Методика сравнения производительности NGFW. Как выбрать оптимальное решение для вашей сети

BIS Journal №4(55)2024

22 ноября, 2024

Методика сравнения производительности NGFW. Как выбрать оптимальное решение для вашей сети

Многие компании после приобретения межсетевого экрана нового поколения (NGFW) обнаруживают, что его реальная производительность в их сети отличается от заявленных в рекламных материалах значений. Почему это происходит и как выбрать подходящую модель NGFW до покупки? Какими критериями лучше руководствоваться при выборе?

 

Есть пять способов подбора NGFW

  1. Правильный: провести тестирование NGFW на собственном сетевом трафике.
  2. Лёгкий: заказать тест производительности с учётом ваших параметров у производителя NGFW или его партнёра.
  3. Сложный: арендовать генератор трафика и самостоятельно протестировать NGFW в максимальных режимах на пилотном проекте.
  4. Неверный: выбрать устройство, основываясь только на официальных маркетинговых материалах.
  5. Быстрый: изучить результаты тестов, проведённых независимыми лабораториями.

 

Четыре ключевых параметра оценки производительности NGFW

  1. Connections Per Second (CPS): максимальное количество новых соединений, которые NGFW может принять на анализ за одну секунду.
  2. Concurrent Connections (CC): максимальное количество одновременных соединений в секунду с включённым анализом приложений и функциями защиты.
  3. Total Throughput (TT): максимальная общая производительность устройства в битах в секунду.
  4. Число заблокированных атак: эффективность системы предотвращения вторжений (IPS).

 

Connections Per Second (CPS)

CPS показывает количество новых соединений, которые NGFW может обработать за секунду. Это критически важный параметр, так как для каждого нового соединения выделяется память и запускаются процессы анализа. Опыт показывает, что именно этот параметр часто становится узким местом в работе NGFW, особенно в финансовых организациях (рис.).

Рисунок. Значения параметров CC, CPS межсетевого экрана pfSense. Каждая строчка — отдельный тест с разным трафиком и разными режимами: маршрутизатор, firewall, IPS.

 

Concurrent Connections (CC)

CC отражает максимальное количество одновременных соединений, которые NGFW может поддерживать с включённым анализом приложений и функциями защиты. Этот параметр зависит от объёма оперативной памяти, производительности процессоров и включённого функционала. Включение дополнительных модулей анализа трафика может существенно снизить это значение. Для примера (см. рис.) в тестах pfSense количество одновременных сессий в режиме без инспекции — 2 600 000, в режиме с инспекцией — 1 200 000, а в режиме IPS — уже 270 000, то есть снижение в 10 раз. Это нестрашно. Из опыта, даже в очень больших сетях редко1 000 000 соединений одновременно. Заметьте, что также снижается и CPS.

 

Total Throughput (TT)

TT показывает максимальную общую производительность устройства, измеряемую в битах в секунду. Это суммарный объём входящего и исходящего трафика со всех интерфейсов NGFW при работающих функциях каждую секунду.

Во-первых, TT зависит от сложности анализируемого трафика и включённых функций анализа. Например, анализ SMB-трафика требует больше ресурсов из-за мультиплексирования файлов, а DNS-трафик может показывать низкий TT из-за большого числа коротких транзакций.

Во-вторых,TT напрямую коррелирует с количеством и типом проверок, применяемых к сетевому трафику. Рассмотрим следующие сценарии:

  • Базовая конфигурация: при активации только системы распознавания приложений L7 предотвращения вторжений (IPS) для HTTP-трафика наблюдается минимальное влияние на производительность.
  • Расширенная проверка файлов: внедрение антивирусного сканирования и анализа в песочнице для файлов, передаваемых по HTTP и другим протоколам, существенно увеличивает нагрузку на систему.
  • Максимальная нагрузка: наиболее ресурсоёмкими операциями являются расшифровывание SSL-трафика (SSL Decrypt), применение технологий предотвращения утечки данных (DLP).

 

Эффективность защиты

Число заблокированных атак является ключевым показателем эффективности NGFW. Важно помнить, что высокие значения производительности теряют смысл, если устройство не обеспечивает должный уровень защиты. Некоторые производители могут отключать функции безопасности для достижения высоких показателей производительности, что превращает NGFW в дорогостоящий маршрутизатор.

Посмотрите на иллюстрации (см. рис.): при включении системы предотвращения атак и подаче максимального трафика устройство снизило качество защиты. 528 атак оно остановило в спокойном режиме и всего 394 под нагрузкой.



Журналирование

Журналирование оказывает значительное влияние на производительность NGFW, так как требует обработки большого объёма текстовых данных. Часто производители тестируют скорость работы устройств с выключенным журналированием, что может привести к существенному снижению производительности при его включении в реальных условиях.

 

Методика правильного тестирования NGFW

Для корректной оценки производительности NGFW необходимо измерять параметры CPS, CC и TT на реальном трафике вашей компании при включении всех необходимых функций безопасности. Рекомендуется следующий подход:

1. Использовать сетевой брокер для подачи трафика на NGFW. Это обеспечивает более точное тестирование по сравнению с использованием SPAN-портов, которые могут терять пакеты. Сетевой брокер позволяет протестировать и другие сетевые устройства безопасности, например NDR, сетевой DLP или сетевую защиту баз данных. Вы можете подключить несколько различных NGFW на один сетевой брокер и этим обеспечить справедливый тест: на все устройства будет подаваться одинаковый трафик. Вам останется только включить в NGFW модули защиты.

2. После подключения NGFW через сетевой брокер или в разрыв сети вы можете анализировать в реальном времени значения CC, CPS, TT, число заблокированных атак и загрузку процессоров и памяти в системе управления. Попросите написать нужное вам число правил безопасности по имени пользователя и приложению, например, 10 000 правил. Если во время теста процессоры или память загружены на 100%, то вам нужно более мощное устройство. Рекомендуется учитывать ежегодный рост трафика в сети. И поэтому нужно взять устройство с запасом.

3. Часть функционала можно протестировать только в разрыв. Это функционал маршрутизации, NAT, QoS, трансляции VLAN, SSL Decrypt, Captive Portal, High Availability и другой. Для тестирования SSL Decrypt вам нужно будет сгенерировать специальные SSL-сертификаты и сделать так, чтобы клиентские устройства им доверяли. Связано это с тем, что для работы функционала требуется делать подмену сертификата на NGFW. К сожалению, половину SSL-трафика не получится расшифровать, поскольку многие приложения используют SSL pinning и проверку клиентских сертификатов. То есть механизм MITM уже не работает. Поэтому этот функционал часто тестируют всё-таки в лаборатории, хотя там уже будет искусственный трафик.

 

Искусственные методики тестирования

Для лабораторного тестирования часто используются специализированные устройства, такие как IXIA Breaking Point, которые генерируют различные типы трафика и атак. Существует два основных подхода к генерации трафика:

  1. Подача однотипного трафика (например, HTTP-запросы и ответы с файлами 64 Кб).
  2. Подача разнородного трафика (Application Mix или Enterprise Mix — EMIX).

Оба подхода описаны в RFC 9411, опубликованном в 2023 году. Проект NetSecOpen и компания Cyber Ratings (бывший NSS Labs) также публикуют методики тестирования NGFW. В России есть несколько тестовых лабораторий и публикаций.

Методики тестирования, которые создаются компаниями обычно длиной от 30 до 90 страниц, поскольку часто включают функциональные тесты. И прохождение всех тестов может занимать до двух месяцев.

Учтите, что в лабораториях все тесты искусственные и в вашей сети трафик будет другой.

 

Если вы изучаете официальный data sheet, внимательно читайте сноски: на каком именно трафике получены заявленные значения скорости и какие модули анализа трафика были включены. Рекомендуется смотреть в поле Threat Prevention или Threat Protection, это значит, что в данном тесте точно включён IPS и контроль приложений. Ещё рекомендуется узнать, все ли сигнатуры IPS включены или только часть. Каждая сигнатура IPS влияет на скорость анализа. Обычно вендор тестирует на подмножестве сигнатур, которое называется default или optimized. Опять же для того, чтобы показать себя с лучшей стороны по производительности, а не по качеству защиты.

Стоит реагировать негативно, когда вам говорят про тестирование NGFW на UDP-трафике. Это чисто маркетинговая задумка, потому трафик в вашей сети точно никогда не будет 100% на UDP, хотя на этом трафике NGFW выглядит как очень быстрый. На этом трафике NGFW в роли роутера, то есть устройство не анализирует контент UDP датаграмм. Тест на UDP показывает скорость работы сетевых карт, но никак не нагружает процессоры, которые отвечают за анализ контента. Расчёт на то, что в data sheet будет смотреть человек, который не разбирается, что NGFW создан для анализа другого трафика.

Иногда в data sheet публикуются задержки трафика. Это прекрасно, что в лаборатории достигли 2 микросекунды задержки у пакетов UDP в режиме «всё выключено». Но в вашей сети будет другой трафик, плюс вы включите защиту и задержки будут сильно больше.



Важные аспекты при анализе результатов тестирования

Обращайте внимание на размер транзакции в тестах. Тесты на HTTP с размером транзакции 64 КБ обычно дают адекватное представление о будущей производительности NGFW в реальной сети. Если вам покажут тесты на HTTP 256 Кб, то и общая пропускная способность будет в четыре раза больше, чем на транзакциях 64 Кб. Часто размер транзакции не указывают.

Кстати говоря, никто никогда не говорит, а что за файлы скачиваются в тестовом трафике: будет ли это картинка PNG, или HTML с javascript, или просто нули. Это типичная уловка тестов, ведь, подавая одни нули в файле, вы автоматически помогаете быстрее работать функционалу IPS, антивируса и другим движкам анализа. А если подать javascript, да ещё с обфускацией, там NGFW придётся потрудиться, а это нагрузка на процессор.

Если вы изучаете официальный data sheet, внимательно читайте сноски: на каком именно трафике получены заявленные значения скорости и какие модули анализа трафика были включены.

Помните, что тесты максимальных значений CPS, СС, TT и других параметров часто проводятся в искусственных условиях на однотипном трафике и не отражают реальную производительность устройства в смешанном трафике. В вашей сети это устройство точно выдаст другие значения CPS и TT, потому что там будет разнородный трафик.

 

Всю ли функциональность можно проверить в лаборатории
 
У вашего NGFW будут внешние сервисы, с которыми идёт взаимодействие: сервера Active Directory, LDAP, DNS, NTP, OCSP, CA, сервера обновлений, TI, системы аутентификации, MFA, API, ICAP, SIEM, SOAR. Они все вместе будут замедлять работу устройства.
 
Можно ли подключить и протестировать все эти сервисы в испытательной лаборатории? Вряд ли. Воспользуйтесь ссылкой, чтобы посмотреть видеоролик о том, как проводят тестирования. 

 

В результате

При выборе NGFW важно задавать конкретные вопросы о производительности устройства с учётом всех включённых функций защиты, типа трафика и размера транзакций. Например: «Какова производительность вашего NGFW со всеми включёнными функциями защиты для HTTP-трафика с размером транзакции 64 КБ и с журналированием всех событий и типов файлов?»

Правильный подход к тестированию и оценке производительности NGFW поможет выбрать оптимальное решение, соответствующее реальным потребностям вашей сети.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных