Производительность NGFW. Самое главное для выявления атак на высоких скоростях

Производительность NGFW. Самое главное для выявления атак на высоких скоростях

Представьте, вы управляющий банком. Звонит начальник безопасности: «Слишком много желающих нас ограбить. Снимаем решетки с окон и открываем сейфы, так проще работать». Абсурд? Но именно это делают некоторые межсетевые экраны, когда под нагрузкой молча отключают защиту, чтобы не тормозить трафик.

Но за PT NGFW можно не переживать, он так никогда не сделает. Расскажу, почему и чего это стоило.

Бизнесу нужны одновременно две вещи: безопасность и скорость. Причем требования к скорости растут лавинообразно. Российский ИТ-рынок прибавляет по 19–20% в год. 4G переходит в 5G, умные устройства множатся, видеопотоки переползают на 4K и 8K, нейросети встраиваются во все подряд. Каналы «толстеют», и все это нужно защищать без компромиссов.

Positive Technologies разрабатывает продукты с учетом требований ИБ, но при этом не жертвуя важной для ИТ и сетей функциональностью. PT NGFW уже зарекомендовал себя как один из самых производительных межсетевых экранов на российском рынке. Модельный ряд покрывает широкий диапазон: от 400 Мбит/с до 100 Гбит/с, от 500 тысяч до 40 млн одновременных сессий.

Это не просто цифры. Данные по каждой модели мы получили на реальном трафике, максимально приближенном к клиентскому, со всеми включенными модулями безопасности: контроль приложений и пользователей, инспекция SSL/TLS, IPS, антивирус, URL-категоризация, Geo IP и 100 тысяч правил безопасности, включая NAT.

Как удалось добиться такой производительности

Долгое время считалось, что высокие скорости на межсетевых экранах невозможны без аппаратных ускорителей ASIC или FPGA. PT NGFW доказывает обратное, работая на процессорах общего назначения x86.

Мы проверяем производительность и стабильность PT NGFW по мировому стандарту тестирования межсетевых экранов — RFC9411, что жестче, чем у большинства российских разработчиков. И придерживаемся требования стандарта, что количество «дропов», то есть разницы между скоростью входящего и исходящего трафика, должно быть не более 0,01%. Это возможно благодаря нашим инженерным решениям:

• Модернизированный сетевой стек. Мы отказались от стандартного сетевого стека Linux и перенесли обработку пакетов в user space с использованием технологий DPDK (Data Plane Development Kit). Это позволяет принимать пакеты напрямую в пользовательское пространство и обрабатывать их в пакетном режиме, убирая лишние переключения контекста и копирования буферов.
• Zero-copy архитектура. Нулевое копирование в памяти позволяет значительно снизить накладные расходы на работу с данными. Тем самым значительно увеличить количество обрабатываемых пакетов в секунду без потери функциональности.
• Разделение management plane и data plane. Резервирование отдельных ядер ЦП для management plane исключает потерю контроля над устройством при пиковых нагрузках на data plane.

Качество детекта

Производительность без качественного обнаружения атак бессмысленна. Здесь у нас принципиальная позиция: никакого Open Source. Мы провели эксперимент с 40 тысяч сигнатур из открытых источников (Snort, Suricata) и получили крайне слабый catch rate. Поэтому PT NGFW использует собственные сигнатуры, поставляемые экспертным центром PT ESC. Если просто вставить сторонние Open Source правила, то одно неудачное может убить производительность всего устройства. У нас каждая сигнатура оптимизирована под архитектуру и конвейер обработки трафика PT NGFW.

Кроме того, тесная интеграция с другими продуктами экосистемы Positive Technologies (MaxPatrol SIEM, PT Sandbox, PT NAD, и др.) позволяет значительно повысить качество детекта за счет получения дополнительных данных об атаках.

Независимые тесты

Мы сознательно отдаем продукт на независимые проверки. Компания «Инфосистемы Джет» завершила комплексное тестирование PT NGFW, которое охватило более 300 проверок, включая производительность, функциональность и отказоустойчивость. В итоге производительность PT NGFW оказалась в два раза выше, чем заявлял Positive Technologies.

Тестирование в лаборатории BI.ZONE показало, что реальная производительность модели PT NGFW 3040 выше, чем указано в даташите. Максимальная пропускная способность при проверке зашифрованного трафика достигла 33 Гбит/с. При этом в документации PT NGFW указан потолок в 25 Гбит/с. Результаты испытаний также показали, что PT NGFW 3040 поддерживает до 20 млн одновременных соединений, тогда как в даташите указано 14 млн.

Устойчивость под нагрузкой

В архитектуру PT NGFW изначально заложена возможность выдерживать пороговые значения производительности, не отключая и не сокращая ни на процент количество сигнатур. Защита остается стабильной, даже когда трафик упирается в потолок. Это принципиальное отличие от решений, которые ради скорости жертвуют безопасностью.

Реклама. АО «ПОЗИТИВ ТЕХНОЛОДЖИЗ», ИНН: 7718668887, Erid: 2VfnxwZaBLd