INSTRUCTIVO DIMENSIONAMIENTO

FIREWALLS EMPRESAS

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

Tabla de Contenido
I.

INTRODUCCIN Y ALCANCES...........................................................................................3

II.

RESPONSABILIDADES.......................................................................................................3

III.

DEFINICIONES Y CONCEPTOS........................................................................................3

III.1.

USUARIOS Y DISPOSITIVOS DE USUARIOS...........................................................................3

III.2.

THROUGHPUT (RENDIMIENTO)...........................................................................................4

III.3.

CONCURRENT CONNECTIONS (CONEXIONES CONCURRENTES)...........................................4

III.4.

ZONAS DE SEGURIDAD........................................................................................................4

IV.

OBJETIVOS............................................................................................................................5

V.

NARRATIVA...........................................................................................................................5

V.1.

DETERMINACIN DE USUARIOS Y DISPOSITIVOS................................................................5

V.2.

DETERMINACIN DE ZONAS DE SEGURIDAD.......................................................................5

V.3.

DETERMINACIN DE THROUGHPUT UTM...........................................................................6

V.4.

DIMENSIONAMIENTO..........................................................................................................7

VI.

EJEMPLOS:...........................................................................................................................8

VII.

ANEXOS................................................................................................................................12

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

I.

Introduccin y alcances

El presente instructivo entrega los tpicos generales requeridos para el dimensionamiento de un

firewall, el cual debe pasar por preventa para su correcta evaluacin.
No obstante lo anterior, ciertos proyectos, en general que incorporen redes complejas, de varias
zonas de seguridad y con polticas de trfico especiales tendrn que ser analizados ms
detalladamente.
El alcance de este instructivo dice relacin que los nicos equipos que se dimensionar con este
instructivo son los Firewalls Watchguard.

II.

Responsabilidades
a. Ejecutivo de Preventa: Profesional responsable de atender la cuenta del cliente y
quien levantar la necesidad de evaluar un servicio de seguridad de redes para un
cliente.
b. Ingeniero de Preventa: Ingeniero perteneciente a la Subgerencia de Preventa,
encargado dimensionar las especificaciones del firewall requerido y valorizar su
costo para TELSUR.
c. Jefe de Productos Empresa: Ingeniero perteneciente a la Subgerencia de Preventa,
encargado desarrollar, modificar y mantener actualizada la informacin de los
productos vigentes para el segmento corporaciones y empresa. Encargado de
mantener actualizada la Tabla de Dimensionamiento de Firewalls

III.

Definiciones y conceptos

III.1.

Usuarios y dispositivos de usuarios

Es la cantidad de personas que usan de la red del cliente que ha de ser protegida por el

firewall. Los dispositivos de usuarios son los equipos que estn conectados a la red
que ha de ser protegida por el firewall, no solamente el PC del usuario, sino que el
Tablet, Smartphone, Notebook, etc. En promedio, para una corporacin se estima que
el nmero de dispositivos es el 40% ms que el nmero de usuarios, es decir una red
con 100 usuarios, tendr alrededor de 140 dispositivos conectados. Es el principal
parmetro de dimensionamiento del equipo a usar.

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

III.2.

Throughput (Rendimiento)
Corresponde al trfico que puede cursar el firewall a travs de sus interfaces. Este se

ve afectado cuando se activan las diferentes funcionalidades del firewall, que en su

conjunto se conocen como UTM (Unified Threath Management).
Estas
funcionalidades son las de Firewall, IPS, Antivirus y Antispam. Se utiliza para el
dimensionamiento del equipo a usar.
III.3.

Concurrent connections (Conexiones concurrentes)

Corresponde a las socket TCP/IP UDP/IP que se establecen en las distintas sesiones

que establece el PC con un servidor remoto. Dependiente de las aplicaciones y sitios

de navegacin este nmero es muy variable, por tanto, no es un parmetro de
dimensionamiento por si solo.
III.4.

Zonas de seguridad
Dependiendo de la complejidad de la red del cliente, pueden establecerse ms de una

zona de seguridad las que pueden estar protegidas o no por el firewall. Un ejemplo
comn es la existencia de una DMZ, conocer las zonas de seguridad es fundamental
para el dimensionamiento del equipo.
III.5.

Planes del Servicio

Son dos planes definidos cuyos atributos se encuentran en los anexos del documento.

Estos planes son bsico y Premium. Este ltimo tiene un costo adicional cuyo mtodo
de obtencin tambin est incluido en este instructivo.
III.6.

Servicios Avanzados por suscripcin

Son dos servicios adicionales, por los cuales se debe efectuar una cotizacin aparte y

que consideran, (1) Proteccin de Amenazas Avanzadas y (2) Prevencin de Prdida de

Datos. Esto servicios se explican a continuacin en los puntos III.7 y III.8.
III.7.

Proteccin de Amenazas Avanzadas

Las Amenazas avanzadas para redes se dividen en dos tipos, las conocidas como

Amenazas Persistentes Avanzadas y Malwares de Cero Das. Este tipo de amenazas

hasta hace poco tenan como blanco slo instituciones de gobierno o grandes empresas,
estos blancos se han desplazado a negocios ms pequeos. El servicio de proteccin se
incorpora a la plataforma Dimention de Watchguard.
Se adjunta hoja de
especificaciones para este servicio.
III.8.

Prevencin de Prdida de Datos

Servicio que permite evitar que se filtren datos, fuera de la red, considerados

estratgicos por el cliente, los que se pueden ver afectados por aplicaciones maliciosas

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

que se basan por ejemplo en es escner de texto para la bsqueda de informacin

estratgica. Se adjunta hoja de especificaciones para este servicio

IV.

Objetivos

El objetivo de este instructivo es entregar las herramientas necesarias para el correcto

dimensionamiento de una equipo firewall.

V.

V.1.

Narrativa
Determinacin de usuarios y dispositivos
El cliente indicar la cantidad de usuarios que estn conectados a la red, es un nmero

aproximado que se parar en tramos segn la tabla de dimensionamiento que se adjunta

en el instructivo.
Para determinar los dispositivos se multiplica el nmero de usuarios por 1,4. Este
factor puede variar si el cliente entrega informacin relacionada, por ejemplo. Todos
usan Tablet como herramienta de trabajo adems de su PC En este caso el factor
sube de 1.4 a 2,0. O bien Por poltica est restringido el uso de cualquier dispositivo
como Smartphone y Tablet, en este caso el factor se quedar en 1,0.
V.2.

Determinacin de zonas de seguridad

De acuerdo a la descripcin o levantamiento de la red del cliente de determinan las

zonas de seguridad que administrar el Firewall que al menos es una y que estn
claramente diferenciadas entre ellas. Ejemplos de zonas de seguridad: Redes de
Usuarios Corporativos; Redes de Visitas / Alumnos (colegios y universidades); Redes
de Servidores Internos; Redes de Servidores Pblicos (DMZ); Callcenters; Redes de
Sucursales; etc.

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

V.3.

Determinacin de throughput UTM

En general para dimensionar se considerar el throughput UTM, si el cliente

explcitamente dice lo contrario entonces se proceder con el throughput de firewall o

el que el cliente diga. Esto especialmente se usar como herramienta de negociacin
cuando el cliente compare con otras marcas muy fuertes en throughput de firewall pero
no en UTM, como Cisco o Fortinet.
Una vez determinadas las zonas de seguridad se debe establecer si hay trfico entre
ellas, si lo hay entonces se ve el BW de la interconexin entre ellas, por ejemplo, 1
Gbps de conexin entre la red de usuarios y su granja de servidores pblicos. Si no
hay conexin entre ellas por ejemplo, Redes de usuarios con redes de visitas se
considera un BW = 0 por tanto no se cuenta
Se suman los anchos de banda, interconexiones fsicas, de todas las zonas de seguridad
que tienen conexin entre s y se suma el BW de la conexin a internet (contratada).
La frmula es:
N Zona Seguridad
Throughput=Entero
BW conexin+ BW Internet
2

V.4.

Servicios Avanzados por suscripcin

Se debe determinar de parte del cliente si es que el proyecto va a incorporar estos

servicios avanzados, de ser as se deben cotizar al proveedor por separado ya que

cuentan con suscripcin aparte.

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

V.5.

Dimensionamiento
Con los datos de dispositivos conectados y througput buscar los firewalls que pueden

dar el servicio y de este conjunto se aplica el criterio econmico para su seleccin.

En la tabla de dimensionamiento casi al final de la tabla, en rojo, aparece la
informacin de dispositivos conectados y usuarios. En verde fila 7 aparece el
throughput UTM como se ve en la figura siguiente.

Especial cuidado hay que tener si hay ms de una zona de seguridad. Los firewall de la

lnea T10 hasta XTM330 no se deben considerar, bsicamente por la limitacin de

throughput UTM.
Se adjuntan dos ejemplos uno simple como la mayora de nuestros casos a evaluar y un
ejemplo un poco ms complejo.
V.6.

OPEX
Finalmente, en caso de que el cliente quiera el plan Premium que debe considerar un

OPEX la frmula es.

Opex=

5,50 [ UF $ ] Si N Usuarios 100

( N Usuarios100 )
5,50+
[ UF $ ] Si N Usuarios>100
100

Se adjunta al final del documento la calculadora de OPEX.

fracciones de 10 usuarios.

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

La que considera

VI.

Ejemplos:

Ejemplo Simple:
Cliente requiere servicio de seguridad de redes para su red corporativa que incluye una casa matriz
y tres oficinas remotas en una VPRN a 10 Mbps cada una. Tiene una salida a Internet en su local
principal con una BW de 30 Mbps simtrico. Tiene adems un servidor pero todo dentro de misma
red. Son 60 usuarios entre local principal y oficinas remotas, y las conexiones de la red local es a
100 Mbps. Esta situacin recoge alrededor del 80 % de los casos que analizamos. El cliente
quiere administracin y reportera
Desarrollo:
1. Usuarios y dispositivos:
No hay informacin especfica acerca de los usuarios por tanto se usa el factor = 1,4
dispositivos por usuarios.
Por tanto: N Disp=60 1,4=84
2. Zonas de seguridad:
Una sola zona de seguridad
3. Throughput UTM:
Por tener una sola zona de seguridad, el throughput es:
1
Throughput=Entero
100 [ Mbps ] +30 Mbps=30 [ Mbps ]
2

()

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

4. Dimensionamiento:
Utilizando la tabla se ve que cualquiera de los modelos cumple con el throughput UTM requerido, y todos pueden manejar una
zona de seguridad, no obstante la limitacin est en los usuarios y dispositivos conectados, XTM 515 sirve para dar el servicio.
XTM 525 en adelante es mucho para lo requerido por el cliente.
Este dimensionamiento se ve en la figura, marcado en rojo lo que no aplica porque no alcanza o porque est sobredimensionado;
en azul lo que cumple el requerimiento.

5. OPEX:
Aplicando la frmula la cantidad de usuarios es menos que 100 por tanto: Opex = UF$ 5,50

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

Ejemplo Complejo:
Cliente requiere servicio de seguridad de redes para su red corporativa que incluye una casa
matriz, tres oficinas remotas con salida a Internet, una granja de servidores corporativos, cuatro
servidores pblicos y una red de visitas para salida a Internet. La salida a Internet es comn y son
100 Mbps simtricos en FO.
Las sucursales estn conectadas por enlaces de datos 10 Mbps y no estn separados en zonas de
seguridad respecto a los usuarios de casa matriz. En total son 220 usuarios corporativos
permanentes incluidas sucursales, los servidores internos estn protegidos en una zona de
seguridad, las granjas y la red corporativa estn conectadas y el trfico de visitas es importante, se
estima como mximo 50 equipos de clientes visitantes conectados.
Desarrollo:
1. Usuarios y dispositivos:
No hay informacin especfica acerca de los usuarios por tanto se usa el factor = 1,4
dispositivos por usuarios.
Las visitas se conectan con un solo dispositivo por tanto factor para visitas = 1,0
Por tanto: N Disp=220 1,4+ 50=358 360
2. Zonas de seguridad:
Se distinguen: Zona de usuarios corporativos,
Zona 1
Zona de servidores internos (protegidos), Zona 2
Zona DMZ,
Zona 3
Zona red de visitas
Zona 4
Hay cuatro zonas pero la zona 4 est totalmente aislada, no hay trfico con las otras zonas,
por otro lado el trfico entre las zonas 2 y 3 es muy bajo.
3. Throughput UTM:
La red del cliente est conectada en Gbps por tanto es de alta velocidad,
Zona 1 comparte conexin Gbps con ambas granjas de servidores e Internet.
Zona 2 trafica con Zona 1 e Internet (bajada de parches y actualizaciones).
Zona 3 trafica con Zona 1 e Internet
Zona 4 solo con Internet.
3
Throughput=Entero
1 [ Gbps ] +100 Mbps=1,1 [ Gbps ]
2

()

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

4. Dimensionamiento:
Utilizando la tabla se ve que XTM 535 podra quedar corto para el nmero de usuarios, principalmente en el peak de visitas
aunque si alcanza por throughput, M400, M440 (que tiene ms interfaces) y XTM 545, si sirven para dar el servicio. M500 hacia
arriba son muy grandes. XTM 525 para abajo no cumple con nada. Finalmente estos equipos pueden manejar ms de una zona de
seguridad. Este dimensionamiento se ve en la figura, marcado en rojo lo que no aplica porque no alcanza o porque est
sobredimensionado; marcado en azul lo que cumple el requerimiento.

5. OPEX:
Aplicando la frmula la cantidad de usuarios es menos que 100 por tanto:
( 360100 )
Opex=5,50+
=8,10 [ UF $ ]
100

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada

VII.

Anexos

Descripcin

Anexo

Tabla de Dimensionamiento
Matriz Firewall
1.1.xlsx

Planes Servicio de Seguridad de Redes

Atributos por
solucin Firewall v1.0.docx

Calculadora de OPEX Firewall

Calculadora OPEX
Firewall.xlsx

Datasheet Protecccin de Amenazas Avanzadas

Datasheet APT
Blocker.pdf

Datasheet Prevencin de Prdida de Datos

Datasheet
wg_xtm-dlp_ds.pdf

Telefnica del Sur - Informacin Confidencial prohibida su difusin y reproduccin no autorizada