Журнал "Information Security/ Информационная безопасность" #6, 2023

46 • СПЕЦПРОЕКТ Дмитрий Лебедев, Код Безопасности: На текущий момент мы закрываем все основные потребительские сег- менты: малый и средний бизнес, крупные предприятия. Линейка NGFW от "Кода Безопасности" представлена плат- формами с производительностью NGFW в диапазоне от 280 Мбит/с до 9 Гбит/с. Для организаций, которым нужна повышенная производительность, предлагаются альтерна- тивные варианты. Во-первых, использование фермы NGFW через брокер сетевых пакетов (горизонтальное масштаби- рование). В таком случае можно линейно увеличивать про- изводительность NGFW. Во-вторых, использование межсе- тевого экрана уровня гипервизора, где в целом отсутствует понятие пропускной способности. Такой сценарий является эффективным в виртуализированных ЦОД. Иван Чернов, UserGate: Единственно верный под- ход – это пилоты на нагрузке. Ни один синтетический тест и близко не даст тех замеров, которые реально необходимы. А производительность сильно зависит от типа трафика и состава включенных модулей. В качестве опции мы пред- лагаем возможность провести совместное нагрузочное тестирование, где под конкретного заказчика и его задачу мы настраиваем профиль тестируемого трафика и обсуж- даем, какие модули необходимо проверить. Олег Вдовичев, InfoWatch: Производительность акту- альной версии InfoWatch ARMA Industrial Firewall в настоящий момент – до 1 Гбит/c в режиме МЭ+IPS+DPI. При этом сейчас ведется разработка продукта на новой платформе, предварительная версия которого уже способна выдавать производительность до 10 Гбит/c в тех же условиях. Данные показатели на протитипе были вживую продемонстрированы на BIS Summit 2023. Коммерческий релиз выйдет в 2024 г. Павел Мерещук, Гарда: Производительность одного комплекса в режиме межсетевого экрана, по сути, ограниче- на пропускной способностью сетевой карты и производи- тельностью центрального процессора сервера, на котором работает МЭ. Дальнейшее увеличение производительности возможно путем кластеризации. Сложнее с производитель- ностью комплекса в режиме NGFW, поскольку каждый дополнительный модуль анализа вносит задержки и общая производительность деградирует. Использование SmartNIC позволит снять часть нагрузки с ЦПУ и тем самым повысить показатели в режиме NGFW. Анна Комша, Positive Technologies: Мы хорошо понимаем, насколько суровой может оказаться реальность эксплуатации в сравнении с техническими документами производителей. Поэтому мы проводим тесты PT NGFW в соответствии со стандартом RFC9411, включая одно- временно все сигнатуры IPS, распознавание приложений и логирование всех правил для EMIX-трафика. Именно эти данные попадают в наши материалы. Мы также пуб- ликуем другие важные параметры, например количество одновременных соединений и количество новых соедине- ний в секунду. Игорь Алексеев, А-Реал Консалтинг: Да, баттл- карты от вендоров – полностью бессмысленная информация. Все-таки это инструмент маркетинга, а не непредвзятого анализа. Лучше всего, на мой взгляд, проводить тестирова- ние на своей площадке. Потому что, помимо просто скорости обработки трафика с разнообразными фильтрами, есть еще целый ряд аспектов, связанных с производительностью, которые нужно иметь ввиду. Например, обслуживание VPN- соединений или что более необычное, скажем встроенная система VoIP или скорость генерации отчетов в зависимости от числа пользователей. Алексей Прокопчук, Смарт-Софт: Производитель- ность NGFW зависит от многих факторов, как внешних, так и внутренних. Никакая лаборатория на данный момент не в состоянии в точности воспроизвести реальные условия эксплуатации, поскольку всегда происходит много случай- ностей, которые невозможно предсказать. Потому получить универсальный объективный показатель производительности для того или иного продукта невозможно. Он будет зависеть от условий эксплуатации. Александр Баринов, ГК "Солар": Мы ответственно подходим к измерениям производительности и первыми опубликовали нашу методику тестирования NGFW в откры- том доступе. Тестирования Solar NGFW проводятся в том числе в лаборатории Ростелекома на платформе IXIA, поз- воляющей достаточно точно симулировать различные типы трафика. В ближайшее время мы планируем развивать и дорабатывать нашу методику, в том числе после пилотов с заказчиками и общения с партнерами. Отмечу также, что у нас есть случаи, когда в реальных боевых кейсах про- изводительность Solar NGFW была немного выше заявлен- ной нами официально. Игорь Абрамчук, Инфотактика: Мы уделяем особое внимание задачам оптимизации алгоритмов обработки сете- вого трафика, что позволяет добиться высокой производи- тельности при задействовании всех функциональных воз- можностей. Высокая производительность достигается за счет того, что мы не используем ни стандартный сетевой стек Linux, ни готовые функциональные компоненты (Open Source). Мы разрабатываем собственную архитектуру с функ- циональными модулями NGFW, которая позволяет исключить накладные расходы по взаимодействию между компонентами. При этом не дублируются механизмы детектирования и DPI в различных компонентах и оптимально задействованы меха- низмы сессионной балансировки сетевого трафика на уровнях L4 и L7 как аппаратными, так и программными алгоритмами. Собственная лаборатория позволяет проводить стресс-тести- рование по разрабатываемым методикам с целью оценки ключевых показателей эффективности нашего решения. Комментарии экспертов