Межсетевой экран следующего поколения (NGFW): критерии выбора

Дата: 25.08.2020. Автор: Денис Батранков. Категории: Главное по информационной безопасности, Сравнения средств защиты информации

Автор: Денис Батранков, советник по безопасности корпоративных сетей.

Существует три главных критерия выбора межсетевых экранов нового поколения (NGFW): качество, цена и производительность.

Есть еще такие критерии как удобство управления, стабильность работы, существующие интеграции, наличие обученных инженеров, уровни техподдержки, страна-производитель, санкции, сертификация, поддержка русских приложений и русских URL, возможность работы без подписок, и эти критерии я буду тоже постепенно рассматривать. Начнем с основных.

Качество защиты NGFW

Качество защиты определяется набором встроенного функционала и качеством работы каждой отдельной функции. Преимуществом NGFW является то, что здесь один функционал дополняет другой. Например, инспекция приложений дополняет IPS, или песочница помогает URL фильтрации и так далее. По качеству выбирать просто: существуют публичные независимые тесты лаборатории NSS Labs, где тестируется эффективность защиты NGFW. NSS в основном проверяет движок системы предотвращения атак (IPS). Согласно последнему групповому тесту 12 различных производителей, которые провела NSS Labs в 2019 году, лидером по эффективности защиты является Palo Alto Networks, с результатом 97,9%. Если посмотреть на весь список, то пятерка лидеров выглядит так в порядке убывания эффективности защиты:

  1. Palo Alto Networks
  2. Check Point
  3. WatchGuard
  4. Forcepoint
  5. Huawei

Сами результаты тестов NSS Labs стоят 4500$ и их нужно покупать у NSS Labs (подробнее). И также можно воспользоваться лайфхаком: вызвать к себе на встречу представителя любого вендора и они показывают тесты NSS labs своим заказчикам бесплатно.

Однако IPS не единственный критерий, по которому стоит судить о качестве NGFW. Перечислю функционал, который должен быть в современном NGFW.

  • Сетевые функции для интеграции с другим сетевым оборудованием: динамическая маршрутизация и работа с VLAN
  • Контроль принадлежности трафика приложениям, включает также блокировку запрещенных туннелей одного приложения в другое (упоминается как App-ID или Application Inspection)
  • Контроль принадлежности трафика пользователям, обычно NGFW интегрируется с Active Directory и LDAP (упоминается как User-ID или Identity firewall)
  • Работающая политика безопасности, где квалификатором служит имя сотрудника и название приложения
  • Контроль типов и имен файлов, передаваемых приложениями (часто входит в функционал DLP)
  • Контроль типов данных внутри трафика приложений по шаблонам (часть функционала DLP)
  • Контроль сигнатур сетевых атак (упоминается как IPS или СОВ).
  • Контроль за известными вирусами (AV), причем антивирус работает с файлами, которые для него собирает декодер из трафика HTTP(S), SMTP(S), POP3(S), IMAP(S), FTP(S), SMB. Антивирус работает либо по сигнатурам, либо по хешам.
  • Контроль за неизвестными вирусами (упоминается как песочница или anti-APT). Замечу что песочница работает для протоколов HTTP(S), SMTP(S), POP3(S), IMAP(S), FTP(S), SMB и также для URL в почте. Песочница работает либо по сигнатурам, либо по хешам.
  • Контроль за известными программами удаленного управления и слежения за компьютерами (упоминается как Anti-Spyware или Anti-Bot)
  • Контроль за известными бот-сетями и вредоносными IP, URL (упоминается как Threat Intelligence)
  • Контроль за известными бот-сетями и вредоносными DNS (DNS Sinkholing)
  • Контроль за подключениями к динамически создаваемым доменам DNS (DGA)
  • Контроль за посещаемыми категориями URL (URL filtering). В сети выявлена часть категорий для обхода URL фильтрации.
  • Расшифрование SSL и контроль всеми перечисленными функциями трафика внутри SSL.
  • Расшифрование SSH и блокировка туннелей
  • Работа как VPN шлюза по IPSEC или SSL VPN
  • DoS защита на основе статистики соединений
  • Правила политики безопасности, где критерием принятия решения о разрешении является зона безопасности, IP адреса, приложение, пользователь и настройки его устройства
  • Контроль всех действий администраторов на самом NGFW
  • Подробные журналы с нужным набором событий по всем вышеперечисленным функциям. Это, пожалуй, самый важный критерий, потому что только по журналам и их точности и оценивается качество.

Цена NGFW

Часть заказчиков при выборе производителя NGFW исходят из цены. Здесь я обрадую: все производители в последнее время стоят одинаково. Если у производителя функций меньше и его качество хуже, то он все равно просит денег как лучший NGFW. Да, производители после торгов выдают разную скидку, но точно цены не отличаются в 2-3 раза больше, как это сейчас на рынке автомобилей или недвижимости. Одновременно качественно, дешево и быстро не бывает – таких продуктов нет ни в какой отрасли. Если вам предлагают такое чудо, то стоит поискать подвох. Для примера, часто производители завышают свою производительность, чтобы показать, что другие производители дороже, поэтому нужно быть осторожным выбирая NGFW по datasheet. На бумаге вы купите быстрое устройство, а в реальности – в 2-3 раза медленнее. Что означает, что вы переплатили производителю в 2-3 раза и не купили настоящее устройство, которое выдержит требуемую нагрузку. Иногда возникает вопрос, а почему именно NGFW: ведь можно купить нужную защиту по отдельности: антивирус, веб фильтр, IPS, песочницу и др. Тут рынок уже дал ответ – когда мы покупаем по отдельности, то получается еще дороже. Поэтому купить NGFW дешевле. Вашим критерием должна быть не цена, а ценность. Важно понимать, какие функции защиты актуальны для вашей компании. И нужно оценить сможет ли купленное устройство это реализовать. На периметре Интернет у предприятия обычно 200-400 различных приложений и все они требуют индивидуального подхода. В ЦОД работает около 50 различных приложений. Кому-то нужно защищаться от криптолокера в SMB или электронной почте, кому-то защищать уязвимости в голосовом трафике, кому-то блокировать атаки на WEB сервера, кому-то анализировать SQL запросы к базам данных. И когда у вас есть список приложений, которые вы хотите защитить – уже можно переходить к подбору конкретных моделей. И прийти с вашими требованиями к производителю. Скорость любого NGFW в первую очередь зависит от набора ваших приложений, которые он будет инспектировать и тех функций защиты, которые будут включены в устройстве. Основной принцип ценообразования: чем больше сложных функций безопасности вы хотите получить в одном устройств, тем дороже NGFW (потому что это требует дополнительных подписок и разработки) и тем медленнее он работает (потому что в одну секунду ему требуется сделать больше работы). Например, приложения SMB, FTP, Skype являются сложными для анализа файлов и поэтому устройство надо покупать мощнее и, соответственно, дороже.

Скорость NGFW

У каждого производителя обычно есть набор моделей под разные скорости с разной ценой. Обычно логика простая: в 2 раза быстрее устройство стоит в 2 раза дороже.

И по идее все поставщики пишут данные о своей производительности для того, чтобы заказчики могли подобрать устройство в сравнении моделей друг с другом и затем сравнили цены для одной и той же скорости. Те принципы выбора, которые используются для свитчей и роутеров уже нельзя использовать, поскольку роутеры пакеты не собирают в файлы и не анализируют. Представьте, что вы хотите смотреть вирусы в SMTP: там файлы передаются в форматe BASE64, который надо собрать в единый поток из фреймов и перекодировать в бинарный вид, чтобы проверить сигнатурами. А для FTP проще – там файлы сразу передаются в бинарном виде. Поэтому основными двумя параметрами, которые влияют на производительность: какие приложения надо анализировать и каким функционалом. Например, если одно и то же устройство настроить проверять файлы всеми сигнатурами своими, а потом только половиной своих сигнатур – это значит оно будет в 2 раза быстрее самого себя, хотя вы лишь просто поменяли функционал. Продвинутые производители добавляют в устройство для проверки сигнатур специализированные чипы ускорения ASIC и FPGA. Их преимущество в том, что на них не влияет число включенных сигнатур– они одинаковы быстры с 1% и с 100% включенных сигнатур. Также как в играх используют графические ускорители, в безопасности тоже можно выделить часть функций на специализированные чипы.

Сравнивать производительность NGFW по datasheet некорректно, поскольку производители публикуют скорости на разных приложениях, и с разным включенным функционалом защиты. Возьмем, например, datasheet четырех основных производителей, которые представлены на рыке России: Cisco, Check Point, Fortinet, Palo Alto Networks. И проанализируем основные термины, которые они используют и как эти термины используются.

Термин производителя, используемый в datasheetТип трафика при измерении>Какие функции инспекции трафика одновременно были включены во время измерения (описано в каждом datasheet в сносках)
App – инспекция приложений L7, AV – антивирус, FB – File Blocking, APT – песочница, Bot – анализ подключений к бот-сетям, Log – локальное журналирование
Комментарий эксперта
Фраза из DatasheetAppIPSURLAVAPTBotFBLog
Самый нужный режим работы NGFW – когда защитные функции устройства включены все одновременно. Этот режим работы NGFW обычно называется Threat Prevention
Найдите такую строку в Datasheet поставщика. В нее рекомендуется смотреть в первую очередь при выборе NGFW.
Вы должны найти в datasheet или узнать у производителя два параметра, которые влияют на результат измерений производительности:
1) Какой тип трафика подавался при измерении производительности 2) Какие функции инспекции трафика одновременно в этот момент работали. Журналирование выявляемых событий на локальный жесткий диск также сложная задача, которая влияет на производительность.
Fortinet

Threat Protection Throughput
Enterprise Traffic MixMeasured with Firewall, IPS, Application Control, and Malware Protection enabled with Logging enabled++++Спросите у производителя что такое Enterprise Mix – какие именно приложения туда входят и какая у каждого приложения длина транзакции. При выборе NGFW нужно узнать хватит ли производительности модели именно на вашем трафике, а не на искусственном трафике под названием Enterprise Mix. Вы наверняка хотите включить URL фильтрацию, песочницу, блокировку файлов, но скорости с этими функциями в datasheet Fortinet нет. Также попросите Fortinet рассказать про производительность в разных режимах работы: intelligent mode, proxy mode, flow mode, NGFW mode. Скорость в datasheet указана в самом быстром flow mode. Документация Fortinet говорит, что самый безопасный режим – это proxy mode, но он просаживает производительность. Ссылка. Также пользуйтесь советами по повышению производительности из документации. Ссылка.
Check Point

Threat Prevention Throughput
Application MixIncludes Firewall, Application Control, URL Filtering, IPS, Antivirus, Anti-Bot and SandBlast Zero-Day Protection+++++++Спросите у производителя что такое Application Mix – какие именно приложения туда входят и какая у каждого приложения длина транзакции. Компания Check Point пишет, что они не включают все сигнатуры IPS и антивируса во время измерения производительности. Ссылка. Если вы проводите собственное тестирование, просите включить полный набор сигнатур защиты и также попросите подать хотя бы 20 самых частых приложений, которые есть в вашей сети. Также нужно задавать вопрос для каких приложений была измерена скорость антивируса. Самыми сложными приложениями для анализа файлов будут SMB и FTP – для любого производителя. Описание, какие приложения использовались для измерений производительности здесь.
Palo Alto Networks

Threat Prevention throughput (HTTP/appmix)
HTTP 64Кб + Application MixMeasured with App-ID, IPS, antivirus, anti-spyware, WildFire, file blocking, and logging enabled, utilizing 64 KB HTTP/appmix transactions++++++++Спросите у производителя что такое Application Mix – какие именно приложения туда входят и какая у каждого приложения длина транзакции. Компания Palo Alto Networks измеряет и публикует производительность совместной работы движков анализа на двух типах трафика: только HTTP и Application Mix. Это позволяет оценить как устройство будет работать на вашем трафике. Чистый HTTP трафик с HTML файлами внутри сложнее всего анализировать, поэтому скорость устройств на нем ниже. Это единственная компания, которая включает у себя режим журналирования файлов (File Blocking) в приложениях во время тестирования, поскольку только у нее это не влияет на пропускную способность устройства.
Пропускная способность, когда включена только система предотвращения атак (IPS)
Fortinet

IPS Throughput
Enterprise Traffic MixIPS (Enterprise Mix) are measured with Logging enabled++Fortinet тестирует IPS на таком же трафике, как и все остальные модули защиты, что позволяет сравнить насколько сильно просаживается производительность при включении остальных модулей, вдобавок к включению IPS. Также узнайте был ли использован intelligent-mode или proxy mode для измерения скорости и какие скорости будут в других режимах. Fortinet считает, что самый безопасный режим – это proxy mode. Ссылка.
Cisco

Throughput: FW + AVC + IPS (1024B)
HTTP 250KbAverage packet size 1024 B = Sum the size of each packet and divide by the number of packets+++У Cisco это самый максимальный набор включенных функций в datasheet. Они не публикуют скорости с включенным антивирусом, URL, песочницей или file blocking. Какая будет производительность, если включить все, нужно выяснять во время пилота.
Cisco в datasheet использует значение 1024B, что означает, что это средний размер пакета при отправке нескольких сессий пакетов для скачивания 250Кб файла по HTTP. Это подробно рассказано в их презентации. Спросите, были ли включены все сигнатуры IPS во время измерения производительности.
Ссылка.
Пропускная способность устройства в режиме инспекции приложений (App)
Современный межсетевой экран должен всегда инспектировать приложения, однако не все производители так считают, поэтому в их datasheet часто есть две разных скорости: с включенным Application Control и с выключенным
Посмотрите внимательно в datasheet именно параметр с включенным Application Control.
Fortinet

Application Control Throughput
HTTP 64KApplication Control are measured with Logging enabled++Fortinet не пишет в каком режиме flow mode или proxy mode было измерено, это нужно уточнять у производителя. Также нужно уточнить был ли это policy mode или profile mode. Только в policy mode критерием политики является приложение. В profile mode критерием политики является порт.
Ссылка.
Fortinet

NGFW Throughput  
Enterprise Traffic MixNGFW performance is measured with Firewall, IPS, and Application Control enabled. NGFW is measured with Logging enabled+++По мнению Fortinet Firewall и Application Control – это две различные функции. И соответственно под NGFW понимает три функции: Firewall, Application Control и IPS. Однако в NGFW еще есть функция определения пользователей, антивирус и контроль файлов в приложениях, их тоже нужно учитывать при оценке нагрузки на устройство, если вы подбираете себе NGFW. Также нужно учитывать, что у Fortinet есть два режима: profile mode и policy mode. Только в режиме policy mode это L7 firewall, поскольку приложение L7 становится критерием политики безопасности. В profile mode приложение лишь отсеивает ненужные L7 приложения, которые разрешил L4 firewall по порту.
Cisco

Throughput: FW + AVC (1024B)
HTTP 250Kb ++Cisco в datasheet использует значение 1024B, что означает, что это средний размер пакета при отправке серсии пакетов для скачивания 250Кб файла по HTTP. Это подробно рассказано в их презентации 
Ссылка. Cisco показывает, что L4 firewall и Application Control это две различные функции в устройстве.
Palo Alto Networks

Firewall throughput (HTTP/appmix)
HTTP 64Кб + Application Mixmeasured with App-ID and logging enabled, utilizing 64 KB HTTP/appmix transactions++Компания Palo Alto Networks измеряет производительность совместной работы движков анализа на двух типах трафика: только HTTP и сборник различных приложений. Это позволяет оценить как устройство будет работать на вашем трафике. Чистый HTTP трафик сложнее всего анализировать, поэтому скорость устройств на нем снижается. Компания считает, что контроль приложений это и есть задача NGFW, поэтому не пишет отдельно фразу L4 firewall + Application control, как все другие производители.
Параметры работы в режиме расшифрования SSL. Работа с SSL трафиком бывает 3 типов:
1) проверка доверия сертификата SSL,
2) расшифрование и анализ контента внутри SSL, когда мы знаем закрытый ключ SSL сервера – значит защищаем свой собственный сервер,
3) расшифрование и анализ контента внутри SSL, когда мы не знаем закрытый ключ SSL сервера – проверяем данные идущие на внешние SSL сервера. Обычно все тесты идут по последней схеме, которая предполагает работу NGFW как SSL Proxy. Сisco называет эту схему Resign, Check Point – Outbound HTTPS inspection, Fortinet – Deep inspection, Palo Alto Networks – SSL Forward Proxy.
Fortinet

SSL Inspection CPS (IPS, avg. HTTPS)
 SSL Inspection performance values use an average of HTTPS sessions of different cipher suites+Слово «инспекция» предполагает, что после расшифрования трафик будет проинспектирован каким-то образом. Fortinet пишет, что IPS включен. IPS инспектирует HTML файл или бинарный файл во время измерения? Это влияет на результат. Однако забыли включить инспекцию приложений, файлов, вирусов, URL категорий. Непонятно зачем нужны измерения, где все это выключено, ведь в реальной сети нам нужна скорость именно с включенной инспекцией SSL. Поэтому полагаться в выборе устройства на данную скорость нет смысла. Тем более, что 50% трафика SSL невозможно расшифровать из-за SSL Pinning и из-за взаимной аутентификации сервера и клиента SSL. В данном режиме оценивается скорость чипа ускорения CP, который занимается расшифрованием SSL и IPS, но не протестирована производительность устройства как комплекса защиты. Не указаны криптографические параметры: длина ключа, типы алгоритмов шифрования, длины транзакций. Очень сложно будет сравнивать с другим производителем, не обладая точной информацией по типу трафика.
Здесь вам будет интересно сравнить CPS (число новых соединений) измеренный на SSL и на TCP – вы увидите насколько сильно падает число новых соединений, когда мы начинаем анализировать уровень приложений.
Fortinet

SSL Inspection Throughput (IPS, avg. HTTPS)
 SSL Inspection performance values use an average of HTTPS sessions of different cipher suites+То же самое что и выше, нужно включить сначала все модули инспекции: приложений, файлов, антивирус, URL категоризацию и потом измерять производительность. Сейчас это лишь скорость чипа, отвечающего за SSL Decrypt, а не всего устройства. Для SSL должен работать еще один механизм – проверка самого сертификата SSL. Это требует анализа списка CRL и даже обращения по OCSP к специальному серверу. Это сильно замедляет установление каждого соединения. Спросите поставщика – учитывал ли он эту задержку при измерении пропускной способности SSL в режиме инспекции SSL.
Fortinet

SSL Inspection Concurrent Session (IPS, avg. HTTPS)
 SSL Inspection performance values use an average of HTTPS sessions of different cipher suites+То же самое что и выше, нужно включить сначала все модули инспекции: приложений, файлов, антивирус, URL категоризацию и потом измерять производительность. Сейчас это лишь скорость чипа, отвечающего за SSL Decrypt, а не всего устройства.
Cisco

TLS (Hardware Decryption)
 Throughput measured with 50% TLS 1.2 traffic with AES256-SHA with RSA 2048B keysУ Cisco указаны хоть какие-то параметры тестируемого трафика, в отличии от Fortinet: AES256, SHA, RSA2048. Также мне импонирует, что только 50% трафика расшифровано – ведь так и есть в реальной сети. 50% трафика нельзя расшифровать из-за SSL pinning и проверки клиентских сертификатов. Но здесь в тесте опять же сама инспекция после вскрытия SSL отсутствует. Что дает скорость расшифрования SSL и потом зашифрования? Какая будет производительность устройства, если включить еще инспекцию расшифрованного трафика: контроль приложений, IPS, антивирус, URL фильтрацию?
Пропускная способность устройства, когда инспекция приложений выключена. Производители называют этот режим «идеальные условия тестирования».
Сегодня компаниям важно различать и применять политики для разных приложений, которые ходят вместе по одному 443 порту,
поэтому данные измерения актуальны скорее для телеком провайдеров, поскольку им анализировать приложения не нужно, и им нужен классический L4 firewall, запоминающий только заголовки пакетов.
Вообще, даже в классических L4 firewall существуют различные ALG proxy, работающие на уровне приложений, например, для протоколов SIP или FTP, но тесты их скорости никто не публикует.
Stateful inspection firewall throughput measured with 1500B User Datagram Protocol (UDP) traffic measured under ideal test conditions.L4 firewall на UDPИдеальные условия тестирования сделаны, чтобы показать скорость на искусственном трафике, которого никогда не бывает в реальной сети. Это сделано, чтобы показать скорость работы сетевых ASIC, которые есть в устройстве. Если вы покупаете именно NGFW, то этот параметр надо игнорировать. Если вы сравниваете L4 firewall, то этот параметр тоже бессмысленен, потому что в сетях не бывает только UDP протокола.
Ideal Testing Conditions
IPv4 Firewall Throughput (1518 / 512 / 64 byte, UDP)
  L4 firewall на UDPКак и выше, измерять на UDP можно, но это бессмысленный параметр.
IPv6 Firewall Throughput (1518 / 512 / 86 byte, UDP)  L4 firewall на UDPКак и выше: измерять на UDP можно, но это бессмысленный параметр.
Firewall Latency (64 byte, UDP)  L4 firewall на UDPЗадержки на UDP – это прекрасно. Но задержки для потребителя сейчас измеряют на уровне приложений L7. Потому что ему важно, как ровно идет видеоролик или не булькает ли собеседник в IP телефоне или skype. И это задержки, которые зависят от более высокого уровня абстракции модели OSI ISO чем транспортный уровень, на котором работает UDP. Поэтому если уж вы решили измерить задержки, jitter и потери пакетов, то нужно говорить о других тестах. Посылать UDP 64 байта – загадочная методика для firewall, тем более для NGFW.
Firewall latency (UDP 64B)  L4 firewall на UDPТо же что и выше, скорость NGFW на UDP – загадочный параметр, который надо игнорировать.
Stateful inspection firewall throughput (multiprotocol) “Multiprotocol” refers to a traffic profile consisting primarily of TCP-based protocols and applications like HTTP, SMTP, FTP, IMAPv4, BitTorrent, and DNSL4 firewall на TCPЕдинственный нормальный параметр, в который стоит смотреть, среди всех что перечислены в этом разделе, где мы измеряем скорость именно stateful firewall. Измерение на TCP для stateful inspection выглядит логичным, потому что тут как раз есть нагрузка: оценивается как выделяется память на хранение состояний, сколько сессий может быть одновременно.
Firewall Throughput (Packet per Second)  L4 firewall на неизвестном трафикеЧисло пакетов в секунду – достаточно загадочный параметр для firewall, в котором другой уровень абстракции: сессии и приложения. С тем же успехом можно посчитать сколько миллиардов молекул вы съели на обед. Что дает эта информация специалисту мне неизвестно. Одна сессия может быть из 10 пакетов, а может быть из миллиона. И число пакетов не влияет на число сессий. Этот параметр используется при выборе роутеров, в которых нет никакой инспекции. Сравнивать firewall и роутер по числу пакетов в секунду нельзя, поскольку они реализуют разные функции. В общем игнорируйте это число.
Сколько умещается сессий в памяти, когда вся инспекция приложений выключена и включена
Concurrent Sessions (TCP)

 
  TCP с непонятным контентомЗдесь важно спросить производителя в каком режиме был firewall: L4 или L7. Многие вендора выключают Application Inspection во время этого теста. То есть, если это были TCP соединения, где внутри HTTP, то это требует больше памяти для хранения состояния. Если это были TCP соединения, где протокол HTTP не инспектировался, то память не тратилась. Обычно число одновременных сессий для анализа L4 и L7 режимов отличается в 10 раз. То есть если производитель измерил Concurrent Session на HTTP, а затем Concurrent Session на TCP, то различие в 10 раз для этого устройства. Спросите производителя – был ли включен application inspection в этом тесте. Скорее всего выключен и это данные для L4 firewall, поскольку все хотят показывать себя максимально быстрыми.
Concurrent firewall connections  TCP с непонятным контентомКак и выше, нет указания на размер пакета TCP
Сoncurrent connections, 64 byte response  TCP с непонятным контентом длиной 64 байтаКак и выше, только явно указан размер поля данных в пакете TCP
Maximum concurrent sessions, with AVC  Неизвестное приложение L7 с непонятным контентомЗдесь четко указано, что число одновременных сессий измерено с включенным движком Application Inspection. Это значит, что тестировался именно L7 firewall, а не L4 firewall.
Max sessions  Неизвестное приложение L7 с непонятным контентомЗдесь четко не указано, что число одновременных сессий измерено с включенным движком Application Inspection. Однако нужно читать сноски! Важно узнать, что это именно L7 firewall, а не L4 firewall.
Сколько новых сессий успевает инициализировать устройство за 1 секунду. Здесь важно, что если измерять на TCP трафике с выключенным Application Control или c включенным Application Control для HTTP, то число новых сессий в секунду с включенным Application Control снижается в 10 раз, согласно тестам NSS Labs.
Это совершенно разные по нагрузке тесты, разных классов firewall: L4 и L7.
New Sessions/Second (TCP)
connections per second, 64 byte response
  TCP с непонятным ответом длиной 64 байтаЧисло новых сессий в секунду на TCP для NGFW измерять не информативно. Нужно измерять именно на том приложении, которое вам интересно. Когда вы тестируете скорость TCP и не используете никаких данных приложения в TCP пакете, то вы тестируете скорость чипа ASIC. Если же вы тестируете, допустим число новых соединений для HTTP или SMB, то вы тестируете скорости всех чипов: ASIC и обычного CPU, который анализирует контент приложения.
Maximum new connections per second, with AVC  Неизвестное подключение с приложением L7 с непонятным контентомВот это верный подход к измерению: число новых соединений учитывает еще и загрузку процессора контентного анализа. Но забыли указать размер пакета и транзакции. А это важно и влияет на результат. Это показывает именно скорость новых соединений для L7 firewall.
New connections per second  TCP с непонятным контентомНужно всегда спрашивать производителя какой анализ он имел в виду: L4 или L7 и тогда этот параметр станет более понятным и можно будет понять можно ли его сравнивать с параметрами других производителей, которые могли измерить в другом режиме. А измерять число новых сессий в L4 и L7 режимах друг с другом нельзя. С тем же успехом можно сравнивать скорости пустых и загруженных грузовиков.
New sessions per second New sessions per second is measured with application-override, utilizing 1 byte HTTP transactionsHTTP приложениеЗдесь четко указано, что новые сессий измерялись именно на HTTP трафике с ответами длиной 1 байт. Однако фраза application-override означает, что идентификация приложений была выключена.
Параметры IPSEC
IPsec VPN throughputHTTP 64 KbIPsec VPN throughput is measured with 64 KB HTTP transactions and logging enabledНикакой инспекции после расшифрования IPSEC?В некоторых NGFW протокол IPSEC ускорен на ASIC или FPGA. Вы не будете использовать NGFW только как VPN шлюз, верно? Вы включите наверняка и все остальные функции. Поэтому скорость только IPSEC покажет скорость работы ASIC, но не дает информации как будут совместно работать все функции, если еще включить IPS, антивирус, URL и так далее. Так что этот параметр скорости только на IPSEC я считаю корявым критерием для оценки производительности. Плюс вы должны спрашивать у производителя еще алгоритмы шифрования и хеширования и длину ключей – ведь криптография серьезно отличается по нагрузке от длины ключа. Нагрузка на процессор при шифровании на 256 и 128 бит ключах отличается не линейно, а экспоненциально. В данном случае было также грамотно указано какое приложение использовалось и что журналирование было включено – оно тоже влияет на производительность.
IPsec VPN Throughput (512 byte) IPsec VPN performance test uses AES256-SHA256  Никакой инспекции после расшифрования IPSEC?Здесь указаны криптографические алгоритмы, которыми зашифрован трафик в тесте, но пропущена информация о данных приложения. Обычно заказчику нужно понимать скорость в комплексе, когда включен IPSEC + анализ приложений + антивирус + IPS и других функций инспекции трафика.
AES-128 VPN throughput

 AES 128 SHA?Никакой инспекции после расшифрования IPSEC?Здесь указаны криптографические алгоритмы, которыми зашифрован трафик в тесте, но пропущена информация о данных приложения. Обычно заказчику нужно понимать скорость в комплексе, когда включен IPSEC + анализ приложений + антивирус + IPS и других функций инспекции трафика.
IPsec VPN throughput (450B UDP L2L test)HTTP 11 KbAES ? SHA ?Никакой инспекции после расшифрования IPSEC?Здесь указаны криптографические алгоритмы, которыми зашифрован трафик в тесте, и есть информация о данных приложения HTTP и даже про размер транзакции. Обычно заказчику нужно понимать скорость в комплексе, когда включен IPSEC + анализ приложений + антивирус + IPS и других функций инспекции трафика. Поэтому даже такая подробная информация не помогает понять производительность устройства на конкретной точке в сети.
IPSec VPN Throughput (1024B TCP w/Fastpath)HTTP 250 KbAES ? SHA ?Никакой инспекции после расшифрования IPSEC?В тестах видно, что при повышении размера транзакции общая пропускная способность устройства NGFW увеличивается. Поэтому тесты на различных размерах транзакций дают понимание разброса значений производительности и соответственно можно апроксимировать какая будет скорость в реальной жизни в реальной сети.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

3 × два =