Как российские NGFW выходят на скорости нового поколения. Архитектура, стек и реальные ограничения

Как российские NGFW выходят на скорости нового поколения. Архитектура, стек и реальные ограничения

Российский рынок межсетевых экранов нового поколения (NGFW) за последние годы заметно продвинулся. Современные решения стали функционально зрелыми и гибкими, что позволяет им работать в корпоративных и ведомственных инфраструктурах. Однако рост объёмов трафика и широкое внедрение SSL-инспекции сделали производительность ключевым ограничением.

Простой прирост числа ядер или установка аппаратных ускорителей уже не дают нужного эффекта: решающее значение приобретает архитектура сетевого стека и способ взаимодействия модулей. В этих условиях решающим фактором при создании действительно высокопроизводительных NGFW становится архитектура сетевого стека и оптимизация взаимодействия модулей. Какие аспекты сегодня определяют реальную эффективность и масштабируемость NGFW-решений, рассказал Дмитрий Хомутов, директор Ideco.

От ядра к пользовательскому пространству

Традиционно сетевые пакеты обрабатывались в ядре ОС, что вызывало задержки из-за переключений контекста и копирования буферов. Современные российские NGFW переходят на user-space-стеки, используя технологии Vector Packet Processing (VPP) и Data Plane Development Kit (DPDK). Эти инструменты позволяют принимать пакеты напрямую в пользовательское пространство и обрабатывать их в пакетном режиме — по нескольку за цикл процессора. Результат — существенный рост пропускной способности без привлечения специализированного оборудования. Такой подход повышает гибкость: оптимизации выполняются на уровне программного кода и не требуют замены аппаратной части.

Почему ставка делается на программную архитектуру

Аппаратные ускорители (ASIC, FPGA) дают максимальную производительность, но в корпоративных сценариях становятся фактором зависимости: обновления и масштабирование осложняются, а цикл разработки закрыт. Программные стеки на базе VPP и DPDK, напротив, позволяют строить модульные микросервисные системы, где IPS, WAF, VPN и контент-фильтрация работают изолированно, обмениваясь данными через внутреннюю шину. Такой подход облегчает обновление кода и повышает отказоустойчивость. Однако следует учитывать, что даже при user-space-обработке полное включение функций SSL-инспекции и антивируса вызывает падение производительности, особенно без ускорителей AES-NI или QAT.

Производительность как свойство архитектуры

Главный прирост скоростей достигается переработкой принципов сетевой обработки, а не заменой процессоров. DPDK обеспечивает прямой доступ к сетевым интерфейсам, минуя стандартный стек Linux, а VPP оптимизирует обработку пакетов на уровне потоков CPU. Однако заявленные скорости свыше 100–200 Гбит/с возможны лишь в измерениях без включённого DPI и SSL-декрипции. Реальные показатели в корпоративных профилях нагрузки обычно ниже, но уже сравнимы с решениями среднего класса зарубежных производителей. Важной особенностью остаётся возможность централизованного управления и кластеризации, что делает такие системы пригодными для крупных организаций.

Эволюция российских решений

Переход к стеку VPP/DPDK стал одним из значимых шагов в развитии российских NGFW, позволяя снизить зависимость от импортных аппаратных компонент, хотя полная независимость от иностранных CPU и сетевых контроллеров пока недостижима. Дальнейшее развитие идёт в направлении телеметрии и адаптивного распределения ресурсов между сервисами, где сеть частично оптимизирует себя в реальном времени. Эта концепция пока в стадии внедрения, но отражает вектор эволюции.

Баланс между скоростью и безопасностью

User-space-архитектура позволяет гибко масштабировать производительность и быстрее внедрять новшества, но компромиссы между глубиной анализа и скоростью обработки остаются. Современные российские NGFW стремятся минимизировать эти потери, используя программно оптимизированные стеки, а не узкоспециализированные микросхемы. Производительность теперь определяется не мощностью железа, а качеством инженерных решений.

Реклама.  ООО «АйДЕКО», ИНН: 6670208848, Erid: 2VfnxxQVhTF