مقایسه Fortinet و Cisco از لحاظ امنیت ، کارایی و هزینه
هرساله NSS Labs سه دسته متمایز از عملکرد فایروال را شناسایی و آزمایش می کند که این سه دسته بندی عبارت اند از : توان عملیاتی(Throughput) ، اثربخشی امنیتی(Security effectiveness) و هزینه کل مالکیت(TCO).
گزارش NSS Labs 2018 NGFW Comparative Report 10 شرکت پیشرو در زمینه امنیت شبکه را در یک طرح امنیتی ، مقابل هم قرار می دهد تا چگونگی مقایسه بی طرف NGFW ها را به مشتریان ارائه دهند.
در این مقاله ما نگاهی دقیق تر بر چگونگی مقایسه دو تولید کننده خاص بر مبنای تجهیزات نسل بعدی خواهیم داشت:
Fortinet FortiGate 500E در مقابل Cisco Firepower 4120
مقایسه Fortinet و Cisco در کنارهم به منظور ارائه ویژگی های برجسته ایی است که می تواند گزینه های شما را در امنیت شبکه ارزیابی کند.
عملکرد بازدهی (Throughput Performance)
عملکرد بازدهی یکی از سه معیار اصلی است که می تواند به اثربخشی کلی یک فایروال نسل جدید کمک کند. برای درک چگونگی عملکرد سخت افزار در شرایط دنیای واقعی، تست کنندگان توان عملیاتی ادعا شده توسط فروشنده را با توان عملیاتی آزمایش شده در آزمایشگاه مقایسه می کنند. آنها همچنین میزان تاخیر شبکه ،بر اساس اندازه های بسته داده که به عنوان ترافیک از طریق تجهیزات منتقل می شوند، را مشاهده کردند.
| Throughput Performance | ||
| fortinet | cisco | |
| ادعای سازنده | 5200 Mbps | 15000 Mbps |
| نتایج آزمایشگاهی | 6753 Mbps | 5921 Mbps |
آزمون UDP Throughput با ارسال بسته های UDP و با اندازه های مختلف از طریق محصولات آزمایش شده انجام می شود. هر بسته شامل یک مقدار مناسب از داده های ساختگی است که یک پورت در سخت افزار را هدف می گیرد تا ترافیک طبیعی شبکه را شبیه سازی کند.
| fortinet | cisco | |
| UDP; 64-Byte Packets | 20000 Mbps | 1341 Mbps |
| UDP; 256-Byte Packets | 20000 Mbps | 3238 Mbps |
| UDP; 1514-Byte Packets | 20000 Mbps | 8670 Mbps |
این شیوه ی آزمون برای ، مشاهده سطوح تاخیر ایجاد شده توسط ترافیک با اندازه های مختلف بسته، نیز اعمال شده که با میکروثانیه (µs) اندازه گیری می شود.
| fortinet | cisco | |
| Latency; 64-Byte Packets | 6.84 µs | 94.72 µs |
| Latency; 256-Byte Packets | 7.16 µs | 94.51 µs |
| Latency; 1514-Byte Packets | 10.04 µs | 111.89 µs |
اثربخشی امنیت (Security Effectiveness)
NSS LABs ، اثربخشی امنیت(Security Effectiveness) را، با استفاده از اکسپلویت های واقعی و تهدیدات مشاهده شده، مورد آزمایش قرار می دهد. این در حالی است که اکسپلویت های مبتنی بر وب، بزرگ ترین اکسپلویت مورد استفاده در یک تست واحد تا به امروز هستند که در فایروال های نسل بعدی به کار گرفته می شوند.
هر یک از محصولات مورد آزمایش، از جنبه پاسخ دادن به تعدادی از حملات مختلف ، مورد بررسی قرار می گیرند. از جمله این حملات را می توان به : IP Packet Fragmentation ، RPC Fragmentation، URL Obfuscation FTP/Telnet Evasion، HTTP Evasions، HTML Evasions،TCP Split Handshake، Resiliency ،& Attacks on NonStandard Ports نام برد.
برای هر یک از نه طبقه بندی بالا، فایروال سیسکو برای انجام آزمایش ها بر روی HTTP Evasions و Attacks on NonStandard Ports با نمره Fail درجه بندی شد.
اثربخشی امنیتی (Security Effectiveness) که توسط آزمایشگاه NSS تعریف شده است، به سه دسته تقسیم می شود که یک مجموعه از امتیازات امنیتی را تشکیل می دهند که عبارت اند از: Block Rate ، Evasions و Stability & Reliability .
| fortinet | cisco | |
| Exploit Block Rate | 99.3% | 95.7% |
| Evasions Blocked | 100% | 75% |
| Stability & Reliability | 100% | 100% |
| Overall Security Effectiveness | 99.3% | 71.8% |
هزینه کل مالکیت (Total Cost of Ownership)
خرید، پیکربندی و استفاده از فایروال مدرن یک فرایند پیچیده است که نیاز به مجموعه مهارت های خاص و زمان زیادی دارد. همچنین هزینه نگهداری و تعمیر سالانه می تواند به سرعت هزینه های اضافی را علاوه بر هزینه های سخت افزاری پیش رو افزایش دهد.
آزمایشگاه NSS یک روش اساسی برای اندازه گیری تاثیر کلی بودجه در فایروال های نسل جدید تهیه کرده است .
هزینه کل مالکیت (TCO) که توسط آزمایشگاه NSS تعریف می شود ترکیبی از هزینه های خرید، هزینه نگهداری، هزینه های مجوز و مدیریت و هزینه های نصب می باشد.
با ترکیبی از محاسبات ساده TCO با Security Effectiveness، تست کنندگان می توانند هزینه کل برآورد شده در هر Mbps را تعیین کنند.
| fortinet | cisco | |
| TCO per Protected Mbps | 2$ | 28$ |
| Appliance Only MSRP | 7000$ | 149995$ |
| TCO for 1 Year | 40586$ | 371093$ |
خلاصه نتایج:
در حالی که سیسکو وعده های زیادی در رابطه با توان عملیاتی می دهد، نتایج استخراج شده در شرایط آزمایشگاهی نتایج بسیار پایین تر از عملکرد ادعا شده توسط این شرکت را نشان می دهد. برعکس سیسکو، عملکرد فایروال FortiGate در شرایط آزمایشگاهی فراتر از انتظار خود شرکت Fortinet بوده است و این به نوبه خود یک اتفاق نادر است.
نمره FortiGate 500E در زمینه Security Effectiveness کمی بالاتر از Cisco Firepower 4120 می باشد.با این حال، بیشترین تفاوت در نتایج مقایسه ی Fortinet با Cisco، اختلاف زیاد در قیمت گذاری می باشد.
FortiGate 500E با هزینه 2 دلار در هر Mbps (کمترین قیمت در میان همه فروشندگان تست شده) ثابت می کند که می تواند همه چیز را ادعا کند و آن را تقریبا با یک دهم از قیمت های قابل مقایسه سیسکو انجام دهد.
دفتر تهران
