Тестирование межсетевых экранов нового поколения: опыт с Solar NGFW

Тестирование межсетевых экранов нового поколения: опыт с Solar NGFW

Тестирование межсетевых экранов нового поколения: опыт с Solar NGFW

Один из основных недостатков отечественных межсетевых экранов нового поколения (NGFW) — недостаточная производительность по сравнению с зарубежными аналогами, которую вендоры порой пытаются скрыть агрессивным маркетингом. Разберёмся, как провести тестирование NGFW перед принятием решения о внедрении.

 

 

 

 

 

  1. Введение
  2. Оборудование для тестирования
  3. Тестирование Solar NGFW в режиме FW+DPI
    1. 3.1. Определение максимального количества новых соединений в секунду
    2. 3.2. Определение количества одновременных соединений в режиме FW+DPI
  4. Нагрузочное тестирование в режиме FW
  5. Нагрузочное тестирование в режиме FW+DPI
  6. Нагрузочное тестирование в режиме FW+DPI+IPS
  7. Выводы

Введение

Выбор NGFW никогда не был лёгкой задачей для организаций. Если до прекращения деятельности западных вендоров в Российской Федерации в 2022 г. затруднения возникали из-за многообразия продуктов на рынке, то в 2023 г. — из-за того, что характеристики продуктов отечественных вендоров не соответствовали заявленным. Таким образом, заказчики зачастую приобретали «чёрный ящик», т. к. сравнение заявленных характеристик не давало возможности как следует оценить тот или иной NGFW.

Согласно результатам опроса, проведённого Anti-Malware.ru, в совокупности до 50 % пользователей недовольны надёжностью и производительностью решений этого класса. Интересно, что буквально год назад эта доля составляла 39 %.

 

Рисунок 1. Опрос о том, что не устраивает пользователей в отечественных NGFW

Опрос о том, что не устраивает пользователей в отечественных NGFW

 

При этом очень трудно провести анализ таких параметров на стадии пилотного проекта, потому что основной акцент там делается на анализе функциональных возможностей продукта, а не его производительности в условиях реальной нагрузки.

Наша редакция изучила разработанную экспертами ГК «Солар» методику тестирования NGFW на производительность и в этой статье делится ею и её результатами на примере Solar NGFW. 

По определению из глоссария Gartner, NGFW — это средство защиты, в котором параллельно работают три механизма: файрвол (FW), система предотвращения вторжений (IPS) и глубокая инспекция пакетов (DPI). Но покупателю не всегда нужны все три сразу, поэтому при тестировании отрабатывались сценарии разных режимов работы, которые чаще всего встречаются в организациях. 

Отметим, что эксперты ГК «Солар» понимают важность производительности устройств при их выборе перед внедрением для защиты сетевого периметра, поэтому первыми опубликовали методику тестирования NGFW в открытом доступе. ГК «Солар» готова инициировать диалог в отрасли о разработке единых стандартов тестирования NGFW для большей прозрачности их характеристик для покупателей.

Среди задач тестирования можно выделить следующие: определение максимальной пропускной способности, оценка длительности работы, выявление оптимальных значений количества новых и одновременных соединений, а также оценка поведения системы при изменении условий.

Оборудование для тестирования

Тестирование Solar NGFW проводилось на аппаратной серверной платформе с ОС Astra Linux 1.7.3.

 

Таблица 1. Аппаратные характеристики серверной платформы

Параметр

Модель

Характеристики

Процессор

Intel Xeon Silver 4210R, 2 шт.

2,4 ГГц, 40 vCPU

Запоминающее устройство

INTEL SSDSC2KG96, 1 шт.

1 ТБ

Оперативная память

DDR4 32GB Micron MTA18ASF4G72PDZ-3G2, 2 шт

DDR4 64 ГБ

Сетевые карты

Intel Ethernet Connection X722, 2 шт.

10 GbE SFP+

 

Для имитации легитимного трафика использовался генератор Ixia Breaking Point на базе аппаратной платформы Ixia PerfectStorm (далее — Ixia).

 

Рисунок 2. Физическая схема сети для нагрузочного тестирования

Физическая схема сети для нагрузочного тестирования

 

Таблица 2. Конфигурация параметров TCP-стека на генераторе трафика

Параметр

Характеристика

Значение

Maximum Segment Size (MSS)

Максимальный размер сегмента

1460

Retry Quantum

Интервал в миллисекундах между повторными попытками отправки

500

Retry Count

Количество попыток отправки до того, как соединение будет признано неудачным и сброшено

5

Initial Receive Window

Размер окна приёма в байтах для нового соединения

5792

TCP Keepalive Timer

Таймер до отправки пакета TCP Keepаlive

0

 

Тестирование Solar NGFW в режиме FW+DPI

Определение максимального количества новых соединений в секунду

Задачей теста было подтверждение соответствия целевому значению количества соединений, которые Solar NGFW может принять на анализ ежесекундно (100 000).

В настройках NGFW были включены функции FW и DPI со следующими характеристиками: 1000 правил FW с анализом приложений, журналирование включено для всех правил.

Для тестирования использовались однонаправленные соединения вида: TCP SYN — SYNACK, TCP ACK, HTTP 1.0 GET (No Compression), TCP FIN, TCP FINACK, TCP ACK.

Методика тестирования заключалась в следующем: была выбрана начальная скорость создания / удаления соединений — 10 000 соединений в секунду (далее — CPS_1). В качестве максимальной скорости (далее — CPS_2) выбрано значение 110 000 с/с. Было запущено тестирование со скоростью создания / удаления соединений CPS_1. В ходе тестирования были разрешены повторные отправки (TCP Retransmit), однако сбросы (TCP Reset) недопустимы. Во время испытания средства мониторинга снимали показатели количества соединений и загруженности ресурсов. Через 100 секунд тест останавливался, фиксировался результат. Проводился анализ статистики:

  • если потерь соединений нет и разница между CPS_2 и CPS_1 меньше или равна 10 000, то тестирование прекращалось и CPS_1 принималось в качестве результата теста;
  • если потерь соединений нет и разница между CPS_2 и CPS_1 больше 10 000, CPS_1 увеличивалось до (CPS_2 + CPS_1)/2 и осуществлялся переход к шагу 1;
  • если обнаружены ошибки при установлении соединений, CPS_2 уменьшалось до (CPS_2 + CPS_1)/2 и осуществлялся переход к шагу 1.

Рисунок 3. Проведение анализа статистики по итогам теста

Проведение анализа статистики по итогам теста

 

В ходе тестирования проводилось три попытки с проверкой стабильности получаемого результата. По итогам тестирования получен результат, указывающий на соответствие характеристик исследуемого NGFW заявленным — создание и удаление соединений на скорости до 100 000 с/с.

 

Рисунок 4. Этапы проведения тестирования

Этапы проведения тестирования

 

Определение количества одновременных соединений в режиме FW+DPI

Задачей теста было подтверждение соответствия заявленному в технических характеристиках Solar NGFW количеству одновременно открытых соединений TCP (1 000 000).

В настройках NGFW были включены функции FW и DPI со следующими характеристиками: 1000 правил FW с анализом приложений, журналирование включено для всех правил.

Для тестирования использовались однонаправленные соединения вида: TCP SYN — SYNACK, TCP ACK, HTTP 1.0 GET (No Compression).

Методика тестирования заключалась в следующем:

  • Запущено тестирование с ограничением максимального количества открытых соединений на уровне целевого и со скоростью создания соединений на уровне 0,4 от значения CPS, определённого ранее. В ходе тестирования были разрешены TCP Retransmit, однако TCP Reset недопустимы. Во время тестирования средства мониторинга снимали показатели количества соединений и загруженности ресурсов.
  • Через 10 минут после достижения целевого количества установленных соединений тест был остановлен, результат зафиксирован.

В ходе тестирования проводилось три попытки с проверкой стабильности получаемого результата. По итогам тестирования получен результат, указывающий на соответствие характеристик исследуемого NGFW заявленным — поддержка до 1 000 000 одновременных открытых соединений.

 

Рисунок 5. Этапы проведения тестирования

Этапы проведения тестирования

 

Нагрузочное тестирование в режиме FW

Задачей теста было подтверждение заявленной пропускной способности Solar NGFW в режиме межсетевого экранирования (20 Гбит/с).

В настройках NGFW были отключены функции DPI и IPS, включено одно правило FW (разрешает всё), также было включено журналирование. Для тестирования использовались соединения HTTP, в каждом из которых передавалось 64 кБ данных в каждом направлении.

Методика тестирования заключалась в следующем:

  • Было запущено тестирование с ограничением полосы пропускания на уровне целевого значения и со скоростью создания соединений на уровне 0,4 от значения CPS, определённого ранее. В ходе тестирования были разрешены TCP Retransmit, однако TCP Reset недопустимы. Во время тестирования средства мониторинга снимали показатели количества соединений и загруженности ресурсов.
  • Через 10 минут после достижения целевого количества установленных соединений тест был остановлен, результат зафиксирован.

В ходе тестирования проводилось три попытки с проверкой стабильности получаемого результата. По итогам тестирования получен результат, указывающий на соответствие характеристик исследуемого NGFW заявленным — обеспечение функции межсетевого экранирования при скорости трафика 20 Гбит/с и потери трафика на уровне не более 0,1 % от общего числа пакетов.

 

Рисунок 6. Этапы проведения тестирования

Этапы проведения тестирования

 

Нагрузочное тестирование в режиме FW+DPI

Задачей теста было подтверждение соответствие целевому значению пропускной способности Solar NGFW в комбинированном режиме FW+DPI (15 Гбит/с).

В настройках NGFW были включены функции FW и DPI, включено 1000 правил FW с анализом приложений, также было включено журналирование для всех правил. Для тестирования использовались соединения HTTP, в каждом из которых передавалось 64 кБ данных в каждом направлении.

Методика тестирования заключалась в следующем:

  • Запущено тестирование с ограничением полосы пропускания на уровне целевого значения и со скоростью создания соединений на уровне 0,4 от значения CPS, определённого ранее. В ходе тестирования разрешены TCP Retransmit, однако TCP Reset недопустимы. Во время тестирования средства мониторинга снимали показатели количества соединений и загруженности ресурсов.
  • Через 10 минут после достижения целевого количества установленных соединений тест был остановлен, результат зафиксирован.

В ходе тестирования проводилось три попытки с проверкой стабильности получаемого результата. По итогам тестирования получен результат, указывающий на соответствие характеристик исследуемого NGFW заявленным — обеспечение функции межсетевого экранирования и DPI при скорости трафика 15 Гбит/с и потери трафика на уровне не более 0,1 % от общего числа пакетов.

 

Рисунок 7. Этапы проведения тестирования

Этапы проведения тестирования

 

Нагрузочное тестирование в режиме FW+DPI+IPS

Задачей теста было подтверждение соответствие целевому значению пропускной способности Solar NGFW в комбинированном режиме FW+DPI+IPS (4 Гбит/с).

В настройках NGFW были включены функции FW, DPI и IPS, включено 10 правил FW с анализом приложений, включён анализ по всем сигнатурам IPS, также было включено журналирование для всех правил. Для тестирования использовались соединения HTTP, в каждом из которых передавалось 64 кБ данных в каждом направлении.

Методика тестирования заключалась в следующем:

  • Запущено тестирование с ограничением полосы пропускания на уровне целевого значения и со скоростью создания соединений на уровне 0,4 от значения CPS, определённого ранее. В ходе тестирования разрешены TCP Retransmit, однако TCP Reset недопустимы. Во время тестирования средства мониторинга снимали показатели количества соединений и загруженности ресурсов.
  • Через 10 минут после достижения целевого количества установленных соединений тест был остановлен, результат зафиксирован.

В ходе тестирования проводилось три попытки с проверкой стабильности получаемого результата. По итогам тестирования получен результат, указывающий на соответствие характеристик исследуемого NGFW заявленным — обеспечение функции межсетевого экранирования, DPI и IPS при скорости трафика 4 Гбит/с и потери трафика на уровне не более 0,1 % от общего числа пакетов.

 

Рисунок 8. Этапы проведения тестирования

Этапы проведения тестирования

 

Выводы

Проведённое с использованием генератора трафика Ixia Breaking Point тестирование продукта Solar NGFW показало соответствие реальных характеристик заявленным: пропускную способность до 20 Гбит/с в режиме FW и до 4 Гбит/с в режиме NGFW (FW+IPS+DPI), стабильную работу во время всех проведённых тестов, доступность интерфейсов управления на протяжении всего процесса с возможностью проводить мониторинг и корректировать параметры в режиме реального времени. Также оно позволило выделить набор характеристик для масштабирования (sizing): количество новых (CPS) и одновременных (CC) соединений при изменении различных параметров Solar NGFW.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru