NGFW изнутри. Вся правда от ведущего эксперта. Часть 3

SecLab

6 Jun 202412:32

Summary

TLDRДенис Баранков, руководитель направления безопасности в POS Technologies, делится своими 30-летними знаниями о влиянии трафика на производительность межсетевых экранов нового поколения. Он объясняет важность анализа транзакций на уровне L7, а не только фреймов или пакетов, и как различные размеры транзакций влияют на производительность устройств. Также обсуждается значение одновременных сессий и предоставляются рекомендации по выбору межсетевого экрана, основываясь на реальных требованиях сети и миксах протоколов.

Takeaways

😀 Дениc Баранков, руководитель направления безопасности в POS Technologies, делится своими знаниями об информационной безопасности.
🔒 Обсуждается, как трафик влияет на производительность межсетевых экранов нового поколения, с акцентом на различии между уровнями L3 и L4 амортизаторов и L7.
📈 Уровни L3 и L4 имеют определенные параметры, такие как Frame per Second или Packet per Second, но они не всегда отражают реальную скорость работы устройств.
🚀 Уровень L7 анализирует транзакции, что более точно отражает, как приложения взаимодействуют друг с другом, например, через HTTP-запросы.
📊 Различные производители могут измерять производительность на разных размерах транзакций, что может привести к значительным различиям в показателях.
📚 Примеры с дата-шитами (dat sheet) различных компаний, таких как Fortinet, Palo Alto Networks и Cisco, демонстрируют различия в измерениях производительности.
🧐 Важно учитывать, что производительность устройств может варьироваться в зависимости от микса протоколов и размера транзакций, использованных в тестах.
📝 NSS Labs ежегодно проводит тесты производительности устройств безопасности, меняя размер транзакций для точного измерения.
🔎 Рекомендуется использовать HTTP 64 КБ как основу для оценки трафика в сети, так как это наиболее точно отражает типичный трафик.
🔗 Количество одновременных сессий (concurrent connections) является ключевым параметром при выборе межсетевого экрана нового поколения.
🔑 Для оценки количества одновременных сессий предполагается, что каждый хост генерирует в среднем 100 одновременных сессий.

Q & A

Что означает аббревиатура L3 и L4 в контексте безопасности сети?
-L3 и L4 относятся к уровням инспекции трафика в межсетевых экранах. Уровень L3 (Network Layer) анализирует данные на третьем уровне модели OSI, включая IP-адреса и порты TCP/UDP. Уровень L4 (Transport Layer) анализирует дополнительно протоколы транспортного уровня, такие как TCP и UDP.
Какой параметр определяет производительность межсетевого экрана на уровне L7?
-На уровне L7 производительность определяется параметром 'транзакций в секунду' (transaction per second), который измеряет количество транзакций, обрабатываемых в секунду, включая размеры транзакций и протоколы приложений.
Почему значения производительности на уровне L7 могут отличаться от значений на уровнях L3 и L4?
-Значения производительности на уровне L7 могут отличаться, потому что L7 включает в себя анализ приложений и транзакций, что требует больше ресурсов для обработки, в отличие от L3 и L4, где анализ ограничен только сетевыми и транспортными уровнями.
Что такое 'даташит' и как он используется для измерения производительности?
-Даташит (datasheet) - это техническая документация, предоставляемая производителем, которая содержит информацию о характеристиках и возможностях продукта. В контексте безопасности, даташиты используются для измерения и сравнения производительности устройств, таких как межсетевые экраны.
Какое значение имеет размер транзакции при измерении производительности HTTP протокола?
-Размер транзакции определяет количество данных, обрабатываемых в ходе одной HTTP-транзакции, включая заголовки и тело запроса/ответа. Он влияет на производительность, так как большие транзакции требуют большего объема обработки и анализа.
Какое соответствие между размером транзакции и производительностью устройств Cisco?
-В примере из скрипта упоминалось, что Cisco измеряет производительность на размере транзакции 250 КБ, что приводит к тому, что производительность устройства может показаться в четыре раза выше, чем на самом деле, если сравнивать с другими методами измерения.
Что такое NSS Labs и как они связаны с тестированием производительности?
-NSS Labs - это независимая компания, специализирующаяся на тестировании и анализе продуктов безопасности. Они проводят ежегодные тесты производительности устройств, включая межсетевые экраны, и измеряют их способность обработки трафика с различными характеристиками.
Какое значение имеет микс протоколов при измерении производительности межсетевого экрана?
-Микс протоколов влияет на производительность, так как каждый протокол может требовать разных ресурсов для анализа и обработки. Устройства могут показывать различную производительность в зависимости от того, какие протоколы включены в их тестовом наборе.
Что такое одновременные сессии (concurrent connections) и почему они важны при выборе межсетевого экрана?
-Одновременные сессии - это количество активных соединений, которые может обработать межсетевой экран в одно и то же время. Это важный параметр при выборе устройства, так как он определяет его способность обслуживать запросы пользователей и обеспечивать стабильную работу сети.
Какое количество одновременных сессий генерирует в среднем каждый хост в сети?
-Согласно скрипту, можно предположить, что в среднем каждый хост генерирует около 100 одновременных сессий, что должно быть учтено при выборе межсетевого экрана.
Что такое SSL и как он влияет на количество одновременных сессий?
-SSL (Secure Sockets Layer) - это протокол для защиты передачи данных в сети, который использует шифрование. Он может уменьшить количество одновременных сессий, так как требует дополнительных ресурсов для обеспечения безопасности.