امنیتمقالات

جایگاه نامناسب محصول Juniper در گزارشات گارتنر

چرا محصول Juniper در گزارشات سال های اخیر گارتنر به نسبت Cisco ASA و FortiGate جایگاه مناسبی ندارد

چرا محصول Juniper در گزارشات سال های اخیر گارتنر به نسبت Cisco ASA و FortiGate جایگاه مناسبی ندارد ?

???? در گزارشات گارتنر اگر دقیت کنید، مثلاً در تصویر فوق که مربوط به گزارش مقایسه NGFW ها در سال 2018 هست، شما علاوه بر NGFW های معروفی همچون Cisco ASA و Palo Alto و Check Point VRX و Juniper SRX و… یکسری از UTM ها را نیز از جمله Fortinet (با محصول FortiGateش)، Sophos XG و Sonicwall و… رو هم مشاهده می کنید.

به نظر من این یک دسته بندی اشتباه هست که توسط موسسه گارتنر انجام همیشه انجام می شود، یعنی وقتی گزارش برترین UTM ها را می دهد NGFW ها هم در آن هستند و برعکس وقتی گزارش NGFW ها را ارائه می کند UTM ها هم در آن هستند که این درست نیست چون می دانیم UTM ها عمدتاً feature listهای بیشتری دارند و کاربردهای متنوع تری هم می توانند به نسبت NGFWها داشته باشند.
از طرفی در رقابتی که بین این vendorها وجود دارد تا حدودی این مرزبندی و تعریف بین NGFW ها و UTM ها از بین رفته، یعنی فرضاً ما DLP را به عنوان یکی از feature های UTM ها می شناسیم ولی Palo Alto و Checkpoint با اینکه جز NGFW ها هستند این feature را دارند ولی Cisco ASA و Juniper SRX که جز NGFW ها هستند این feature را ندارند.

???? موضوع دیگر اینکه Cisco با معرفی FirePOWER و ویژگی های که به واسطه آن با فایروال خودش یعنی ASA یکپارچه کرد از جمله NGIPS و AMP و AVC و… توانست یک جهش بزرگ در محصول NGFW خود بوجود آورد و فاصله خودش را از Palo Alto و Checkpoint که همیشه رتبه اول و دوم را در گزارشات گارانتر به خود اختصاص می دادند کم کرده و از بخش Challengerها به لیست صدر نشین ها یعتی Leaderها حوزه NGFW بپیوندد و فاصله اش را نیز از Juniper بیشتر کند. ولی Juniper الان سالهاست که بعد از معرفی SRX خودش دیگر قابلیت امنیتی آنچنانی ای و چشمگیری را به این محصول اضافه نکرده و تا حدی که این محصول در شرایط قبلی خود freeze شده و پیشرفت چشمگیری در سال های اخیر حداقل در آن مشاهده نمی شود.

???? از جنبه دیگر اگر بخوایم نگاه کنیم،Cisco ASA به واسطه Firepower Management Center ش می تواند با محصولات دیگر از جمله ابزارهای third-party و همینطور راهکارهای مدرن دیتاسنتری خود شرکت Cisco مثل Stealthwatch و ESA و WSA و Tetration و ISE و ACS و WCS و… کاملاً یکپارچه شده و یک شبکه Collaboration قدرتمند دیتاسنتری را راه اندازی کنیم در صورتیکه Juniper SRX از این قضیه بی بهره است.

???? شاید جنبه دیگر این باشد که پشت محصول ASA شرکت Cisco و همینطور سایر Security-boxهای آن لابراتواری قوی به اسم Talos هست یا Fortinet لابراتور پیشرفته FortiGaurd را برای محصولاتش دارد ولی پشت محصول SRX چنین لابراتوار قدرتمندی وجود ندارد که بتواند تهدیدات امنیتی (به خصوص Zero-day Attack ها را به سمت آن فرستاد و آنجا تجزیه و تحلیل شوند و برایشان signature ایجاد و update جدید ارائه شود).

???? یکی دیگر از جنبه های مقایسه محصولات NGFW و UTM از نظر گارتنر کسب Certificateهای امنیتی محصولات یا featureهای آنها توسط موسسات و نهادهای امنیتی بین اللملی و معروف است. برای مثال شما قابلیت IPS را در محصول ASA در نظر بگیرید که به آن اصطلاحاً NGIPS می گوییم، که در واقع همان سرویس Snort است در مقابل IPS ی که Fortinet برای محصول FortiGate خودش نوشته موفق شده Certificateهای امنیتی را از موسسات معروفی مثل NSS و ICSA و EAL4+ کسب کند در صورتیکه Snort چه آن موقع که محصول شرکت SourceFire بود چه الان که SourceFire را Cisco خریده و مالک آم شده هنوز موفق به کسب چنین Certificateهایی نشده است.

???? از دیدگاه سخت افزاری هم Cisco ASA و Juniper SRX از همان معماری سخت افزاری مرسوم قدیمی استفاده می کنند، یعنی یک CPU وجود دارد که تماس processهای تجهیزات و ماژول های آنها را برعهده دارد که این خودش می تواند در performance و throughput دستگاه تأثیر بگذارد، در صورتیکه FortiGate از چندین ASIC تخصصی و سخت افزاری برای process خودش به جز CPUی که دارد استفاده می کند.

???? اما مقایسه های موسسه ای مثل گارتنز مسلماً فقط بررسی feature list های محصولات یا Stress Test ها نیست، بلکه هزینه های خرید تجهیزات، لایسنس و حتی ماژول ها را هم شامل می شود. مثلا در Legacy ASAها اینطور بود که شما فایروال را می خریدید و اگر نیاز به IPS داشتید، باید ماژول IPS را هم جدا تهیه می کردید و مسلماً شامل هزینه میشد و اینکه بعد باید لایسنس مربوط به آن را نیز تهیه می کردید، ولی بعد از اینکه شرکت Cisco محصولات سری ASA-X را معرفی کرد، ماژول IPS هم روی ASA به صورت default قرار داده شده و شما وقتی تجهیز را خریداری کنید می بایست هزینه ماژول NGIPS آن را هم بپردازید (در صورتیکه شاید تهیه IPS از شرکت Cisco برای زیرساختتان مد نظر شما نباشد و بدین طریق هزینه اضافه هم به شما تحمیل می شود) همینطور ماژول های AIP-SSM و Anti-Virus Protection، ولی Fortinet از همان ابتدا این کار را نکرد و تمام ماژول های امنیتی خودش را به صورت یکپارچه بر روی FortiGate ارائه داد و صرفاً برای هر کدام از آنها لایسنس معرفی کرد که این باعث می شود در کل TCO شما پایین بیاد.

???? موضوع بعدی بروزرسانی Signatureهای محصولات از دیدگاه گارتنر است، برای مثال در Cisco ASA شما اگر بخواهید Signature های مربوط به IPS  (یا حتی NGIPS) را آپدیت کنید باید به صورت دستی آنها را دانلود کرده و بعد به Signature Database تان فایلش را ارسال کنید، در صورتیکه FortiGate قابلیت dynamic real-time push updatesها از شبکه FortiGuard دارد که به این طریق می تواند از حملات Zero-day هم جلوگیری کند.

???? محصول Cisco ASA در ساختار Cisco Cloud و Cisco SDDC می تواند به خوبی با محصولات Cisco ACI/DNA و Cisco Meraki یکپارچه شود و شما می توانید بسیاری از قابلیت های NGFW خودتان را توسط APIC و RESTful API ها Orchestrate و Automate نمایید، هر چند می توانید از محصولات FortiGate و Juniper SRX هم در زیرساخت SDDC و Cloud استفاده کنید ولی قابلیت یکپارچگی در محصول Cisco ACI/DNA را به خوبی ASA-X ها ندارند. (توجه داشته باشید Legacy ASA ها فاقد پشتیبانی از RESTful API ها هستند).

???? ماژول AV و engine آن در Cisco ASA چون از شرکت TrendMicro گرفته شده و توسط این شرکت license شده، به همین خاطر شرکت Cisco بر روی آن کنترل کمی دارد به خصوص در مواقعیکه signatureهای AV را بخواهید update کنید، در عوض در شرکت Fortinet یک تیم تخصصی از کارکنان خود شرکت Fortinet به اسم “تیم مهندسین تحقیق و توسعه آنتی ویروس” وجود دارد که به صورت تخصصی threatهای جدید را بررسی می کنند و آپدیت های جدید را هم به صورت signature ارائه می دهند و چون این تیم آپدیت های جدید را روی سرورهای FortiGuard می فرستد و این سرورها نیز در سراسر دنیا تقریباً وجود دارند و با هم sync شده اند، شما در کمتر از 5 دقیقه می توانید همه تجهیزات FortiGate در سازمانتان را آپدیت کنید.

???? بحث محدودیت در VPN ها بر روی Cisco ASA وجود دارد، به این صورت که وقتی شما بخواهید IPSec VPN را به صورت Site-to-Site بر روی ASA پیکربندی کنید، اگر ASA تان را در مد transparent پیکربندی کرده باشید یا Virtual Firewall Context بر روی آن داشته باشید، IPSec STS شما termination نمی شود به همین دلیل در محیط های MSSP سرویس های VPN از ASA زیاد پیشنهاد نمی شود ولی در عوض در FortiGate شما می توانید IPSec VPN ها در VDOM ها و حتی زمانیکه FG خودتان را در مد transparent پیکربندی کرده اید هم terminate کنید.

???? در بحث Multicast هم ASA نمی تواند ترافیک multicast را زمانیکه شما VDC بر روی آن کانفیگ کرده باشید، forward کند در صورتیکه FortiGate می تواند ترافیک multicast را forward کرده و حتی ترافیک multicast را از root virtual domain شما به سایر virtual domainهایتان NAT کند.

???? در بحث Routing هم وقتی شما ASA را در حالت transparent پیکربندی کنید، ASA نمی تواند dynamic routing (منظورم پروتکل های OSPF و RIP هست – هر چند پروتکل RIP را در محیط های production استفاد نمی کنیم) را ساپورت کند، در صورتیکه FortiGate می تواند dynamic routing را حتی در زمانیکه بر روی آن VDC پیکربندی کرده اید و در حالت transparent می باشد نیز ساپورت کند.

???? تجهیز Cisco ASA ماژول Antispam protection که برای متوقف کردن blended threatها لازم است را ندارد، در صورتیکه FortiGate با Antispam protection ی یکپارچه شده که می تواند FortiGuard Antispam Shield Service ها را نیز دریافت کند.

???? نتیجه گیری:
تمامی مواردیکه در بالا اشاره شد و بسیاری از موارد دیگری که از حوصله این مقاله خارج است اما به عنوان مشخصه های تفاوت بین محصولات مختلف به ویژه Cisco ASA و Fortinet FortiGate و Juniper SRX می توان در نظر داشت. مشخصاً این موارد شامل حقایق و بخشی از تجربیاتی شخصی بنده در کار کردن با این محوصلات در پروژه های مختلف بوده می باشد و هدف از این مقاله صرفاً پرداختن به این تفاوت ها بوده و قصد bold کردن یک محصول وجود نداشته است.

???? میثم ناظمی

سازن هاست ارائه دهنده خدمات ثبت دامنه و هاست وردپرس در ایران

برچسب ها
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید

بستن
دکمه بازگشت به بالا
بستن
بستن