NGFW изнутри. Вся правда от ведущего эксперта. Часть 3
Summary
TLDRДенис Баранков, руководитель направления безопасности в POS Technologies, делится своими 30-летними знаниями о влиянии трафика на производительность межсетевых экранов нового поколения. Он объясняет важность анализа транзакций на уровне L7, а не только фреймов или пакетов, и как различные размеры транзакций влияют на производительность устройств. Также обсуждается значение одновременных сессий и предоставляются рекомендации по выбору межсетевого экрана, основываясь на реальных требованиях сети и миксах протоколов.
Takeaways
- 😀 Дениc Баранков, руководитель направления безопасности в POS Technologies, делится своими знаниями об информационной безопасности.
- 🔒 Обсуждается, как трафик влияет на производительность межсетевых экранов нового поколения, с акцентом на различии между уровнями L3 и L4 амортизаторов и L7.
- 📈 Уровни L3 и L4 имеют определенные параметры, такие как Frame per Second или Packet per Second, но они не всегда отражают реальную скорость работы устройств.
- 🚀 Уровень L7 анализирует транзакции, что более точно отражает, как приложения взаимодействуют друг с другом, например, через HTTP-запросы.
- 📊 Различные производители могут измерять производительность на разных размерах транзакций, что может привести к значительным различиям в показателях.
- 📚 Примеры с дата-шитами (dat sheet) различных компаний, таких как Fortinet, Palo Alto Networks и Cisco, демонстрируют различия в измерениях производительности.
- 🧐 Важно учитывать, что производительность устройств может варьироваться в зависимости от микса протоколов и размера транзакций, использованных в тестах.
- 📝 NSS Labs ежегодно проводит тесты производительности устройств безопасности, меняя размер транзакций для точного измерения.
- 🔎 Рекомендуется использовать HTTP 64 КБ как основу для оценки трафика в сети, так как это наиболее точно отражает типичный трафик.
- 🔗 Количество одновременных сессий (concurrent connections) является ключевым параметром при выборе межсетевого экрана нового поколения.
- 🔑 Для оценки количества одновременных сессий предполагается, что каждый хост генерирует в среднем 100 одновременных сессий.
Q & A
Что означает аббревиатура L3 и L4 в контексте безопасности сети?
-L3 и L4 относятся к уровням инспекции трафика в межсетевых экранах. Уровень L3 (Network Layer) анализирует данные на третьем уровне модели OSI, включая IP-адреса и порты TCP/UDP. Уровень L4 (Transport Layer) анализирует дополнительно протоколы транспортного уровня, такие как TCP и UDP.
Какой параметр определяет производительность межсетевого экрана на уровне L7?
-На уровне L7 производительность определяется параметром 'транзакций в секунду' (transaction per second), который измеряет количество транзакций, обрабатываемых в секунду, включая размеры транзакций и протоколы приложений.
Почему значения производительности на уровне L7 могут отличаться от значений на уровнях L3 и L4?
-Значения производительности на уровне L7 могут отличаться, потому что L7 включает в себя анализ приложений и транзакций, что требует больше ресурсов для обработки, в отличие от L3 и L4, где анализ ограничен только сетевыми и транспортными уровнями.
Что такое 'даташит' и как он используется для измерения производительности?
-Даташит (datasheet) - это техническая документация, предоставляемая производителем, которая содержит информацию о характеристиках и возможностях продукта. В контексте безопасности, даташиты используются для измерения и сравнения производительности устройств, таких как межсетевые экраны.
Какое значение имеет размер транзакции при измерении производительности HTTP протокола?
-Размер транзакции определяет количество данных, обрабатываемых в ходе одной HTTP-транзакции, включая заголовки и тело запроса/ответа. Он влияет на производительность, так как большие транзакции требуют большего объема обработки и анализа.
Какое соответствие между размером транзакции и производительностью устройств Cisco?
-В примере из скрипта упоминалось, что Cisco измеряет производительность на размере транзакции 250 КБ, что приводит к тому, что производительность устройства может показаться в четыре раза выше, чем на самом деле, если сравнивать с другими методами измерения.
Что такое NSS Labs и как они связаны с тестированием производительности?
-NSS Labs - это независимая компания, специализирующаяся на тестировании и анализе продуктов безопасности. Они проводят ежегодные тесты производительности устройств, включая межсетевые экраны, и измеряют их способность обработки трафика с различными характеристиками.
Какое значение имеет микс протоколов при измерении производительности межсетевого экрана?
-Микс протоколов влияет на производительность, так как каждый протокол может требовать разных ресурсов для анализа и обработки. Устройства могут показывать различную производительность в зависимости от того, какие протоколы включены в их тестовом наборе.
Что такое одновременные сессии (concurrent connections) и почему они важны при выборе межсетевого экрана?
-Одновременные сессии - это количество активных соединений, которые может обработать межсетевой экран в одно и то же время. Это важный параметр при выборе устройства, так как он определяет его способность обслуживать запросы пользователей и обеспечивать стабильную работу сети.
Какое количество одновременных сессий генерирует в среднем каждый хост в сети?
-Согласно скрипту, можно предположить, что в среднем каждый хост генерирует около 100 одновременных сессий, что должно быть учтено при выборе межсетевого экрана.
Что такое SSL и как он влияет на количество одновременных сессий?
-SSL (Secure Sockets Layer) - это протокол для защиты передачи данных в сети, который использует шифрование. Он может уменьшить количество одновременных сессий, так как требует дополнительных ресурсов для обеспечения безопасности.
Outlines
😀 Информационная безопасность и производительность сетевых экранов
Денис Баранков, руководитель направления безопасности компании POS Technologies, делится своими знаниями о влиянии трафика на производительность сетевых экранов нового поколения. Он объясняет разницу между уровнями L3 и L4 амортизаторов, а также важность анализа транзакций на уровне L7. Денис подчёркивает, что нереальные скорости, указанные в даташитах, могут существенно отличаться от реальных, что подтверждается тестами компании NSS Labs, где производительность сетевых экранов с разным размером транзакций оказывается сильно разной.
😉 ИмпортANCE транзакций и микса протоколов в сетевых экранах
Второй параграф подчёркивает, что размер транзакции и микс протоколов играют ключевую роль в производительности сетевых экранов. Денис Баранков уточняет, что HTTP-трафик, который наиболее часто встречается в сетях, отражает только часть всей картины. Он также указывает на то, что разные поставщики могут использовать разные миксы протоколов для тестирования своих устройств, что влияет на их производительность. Примеры с даташитами Check Point и Fortinet демонстрируют, как изменение набора приложений в миксе может существенно изменить производительность сетевого экрана.
😌 Выбор сетевого экрана: важные параметры и их оценка
В заключительном параграфе Денис Баранков рассматривает три ключевых параметра при выборе нового поколения сетевых экранов: число новых соединений, количество одновременных соединений (concurrent connections) и пропускная способность (сру). Он подчёркивает важность понимания этих параметров и их корректной оценки, отметив, что разница в производительности между разными уровнями амортизаторов может быть существенной. Денис также дает рекомендации по определению числа одновременных соединений для выбора подходящего сетевого экрана и делится своими взглядами на возможные подвохи в даташитах.
Mindmap
Keywords
💡Информационная безопасность
💡Производительность
💡Трафик
💡Транзакции
💡L3 и L4
💡L7
💡Дат-шиты
💡Пропускная способность
💡Одновременные сессии
💡Тесты производительности
Highlights
Денис Баранков, руководитель направления безопасности в POS Technologies, обсуждает влияние трафика на производительность межсетевых экранов нового поколения.
Обсуждение L3 и L4 уровней амортизаторов и их нормальных параметров, указанных в даташитах.
Уровень L7 требует анализа транзакций для понимания эффективности работы межсетевого экрана.
Различие в измерении производительности на основе размера транзакции HTTP в разных даташитах.
Влияние выбора размера транзакции на производительность устройств от различных производителей.
Тесты компании NSS Labs, демонстрирующие разницу в производительности при изменении размера транзакции.
Рекомендация для выбора межсетевого экрана с учетом размера транзакции HTTP 64 КБ для более точного отражения сетевого трафика.
Важность учета микса протоколов при выборе межсетевого экрана и анализе производительности.
Различие в производительности устройств с одинаковой скоростью измерения из-за различий в размере транзакций.
Влияние набора приложений (Application Mix) на производительность межсетевого экрана и его тестирование.
Изменение скорости межсетевого экрана Checkpoint в зависимости от набора приложений и транзакций.
Примеры тестирования производительности Palo Alto Networks и Fortinet с различными Application Mix.
Важность измерения производительности на основе размера транзакции для точного определения эффективности межсетевого экрана.
Параметр одновременных сессий (concurrent connections) как ключевой фактор при выборе межсетевого экрана.
Различие в количестве одновременных сессий для L4 и L7 уровней безопасности в даташитах.
Влияние анализа приложений и безопасности на количество одновременных сессий, отмеченное в даташитах.
Использование примера устройства cisco ACE для иллюстрации разницы в одновременных сессиях для TCP, HTTP и SSL.
Подводя итог, Баранков подчёркивает значимость размера транзакции, одновременных сессий и пропускной способности при выборе межсетевого экрана.
Transcripts
[музыка]
Здравствуйте я Денис баранков
руководитель направления сво
безопасности компании POS technolog
более 30 лет Я занимаюсь информационной
безопасностью и делюсь с вами знаниями
Сегодня я хочу поговорить о том как сам
трафик влияет на производительность мего
экрана нового поколения Мы с вами уже
говорили что вообще L3 и L4 уровни для
свечей амортизаторов есть нормальные
параметры которые мы с вами
рассматриваем и они тоже указаны в dat
sheet каждого Next Generation фала Но
это уровень именно когда мы работаем с
фреймами и с пакетами и эти параметры
записываются либо на udp трафике либо
пишется Frame per Second либо Packet per
Second так вот эти параметры на самом
деле не реальная скорость на Generation
Фае а параметры когда всё выключено то
есть нет анализа приложений нет работы
аэса ну скажите Какой антивирус в udp
трафике что-то будет искать Нет конечно
так вот когда мы переходим на уровень L7
нам нужно говорить о транзакциях Почему
Потому что на самом деле приложения
общаются друг с другом при помощи
транзакций приведу пример допустим у нас
есть клиент то есть браузер и веб-сервер
мы отправляем туда запрос Get и в ответ
получаем HTML страницу так вот размер
этой страниц обычно называется
транзакция И на самом деле на уровне L7
мы говорим о размере транзакции то есть
transaction per
Second так вот когда вы смотрите Дат
выясняется что для протокола http разные
поставщики измеряют вообще-то свой спут
на разном размере транзакции приведу
пример смотрите если Вы посмотрите dat
sheit Fora или Power networks там будет
размер http 64 КБ и производительность
измерена на
http Если Вы посмотрите dat sheit
компании Cisco то у них на самом деле
два и один из них называется
124b не буду вдаваться в подробности но
они просто зачем-то суммируют все пакеты
которые идут во время транзакции делят
чество пакетов и получается 1024 байта а
на самом деле размер ции у них 250 КБ
так вот если одно устройство измерить на
http и на транзакции 64 КБ и это же
устройство измерить на http с размером
транзакции 256 или 250 КБ как думаете
разная будет производительность конечно
она так и будет отличаться в четыре раза
то есть что достигает компания циска
когда она даёт такую информацию она на
самом деле ускоряет своё устройство
пошту в четыре раза то это говорит что
если здесь 10 Гбит то здесь 10 Гбит на
самом деле устройство в четыре раза
слабее внимание Казалось бы одно
устройство даёт 10 Гигабит другое даёт
10 Гигабит а на самом деле Вот это
устройство оно в четыре раза меньше по
производительности То есть если в него у
падать вот эти транзакции оно даст 2,5
гиби вот и всё на самом деле Чтобы Вот
это обосновать нужно провести тесты
Обычно люди когда слышат это впервые им
кажется что это какая-то Космическая
технология А давайте посмотрим на тесты
компании nss labs Итак компания nss labs
ежегодно проводит тесты Она приглашает
поставщиков фв и измеряет их
производительность что она сделала Она
подала два раза разный трафик он
отличался только размером транзакции это
были http запросы сначала были запросы
длиной 44
[музыка]
КБ и все устройства Ну практически все
показали производительность 10 Гбит в
секунду а затем они подали трафик где
http и размер транзакции был 1,7
[музыка]
КБ И как вы думаете Какая стала скорость
1 Гигабит в
секунду То есть поставщики у которых Дат
написано 10 Гигабит в секунду вдруг
стали выдавать производительность точнее
срут 1 Гигабит в секунду Как вы думаете
Когда вы приходите навстречу вам продают
устройство как десяти гигабитная или
гигабитная так вот моя рекомендация и
мой опыт говорит о том что лучше всего
для того чтобы посчитать Какое
устройство нужно вам сеть брать
http
64кб это больше всего отражает тот
трафик который есть в сети но это ещё не
всё Казалось бы ведь только http Нету ни
у какого вообще заказчика ни у кого нет
такого в сети у вас на самом деле микс
протоколов у вас будет ssl у вас будет
SNB и так далее у всех будет разный так
вот у разных поставщиков на самом деле
ещё и разные миксы протоколов и они на
них тестируют то есть есть специальный
набор протоколов который подаёт КПО
специальный набор про подают т пальта
циска и так далее на самом деле он
просто
нарезанная производительность и здесь
важный вопрос который нужно тоже задать
поставщику А какой здесь был размер
транзакции и это тоже важно то есть
например если посмотреть Application Мик
чекпоинта то он указывает Ну допустим 64
КБ ssl Ну допустим 2 6
КБ и так далее для всех протоколов если
посмотреть Application Mix
опубликованный фонет там нет размера
транзакций так же как и нет размера
транзакций для СС в общем везде свои
тонкости приведу интересные примеры в
2008 году компания checkpoint
публиковала дата sheit модели своей
15600 и он был равен такой замечательной
скорости как 5 2
габита в 2010 году модель
15600 показала скорость 10
Гигабит Что изменилось А вот как раз
изменился набор приложений в Application
Mix стоило его только чекпоинту поменять
как сразу их устройства стали в два раза
быстрее есть ещё один замечательный
пример если взять Application Mix от
fortinet и запустить его на компанию Pal
alta networks Я лично проводил эти тесты
выяснял что Pal alta networks
становилось в два раза быстрее потому
что их Application Mix реально был
сложнее для анализа вот и всё в итоге мы
с вами разобрались что если измерять
производительность межевого экрана в
фрейма в секунду или в пакетах в секунду
ну это всё равно что измерять съеденную
еду в молекулах Я съел на ужин 10 млрд
молекул потрясающе а была ли это вода
или Был ли это
стейк разве нам не важно Так вот меж
всех экранах нового поколения важен
размер транзакции и протокол http или
FTP или какой-то другой И это всё влияет
на движок анализа и на
производительность пошли
дальше т параметр при выборе меж всего
экрана нового поколения - это число
одновременных сессий которые
по-английски называется concurrent
connections Вы можете легко это
посчитать Для этого вам надо
предположить а сколько каждый человек
генерирует одновременных соединений
которые будут идти через Межевой экран А
давайте посмотрим как это выглядит
по сути через шивой экран идут
подключения к каким-то
серверам и ответы от этих
серверов и по сути каждый человек
генерирует какое-то число запросов и
ответов каждое устройство в сети
генерирует какое-то количество устройств
и ответов соответственно подключение
каждое в одну сторону внутри меж всего
экрана обычно
называется по Су говорим о сессиях и
сессия - это два потока в одну сторону и
в другую то есть вот это всё
сессия соответственно нам нужно знать
сколько одновременных сессий должно
держать наше устройства которые мы
покупаем но я обычно исхожу из параметра
100 то есть каждое устройство генерирует
в среднем 100 одновременных сессий то
есть оно создаёт сессию Затем идёт
ответ Потом оно ещё ещё раз создаёт
сессию потом идёт
ответ какие-то сессии могут кончаться Ну
в общем одновременно где-то число 100
достаточно простой параметр И здесь тоже
важно заметить что на самом деле когда
вы смотрите в dat sheit то пишут число
сессий для L4 когда выключена вся
безопасность и для L7 когда включено
анализ приложений IPS антивирус и так
далее Если Вы посмотрите в любой Дат
неважно какого поставщика вы обнаружите
что разница где-то 100 раз итак у вас
есть корен Connection для L4 для
tcp и есть корен Connection Ну допустим
для
http Ну и допустим есть ssl Connection
для ssl или
tls как вообще отличаются эти числа на
самом деле серьёзно tcp Connection
обычно в 10 раз больше чем например http
concurrent Connection И тем более больше
чем ssl concurrent Connection Почему
Потому что для того чтобы анализировать
tcp нам нужно анализировать только
заголовки это 40 байт А для того чтобы
анализировать http нам вообще-то нужно
анализировать полностью контент а там
HTML там JavaScript и там вообще может
быть всё что угодно Ну например вирус
чтобы проверить моё утверждение Вы
можете посмотреть в любой dat sheet и
есть такое интересное устройство оно в
принципе больше не выпускается но у него
как раз есть все эти три параметры оно
называется cis
Ace Посмотрите там эти три параметры и
вы поймёте насколько сильно они
отличаются Итак я рассказал про
concurrent connections число
одновременных соединений которое должно
идти через ваш межсетевой экран в
среднем Я считаю что каждый хост
генерирует 100 одновременных соединений
одновременно соответственно Если вы
смотрите на свой мечевой экран то вы
будете видеть там несколько параметров
конкурент connection в режиме только tcp
в режиме детекта приложений в режиме S
protection или prevention Ну и Если у
вас есть SS шифрование то тоже там будет
concurrent connections и это будет самое
маленькое значение друзья я вам
рассказал про три важных параметрах
которые нужно смотреть когда вы
покупаете меть экран нового поколения
число новых соединений конкурент
connections или число одновременных
соединений и конечно же пропускная
способность или сру также я рассказал
как правильно это оценивать куда
смотреть и какие вообще могут быть
подвохи если вам интересно про другие
параметры например про задержки или
gitter или ещё какие-то параметры
которые есть тоже у шеевых экранов
нового поколения Пишите в комментариях
Подписывайтесь и вы услышите новые
подборки по этой теме С вами был Денис
транков руководитель направления сетевой
безопасности компании POS Technologies
До новых
встреч I
Browse More Related Video
![](https://i.ytimg.com/vi/gRkS52By7oU/hq720.jpg)
всем, кто чувствует себя одиноким
![](https://i.ytimg.com/vi/MB-an9gFAZQ/hq720.jpg)
Самый эффективный метод чтобы снизить пульс при интенсивной тренировке и увеличить МПК (VO2max)
![](https://i.ytimg.com/vi/CDvZx8hip8w/hq720.jpg)
НАСТРОЙ АВТОРЕКЛАМУ ПО ПРАВИЛЬНЫМ КЛЮЧАМ / Как НАСТРОИТЬ РЕКЛАМУ на Wildberries
![](https://i.ytimg.com/vi/xM8NAFbmoE4/hqdefault.jpg?sqp=-oaymwEXCJADEOABSFryq4qpAwkIARUAAIhCGAE=&rs=AOn4CLBhA3KYCuIVIKFWhns6PnS4G-aqiA)
Dongle Dual DACs Dual OP-amps | Review dan Impresi Fiio KA13 VS Fiio Q11, Acmee 4S, SXFI Indonesia
![](https://i.ytimg.com/vi/1HTQxw5ui1Q/hq720.jpg?sqp=-oaymwEmCIAKENAF8quKqQMa8AEB-AH-CYAC0AWKAgwIABABGEUgTihlMA8=&rs=AOn4CLCPOH9Vzw1XZhAum7dU0Mn7rHVArQ)
S&D Zone Creation Theory
![](https://i.ytimg.com/vi/KzolAjHuHNY/hqdefault.jpg?sqp=-oaymwEXCJADEOABSFryq4qpAwkIARUAAIhCGAE=&rs=AOn4CLA_i0e1HQaThq1I_wzfnVIic2QJYw)
Старт в программировании за 15 секунд. Как и с чего начать свой путь
5.0 / 5 (0 votes)