Выбираем NGFW. Как найти тот, производительность которого вас устроит

BIS Journal №4(55)2024

2 ноября, 2024

Выбираем NGFW. Как найти тот, производительность которого вас устроит

Один из основных параметров, на который обращают внимание заказчики при выборе NGFW, — производительность. Однако сравнить продукты разных вендоров по этому параметру на основании только маркетинговых материалов практически невозможно. Дело в том, что каждый производитель использует собственную методику измерения производительности и результаты одного производителя нельзя сравнивать с результатами другого без анализа и сопоставления этих методик. Что же делать заказчику? 

 

Универсальные и независимые методики

Ещё в начале 2010-х на сайтах производителей публиковали показатели производительности, не раскрывая детали того, как и при каких условиях получен результат тестирования. Но постепенно рынок и требования стали меняться, это привело к тому, что вендоры начали публиковать показатели производительности своего продукта с дополнительными разъяснениями о том, как именно получены результаты. Разнообразие данных было значительным, поэтому появилась потребность в разработке универсальных и независимых методик. 

Запрос на разработку таких методик был принят и воплощён в жизнь компанией NSSLabs —независимой организацией из США, с 1991 года занимающейся исследованиями и тестированием решений в области безопасности. Большинство мировых производителей, являющихся лидерами в этой области, передавали свои продукты на исследование в NSSLabs, где проводилось тестирование по собственной единой методике, что позволило считать сравнимыми те результаты, которые NSSLabs публиковала в своих отчётах. 

Одной из первых распространённых методик, изначально предназначавшейся для измерения производительности маршрутизаторов, но успешно применённой для тестирования шлюзов безопасности, стала RFC-2544. Через некоторое время мировое сообщество призналось себе, что стандарт RFC-2544 морально устарел и отрасли требуется новая методика, в результате чего появился документ RFC-9411. Он разработан для тестирования шлюзов безопасности, а не маршрутизаторов и описывает множество тонких моментов, которые важно учитывать при тестировании именно данного типа продуктов. 

 

Какие методики использует ИнфоТеКС при проведении тестирования NGFW и почему

Мы используем систему тестирования производительности, функционала и совместимости сетей и сетевых приложений — компактное двухслотовое шасси Ixia XM2.

В своих тестах берём за основу:

  • RFC-2544;
  • RFC-9411;
  • методики NSSLabs для NGFW.

Почему мы используем методики NSSLabs? Потому что мы можем их воспроизвести и сравнить результаты. Мы используем инструменты для проведения тестов той же фирмы Ixia, что использовала NSSLabs, и мы можем сравнить наши результаты с результатами NSSLabs для других производителей.

Помимо основных целей и задач наших испытаний — выявлять возможности нашего продукта и контролировать его качество и стабильность работы, — мы можем сравнить себя с конкурентами и определить, к чему стремиться, чтобы сделать продукт лучше.

 

Профиль трафика — важная часть методики

Производительность шлюза безопасности кардинально зависит от того, какой тип трафика и какой сетевой протокол обрабатываются шлюзом безопасности. В реальных сетях мы сталкиваемся с множеством разнородного трафика. Мы имеем так называемые мультисервисные сети, то есть сети, в которых одновременно работает множество сервисов. И у каждого заказчика собственный набор сервисов в сети. 

Одним из первых производителей, задумавшихся над задачей выявления пропускной способности в мультисервисных сетях, был Juniper, который в своих публикациях стал указывать производительность для трафика IMIX (Internet MIX). IMIX — это такой усреднённый трафик в магистральных сетях. Для его подсчёта сообщество проанализировало весь трафик интернета (когда-то на момент разработки IMIX) и выявило долю пакета типового размера в общем объёме. Получилось примерно так: в одной порции трафика есть 1 пакет размером 1500 байт (8,3%), 7 пакетов размером 40 байт (58,3%) и 4 пакета размером 576 байт (33,3%). Все пакеты включают размер заголовка. Вероятно, это было началом, но не итоговым результатом в борьбе потребителей за публикацию сопоставимой информации о производительности.

Да, IMIX-трафик изменил цифры в разделе «производительность» на сайтах вендоров, покупатели стали задумываться, как такие результаты интерпретировать и применять к своим задачам. Это привело к появлению нового термина Enterpise MIX (EMIX) — смесь трафика корпоративных заказчиков. Но, во-первых, у каждой компании он оказался своим и уникальным, во-вторых, закрытым (непубличным), и никто не хотел им делиться. 

 

Пример из практики ИнфоТеКС

Пример из нашей практики. Потенциальный заказчик проводит тестирование шлюзов безопасности. В рамках тестирования было запланировано проведение в том числе нагрузочного тестирования. Для проведения тестов использовалось оборудование Ixia, была разработана методика тестирования и использовался профиль трафика заказчика.

По условиям испытания необходимо было предоставить шлюз безопасности с пропускной способностью 1 Гбит/сек. Мы передали шлюз, который, согласно нашим измерениям, демонстрирует пропускную способность до 250 Мбит/сек. Потенциальный заказчик выразил недоумение по этому поводу, но допустил нас до испытаний. В процессе испытаний наш шлюз безопасности продемонстрировал пропускную способность 920 Мбит/сек. 

На вопрос заказчика, почему мы в официальных документах публикуем показатель 250 Мбит/сек, а устройство при этом демонстрирует более высокие показатели, мы ответили, что всё дело в методике, а точнее в использованном на испытаниях профиле трафика, который на 90% состоит из http/https-трафика, что является лёгкой задачей для шлюзов безопасности. Мы используем свою методику и свой профиль трафика, так как считаем их универсальными, то есть подходящими большинству покупателей. Да, допустима дискуссия о том, что http/https-трафик «разный», нужно смотреть размер транзакции, требуется ли так называемый SSL decrypt и т. д. Но, собственно, все эти нюансы и есть методика тестирования.

 

На что стоит обратить внимание заказчику. Наши рекомендации

Количество правил

Когда публикуют данные о производительности, редко кто указывает, сколько правил фильтрации было активно в момент тестирования. Например, CheckPoint в своей методике SPU (Security Power Unit) заявляет 100 правил фильтрации. Достаточно ли этого? Казалось бы, да, ведь если тестирование проводится согласно RFC-2544, то правило фильтрации в тесте одно: всем всё разрешено. А тут в 100 раз больше.

Но RFC-9411 предполагает использование 562 правил фильтрации/доступа, это в 5 раз больше. Может быть этого достаточно для проведения тестирования? Правильный ответ отсутствует. У нас есть заказчик, у которого на старте пилотного проекта было 5 тысяч правил фильтрации/доступа, а через год их стало 10 461. 

Что же делать заказчику? Важно ли количество правил при тестировании и потом в работе? Как показывает опыт, количество правил — важный параметр и он серьёзно влияет на производительность шлюза безопасности. Поэтому если вы понимаете, что у вас свой случай, то нужно обсуждать его с производителем. 

 

Профиль трафика

Лучшее из решений — создать свой профиль трафика и попросить производителя провести с ним тестирование. Если это невозможно, то постараться понять, какой профиль трафика у производителя используется для его тестов, как он соотносится с вашим, и пробовать аппроксимировать эти данные. Та ещё задача… 

 

Журналирование

При анализе данных о производительности никто не задаётся вопросом, включено ли журналирование. Как показывает практика, задача журналирования всего происходящего в шлюзе безопасности достаточно ресурсоёмкая. В методике RFC-2544 это учтено, в RFC-9411 тоже. Правда, первая методика не определяет действие, а значит, журналирование при испытаниях можно и не включать, вторая же требует включения журналирования, но не описывает уровень детализации. Поэтому если вендор декларирует, что тесты проводятся по RFC-9411, то журналирование включено, однако уровень детализации при этом неизвестен. А если по RFC-2544 — то журналирование точно выключено. Если используется собственная методика, детали нужно выяснять у производителя. При этом не стоит забывать, что требования заказчика обычно включают в себя журналирование всего. 

 

Выводы

Все производители честны со своими заказчиками, опубликованные производителем параметры получились при использовании собственных методик тестирования продукта. Ваши реальные условия всегда будут отличаться от тех, которые были выставлены вендором при внутреннем тестировании. Насколько именно, зависит от целого ряда факторов. Именно поэтому вы не сможете точно оценить, подходит ли производительность устройства для решения вашей задачи, только по листовке или по данным с сайта производителя. 

Прежде чем покупать продукт, обратитесь к интегратору или к вендору, чтобы они провели тестирование в условиях, максимально приближенных к вашим реальным.

 

Реклама. АО «ИНФОТЕКС», ИНН: 7710013769, Erid: 2VfnxvVGJKJ 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.12.2024
Конференция «Сетевая безопасность». Эксперты — о трендах на рынке ИБ в 2024 году
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о самой конференции
09.12.2024
Конференция «Сетевая безопасность». Эксперты — об импортозамещении
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о будущем
09.12.2024
Мошенники предлагают заявить на мошенников… и это тоже мошенничество
06.12.2024
«Инфа с точностью до секунд». DLBI — о новом взломе БД «Почты России»
06.12.2024
На CX FinTech Day эксперты обсудили стратегии и технологии для улучшения клиентского опыта
06.12.2024
«Штурман» будет дружески подсматривать в экран пользователя
06.12.2024
«То, что госкомпании будут ориентированы на опытных игроков, скорее всего, пойдёт первым на пользу»
06.12.2024
13 тысяч блогеров получили отказ в регистрации от Роскомнадзора

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных