Привет, Хабр!

Меня зовут Алмаз Мазитов, я бизнес-лидер по NGFW в Innostage, хочу поделиться с вами результатами любопытного тестирования.

В мае 2023 года наши партнёры из Positive Technologies объявили о скором выпуске PT NGFW и показали достаточно высокие цифры производительности. Российский рынок, который испытывает явный дефицит высокоскоростных межсетевых экранов нового поколения, воспринял анонс с большим энтузиазмом и сейчас ждет выхода коммерческой версии PT NGFW. Но команда Innostage предпочитает не верить на слово, а проверять все в собственной лаборатории, поэтому мы протестировали раннюю версию PT NGFW и делимся с вами отчетом этих испытаний.

Технические характеристики компонентов стенда

В качестве сервера PT NGFW мы использовали демонстрационный образец со следующими характеристиками:

• Два CPU Intel(R) Xeon(R) Gold 6230R CPU @ 2.10GHz

• 256 GB RAM

• 4 сетевых порта 10G

• 2 сетевых порта 1G

Для тестов использовались:

Схемы стенда

Для функционально-нагрузочных испытаний организовали такую схему стенда:

Для проведения нагрузочных испытаний:

И для проведения функциональных испытаний:

Результаты испытаний

Для начала перечень функциональных и нагрузочных тестов, которые проходил PT NGW в ходе испытаний.

Нагрузочные проверки:

• Пропускная способность в режиме МСЭ: L7 фильтрация (с распознаванием приложений)- от 30 Гбит/сек.

Профиль трафика:

• Пропускная способность в режиме IPS: не менее 10 Гбит/сек.

• Одновременных сессий: не менее 10 000 000.

• Поддержка расширенного диапазона VLAN ID: не менее 4096.

• Максимальное количество активных VLAN: не менее 4096.

Функциональные проверки:

• Web-интерфейс для управления оборудованием.

• Настраиваемая функция журналирования отдельных строк списков доступа.

• Система управления настройками устройств, политиками безопасности централизована (фильтрация, IPS).

• Создание, распределение и хранение политик безопасности с использованием иерархической модели.

• Поддержка управления системой с помощью API.

• Не менее 4-х контекстных режимов работы межсетевого экрана.

• Детектирование и запрет приложений.

• Функция фильтрации трафика с контролем состояния соединения.

• Функция фильтрации трафика по IP-адресам источника и получателя.

• Функция фильтрации трафика по протоколу (инкапсулируемого в IP) и по портам.

• Функция создания групп объектов для упрощения списков доступа.

• Функция корректировки конфигурации системы в режиме реального времени без остановки обработки.

• Анализ трафика, передаваемого по протоколу IPv4.

• Поддержка инспекции HTTPs, расшифровки TLS, подмены сертификатов.

• Обнаружение вторжений в трафике по сигнатурам.

Протестированные режимы работы:

• Открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Так как 802.1Q не изменяет заголовки кадра (фрейма), то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN. 802.1Q помещает внутрь фрейма тег, который передает информацию о принадлежности трафика к VLAN.

• Поддержка статической маршрутизации.

• Пропускная способность в режиме МСЭ не ниже 30 Гбит/c при использовании 85 000 правил.

• Пропускная способность IPS не ниже 10 Гбит/c при использовании 85 000 правил.

• Количество правил не влияет на пропускную способность межсетевого экрана.

Дополнительные проверки:

• При создании объекта можно привязать порт к протоколу на уровне приложений.

Пример: при открытии доступа по 80 порту TCP и с привязкой его на уровне приложения http, должен проходить только http-трафик, если по данному порту пытаются сформировать запрос, который не является http-трафиком, то запрос должен быть заблокирован (inspection protocol on firewall).

• Исключения в IPS. Можно убрать набор сигнатур для определенного взаимодействия с указанием источника и назначения.

Для ранней версии перечень поддерживаемых функций уже значительный. Кроме этого, вендор обещает выпустить две следующие версии в 2024 году: в мае и в ноябре. Например, в мае 2024 появится:

• Создание собственных сигнатур IPS, создание профилей IPS и расширения доступных настроек системы предотвращения вторжений.

• Поддержка GeoIP (эту функцию очень ждем, уже приготовили каверзные проверки).

• URL-фильтрация.

• Поддержка отказоустойчивого кластера.

• Поддержка NAT.

Также в мае 2024 года ребята из Positive Technologies обещают представить собственные аппаратные платформы для межсетевого экрана российского производства. Innostage обязательно проведет их повторное тестирование.

Результаты нагрузочного тестирования МСЭ PT NGFW

А теперь самое интересное. Насколько правдивыми оказались цифры пропускной способности, которые вендор активно публикует в своих материалах. Делимся результатами нагрузочных тестов в таблице ниже.

Выводы

В целом наша техническая команда осталась довольна результатами испытаний.

Плюсы:

• иерархическая модель управления политиками безопасности. Такой подход должен быть особенно удобен для наших клиентов с разветвленной структурой подразделения. Можно создавать группы и подгруппы устройств, в которых происходит наследование правил;

• гибкость настройки самих правил и результатов их работы (можно не только дропнуть пакеты, но и, например, закрыть сессию);

• наличие виртуальных контекстов, по которым в российских решениях мы откровенно скучали. Можно разделить одну коробку на 100-150 логических и строить сложные логические топологии.

• скорость применения политик практически не зависит от нагрузки на межсетевой экран. Мы грузили 85 000 правил фильтрации под нагрузкой 30 Гбит/с и все правила были применены меньше, чем за две минуты;

• открытый API. Как вы понимаете, грузить 85 000 правил без него нам было бы особенно грустно;

• действительно шустрый IPS (тут вендор нас не обманул). Сравнили производительность с включенным и выключенным IPS и получили не больше 10% разницы (для большинства отечественных решений наши тесты показывали разницу в разы больше);

• поддержка большого количества правил и слабое влияние количества правил на производительность.

Минусы:

• отсутствие NAT и динамической маршрутизации в современном межсетевом экране (Positive Technologies обещает добавить в ближайшей версии, а мы обязательно проследим за обновлениями);

• недостаток документации по продукту. Мы, конечно, понимаем, что получили решение еще до официального релиза, но хотелось бы иметь хоть какую-то инструкцию по настройке. Справедливости ради Positive Technologies готов был консультировать нас по каждому вопросу.