................................................ 10
EJEMPLO 1: PARA 300 USUARIOS ................................................................................................ 10
La Guia Rapida ...................................................................................................................... 10
Topologia Totalmete Perimetral ............................................................................................. 10
Topologia con DMZ ............................................................................................................... 11
CONCLUSION ............................................................................................................................. 12
Introduccion
Primero se explicaran algunos conceptos utiles para el dimensionamiento de un firewall y/o UTM para un
cliente.
El UTM a veces es referido tambien como Firewalls multi-funcionales. Gartner, por ejemplo, usa este
nombre para la categoria UTM.
Tambien, los terminos descriptos son referidos muchas veces en Ingles como:
- Stateful Packet Inspection (SPI): Inspeccion de estado de los paquetes
- Deep Packet Inspection (DPI): Inspeccion profunda de los paquetes
Eso dicho, absolutamente todos los firewalls de SonicWALL vendidos hoy en dia son UTMs porque vienen
con servicios.
Consideracion 1: Performance
Performance de Firewall
Es conocido que todos los fabricantes midan sus equipos de la foma más conveniente. Por eso es
importante pedir una performance superior a la necesaria.
Por ejemplo, la performance de firewal es medida por SonicWALL usando RFC 2544 donde se utilzan
paquetes grandes y trafico UDP unidireccional. El valor obtenido es alto pero no contempla, por ejemplo,
de que los paquetes que normalmente atravesan la red son una mezcla de paquetes grandes y paquetes
pequenos. SonicWALL ademas ofrece la medicion de performace usando IMIX que es una mezcla
estándar de paquetes grandes y pequenos. El resultado es que la performance usando IMIX decae entre la
mitad o un tercio de la prueba con paquetes grandes. Ademas, la comunicación UDP no requiere una
respuesta del receptor (un paquete de ACK) por lo cual es mas eficiente. En situaciones tipicas el trafico es
un balance entre trafico TCP y UDP, por lo cual el valor bajaria aun mas.
Una regla moderada es de considerar el tráfico real soportado en ser un quinto (1/5) del valor con
paquetes grandes UDP.
Performance de UTM
Cuando al prender los servicios UTM y la modalidad cambie de Firewall a UTM, la performance tambien
cambia mucho. La diferencia es que en modo UTM el sistema estara haceindo un analisis mas detallado
del trafico, reduciendo la performance.
No todos los servicios pesan lo mismo. El filtro de contenido es el más liviano con un pequeño cambio a la
performance. La prevencion de intrusos y el anti-spyware tiene un impacto moderado. Mientras que el anti-
virus en red que escanea y analiza archoivos enviados es el mas intenso y, entonces, elque mas reduce la
performance.
Es importante que el cliente especifique la performance necesaria para los servicios qe desee
utilizar. En esa consideracion, deberia incluir la regla de que la performancde pedida deberia ser
por lo menos 5 veces mayor a la maxima deseada.
Entonces, ¿cuantas conexiones promedio utiliza un usuario? Bueno, la respuesta (no muy querida) es
depende. Mientras es bastante seguro asumir que un usuario use tipicamente unas 50 conexiones
concurrentes, eso tambien depende si el usario tambien este utilizando ciertas aplicaciones como Skype o
BitTorrent que pueden superar las 200 conexiones concurrentes. Ademas, es posible que PCs infectadas
puedan estar utilizando muchisimas conexiones concurrentes (enviando spam o atacando otros
componenetes en la red).
Una estimacion moderada seria de 200 conexiones concurrentes por usuario donde podrian ser más
o menos conexiones dependiendo del control que se tiene sobre las mismas.
Consideracion 3: Topologia
La topologia en donde se coloque el equipo tambein determina la especificacion del producto.
La topologia totalmente perimetral requiere poco ancho de banda pero teambien es menos segura ya que el
UTM, al no ver el tráfico, no puede contener problemas de ninguna forma.
L2B Interno
UTM-SSL
Las conexiones concurrentes donde se decripta y examina trafico SSL varia con el equipo.
En SonicWALL esta funcionalidad esta a partir del NSA 240 y cada modelo mas grandes sopora mas
conexiones concurrentes de este tipo.
Funcionalidades
Cantidad de Tuneles VPN Sitio-a-Sitio
Disponibilidad Activo/Activo
Mejor Soporte
SonicPoints soportados
Soporte
Con los equipos mas grandes es posible qu ese incluya un soporte con tiempo de respuesta mas rapidpo.
Dimensionamientos Rápidos
A veces uno necesita dar una respuesta rapida. Siempre es importanto condicionar la respuesta a un mejor
conocimiento de la necesidad y metas del cliente como de su topologia.
Pero, a veces hay que responder sin saber todos los detalles. Para eso se recomienda la sigiuiente tabla
donde los usuarios estimados es el valor mas importante.
Ejempo Prácticos
La Guia Rapida
La guia rapida para 300 usuarios mostraria a un NSA 3500 como la solucion apropiada.
Pero, asumiendo de que la cantidad de usuarios se quede en 300, que solo desea utilizar IPS y que la
implementacion del UTM es 100% perimetral.
La performance de 275 Mbps la cual usando la regla de 5, resulta en 55 Mbps de tráfico real. Esa cantidad
es mas que suficiente para caulquier cantidad de WANs en la que se este balanceando trafico. Si se desea
predender tambien la funcionalidad anti-virus se bajaria a 32 Mbps, todavia accesptable.
Analizando las conexiones concurrentes soportadas, en modo UTM utiliza 125K conexiones. Eso es un
equivalente a 400 por usuario. Hasta un calculo conservador opinaria que esa cantidad es suficiente para
los 300 usuarios. Seria mas preocupante ver que la cantidad fde conexiones concurrentres fuera inferior a
las 200, sin que haya controles sobre las aplicacones usadas.
Pero que pasaria si el cliente implementaria una DMZ. Eso incrementaria la cantidad de conexiones
concurrentes utilizados por usuariosaunque no por mucho. Conexiones internas son normalmente pocas y
controlables. Por otro lado, con una DMZ el firewall ta veria el trafico entre los usuarios y la DMZ. La
pregunta obligada seria… d ser el trafico de los usuarios hacia la DMZ y hacia la WAN menor de 55 Mbps?
Lo que es mas dificil es que a este punto sepueda prender en nti-Virus en red ya que la performance real
bajaria a 32 Mbps.
Si el trafico a la DMZ es elevado como, por ejemplo, todos los usuarios suben y bajan archivos a un
servidor en la DMZ, entonces un NSA 3500 es mas recomendable.
Conclusion
Espero que esta guia aun cuando incompleta (y con errores gramaticales y sintacticos) sea de ayuda para
saber como dimensionar y/o pedir un equipo.