Cortafuegos: ¿El mejor? Según para qué
Evaluación del rendimiento
Elegir el mejor cortafuegos supone algo más que analizar los resultados de rendimiento bruto.
También deben tenerse en consideración cuestiones como gestión, flexibilidad, soporte, presentación de informes y documentación. Pero, si se van a diseñar conexiones a Internet de alta velocidad para su empresa o establecer conexiones internas LAN a LAN que exijan un cortafuegos de alto rendimiento, este comparativa puede serle muy útil dado que revela diferencias de rendimiento bastante claras.
El cortafuegos y la alta velocidad no siempre se llevan bien. No obstante, es fundamental tener en cuenta el factor rendimiento cuando se compra un cortafuegos; no en vano, las velocidades de acceso a Internet cifradas en varios megas empiezan a constituir una característica compartida por muchas redes empresariales de hoy en día.
Opus One, miembro de la Network World Global Test Alliance de IDG, junto con Spirent Communications, ha evaluado 16 cortafuegos a fin de determinar de forma precisa la rapidez de los productos de gama alta disponibles hoy en el mercado. Con el propósito de establecer unos criterios de los cuales surgiera una muestra más o menos homogénea para los tests, se estableció un precio límite de 20.000 dólares en el mercado estadounidense.
Los productos analizados fueron PIX 525 de Cisco, Firewall-1 de Check Point, eTrust de Computer Associates, eTrust de Computer Associates, KnightStar de CyberGuard, Enternet Firewall de Enternet, Brick de Lucent, NetScreen-100 de NetScreen, Network-1 de CyberwallPlus, WebShield de Network Associates, BorderManager de Novell, IP650 de Nokia , SideWinder de Secure Computing, SonicWall Pro VX de SonicWall, Raptor de Symantec, AppSwitch 3500 de TopLayer y Firebox II de WatchGuard. Los productos de NetScreen, Cisco y CyberGuard reportaron el mayor rendimiento. Los resultados globales ofrecen buenas perspectivas para los administradores de redes que deseen un cortafuegos para separar múltiples LAN de 100 Mbps.
Concretamente, los equipos de NetScreen, Cisco y CyberGuard alcanzaron las más altas capacidades de proceso. NetScreen ofreció un rendimiento total excepcional con cifras consistentemente elevadas en todas las pruebas.
No obstante, el diseño de las pruebas fue complejo, como también lo es la interpretación de los resultados, dado que este tipo de dispositivos suelen ser utilizados para diversas funciones y, como los tests revelaron, los mejores resultados en la realización de una tarea determinada no pueden ser extrapolados al resto. Con el propósito de medir cómo se comportan estos productos bajo diferentes –aunque típicas- condiciones, se idearon tres clases de pruebas. El primer conjunto fue diseñado para medir el rendimiento bruto proporcionado por cada producto cuando trabaja con paquetes largos y cuando lo hace con paquetes de pequeño tamaño. Un segundo conjunto evaluó la capacidad de los cortafuegos para soportar una alta densidad de conexiones TCP sin pérdida de paquetes o necesidad de retransmitirlos. Por último, se analizó cómo reaccionan las distintas soluciones en los momentos de máxima carga en las conexiones (picos de transmisión).
RENDIMIENTO BRUTO
Este test simula las condiciones de tráfico a las que suele enfrentarse un cortafuegos cuando se utiliza en el centro de una red empresarial o en un entorno Internet que haya de soportar actividades como compartición de ficheros.
Aunque el tráfico real de Internet es una mezcla de paquetes de múltiples tamaños, las pruebas se centraron en los dos extremos del espectro: paquetes largos (1.400 bytes) y paquetes cortos (64 bytes). Los primeros suponen mayor carga en la infraestructura, mientras que los cortos castigan la mayoría del equipamiento de red, dado que el procesamiento de la información necesariamente añadida a cada paquete aumenta necesariamente al incrementar su número y consume gran parte de la capacidad de procesamiento de los recursos. Una buena aplicación capaz de enviar un elevado número de paquetes largos sobre un pequeño número de conexiones (como un sistema de discos de backup) se traduce en un mejor rendimiento del cortafuegos en esta prueba.
Nueve cortafuegos lograron superar la prueba con paquetes largos sin ralentizar significativamente el tráfico (ver el gráfico). Pero sólo tres productos –los de TopLayer, Nokia y NetScreen- fueron capaces de tratar más del 50% de la carga (capacidad de proceso de 100 Mbps) cuando trabajaban con paquetes pequeños. Estos resultados ponen de manifiesto que encontrar un cortafuegos para manejar aplicaciones bien diseñadas no es una tarea difícil. Sin embargo, cuando se trata de patrones de tráfico peor diseñados, es necesario ser más selectivo.
Seis productos destacaron en la prueba de rendimiento bruto. Las cajas de TopLayer, Nokia y NetScreen arrojaron una capacidad de proceso de más de 120 Mbps de rendimiento con paquetes pequeños y de 200 Mbps con paquetes largos. TopLayer y Nokia superaron algo este nivel hasta alcanzar en el manejo de paquetes cortos velocidades de 130 Mbps, frente a los 120 Mbps de NetScreen.
Sin embargo, NetScreen dio la vuelta al marcador sobre TopLayer y Nokia respecto de los picos de latencia. La latencia máxima de TopLayer y Nokia fue siete y más de seis veces mayor, respectivamente, que la de NetScreen. Esto constituye un dato importante porque cuanto más alta es la latencia del cortafuegos, más lento es su rendimiento interactivo.
Los siguientes tres finalistas fueron Cisco, Lucent y CyberGuard, con tasas en las pruebas de tratamiento de paquetes cortos de entre 50 y 70 Mbps. Sin embargo, todos ellos alcanzaron también los 200 Mbps cuando se trataba de manejar paquetes largos. CyberGuard logró un rendimiento especialmente destacable gracias a su plataforma SCO Unix sobre hardware PC genérico, dejando fuera de juego a algunos de los suministradores de hardware dedicado.
Algunos productos que alcanzaron 200 Mbps en las pruebas con paquetes largos, como los de Enternet, Secure Computing y WatchGuard, obtuvieron resultados cercanos a cero con paquetes cortos. Esto demuestra la drástica diferencia que el tamaño del paquete puede suponer en el rendimiento del producto y lo cautelosos que deben ser los gestores de red cuando evalúan la información resultante de bancos de pruebas que no introducen esta diferenciación.
Con todo, es necesario recordar que los tests de rendimiento bruto no son indicativos del tráfico Internet convencional. Para una empresa típica conectada vía un circuito DS-3 (45 Mbps), los únicos productos que arrojaron un rendimiento inaceptable fueron los de Network-1 y Novell. Si el administrador optara por uno de ellos, habría de implementar ineludiblemente algún tipo de mejora adicional o apoyarse en un hardware más rápido.
CONEXIONES MASIVAS
El segundo conjunto de tests evaluaba la capacidad de cada cortafuegos para mantener una alta tasa de conexión TCP sin perder paquetes ni retransmitirlos. Esta característica resulta especialmente crítica si la función de los cortafuegos es la protección de múltiples servidores Web en centros de datos. Debido al diseño de TCP, la pérdida o el retardo de paquetes durante el establecimiento de la conexión degrada severamente la experiencia del usuario final, especialmente en el caso de aplicaciones basadas en Web, donde una única página puede contener docenas de elementos, cada uno de los cuales requiere una conexión separada al servidor Web.
Para la realización de estas pruebas se e
También deben tenerse en consideración cuestiones como gestión, flexibilidad, soporte, presentación de informes y documentación. Pero, si se van a diseñar conexiones a Internet de alta velocidad para su empresa o establecer conexiones internas LAN a LAN que exijan un cortafuegos de alto rendimiento, este comparativa puede serle muy útil dado que revela diferencias de rendimiento bastante claras.
El cortafuegos y la alta velocidad no siempre se llevan bien. No obstante, es fundamental tener en cuenta el factor rendimiento cuando se compra un cortafuegos; no en vano, las velocidades de acceso a Internet cifradas en varios megas empiezan a constituir una característica compartida por muchas redes empresariales de hoy en día.
Opus One, miembro de la Network World Global Test Alliance de IDG, junto con Spirent Communications, ha evaluado 16 cortafuegos a fin de determinar de forma precisa la rapidez de los productos de gama alta disponibles hoy en el mercado. Con el propósito de establecer unos criterios de los cuales surgiera una muestra más o menos homogénea para los tests, se estableció un precio límite de 20.000 dólares en el mercado estadounidense.
Los productos analizados fueron PIX 525 de Cisco, Firewall-1 de Check Point, eTrust de Computer Associates, eTrust de Computer Associates, KnightStar de CyberGuard, Enternet Firewall de Enternet, Brick de Lucent, NetScreen-100 de NetScreen, Network-1 de CyberwallPlus, WebShield de Network Associates, BorderManager de Novell, IP650 de Nokia , SideWinder de Secure Computing, SonicWall Pro VX de SonicWall, Raptor de Symantec, AppSwitch 3500 de TopLayer y Firebox II de WatchGuard. Los productos de NetScreen, Cisco y CyberGuard reportaron el mayor rendimiento. Los resultados globales ofrecen buenas perspectivas para los administradores de redes que deseen un cortafuegos para separar múltiples LAN de 100 Mbps.
Concretamente, los equipos de NetScreen, Cisco y CyberGuard alcanzaron las más altas capacidades de proceso. NetScreen ofreció un rendimiento total excepcional con cifras consistentemente elevadas en todas las pruebas.
No obstante, el diseño de las pruebas fue complejo, como también lo es la interpretación de los resultados, dado que este tipo de dispositivos suelen ser utilizados para diversas funciones y, como los tests revelaron, los mejores resultados en la realización de una tarea determinada no pueden ser extrapolados al resto. Con el propósito de medir cómo se comportan estos productos bajo diferentes –aunque típicas- condiciones, se idearon tres clases de pruebas. El primer conjunto fue diseñado para medir el rendimiento bruto proporcionado por cada producto cuando trabaja con paquetes largos y cuando lo hace con paquetes de pequeño tamaño. Un segundo conjunto evaluó la capacidad de los cortafuegos para soportar una alta densidad de conexiones TCP sin pérdida de paquetes o necesidad de retransmitirlos. Por último, se analizó cómo reaccionan las distintas soluciones en los momentos de máxima carga en las conexiones (picos de transmisión).
RENDIMIENTO BRUTO
Este test simula las condiciones de tráfico a las que suele enfrentarse un cortafuegos cuando se utiliza en el centro de una red empresarial o en un entorno Internet que haya de soportar actividades como compartición de ficheros.
Aunque el tráfico real de Internet es una mezcla de paquetes de múltiples tamaños, las pruebas se centraron en los dos extremos del espectro: paquetes largos (1.400 bytes) y paquetes cortos (64 bytes). Los primeros suponen mayor carga en la infraestructura, mientras que los cortos castigan la mayoría del equipamiento de red, dado que el procesamiento de la información necesariamente añadida a cada paquete aumenta necesariamente al incrementar su número y consume gran parte de la capacidad de procesamiento de los recursos. Una buena aplicación capaz de enviar un elevado número de paquetes largos sobre un pequeño número de conexiones (como un sistema de discos de backup) se traduce en un mejor rendimiento del cortafuegos en esta prueba.
Nueve cortafuegos lograron superar la prueba con paquetes largos sin ralentizar significativamente el tráfico (ver el gráfico). Pero sólo tres productos –los de TopLayer, Nokia y NetScreen- fueron capaces de tratar más del 50% de la carga (capacidad de proceso de 100 Mbps) cuando trabajaban con paquetes pequeños. Estos resultados ponen de manifiesto que encontrar un cortafuegos para manejar aplicaciones bien diseñadas no es una tarea difícil. Sin embargo, cuando se trata de patrones de tráfico peor diseñados, es necesario ser más selectivo.
Seis productos destacaron en la prueba de rendimiento bruto. Las cajas de TopLayer, Nokia y NetScreen arrojaron una capacidad de proceso de más de 120 Mbps de rendimiento con paquetes pequeños y de 200 Mbps con paquetes largos. TopLayer y Nokia superaron algo este nivel hasta alcanzar en el manejo de paquetes cortos velocidades de 130 Mbps, frente a los 120 Mbps de NetScreen.
Sin embargo, NetScreen dio la vuelta al marcador sobre TopLayer y Nokia respecto de los picos de latencia. La latencia máxima de TopLayer y Nokia fue siete y más de seis veces mayor, respectivamente, que la de NetScreen. Esto constituye un dato importante porque cuanto más alta es la latencia del cortafuegos, más lento es su rendimiento interactivo.
Los siguientes tres finalistas fueron Cisco, Lucent y CyberGuard, con tasas en las pruebas de tratamiento de paquetes cortos de entre 50 y 70 Mbps. Sin embargo, todos ellos alcanzaron también los 200 Mbps cuando se trataba de manejar paquetes largos. CyberGuard logró un rendimiento especialmente destacable gracias a su plataforma SCO Unix sobre hardware PC genérico, dejando fuera de juego a algunos de los suministradores de hardware dedicado.
Algunos productos que alcanzaron 200 Mbps en las pruebas con paquetes largos, como los de Enternet, Secure Computing y WatchGuard, obtuvieron resultados cercanos a cero con paquetes cortos. Esto demuestra la drástica diferencia que el tamaño del paquete puede suponer en el rendimiento del producto y lo cautelosos que deben ser los gestores de red cuando evalúan la información resultante de bancos de pruebas que no introducen esta diferenciación.
Con todo, es necesario recordar que los tests de rendimiento bruto no son indicativos del tráfico Internet convencional. Para una empresa típica conectada vía un circuito DS-3 (45 Mbps), los únicos productos que arrojaron un rendimiento inaceptable fueron los de Network-1 y Novell. Si el administrador optara por uno de ellos, habría de implementar ineludiblemente algún tipo de mejora adicional o apoyarse en un hardware más rápido.
CONEXIONES MASIVAS
El segundo conjunto de tests evaluaba la capacidad de cada cortafuegos para mantener una alta tasa de conexión TCP sin perder paquetes ni retransmitirlos. Esta característica resulta especialmente crítica si la función de los cortafuegos es la protección de múltiples servidores Web en centros de datos. Debido al diseño de TCP, la pérdida o el retardo de paquetes durante el establecimiento de la conexión degrada severamente la experiencia del usuario final, especialmente en el caso de aplicaciones basadas en Web, donde una única página puede contener docenas de elementos, cada uno de los cuales requiere una conexión separada al servidor Web.
Para la realización de estas pruebas se e
