Gli apparati di sicurezza Netgate vanno dal modello entry-level SG-1100 al modello più potente XG-1541. E’ abbastanza semplice valutare le differenze in base alle porte fisiche, alla CPU e al prezzo.

Ma, c’è un altro fattore di acquisto che è meno ovvio, ma molto importante. Questo fattore è l’architettura interna del prodotto. Si può (o meno) essere consapevoli del fatto che l’architettura interna differisce significativamente tra SG-1100, SG-3100, SG-5100, XG-7100 e XG-1537/XG-1541.

L’architettura comprende processore, memoria, archiviazione, tipi e numero delle interfacce, assenza o presenza di uno switch fabric e altro ancora. Diventa molto importante quando si considerano domande come:

  • Di quante connessioni per le porte degli switch ho bisogno?
  • Quanto traffico locale transita tra queste connessioni?
  • Quanto traffico in chiaro viaggia verso Internet in generale, o attraverso una connessione VPN sicura
  • Qual è la natura del mio traffico – voce, dati, video o un mix di tutti e tre?
  • Le connessioni ad alta velocità funzionano con carichi di traffico continuativi o con dei picchi brevi?
  • Quanto del mio traffico è criptato?

Consideriamo queste domande esaminando alcuni casi di utilizzo sicuro della rete che emergono abitualmente nelle conversazioni con i clienti. E, per renderlo più comprensibile, spezziamo le risposte ai casi d’uso in due fasi:

  1. In primo luogo, ci limiteremo a differenziare gli apparecchi in base ad alcune differenze chiave dell’architettura hardware.
  2. Poi, vediamo cosa cambia facciamo girare sulle stesse architetture hardware il software TNSR™ invece che il software pfSense®.

caso d’uso 1:

“Lavoro da casa. Ho bisogno di una connessione VPN per collegarmi in sede. La  velocità Internet della mia connessione varia da 100 Mbps a 300 Mbps”.

La nostra raccomandazione: prendere un SG-1100. Si tratta di un firewall da utilizzare per accesso a Internet ed è pensato per piccoli uffici o siti remoti dove 400-500 Mbps di traffico protetto da firewall è più che sufficiente. Molte reti domestiche e di piccoli uffici hanno velocità di interconnessione che realisticamente rientrano in questa gamma. E’ difficile trovare un soluzione migliore al suo prezzo, è un firewall / router ricco di funzionalità, così attraente, a basso consumo e silenzioso.

caso d’uso 2:

“Lavoriamo in un piccolo ufficio con meno di 50 postazioni. Abbiamo bisogno di una VPN che supporti una connessione a 150 Mbps alla nostra sede centrale. Le velocità Internet osservate sono tipicamente intorno ai 500 Mbps bidirezionali. Abbiamo anche bisogno di una serie di porte di switch ethernet. Ogni connessione non richiede molta larghezza di banda, anche se una coppia ha bisogno di un throughput più ‘garantito’ o, almeno, ‘prioritizzato’. Nell’aggregato, possono condividere comodamente un uplink a 500 Mbps”.

L’SG-3100 è un’ottima opzione in questo caso. Eccellente densità di porte per un pacchetto desktop con ingombro ridotto, doppia WAN da 1 Gbps e traffico interporta solido – per un massimo di quattro porte switch che condividono un robusto fabric switch da 2,5 Gbps.

caso d’uso 3:

“Siamo nella sede centrale dove si connettono gli utenti del lavoro da casa e dei piccoli uffici definiti nei casi d’uso 1 e 2 di cui sopra. I loro rispettivi dispositivi SG-1100 e SG-3100 si collegheranno al nostro dispositivo aziendale, che dovrà supportare 800 Mbps e la terminazione VPN”.

Il SG-5100 è la soluzione. Con un massimo di sei connessioni Ethernet da 1 Gbps completamente indipendenti da 1 Gbps, si ottiene un router/firewall a 1 Gbps Layer 3 molto flessibile a un prezzo vantaggioso. Fornitura di ogni porta in una direzione LAN o WAN come si desidera. Inoltre, la CPU Intel Atom C3558 2,2 GHz dell’SG-5100 – con istruzioni QuickAssist, AES-NI e SHA (che aiuta in OpenSSL) – fornisce la necessaria potenza per l’elaborazione del traffico criptato.

caso d’uso 4:

“Ho bisogno di una connessione WAN da 1-3 Gbps. Ho un numero considerevole di porte di che dovranno spostare una discreta quantità di traffico tra loro a livello locale. Il traffico locale può facilmente superare 1 Gbps con pacchetti di tutte le dimensioni”.

In questo caso d’uso, l’XG-7100 è il punto di partenza. Dotato di porte SFP+ da 10 Gbps, si differenzia facilmente dai prodotti SG-5100 (e inferiori). Inoltre, con otto porte collegate a due switch link da 2,5 Gbps, il potenziale aumento tra le porte può raggiungere il 500% in più rispetto a una singola porta switch da 1 Gbps. Ciò è particolarmente utile per le attività di trasferimento file di grandi dimensioni, comuni ai team di sviluppo o ai dipartimenti IT responsabili dei backup su larga scala.

Cerchi 3-10 Gbps e un aumento significativo delle connessioni attive? Passa ai nostri XG-1537 o XG-1541. A queste velocità, suggeriamo anche una consultazione diretta con il nostro team di vendita. Conoscono i nostri prodotti sia all’interno che all’esterno. Con una buona comprensione delle vostre specifiche esigenze di rete – possono aiutarvi a progettare la rete giusta a costi minimi.

Quindi, ecco come differenziare le appliance hardware Netgate sulla base delle architetture di prodotto interne e come ogni architettura aggiunge un valore aggiunto unico.

Ora, portiamo il software nel processo di selezione per individuare ulteriormente l’appliance Netgate giusta per le vostre esigenze. Speriamo che abbiate sentito dire che possiamo installare in fabbrica le nostre appliance Netgate di fascia alta con software pfSense o TNSR. Questa è una distinzione chiave da considerare, specialmente quando la larghezza di banda e/o le esigenze di crittografia iniziano ad aumentare.

Perché? Per quanto popolare, capace e affidabile come lo è il software pfSense – ha i suoi limiti. In particolare, con l’aumento della velocità dei collegamenti, la dimensione dei pacchetti diminuisce e la crittografia si intensifica – il software pfSense è sotto sforzo e, in ultima analisi, limita l’uso completo del vostro hardware. TNSR ha molta più capacità di spingere l’hardware ai suoi limiti (nostri o di chiunque altro), dove pfSense può essere un “collo di bottiglia software” che spesso impedisce agli utenti di sfruttare appieno la potenza del loro investimento hardware.

Quindi, da dove pfSense comincia a diventare un collo di bottiglia? Lo vedrete 1) sotto il vero carico di traffico IMIX, 2) con l’aumento del traffico criptato, e 3) specialmente se entrambi si verificano. Prendiamo prima IMIX.

Che cos’è IMIX? Internet Mix (IMIX) è un mix di dimensioni dei pacchetti utilizzato per emulare le condizioni di traffico del mondo reale sperimentato da apparecchiature di rete – come router, switch e firewall – nei test di traffico. Il Simple IMIX è composto da sette pacchetti da 40 byte, quattro pacchetti da 576 byte e un pacchetto da 1500 byte. Così come dovrebbe esso fattore in una decisione dell’acquisto del router o firewall? Quello dipende dal partoclare scenario della sicurezza della vostra rete. Prendiamo due estremi:

Scenario 1:

“Tutto quello che faccio: leggo le email, navigo in rete e guardo film da Netflix”.

Con l’eccezione del download dei messaggi (dove la maggior parte dei client di posta ti fanno aspettare un po’, e peggiora se ci sono allegati) la lettura delle e-mail è in gran parte legata alla tua velocità di lettura, quindi possiamo non preoccuparcene, anche se la leggi molto velocemente. Navigazione in Internet? Che si tratti di navigare o cercare, si tratta per lo più di recuperare pagine di testo, immagini e alcuni file musicali e/o video in streaming – la maggior parte dei quali possono essere gestiti dal buffering. Ora, lo streaming di un film di due ore come Avengers: Infinity War? Beh, è probabile che quel contenuto vi venga consegnato in pacchetti da 1500 byte. Ciò significa che il firewall/router ha molto tempo per elaborare un’intestazione di pacchetto, riposare mentre segue un lungo carico utile di pacchetti, e prepararsi per l’intestazione successiva. Così in questo scenario, il vostro firewall/router non sta vedendo un flusso di traffico semplice di IMIX – in modo da può probabilmente saturare un collegamento di 1 Gbps e perfino un buon pezzo di un collegamento di 10 Gbps. Sentiamo spesso gli utenti affermare 6, 7, anche 8 Gbps attraverso pfSense. Ciò è interamente possibile fintanto che i pacchetti rimangono grandi, non criptati e con una configurazione firewall relativamente semplice, ad esempio, senza IDS/IPS o altre regole di controllo del traffico attivate.

Ora, andiamo all’altro estremo – e teniamo lo scenario abbastanza leggero dal punto di vista della sicurezza. L’aumento del carico di lavoro per la sicurezza raddoppia appena verso il basso sulla stessa argomentazione.

Scenario 2:

“Eseguo una serie relativamente limitata di regole di controllo accessi del firewall (ACL), senza IDS/IP o web filtering. Tuttavia, piuttosto che il flusso occasionale di due ore di 1500 byte video frame, devo gestire un traffico mix molto diverso di voce, dati e traffico video durante il giorno”.

Il software pfSense (su hardware poco costoso) dovrebbe raggiungere un picco di circa 200-300 Mbps di traffico IMIX semplice. Se sei un utente domestico con circa 300 Mbps di larghezza di banda di rete effettiva, sei a posto. Ma, se sei un dipendente di un’organizzazione di classe enterprise e lavori da casa l’ultima cosa che si desidera è la congestione del traffico di rete dal firewall, soprattutto se la vostra azienda ha pagato per una connessione di rete più veloce per mantenere la produttività elevata.

Questo è dove TNSR paga grandi dividendi. TNSR utilizza Vector Packet Processing (VPP) per spingere le prestazioni estreme dei pacchetti attraverso l’hardware commerciale off-the-shelf (COTS). In altre parole, ciò che prima richiedeva hardware ASIC-based ad alto prezzo per raggiungere un throughput serio può ora essere avuto per una frazione del prezzo dell’hardware per scopi speciali. Potete saperne di più sul TNSR qui. Un altro fattore di differenziazione chiave per TNSR è una API RESTCONF, ma questo blog è focalizzato sull’architettura hardware e l’elaborazione dei pacchetti – quindi torneremo su questo argomento su di un blog separato.

Le prime appliance Netgate ad avere TNSR sono SG-5100, XG-1537 e XG-1541. Abbiamo in programma di condividere i risultati di test più approfonditi in un post separato del blog, ma per ora – considerate i seguenti numeri di traffico IMIX criptato IPsec (basato sulla codifica AES-GCM-128) per capire la potenza di TNSR:

Ok, ammetto potrebbe risultare poco chiaro. Quindi, riassumiamo alcuni passaggi chiave:

  • Prima di tutto. Ricordate che tutte i dati sono basati sul traffico IMIX semplice
  • TNSR e pfSense sono alla pari con il semplice inoltro L3 (filtro pacchetti pf disabilitato), indipendentemente dal fatto che si tratti di TNSR singolo o multithreaded.
  • Aumentando il carico di lavoro per l’elaborazione dei pacchetti da parte del firewall (filtro pacchetti pf abilitato), e TNSR ha un vantaggio di 1.7-2.3X con l’aumento della CPU e della memoria.
  • Passare ad un carico di lavoro di elaborazione dei pacchetti ancora più difficile, traffico IMIX criptato con AES-GCM-128, e consentire sia di sfruttare l’accelerazione SW o HW intrinseca dove possibile, TNSR ha un vantaggio 2.2-9.4X. ( In tutta onestà, pfSense è in grado di sfruttare AES-NI, ma non QAT. TNSR può trarre il massimo vantaggio da QAT.)
  •  Nota: TNSR è tenuto ad un’elaborazione a singolo threaded  in tutti i casi di prova ad eccezione dell’interfaccia multi-interfaccia SG-5100. L’aggiunta di threads toglie il regolatore e TNSR decolla.
  • Nota: tutte le figure sono unidirezionali, ad eccezione di TNSR su multi-interfaccia SG-5100, che sono bidirezionali.

Ecco fatto: ogni prodotto brilla sotto una luce appropriata. Ma una decisione di acquisto deve prendere in considerazione il caso d’uso, l’architettura del prodotto sottostante e lo stack di software tutti e tre. Se siete nella fascia bassa o alta della linea di prodotti, le scelte sono abbastanza chiare. Nel mezzo (da SG-3100 a SG-5100 a SG-5100 a XG-7100), pensate attentamente al “caso d’uso / switch / software stack interlay” per ottenere il vantaggio maggiore per il bostro investimento.

E se la soluzione è rivolta un’azienda, pensa attentamente all’abbonamento all’assistenza tecnica. Mentre sia il software pfSense che il software TNSR sono facili da usare e robusti, le reti spesso “lanciano palle curve”. Noi ci siamo per metterli in produzione – e il giudizio sulla soddisfazione dei nostri Clienti è stellare. Inoltre, un abbonamento all’assistenza tecnica è un costo aggiuntivo con pfSense, mentre è costruito per la licenza perpetua o in abbonamento con TNSR. Come sempre, se avete domande, contattateci. Ci piace parlare di networking!

Traduzione in italiano del post originale https://www.netgate.com/blog/choosing-the-right-netgate-appliance.html