BIS Journal №4(55)2024

7 ноября, 2024

Терабитный NGFW. Вызовы для сетевой безопасности

Российский высокопроизводительный кластер NGFW: миф или реальность? Как решить задачу по защите высокоскоростных каналов передачи трафика?

Одной из основных задач разработчиков современных российских NGFW остаётся наращивание производительности для защиты инфраструктур с высокоскоростными каналами связи. При этом для надёжной сетевой защиты в современных условиях необходима инспекция, фильтрация и анализ трафика на уровне приложений (L7 — седьмой уровень модели OSI).

Чем глубже NGFW разбирает входящий трафик и чем больше функций задействуется, тем меньше становится производительность решения. В результате у всех межсетевых экранов в режиме IPS (предотвращение вторжений) производительность падает почти в 3 раза, а в режиме NGFW — в 5–7 раз. Каким же образом обеспечивать защиту высокоскоростных каналов с полноценным анализом трафика?

 

Увеличение производительности: мировой опыт

Существует два основных способа повышения производительности NGFW при работе с высокоскоростными каналами:

  1. Применение для обработки специализированных микросхем (ASIC) или программируемой логики (FPGA). Они обеспечивают высокую производительность и эффективность, но требуют значительных финансовых и временных инвестиций в разработку.
  2. Формирование кластера NGFW за счёт балансировки (распределения) нагрузки отдельным устройством или модулем. Кластеризация позволяет использовать уже имеющиеся решения и гибко наращивать производительность в процессе эксплуатации.

Palo Alto Networks и Fortinet выбрали использование ASIC/FPGA, в то время как Check Point пошёл вторым путём. Оба подхода имеют свои преимущества и недостатки как в реализации, так и в эксплуатации.

«Мы не разрабатываем NGFW. Мы помогаем построить отказоустойчивый кластер».

 

Кластеризация NGFW: задачи, функции, максимальная производительность

Основными задачами кластеризации являются балансировка нагрузки и обеспечение отказоустойчивости. Для их решения применяются специализированные устройства, такие как балансировщики нагрузки и брокеры сетевых пакетов. Единственный российский брокер (занесённый в реестр Минпромторга России) — DS Integrity от компании «Цифровые решения».

Рассмотрим простой пример: если один NGFW может обработать максимум 10 Гбит/с трафика, а необходимо защитить канал 40 Гбит/с, то можно взять четыре устройства и равномерно распределить поток на них с помощью балансировщика нагрузки или брокера сетевых пакетов. Таким образом, на каждый NGFW будет поступать посильная для него нагрузка.

В части балансировки есть много возможностей.

  • Разделение по хешам — самый простой способ, при котором законы больших чисел при большинстве профилей трафика обеспечат равномерность распределения нагрузки.
  • Равномерное распределение сессий — отслеживание и обеспечение одинакового количества сессий на каждом NGFW.
  • Равномерное распределение нагрузки — отправка новых сессий на наименее нагруженные устройства, что помогает учитывать большую неравномерность потоков в трафике и избегать превышения пропускной полосы.

Однако при решении задачи по балансировке трафика необходимо учитывать ряд важных аспектов. Для того чтобы обеспечить корректную обработку трафика на уровне L7, важно передавать пакеты одной сессии в один и тот же NGFW независимо от направления.

Задача распределения нагрузки весьма ресурсоёмкая, и она определяет общую производительность кластера. Возможности всего кластера будут определяться производительностью балансировщика нагрузки, в то время как от производительности каждого отдельного NGFW будет зависеть только количество необходимых устройств в кластере.

Построение кластера также решает задачу по обеспечению отказоустойчивости, ведь NGFW может выйти из строя или его потребуется перезагрузить для обновления ПО. При этом ни общая защита периметра, ни клиентский сервис не должны пострадать, а нагрузка должна быть перераспределена по оставшимся устройствам.

Существуют два основных типа кластеров active-passive (активный-пассивный) и active-active (активный-активный).

Самый простой вариант кластера с точки зрения отказоустойчивости — active-passive. Такой тип кластера обеспечивает надёжность и отказоустойчивость путём переключения всего потока трафика с вышедшего из строя устройства на резервное. Active-passive-кластер позволяет обеспечить непрерывность работы сети, но не повышает производительность.

Для обеспечения отказоустойчивости с одновременным увеличением производительности используется кластер active-active. При такой схеме кластеризации внедряется более трёх устройств NGFW. Вероятность одновременного выхода из строя нескольких устройств на порядки ниже, чем одного, что позволяет использовать схему резервирования N+1.

Схема резервирования N+1

 

Строить кластер active-active на два устройства нецелесообразно. Если производительности одного NGFW достаточно, то проще построить кластер active-passive. Если же для обработки потока необходимо задействовать оба устройства, то в случае отказа одного из них сервис деградирует и бизнес-процессы начнут работать с перебоями.

 

Как работает балансировщик нагрузки

Балансировщик нагрузки может контролировать работоспособность отдельных NGFW и при необходимости перенаправлять трафик на рабочие устройства. NGFW анализирует сессию с момента её установки. И для того, чтобы резервное устройство её не заблокировало, результаты анализа должны передаваться на резервные устройства.

Нужно отметить, что для большинства современных приложений это не проблема. Они автоматически устанавливают новую сессию через резервный NGFW. Но для ряда приложений это критично, и NGFW должны синхронизировать между собой состояние сессии.

Даже у мировых лидеров синхронизация сессий реализована с ограничениями. При SSL-инспекции синхронизация не работает ни у одного производителя. Это означает, что при переключении трафика на резервное устройство в любом случае будет кратковременный обрыв связи и ошибка в приложении, если оно не умеет обрабатывать такие события.

И да, балансировщики нагрузки тоже нужно резервировать.

 

Видимость кластера как единого устройства с одним адресом

Если балансировщик нагрузки скрывает кластер за своим адресом, представляя для внешней инфраструктуры кластер одним устройством, то это упрощает его настройку и эксплуатацию.

Есть альтернативный вариант: инфраструктура общается только с одним NGFW, а стоящий в прозрачном режиме балансировщик нагрузки распределяет трафик по всем оставшимся устройствам незаметно для соседних коммутаторов и маршрутизаторов.

 

«А что в России?»

Российские компании сейчас проходят путь, который у иностранных вендоров занял десятилетия. Построение высокопроизводительных NGFW в виде кластера с балансировкой позволяет использовать уже проверенные решения и существенно снизить сроки разработки. Это актуально и для потребителей, которые при такой архитектуре могут наращивать производительность кластера постепенно.

В инфраструктурах российских компаний с 2023 года работают схемы кластеризации NGFW при помощи брокеров сетевых пакетов DS Integrity от компании «Цифровые решения». Российский высокопроизводительный NGFW на 800 Гбит/с уже стал реальностью.

Текущие цели, к которым мы идём вместе с нашими технологическими партнёрами, — добиться пропускной способности кластера выше терабита, создать единую систему управления и обеспечить возможность плавно вводить и выводить устройства из кластера. И мы их скоро достигнем!

 

Реклама. АО «НПП Цифровые решения», ИНН: 7722471770, Erid: 2VfnxvVGdoE

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных