راهنمای خواندن دیتاشیت فایروال؛ چرا اعداد کارایی همیشه واقعی نیستند؟

وقتی میخواهیم فایروال، IPS یا یک تجهیز امنیتی لبه شبکه بخریم، معمولاً اولین چیزی که جلوی چشم میآید چند عدد داخل دیتاشیت است: throughput، تعداد session، نرخ new session و چند شاخص دیگر. مشکل از جایی شروع میشود که این اعداد را مستقیم کنار دیتاشیت یک برند دیگر میگذاریم و بر اساس همان تصمیم میگیریم. تجربه عملی من این است که این مقایسه، اگر شرایط تست را نفهمیم، خیلی راحت ما را سورپرایز میکند.

خلاصه حرف: عدد دیتاشیت به تنهایی معیار خرید نیست. باید ببینیم تست با چه نوع ترافیکی، چه سایز packet، چه تعداد session، چه policy و چه قابلیتهای امنیتی فعال انجام شده است. دیتاشیت برای مقایسه مدلهای داخل یک برند مفید است، اما برای مقایسه مستقیم دو برند کافی نیست.

چرا اعداد دیتاشیت همیشه شبیه شبکه واقعی نیستند؟

در شبکه واقعی، ترافیک فقط HTTP تمیز با packet بزرگ نیست. ترکیبی از وب، DNS، TLS، فایل، آپدیت، ترافیک داخلی، sessionهای کوتاه و بلند، packetهای کوچک و بزرگ، NAT، IPS، لاگ، route و policy داریم. هر کدام از اینها روی کارایی فایروال اثر میگذارد.

یک تغییر کوچک در سناریوی تست میتواند عدد نهایی را کاملاً عوض کند. مثلاً throughput با packetهای 1518 بایت معمولاً با throughput در packetهای 64 بایت قابل مقایسه نیست. یا دستگاهی که با ترافیک ساده عدد خوبی میدهد، وقتی IPS و application control فعال میشود رفتار متفاوتی نشان میدهد.

نمونههایی از خود دیتاشیتها

خود برندها هم معمولاً با زبان حقوقی و فنی میگویند که کارایی دستگاه وابسته به نوع ترافیک، نسخه نرم‌افزار، قابلیتهای فعال و روش تست است. این بخشها را نباید نادیده گرفت؛ اتفاقاً همانجا اصل ماجرا نوشته شده است.

توضیح محدودیتهای کارایی در دیتاشیت Cisco Firepower
توضیح سیسکو درباره وابستگی کارایی به شرایط تست و نوع ترافیک
شرایط تست در دیتاشیت Cisco Firepower
نمونه شرایط تست؛ همین جزئیات در مقایسه دو محصول تعیین‌کننده است

در دیتاشیت Juniper SRX1500 هم شرایط تست ذکر شده است. نکته مهم این است که روش تست جونیپر الزاماً با روش تست سیسکو یا فورتیگیت یکی نیست. بنابراین اگر فقط جدول عددها را کنار هم بگذاریم، ممکن است به نتیجه اشتباه برسیم.

شرایط تست Juniper SRX1500 در دیتاشیت
شرایط تست در دیتاشیت Juniper SRX1500

سایز packet واقعاً مهم است

یکی از مواردی که زیاد دست‌کم گرفته میشود، سایز packet است. خیلی از دیتاشیتها عددهای جذاب را با packet بزرگ اعلام میکنند. اما در ترافیک واقعی، مخصوصاً در شبکههای سازمانی و اینترنتی، همیشه با packet بزرگ طرف نیستیم. packetهای کوچک فشار بیشتری روی پردازش دستگاه میگذارند.

نمایش تفاوت throughput در FortiGate با packet sizeهای مختلف
در بعضی دیتاشیتها تفاوت عدد با packet sizeهای مختلف واضحتر نشان داده میشود

همین موضوع در گزارشهای مستقل هم دیده میشود؛ یک دستگاه ممکن است با packet بزرگ چند برابر عدد بهتری نسبت به packet کوچک بدهد. پس اگر شبکه شما ترافیک ریزدانه و session زیاد دارد، نباید فقط عدد بالای throughput را ببینید.

Performance Envelope یعنی چه؟

در ارائه Cisco Live 2018 با عنوان What is performance testing and the performance envelope? به همین موضوع اشاره شده بود. بحث اصلی این است که برای تست یک تجهیز امنیتی با مجموعه بزرگی از متغیرها طرف هستیم؛ از نوع ترافیک و تعداد flow گرفته تا policy، NAT، IPS، تعداد route و logging.

اگر حتی بخشی از این متغیرها را تغییر بدهیم، نتیجه تست عوض میشود. به همین دلیل عدد دیتاشیت بیشتر نشان میدهد دستگاه در یک سناریوی مشخص چه کرده، نه اینکه در شبکه شما دقیقاً همان عدد را خواهد داد.

تفاوت throughput با نوع ترافیک HTTP و mix traffic
تفاوت خروجی تست وقتی نوع ترافیک عوض میشود

برای خرید فایروال چطور تصمیم بگیریم؟

راه درست این نیست که دیتاشیت را کنار بگذاریم. دیتاشیت لازم است، اما باید درست خوانده شود. من معمولاً این موارد را قبل از انتخاب تجهیز بررسی میکنم:

  • نوع ترافیک شبکه: وب، TLS، فایل، VPN، ترافیک داخلی، sessionهای کوتاه یا بلند.
  • قابلیتهای فعال: IPS، Antivirus، Application Control، SSL Inspection، WAF، VPN و Logging.
  • تعداد policy و object: فایروال واقعی معمولاً با چند rule ساده کار نمیکند.
  • تعداد session و new session: برای شبکههایی با کاربر زیاد یا سرویسهای پرترافیک حیاتی است.
  • packet size و mix traffic: عددهای دیتاشیت را با شرایط تستشان بخوانید.
  • رشد آینده: تجهیز را دقیقاً لب مرز ظرفیت نخرید؛ برای رشد و فعال شدن قابلیتهای امنیتی جا بگذارید.
نکته عملی: اگر قرار است بین دو برند تصمیم بگیرید، فقط دیتاشیت کافی نیست. یا باید تست یکسان و قابل تکرار داشته باشید، یا از گزارشهای مستقل و شرایط تست شفاف استفاده کنید. در غیر این صورت مقایسه، بیشتر شبیه حدس زدن است.

دیتاشیت به چه درد میخورد؟

دیتاشیت برای مقایسه مدلهای یک خانواده بسیار مفید است؛ مثلاً وقتی میخواهیم بین چند مدل FortiGate یا چند مدل Cisco Firepower انتخاب کنیم. چون معمولاً روش تست داخل همان برند یکدست‌تر است. اما برای مقایسه مستقیم دو برند، باید خیلی با احتیاط جلو رفت.

اگر یک برند برای NGFW throughput عددی داده و برند دیگر firewall throughput را برجسته کرده، این دو عدد الزاماً یک مفهوم ندارند. همین تفاوتهای کوچک در عنوان جدول، گاهی تفاوت بزرگی در تصمیم خرید ایجاد میکند.

جمع‌بندی

دنیا جای سورپرایز شدن است؛ مخصوصاً وقتی خرید فایروال را فقط با چهار عدد دیتاشیت انجام بدهیم. دیتاشیت را بخوانید، اما پاورقیها، شرایط تست، نوع ترافیک و قابلیتهای فعال را هم ببینید. اگر سرویس مهمی پشت این تجهیز قرار میگیرد، انتخاب درست فایروال فقط خرید یک مدل قویتر نیست؛ باید بفهمیم دستگاه در سناریوی واقعی ما چه رفتاری خواهد داشت.

  • علیرضا عربیان
  • هیچ
  • 600 views
  • 10 فوریه 22
برچسبها
مطالب مرتبط
هاردنینگ – تجهیزات سیسکو – ACL to filter on TTL valueهاردنینگ – تجهیزات سیسکو – ACL to filter on TTL value
2,369 views
کنترل امنیت شبکه های کامپیوتری شماره ۱۰: قابلیت بازیابی اطلاعاتکنترل امنیت شبکه های کامپیوتری شماره ۱۰: قابلیت بازیابی اطلاعات
2,743 views
نینجا یا دزد دریایی؟! (Penetration Test vs. Red Team Assessment)نینجا یا دزد دریایی؟! (Penetration Test vs. Red Team Assessment)
2,147 views
امن‌سازی CentOS 7 با CIS؛ نکات مهم بعد از پایان عمرامن‌سازی CentOS 7 با CIS؛ نکات مهم بعد از پایان عمر
3,662 views
کنترل امنیت شبکه های کامپیوتری شماره ۱۲ : دفاع از مرزها (Boundary Defense)کنترل امنیت شبکه های کامپیوتری شماره ۱۲ : دفاع از مرزها (Boundary Defense)
3,239 views
دوربین های پلیس (آمریکا) مدارکی انکار ناپذیر؟!دوربین های پلیس (آمریکا) مدارکی انکار ناپذیر؟!
2,225 views

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.