Palo Alto Networks và Checkpoint là 2 thương hiệu Leader theo đánh giá của Gartner cho giải pháp firewall cho doanh nghiệp năm 2016. Cùng VietSunshine so sánh về hiệu năng, kiến trúc cũng như các đặc tính khác của sản phẩm thuộc cùng phân khúc của hai thương hiệu là Palo Alto Networks PA-5050 và Checkpoint 13500.PALOALTO NETWORKS PA-5050 CHECK POINT 13500 Performance Thông số tường lửa bao gồm tính năng kiểm soát ứng dụng : 10Gbps. Thông số tường lửa và tính năng threat prevention (bao gồm antimalware, antibotnet, antivirus, IPS): 5 Gbps Thông số tường lửa bao gồm tính năng kiểm soát ứng dụng: 23.6 Gbps. Thông số tường lửa và tính năng IPS ( chưa bao gồm antimalware, antibotnet, antivirus): 5.7 Gbps. Vì vậy khi bật các tính năng chống malware, virus, botnet thì thông số sẽ thấp hơn rất nhiều. Kiến trúc phần cứng Kiến trúc phần cứng được tính toán cẩn thận, gồm bốn hệ thống xử lý cho các chức năng khác nhau như nhận dạng, kiểm tra và kiểm soát các ứng dụng. PaloAlto Networks tiên phong trong việc đưa ra định hướng nâng cấp khả năng kiểm soát của tường lửa lên một tầm cao hơn, gọi là Firewall thế hệ mới (Next generation firewall), kiểm soát lên đến lớp ứng dụng. Kiến trúc phần cứng Blade Architecture vẫn thuộc thế hệ UTM (*) firewall. Từng Blade thực hiện một tính năng khác nhau. Các tính năng được Checkpoint phát triển và mua lại công nghệ mà hãng khác phát triển. Hiệu suất xử lý Kiến trúc tối ưu hóa từ phần mềm đến phần cứng với kiến trúc “single pass parallel processing” – xử lý song song và một chiều – và tất cả các tính năng trên thiết bịthì tương quan với nhau, nên khi gói tin đi vào trong hệ thống mạng, Palo Alto chỉ cần mở gói tin một lần, xem xét nội dung và sau đó gởi gói tin đến các thiết bị CPU riêng bao gồm tính năng tường lửa, phòng chống tấn công, xử lý. Vì vậy thiết bị tường lửa Palo Alto không tốn resource để xử lý mở và đóng gói tin như thiết bị UTM. Palo Alto chỉ có một cơ sở dữ liệu cho tất cả các tính năng, và kiến trúc xử lý song song, nên khi bật các tính năng thì hiệu suất cao và cấu hình được tất cả các chính sách bảo mật cho thiết bị, nâng cao hiệu quả bảo mật cho trung tâm dữ liệu. Do tích hợp nhiều tính năng và các tính năng này hoạt động độc lập, nên khi xử lý các gói tin, thì tính năng tường lửa sẽ mở gói tin, đọc nội dung và sau đó xem xét các rule trên firewall, và nếu hợp lệ thì sẽ đóng gói tin lại và chuyển qua tính năng Phòng chống tấn công (IPS) để xử lý. Ở tính năng phòng chống tấn công, gói tin lại được mở ra và xem xét nội dung, rồi xử lý theo policy, và đóng gói tin lại, chuyển qua cho tính năng Antivirus xử lý. Vì vậy, Checkpoint phải mở và đóng gói tin liên tục, dẫn đến việc xử lý chậm, tốn rất nhiều resource để xử lý lập đi lập lại các hành động mở và đóng gói tin. Checkpoint với mỗi tính năng là một cơ sở dữ liệu, nên để đảm bảo hiệu suất xử lý, Checkpoint để các chính sách mặc định hoặc cấu hình ở mức cơ bản. Khi bật các tính năng lên thì thường hiệu suất của Checkpoint giảm rất đáng kể (có khi giảm đến 70 đến 80% so với chỉ bật một tính năng). Bảo mật cho trung tâm dữ liệu Do cấu hình tối ưu về phần cứng và phần mềm, nên PaloAlto cho phép bật tất cả các tính năng và các signature để nhận biết được các cuộc tấn công vào hệ thống mạng và bảo vệ hệ thống mạng cách an toàn nhất. Do kiến trúc là Firewall UTM, nên khi bật tất cả các tính năng thì hiệu suất giảm rất nhiều, và để đẩy thông số của Firewall lên cao, các hãng thường cấu hình các signature theo dạng mặc định, không hiệu quả trong việc bảo vệ hệ thống mạng của trung tâm dữ liệu. Ví dụ: Firewall Checkpoint 13500 có thông lượng 77 Gbps, nhưng khi bật tính năng kiểm soát ứng dụng, chỉ còn 23,6 Gbps, và khi bật tính năng IPS chỉ còn 5,7 Gbps và nếu bật các tính năng chống malware, virus, botnet thì thông số còn thấp hơn nữa. Từ 77 Gbps chỉ còn lại dưới 5,7Gbps khi bật tất cả tính năng. Vì vậy khi đặt trong Data Center, thiết bị sẽ làm nghẽn cổ chai các ứng dụng trong hệ thống. License Firewall PAN mặc định đã bao gồm tính năng firewall cơ bản, khả năng kiểm soát ở lớp ứng dụng (Application ID), khả năng nhận diện users (User ID). Chỉ cần mua thêm 1 license, có thể kích hoạt tính năng IPS và Antivirus, Anti Spyware, worms. Cần thêm 1 license cho tính năng URL filtering Firewall checkpoint cơ bản chỉ có tính năng Firewall cơ bản. Nếu cần: – Tính năng kiểm soát ứng dụng phải mua blade rời. – Tính năng nhận diện user phải mua blade rời. – Tính năng IPS phải mua blade rời – Tính năng Antivirus phải mua blade rời. – Tính năng URL Filtering phải mua blade rời. – Tính năng Data loss prevention phải mua blade rời – V.v… Tính năng Palo Alto có tính năng WildFire ngoài khả năng nhận biết hầu hết các ứng dụng phổ biến, còn có khả năng nhận biết được các ứng dụng và malware mới (unknown application, unknown malware). Tính năng kiểm soát ứng dụng của check point chưa kiểm soát được các ứng dụng chưa được biết đến (unknown applications) nên chưa có khả năng kiểm soát được các malware mới chưa được cập nhật. Cấu hình policy cho firewall Palo Alto hỗ trợ một policy editor duy nhất cho việc thiết lập các chính sách bảo mật liên quan đến networking policy, application control, IPS policy, Antivirus, cloud, URL filtering, QoS v.v… Vì vậy chỉ với 1 rule là cấu hình được tất cả các tính năng trên thiết bị, đơn giản cho người quản trị và hạn chế được sai sót khi các chính sách bị trùng lắp với nhau (nếu cần phải cấu hính 5 tính năng cho 1 users thì Checkpoint phải cấu hình 5 rules, trong khi Palo Alto chỉ cấu hình 1 rule). Hỗ trợ nhiều policy khác nhau bao gồm policy cho firewall, policy cho IPS, Policy cho antivirus, policy cho URL filtering,… Vì vậy người quản trị phải cấu hình rất nhiều chính sách cho nhiều tính năng, và dễ bị sai sót khi cấu hình các chính sách bị conflict với nhau. VPN Palo Alto hỗ trợ SSL VPN được tích hợp trên thiết bị (cho phép users sử dụng mobile, tablet, pc, laptop có thể VPN vào hệ thống và an toàn trong quá trình kết nối) Checkpoint phải mua license thì mới hỗ trợ tính năng SSL VPN. Kiểm soát file và hỗ trợ ứng dụng Palo Alto có khả năng ngăn chặn việc truyền file theo nội dung và loại file, phù hợp với các hệ thống an ninh lớn để ngăn chặn việc thất thoát dữ liệu ra ngoài. Palo Alto công bố chỉ hỗ trợ +1700 ứng dụng (App ID), tuy nhiên mỗi app id có thể kiểm soát được cả ứng dụng chính và các ứng dụng phụ vì vậy với ít các signature để nhận dạng ứng dụng nên hiệu suất xử lý của Palo Alto tốt hơn. VD: Facebook-app (chính), có các ứng dụng phụ Facebook chat, games, video, image, v.v… Checkpoint phải đầu tư license thì mới hỗ trợ tính năng kiểm soát và hạn chế truyền file ra ngoài. Checkpoint công bố hỗ trợ +244,000 ứng dụng (app id). Tuy nhiên mỗi ứng dụng phải cần đến rất nhiều App ID mới kiểm soát được, phải sử dụng rất nhiều signature để nhận dạng ứng dụng, ảnh hưởng đến hiệu suất xử lý rất nhiều. VD: để kiểm soát BitTorrent, Checkpoint cần đến >70 signatures. (*) UTM: Unified Threat Management là thế hệ Firewall tích hợp nhiều tính năng bảo mật bổ sung cho tính năng tường lửa như: IPS, Antivirus, AntiSpam, URL filtering, VPN, v.v… Tuy nhiên, thiết bị chỉ gồm 1 hệ thống xử lý tuần tự cho tất cả các tính năng này. Nếu kích hoạt đồng thời nhiều tính năng, khả năng xử lý của thiết bị sẽ giảm rất đáng kể. VietSunshine là nhà phân phối chính thức của Palo Alto Networks ở Việt Nam, liên hệ với chúng tôi để được tư vấn, hỗ trợ và báo giá tốt nhất. |
