Результаты тестирования нового NGFW для задач уровня ЦОД

Логотип компании
Результаты тестирования нового NGFW для задач уровня ЦОД
изображение создано нейросетью
В ноябре 2024 года компания UserGate анонсировала новый NGFW для крупных компаний и операторов дата-центров — UserGate Data Center Firewall (UserGate DCFW). Одна из его главных отличительных черт по сравнению с классическим UserGate NGFW — применение собственной технологии векторного файрвола, позволяющей обрабатывать до 130 тыс. правил межсетевого экрана.

Если говорить про «железную» составляющую, то UserGate DCFW может использовать как наши традиционные старшие аппаратные платформы F8000 форм-фактора 2U, которые обычно используются для защиты ЦОД и штаб-квартир, так и платформы нового поколения — E1010, E3010, F8010 и FG. Все перечисленные платформы находятся в двух реестрах Минпромторга: ПП 719 (реестр российской продукции) и ПП 878 (реестр российской радиоэлектронной продукции).

Далее я расскажу, как проводились тесты во время официально анонса продукта. Но сначала о том, как мы проводим тестирование для заказчиков. Когда к нам обращаются с просьбой провести нагрузочное тестирование, первым делом мы согласуем параметры теста: оборудование, конфигурацию и дополнительные условия (если такие имеются). В этом плане мы опираемся на базовые настройки конфигурации, которые предоставляет заказчик, и на профиль трафика.

Количество соединений в секунду (CPS) и правил межсетевого экрана, а также набор сетевых протоколов в трафике зависят от профиля заказчика. Например, у банков обычно выше требования к количеству одновременных соединений, CPS и правил межсетевого экрана. В целом выбор тестов зависит только от желания заказчика и возможности их технической реализации: в каждом конкретном случае заказчик знает, что ему необходимо, и тестирует решения в соответствии с требуемыми параметрами.

По нашей статистике, 90% всех тестирований происходят в режиме онлайн, 10% — в офлайн-формате в одном из наших офисов. По времени согласование всех параметров занимает от одного дня до нескольких недель. Само тестирование обычно длится 1,5–2 часа. В редких случаях, когда нужно реализовать серьезное ПМИ от крупного заказчика — до 4–5 часов.

Теперь про сам тестовый стенд. Мы применяем два генератора трафика: Spirent Cyberflood и Keysight BreakingPoint (бывшая Ixia), которые используют ведущие мировые вендоры сетевого оборудования. Это выгодно отличает нас от многих российских разработчиков NGFW, вынужденных использовать бесплатные генераторы трафика Trex или «Яндекс.Танк». Клиентская часть генератора применяет свой набор подсетей для генерации трафика и передает его серверной части. Оба компонента имеют интерфейсы, подключенные к коммутатору. Он, в свою очередь, соединен с тестируемым устройством.

Для генератора Spirent Cyberflood мы применяем встроенный профиль EMIX, для Keysight BreakingPoint — наш собственный профиль EMIX. Байты в конце — это полезная нагрузка для каждого протокола в отдельности.

Результаты тестирования нового NGFW для задач уровня ЦОД. Рис. 1

Параметры EMIX в настройках интерфейса генератора трафика Keysight BreakingPoint

Далее я приведу тесты новой флагманской аппаратной платформы UserGate F8010 в форм-факторе 2U, которая выйдет на рынок в начале второго квартала 2025 года. В ней используется два процессора AMD EPYC с 48 ядрами каждый и 256 ГБбайт RAM DDR4. Для сравнения: ее предшественница F8000 оперирует двумя Intel Xeon E5-2697V4 по 18 ядер и 128 Гбайт RAM DDR4. По умолчанию включена технология виртуального разделения физических ядер процессора на два, то есть используется 192 виртуальных потока.

Результаты тестирования нового NGFW для задач уровня ЦОД. Рис. 2

В стандартной поставке платформы F8010 доступно 8 интерфейсов RJ45 1 GbE и 4 оптических интерфейса SPF+ 10 GbE, а также 6 слотов для дополнительных сетевых карт (NIC), вплоть до QSFP28 на 100 GbE. Проведем четыре теста, используя 131 000 односложных правил файрвола (позднее мы решили зарезервировать 1000 правил под служебные задачи): 1 src сеть с маской 24 бит, 1 dst сеть с маской 24 бит, 1 сервис. Каждое правило было уникальным. Они были похожи только тем, что под них не попадал трафик генератора. Кроме последнего, 131 000-го по счету правила, у которого была настройка allow all.

CPS-тест, HTTP, 1 Байт (BreakingPoint)

Этот тест позволяет оценить максимально возможное количество соединений в секунду. Под соединением будем понимать процесс трехэтапного согласования TCP (SYN, SYN-ACK и ACK), за которым следуют запросы HTTP GET и HTTP Response с последующим закрытием TCP-подключения. Результат — 78 000 CPS при 131 000 правил межсетевого экрана.

EMIX-тест (Cyberflood)

Второй нагрузочный тест показывает максимальную пропускную способность устройства при трафике EMIX. Используется стандартный профиль EMIX от Cyberflood, o котором я говорил ранее. Полученный результат — 40 Гбит/с FW L3/L4 при 131 000 правил межсетевого экрана.

Почему компании возвращаются к людям в клиентском сервисе?
Сможет ли ЕС построить общеевропейский платежный проект?
Как создать ИИ-ассистента, который работает за вас

EMIX-тест + СОВ (Cyberflood)

Третий тест аналогичен второму, но с другим профилем, так как подключена IPS. Включено 4300 сигнатур 3–5-го уровня угроз. Результат — 20 Гбит/с при 131 000 правил межсетевого экрана.

Как видно из приведенных тестов, даже на этапе разработки UserGate DCFW показывает выдающиеся результаты производительности при огромных нагрузках. Мы планируем значительно улучшить параметры производительности к официальному релизу продукта во втором квартале 2025 года, а также поддержать аппаратные платформы со встроенным ускорителем обработки трафика на базе FPGA.

Читайте также
Как машинное обучение меняет ландшафт борьбы с мошенничеством в рекламной сфере
Почти половина интернет-трафика — не от людей. Разбираем, как машинное обучение ловит фродеров, пока они не сожгли весь рекламный бюджет.

Журнал IT Manager

Опубликовано 25.03.2025

Об авторах
Кирилл Прямов
Кирилл Прямов
Менеджер по развитию NGFW в UserGate
Информационная безопасностьСетевое оборудование
Похожие статьи
Как машинное обучение меняет ландшафт борьбы с мошенничеством в рекламной сфере
Как машинное обучение меняет ландшафт борьбы с мошенничеством в рекламной сфере
Почти половина интернет-трафика — не от людей. Разбираем, как машинное обучение ловит фродеров, пока они не сожгли весь рекламный бюджет.
Дмитрий Емельянов06.05.25
Закон диктует защиту: компании массово внедряют DLP-системы
Закон диктует защиту: компании массово внедряют DLP-системы
В ближайшие годы российские компании значительно увеличат расходы на кибербезопасность на фоне ужесточения законодательства о защите персональных данных. Новый закон о крупных штрафах за утечки уже вызвал рост интереса к DLP-системам, особенно среди среднего и крупного бизнеса. Эксперты предупреждают: спрос на защиту данных сохранится высоким как минимум два года.
05.05.25
NGFW: останется только один. Недостатки и дружественные решения
NGFW: останется только один. Недостатки и дружественные решения
В условиях глобальных изменений на рынке информационной безопасности и активного процесса импортозамещения российские межсетевые экраны нового поколения (NGFW) становятся ключевым элементом защиты корпоративных сетей. Однако переход с зарубежных решений на отечественные сопровождается рядом вызовов: от недостаточной функциональности и производительности до сложностей администрирования и неполной документации.
Евгений Курышев04.05.25
Оборотные штрафы и реальные угрозы. Что ждет операторов персональных данных в 2025 году
Оборотные штрафы и реальные угрозы. Что ждет операторов персональных данных в 2025 году
Почему компании до сих пор игнорируют требования закона о персональных данных, несмотря на растущие штрафы. Главный вопрос: кто ответит за утечки — ИБ-специалисты, юристы или топ-менеджеры? Формального соблюдения закона теперь недостаточно — регулятор усиливает контроль и ужесточает меры воздействия. Подробнее — в материале IT-World.
Ольга Попова29.04.25
Загрузить ещё1 2 3 4 5 »» Следующая →