PaloAlto 機器選定方針のポイントと性能比較ツールの使い方

2018/11/1 PaloAlto

PaloAltoの装置性能を比較する方法

FWの機器を機種を選定する際、様々な項目を検討する必要があります。

特に下記項目は重要です。

  • FWスループット性能
  • 最大セッション数
  • ポート数/構成/メタル or SFP
  • 冗長化可否
    など

そんな時は、機器のスペックを一覧化しながら確認できると便利ですよね。PaloAltoでは、製品性能を比較するためのツールを用意してくれています。

PaloAlto Networks 比較ツールURL

比較ツールの使い方

使い方についての簡単な説明は、下記の通りです。

  1. オレンジ色の ”比較” のボタンをクリック
    必要数分選択します。一度に選択できるのは最大3つまでです
    ※通常の使い方ではありませんが、URLに “,型名” で追加すると3つ以上いけます
  2. 画面右側枠内に①手順で追加した装置が追加されます
    間違った装置を選択した場合は、④の “削除” ボタンをクリック
  3. “今すぐ比較” のボタンをクリック
  4. 画面の通り、比較表が生成されます
  5. 生成した比較表は、”PDF化” もしくは、”印刷”することができます

ツール利用に際しての補足

・一度に選択できるのは、3つまでです。(仕様)

・ブラウザは、Google Chromeが良いかと思います。(個人的な見解)

・作成した比較表は、PDFで保存することができます。(便利!)

機器選定をする上での判断基準

それぞれの製品スペックについては、上記手順を使って確認することができましたので、次は、どうやって機器を選定するのかについて判断基準&流れを書きます。※あくまで私見です。

判断基準①:どの機能を利用したいか。

PaloAlto PAシリーズでは、様々なことが機能を利用することが可能です。以降で一部を紹介しながら話を進めます。

基本機能

PAシリーズの基本機能としては、次のような機能が挙げられます。シグネチャ更新などを受けるためには、サブスクリプションの購入が必要です。

これらの機能は基本的に、ハードウェア性能に与える影響は小さいです。

  • アプリ可視化
  • WildFire
  • アンチウィルス/脆弱性防御
  • URLフィルタリング
オプション機能

オプションというと書き方があまり良くないかもしれませんが、利用できる機能は他にもたくさんあります。

  • SSL 復号化 ★
    最近はSSL化が、ほぼ必須化してきているので話題に上がることが多いところです。
  • GlobalProtect ★
    いわゆるSSL-VPN機能です。GlobalProtect Clientを利用して、出張先などからユーザが安全に社内に接続することが可能です。
  • DDoS対策
  • Vsys機能
    1つ物理FWに中に仮想的なFWを複数作るような機能です。

いずれの機能も本格的に利用するためには、通信量や利用用途にも大きく依存しますが、それなりに高いスペックが要求されます。

特に★がついている上2つの項目を利用する場合には、想定よりも1~2ランク上の機種を選定すべき場合が多いかと思います。

判断基準②:物理的な制約

ネットワーク機器を選定する上で、ほぼ確実に必要になる検討項目です。

「機器スペック的には、この機種以上なら大丈夫だろう」というところまで来たあとキーになるのは、物理的な制約によるものです。

  • メタルポートの数(RJ-45)
  • SFP/SFP+ポートの数
  • 電源形状/冗長化可否
  • エアフロー (大体ここは何とかなります。)
    など

PaloAltoのポートについて
 メタルポートが少なく、SFPポートが多く搭載されているため、Ciscoでいうところの ”GLC-TEモジュール” を追加することでSFPポートをメタルポートとして利用することが可能です。注意点としては、1Gbpsしか対応していないところです。※2018/09/09時点

冗長化する場合
 専用のHAポートが搭載されているかどうかも、トータルのポート数を把握する上で考慮する必要があります。大体の場合、上位機種には専用ポート(メイン/バックアップ)が搭載されています。

その他判断基準:機器スペックとPAN-OSのバージョンの関係

最近の傾向としてNW機器の交換頻度としては、約5年サイクルで実施することが多いです。

PAN-OS 5.0 以降のメジャーバージョンのサポート期間は48ヶ月なので、大体の場合はハードのリプレイス前にバージョンアップが必須となります。

実際のところは、バグやセキュリティホール起因、新機能などの搭載などによって、サポート期限をまたず、バージョンアップすることが多いのが現実です。

・参考URL: Palo Alto Networks End-of-Life Policy  ※英語です。

なぜ、このような話をしているのかというと、下位機種はバージョンアップすることによって動作が重くなる傾向(可能性)があります。※あくまで可能性です。

そのため、そこも考慮の1つとして入れておくことが大切かと思います。

これらの検討項目を勘案し、最終的に機器を選定します。

初めてPaloAltoを導入する場合

SLR(過去はAVR)という仕組みを利用し、評価機を実環境にTAPモードで組み入れることで、PaloAltoを導入した場合のシミュレーション(期待効果の把握)ができます。

  • アプリ可視化ではこんな風に見える
  • いま流れている通信の中で脅威とみられる通信がどのくらいあるか
  • 他にもスパイウェア通信だったり、不正なWebアクセスがある
  • セッション数がどのくらいか
    etc.

などの情報を得ることができます。実際に導入する場合は、それらの情報を元にどの程度導入の効果が期待できそうかというのも事前に把握しておくことが有効です。

以上

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

, , ,