با ورود فایروال ها به دنیای تجهیزات شبکه، امنیت و کارایی حرف اول را می زند. از طرفی برندهای متفاوتی در طراحی و تولید این محصول خارق العاده وارد عرصه شدند که از معتبر ترین و معروف ترین آن ها می توان به سیسکو و فورتی نت اشاره کرد.
این شرکت ها هر روزه درحال به روز رسانی و آپدیت این محصولات می باشند و در رقابت تنگاتنگی با هم قرار دارند. در این مقاله قصد داریم محصولات این دو برند را با هم مقایسه کنیم و بعد از ارزیابی و مقایسه این دو برند به این نتیجه برسیم که کدامیک و در چه ویژگی هایی از دیگری بهتر است؛
مقایسه فایروال سیسکو و فورتی نت
هر ساله ویژگی هایی از قبیل توان عملیاتی یا Throughput، اثربخشی امنیتی یا Security Effectiveness و هزینه کل مالکیت یا TCO توسط NSS Labs مورد بررسی و ارزیابی قرار می گیرد تا بتوانند عملکرد فایروال ها را ارزیابی کند. برای مقایسه فایروال سیسکو و فایروال فورتی نت باید ویژگی هایی مورد بررسی قرار بگیرند که امنیت شبکه شما را تامین می کنند و با ارزیابی این ویژگی ها به این نتیجه برسیم که کدامیک بر دیگری برتری دارد.
در ابتدا عملکرد بازدهی یا همان Throughput Performance را مورد ارزیابی قرار می دهیم؛
بیشتر بخوانید: فایروال و عملکرد آن در شبکه
- عملکرد بازدهی Throughput Performance: یکی از سه معیار اصلی که برای ارزیابی فایروال ها مورد بررسی قرار می گیرد عملکرد بازدهی است. برای بررسی این ویژگی، توان عملیاتی که برای محصولات فایروال توسط سازنده آن ها ادعا می شود در آزمایشگاه ها مورد بررسی قرار می گیرد، تا توان عملیاتی و عملکرد سخت افزار به طور واقعی بدست بیاید. همچنین داده هایی که ارسال می شوند، تحت عنوان ترافیک توسط این تجهیزات انتقال داده می شوند و میزان تاخیر شبکه را بر اساس آنها اندازه می گیرند. نتیجه ای که برای این دو برند ارائه شده است به شرح زیر است.
| Throughput Performance | ||
|---|---|---|
| Cisco | Fortinet | |
| ادعای سازنده | 15000Mbps | 5200Mbps |
| نتیجه آزمایشگاه | 5921Mbps | 6753Mbps |
از سوی دیگر آزمایش UDP Throughput بسته های UDP ارسال می کند که این بسته ها در اندازه های گوناگونی هستند و هر یک از بسته ها شامل داده های ساختگی به میزان مناسب می باشد که پورت سخت افزار را اندازه گیری کرده تا بتوانند شرایط یکسان را شبیه سازی کنند و توان پورت را اندازه بگیرند.
| Cisco | Fortinet | |
|---|---|---|
| UDP: 64-Byte Packets | 1341 Mbps | 20000 Mbps |
| UDP: 256-Byte Packets | 3238 Mbps | 20000 Mbps |
| UDP: 1514-Byte packets | 8670 Mbps | 20000 Mbps |
هدف از این آزمایش ها برای اندازه گیری سطح تاخیر می باشد که این ویژگی را برای بسته هایی با اندازه متفاوت بررسی می کند و با واحد میکرو ثانیه بررسی می گردد پس دقت بالایی دارد.
| بسته ها با اندازه های متفاوت جهت آزمایش | Cisco | Fortinet | |
|---|---|---|---|
| UDP: 64-Byte Packets | 94.72 µs | 6.84 µs | |
| UDP: 256-Byte Packets | 94.51 µs | 7.16 µs | |
| UDP: 1514-Byte packets | 111.89 µs | 1.04 µs | |
- اثربخشی امنیت Security Effectiveness: مورد بعدی که برای ارزیابی این دو برند مورد بررسی قرار می گیرد اثربخشی امنیت می باشد. برای بررسی این خصیصه تهدیدات قابل مشاهده را مورد آزمایش قرار می دهند. اکسپلویت ها یا همان کدهای مخرب که توسط هکرها امنیت را تحت شعاع قرار می دهند نیز مورد بررسی قرار می گیرند که بزرگترین اکسپلویت ها آنهایی هستند که تحت وب می باشند و با استفاده از آن ها تست و آزمایش انجام می شود و از این ویژگی برای فایروال های نسل بعدی نیز استفاده می کنند.
محصولات مختلف با انواع گوناگونی از حملات مورد بررسی و آزمایش قرار می گیرند که برخی از این حملات مانند: Resiliency، TCP Split Handshake، HTTP Evasions و .. می باشند.
فایروال سیسکو در برخی از این حملات همانند HTTP Evasions و Attack on NonStandard Ports نتیجه مطلوبی نداشتند و یا fail شدند. به طور کلی ویژگی اثر بخشی مجموعه ای نتایجی است که فایروال سیسکو و فایروال فورتی نت در سه حمله Evasions، Block Rate و Stability & Reliability کسب کرده اند که در جدول زیر نتیجه این فایروال ها برای هر یک عنوان کرده ایم و نتیجه کلی که برابر با همان اثر بخشی می باشد نیز قید گشته است:
| حملات بررسی شده | Cisco | Fortinet | |
|---|---|---|---|
| Exploit Block Rate | 95.70% | 99.30% | |
| Evasions Blocked | 75% | 100% | |
| Stability & Reliability | 100% | 100% | |
| Overall Security Effectiveness | 71.80% | 99.30% | |
- هزینه کل مالکیت Total Cost Of Ownership: شما برای پیکربندی و استفاده از فایروال های مدرن نیازمند مهارت های خاصی هستید که زمان بر است و یک فرایند پیچیده محسوب می شود و از طرفی نگهداری و تعمیر سالانه آنها به سرعت رو به افزایش است، بودجه کلی فایروال ها مورد آزمایش و بررسی قرار گرفته است که با توجه به هزینه های ذکر شده است. هزینه مالکیت یا TCO مجموعه ای از هزینه خرید، نگهداری، مدیریت، پیکربندی، هزینه های مجوز و نصب است. هزینه به دست آمده و آزمایش شده برای دو برند سیسکو و فورتی نت به شرح زیر است:
| Cisco | Fortinet | ||
|---|---|---|---|
| TCP per Protected Mbps | 28$ | 2$ | |
| Appliance Only MSRP | 149995$ | 7000$ | |
| TCO for 1 Year | 371093$ | 40586$ | |
شاید نتایج به دست آمده به شما این برداشت را بدهد که شرکت سیسکو نتایجی ارائه داده که از نتایج آزمایش شده پایین تر بوده و نتوانسته آن طور که ادعا کرده بود پاسخگوی نیاز ها باشد، در حالی که فایروال فورتی نت در آزمایش ها نتایجی فراتر از ادعای خود ارائه داده و انتظارات را برآورده کرده است.
اما شرکت سیسکو با ارائه ویژگی هایی در سری جدید فایروال های Cisco Firepower توانسته است به رقیبی جدی و سرسخت برای فورتی نت ها و فورتی گیت ها مبدل گردد. هر دو برند دارای قابلیت هایی هستند که گاها انتخاب بین آنها سخت می شود در ادامه برخی از این تفاوت ها مطرح می گردد که شاید تا حدی به شما در انتخاب فایروال کمک کند.
فایروال Cisco Firepower چیست:
این فایروال ها در برابر بد افزارها بسیار خوب عمل می کنند و به خوبی از شبکه شما محافظت می کنند، همچنین از نفوذ تهدیدات و بررسی توسط مهاجمان جلوگیری می کنند و در نهایت تهدیدات را اولویت بندی می کنند. کاربرانی که غیر قانونی هستند را بررسی می کنند که این ویژگی بسیار مفید است و شما می توانید بر روی محیط کنترل بهتری داشته باشید.
فایروال فورتی نتِ فورتی گیت چه ویژگی هایی دارد:
مهم ترین ویژگی فایروال های فورتی نت امکان مدیریت کل شبکه است، فورتی گیت ها در فضای ابری به کار برده می شوند و پلتفرم قابل اعتمادی را ارائه می دهند. فورتی گیت ها می توانند فیلتر داخلی داشته باشند که از مهم ترین ویژگی آن ها می باشد.
این محصولات چون عملکرد فیلترینگ را به صورت سایت به سایت انجام می دهند برای کاربران ریموت گزینه مناسبی می باشد، پایداری و قابلیت اطمینان فایروال های فورتی گیت با سیستم های جلوگیری از IPS و IDS و آنتی ویروس ها تامین می شود. این محصولات با قابلیت هایی که دارند در هر دقیقه بیش از 35000 فایل مخرب را متوقف می کنند به همین علت عملکرد بالایی دارند و برای محیط بزرگ کاربرد زیادی دارند.
تفاوت فایروال Firepower سیسکو و فورتی نت:
Cisco و Fortinet دو برند شناخته شده در جهان هستند که کاربرد زیادی در تجهیزات شبکه دارند. هریک از آنها دارای محصولاتی با ویژگی ها و قابلیت های گوناگونی است، به این صورت گفته می شود که سیسکو سفارشات را می پذیرد اما مورد علاقه کاربران نیست در حالی که فورتی نت بسیار پیشرفته و کاربر پسند است. اما به طور کلی هر دو برند بسیار فوق العاده هستند و موارد عنوان شده تنها مقایسه آنها است.
- در Cisco Firepower قابلیتی به نام Malware Protection وجود دارد که مبتنی بر AMP هستند و هزینه و ریسک را افزایش می دهند.
- IPS در فایروال های Firepower بسیار قوی تر از Fortinet است.
- در فورتی گیت ها برخی از ویژگی های WAF وجود دارد.
- قابلیت Security Fabric در فورتی نت ها، امنیت را در لایه ها بالا می برد.
- قابلیت Integration با نرم افزارهایی همچون Cisco ISE در سیسکو وجود دارد که در Response می تواند قوی عمل کند.
- در فورتی نت ها قابلیت DLP وجود دارد ولی در سیسکو این قابلیت موجود نیست.
- فایروال های Firepower دارای قابلیت هایی همچون SSL/TLS، IPS، CTR و AMP را دارا می باشند و فورتینت ها از قابلیت هایی همچون PBR، Fortinet VPN، ATP، RIP، BGP، OSPF بهره می برند.
- Firepower ها مقیاس پذیرند اما به مقیاس پذیری بیشتر نیاز دارند اما فورتی نت ها خیلی مقیاس پذیرند.
- Firepower از مسیریابی Blackhole پشتیبانی نمی کنند اما فورتی نت ها این قابلیت را پشتیبانی می کنند.
- Firepower بسیار ساده و راحت است اما فورتی نت ها بسیار پیچیده هستند.
- Firepower کاربران فعال و غیر فعال را به شما ارائه می دهد اما فورتی نت ها این کار را نمی کنند.
بیشتر بخوانید: نصب و راه اندازی فایروال فورتیگیت Fortinet
Cisco ASA چیست و چه ویژگی دارد:
نوع دیگری از محصولات سیسکو، سیسکو ASA است که به نوبه خودش دارای مزیت ها و قابلیت هایی است که آگاهی از آنها خالی از لطف نیست. اولین نکته ای که در مورد Cisco ASA بسیار ملموس است امکان ادغام شدن با سایر محصولات سیسکو است. این محصول می تواند ترافیک را بررسی کرده و همچنین Cisco Firepower را ارزیابی کند که در نتیجه کنترل و مدیریت بهتری به همراه دارد و با اطلاعاتی که از ترافیک و تهدیدات دارد می تواند بسیار مثمرثمر باشد.
نقاط قوت و ضعف Cisco Firepower ،Cisco ASA و فورتی نت:
حال که هر سه فایروال را تا حدودی می شناسیم و از ویژگی های آنها مطلع شده ایم می خواهیم به بررسی نقاط قوت و نقاط ضعف بپردازیم :
نقاط قوت:
- فایروال فورتی گیت: این محصولات دارای ویژگی های UTM هستند و بسیار با کیفیت است. از مهم ترین قابلیت های این فایروال ها SSL VPN است که این امکان را فراهم می سازد تا سرویس های گوناگونی را به کاربران و مشتریان ارائه دهند. با فیلترینگ وب و کنترل نرم افزار می توانیم مصرف اینترنت را مدیریت کنیم و از فیلتربودن وب در جهت نیازهای نرم افزار استفاده کنیم. در این فایروال هر آنچه که نیاز دارید را داراست و بسیار کاربرپسند است.
- Cisco Firepower: این فایروال ها دنبال تعادلی هستند تا ویزگی های نسل بعدی فایروال ها را در کنار قابلیت هایی همچون application و awareness و همچنین در برابر حمله ها و تهدیدات داشته باشند. این فایروال ها با توجه به بررسی عمقی که دارند امنیت بیشتری به کاربران می دهند و یک مجموعه کامل از هر چیزی است که دنبالش هستید. دارای ثبات زیادی است و از AVC و محدودیت نرخ پشتیبانی می کند و مهم ترین ویژگی این فایروال ها IPSec VPN و فیلترینگ وب است.
- Cisco ASA: این نوع فایروال، با ابزارهای سیسکو ادغام می شود که این خصیصه بسیار ارزشمند می باشد، این نوع فایروال شکل به روز شده Cisco Firepower است که از لبه یا edge بسیار دفاع می کند و از محصولات در برابر بدافزارها، حمله کننده ها و هکرها محافظت می کند. به ما گزارشی از حملاتی که از سازمان خارج می شود را می دهد و ثبات محصول را حفظ می کند. حفظ ثبات یکی از مهم ترین ویژگی های این فایروال است.
نقاط ضعف:
- فایروال فورتی گیت: در برخی از محصولات مانند 60D دارای محدودیت در پهنای باند است و با توجه به سرویس ها و قابلیت هاایی که ارائه می دهد توانایی ارائه پهنای باند بالا را نیز داشت. برخی از امکانات این فایروال با پرداخت هزینه فعال می شوند و با برخی از محصولات سیسکو و سرور کارکرد مناسبی ندارد. راه اندازی اولیه آن بسیار پیچیده است و کار کردن با آن اصلا ساده نیست.
- Cisco Firepower: گاها با بررسی محتوا و فیلترینگ از نظر امنیتی موجب تاخیر در شبکه می شود. کار پردازش تکی و یا روش پشت سر هم را انجام می دهد در حالی که می توانند روشی همچون Pile ارائه دهد. عدم داشتن آنتی ویروس قوی در این فایروال از دیگر نقاط ضعف آن است. ویژگی های امنیتی آن باید بهبود پیدا کنند و با سرعت بالاتری ارائه شوند و سیستم لایسنس چشمگیری ندارد.
- Cisco ASA: در این فایروال یک باگ وجود دارد و آن هم به روز نبودن کاربر گرافیکی می باشد. اگر تازه کار باشید روش کار با این فایروال برای شما کمی زمان بر است. نیازمند خرید لایسنس برای فعالسازی برخی امکانات است. همچنین نیازمند anti-spam درایمیل ها است. می تواند به گونه ای پیکربندی شود که کار کردن با آن ساده تر شود. هنگامی که جاوا را RUN می کنید با سیستم عامل Cisco ASA سازگاری ندارد.
بیشتر بخوانید: قابلیت ASA سیسکو با خدمات FirePower
مقایسه فایروال سیسکو و فورتی نت برای کسب و کار با تصویر:
نتیجه گیری:
برای آن که بدانید چه فایروالی برای شما مناسب است باید فایروال ها را که یک محصول امنیتی هستند را با توجه به مشکلات و ریسک نداشتن آنها انتخاب کنید. سپس بودجه خود را بسنجید و گزینه مناسب با توان مالی خود را انتخاب کنید. با توجه به نقاط ضعف و قدرت هر فایروال به سادگی می توانید به عملکرد آن ها پی ببرید و انتخاب مطلوبی داشته باشید. شما می توانید سایر مقالات ما را در قسمت مجله مستر شبکه بررسی و مطالعه کنید.
