Журнал "Information Security/ Информационная безопасность" #6, 2024

Не только у вендора, но и у самих заказчиков зача- стую нет понимания того, чем пользователи будут заниматься в сети: куда они будут ходить и какие задей- ствовать ресурсы. Чтобы определить про- изводительность в моменте, нужно учитывать то, чем в этот момент занята систе- ма. Она может обрабаты- вать внутренние логи или сложные правила, которые системный администратор прописал в межсетевом экране. От сложности правил для файрвола во многом зави- сит его текущая производи- тельность. Производитель не может знать, в каких условиях будет исполь- зоваться файрвол, а также, насколько пра- вильно и оптимально построена сеть заказчи- ка. Не только у вендора, но и у самих заказчиков зачастую нет понимания того, чем пользователи будут зани- маться в сети: куда они будут ходить и какие задействовать ресурсы. Почему указать точные значе- ния и гарантировать их дости- жение невозможно? Дело не в конкретном продукте, а в том что производительность любого файрвола от любого вендора определяется множеством внешних условий, в том числе и человеческим фактором. Когда можно и когда нельзя определить производительность Для наглядности приведу очень простой пример про ком- мутатор, не важно какой, управ- ляемый или неуправляемый. В характеристиках любого свит- ча указано, что он может обра- батывать за секунду опреде- ленное число пакетов, – услов- но, 16 млн. До тех пор, пока он получает количество пакетов, не превышающее это значение, устройство работает без задер- жек. Как только прилетит боль- ше – начнется "пробуксовка". В этом случае посчитать про- изводительность коммутатора очень просто: она равна значе- нию, которое указано в харак- теристиках, потому что никаких других факторов, кроме физи- ческих, относящихся ко внеш- ней среде, то есть количества пришедших пакетов, которые могут повлиять на процесс пере- дачи данных, не существует. Зная объемы трафика, можно легко предсказать работоспо- собность коммутатора. Для другого сетевого устрой- ства, маршрутизатора, такой прогноз сделать уже невозмож- но, потому что в этом случае количество вводных уже гораз- до больше. Неважно, какую именно маршрутизатор исполь- зует операционную систему (Linux, FreeBSD или любую дру- гую). Для того, чтобы опреде- лить производительность в моменте, нужно учитывать то, чем в этот момент занята систе- ма. Она может обрабатывать внутренние логи или сложные правила, которые системный администратор прописал в меж- сетевом экране. Все дело в условиях работы От сложности правил для файрвола во многом зависит его текущая производитель- ность. Любой пакет, который в него приходит, должен пройти обработку правилами (теми самыми "да-нет"). Если пред- ставить себе этот набор правил в виде таблицы, то станет понят- на сложность алгоритма. Если пакет удовлетворяет самому первому требованию, то он сразу же "выйдет" из таблицы и будет отправлен дальше. Если нет, то велика вероятность, что он будет проверяться на соот- ветствие правилам, которые в таблице указаны дальше. Таких правил может быть несколько десятков, сотен, а иногда даже тысяч – все зависит от фанта- зии системного администрато- ра. Значительное количество пакетов, которые задерживают- ся в большом наборе правил, вызовет снижение производи- тельности. Иными словами, на произво- дительность оказывают непо- средственное влияние многие факторы. Например, может вме- шаться ошибка администратора, который составил неоптималь- ные правила работы файрвола. Могут повлиять и специфиче- ские условия, например то, чем занимается пользователь, кото- рый находится в локальной сети. В периметре может находиться машина, зараженная вирусом и отправляющая множество мелких пакетов кому попало. Антивирус тоже негативно влияет на производительность маршрутизатора, поэтому высчитать твердое значение, которое характеризует про- изводительность, невозможно. Почему замеры скорости некорректны Часто быстродействие файр- вола определяют при помощи замера скорости скачивания дан- ных из сети. Но такой способ некорректен по отношению к файрволу. В этом случае на самом деле измеряется не ско- рость скачивания, а скорость обмена данными, то есть соче- тание скорости самой сети и ско- рости подключения к внешнему серверу. Это идеальные условия (сетевая карта со скоростью 100 Мбит/с обеспечит в таких условиях те самые 100 Мбит/с). Но в сети постоянно ведется обмен пакетами, и чем больше в сети пользователей, серверов, сервисов, тем большее количе- ство пакетов они друг другу пересылают. Все они забирают себе часть производительности и определенную скорость. Поэтому реальную скорость скачивания в такой инфраструк- туре обычный замер показать не сможет. И даже специальный софт, который включается для замера при высокой нагрузке, нагрузит сеть еще больше, и она неминуемо начнет тормо- зить. 22 • СПЕЦПРОЕКТ Почему так сложно определить производительность NGFW? дин из самых распространенных вопросов, связанных с покупкой, внедрением и эксплуатацией Traffic Inspector Next Generation (TING), – о производительности межсетевого экрана. Заказчики часто просят нас указать точные показатели, но это невозможно, и вот почему. О Алексей Прокопчук, руководитель группы разработки NGFW Traffic Inspector Next Generation, вендор “Смарт-Софт” Фото: СмартСофт