NGFW изнутри. Вся правда от ведущего эксперта. Часть 3

SecLab
6 Jun 202412:32

Summary

TLDRДенис Баранков, руководитель направления безопасности в POS Technologies, делится своими 30-летними знаниями о влиянии трафика на производительность межсетевых экранов нового поколения. Он объясняет важность анализа транзакций на уровне L7, а не только фреймов или пакетов, и как различные размеры транзакций влияют на производительность устройств. Также обсуждается значение одновременных сессий и предоставляются рекомендации по выбору межсетевого экрана, основываясь на реальных требованиях сети и миксах протоколов.

Takeaways

  • 😀 Дениc Баранков, руководитель направления безопасности в POS Technologies, делится своими знаниями об информационной безопасности.
  • 🔒 Обсуждается, как трафик влияет на производительность межсетевых экранов нового поколения, с акцентом на различии между уровнями L3 и L4 амортизаторов и L7.
  • 📈 Уровни L3 и L4 имеют определенные параметры, такие как Frame per Second или Packet per Second, но они не всегда отражают реальную скорость работы устройств.
  • 🚀 Уровень L7 анализирует транзакции, что более точно отражает, как приложения взаимодействуют друг с другом, например, через HTTP-запросы.
  • 📊 Различные производители могут измерять производительность на разных размерах транзакций, что может привести к значительным различиям в показателях.
  • 📚 Примеры с дата-шитами (dat sheet) различных компаний, таких как Fortinet, Palo Alto Networks и Cisco, демонстрируют различия в измерениях производительности.
  • 🧐 Важно учитывать, что производительность устройств может варьироваться в зависимости от микса протоколов и размера транзакций, использованных в тестах.
  • 📝 NSS Labs ежегодно проводит тесты производительности устройств безопасности, меняя размер транзакций для точного измерения.
  • 🔎 Рекомендуется использовать HTTP 64 КБ как основу для оценки трафика в сети, так как это наиболее точно отражает типичный трафик.
  • 🔗 Количество одновременных сессий (concurrent connections) является ключевым параметром при выборе межсетевого экрана нового поколения.
  • 🔑 Для оценки количества одновременных сессий предполагается, что каждый хост генерирует в среднем 100 одновременных сессий.

Q & A

  • Что означает аббревиатура L3 и L4 в контексте безопасности сети?

    -L3 и L4 относятся к уровням инспекции трафика в межсетевых экранах. Уровень L3 (Network Layer) анализирует данные на третьем уровне модели OSI, включая IP-адреса и порты TCP/UDP. Уровень L4 (Transport Layer) анализирует дополнительно протоколы транспортного уровня, такие как TCP и UDP.

  • Какой параметр определяет производительность межсетевого экрана на уровне L7?

    -На уровне L7 производительность определяется параметром 'транзакций в секунду' (transaction per second), который измеряет количество транзакций, обрабатываемых в секунду, включая размеры транзакций и протоколы приложений.

  • Почему значения производительности на уровне L7 могут отличаться от значений на уровнях L3 и L4?

    -Значения производительности на уровне L7 могут отличаться, потому что L7 включает в себя анализ приложений и транзакций, что требует больше ресурсов для обработки, в отличие от L3 и L4, где анализ ограничен только сетевыми и транспортными уровнями.

  • Что такое 'даташит' и как он используется для измерения производительности?

    -Даташит (datasheet) - это техническая документация, предоставляемая производителем, которая содержит информацию о характеристиках и возможностях продукта. В контексте безопасности, даташиты используются для измерения и сравнения производительности устройств, таких как межсетевые экраны.

  • Какое значение имеет размер транзакции при измерении производительности HTTP протокола?

    -Размер транзакции определяет количество данных, обрабатываемых в ходе одной HTTP-транзакции, включая заголовки и тело запроса/ответа. Он влияет на производительность, так как большие транзакции требуют большего объема обработки и анализа.

  • Какое соответствие между размером транзакции и производительностью устройств Cisco?

    -В примере из скрипта упоминалось, что Cisco измеряет производительность на размере транзакции 250 КБ, что приводит к тому, что производительность устройства может показаться в четыре раза выше, чем на самом деле, если сравнивать с другими методами измерения.

  • Что такое NSS Labs и как они связаны с тестированием производительности?

    -NSS Labs - это независимая компания, специализирующаяся на тестировании и анализе продуктов безопасности. Они проводят ежегодные тесты производительности устройств, включая межсетевые экраны, и измеряют их способность обработки трафика с различными характеристиками.

  • Какое значение имеет микс протоколов при измерении производительности межсетевого экрана?

    -Микс протоколов влияет на производительность, так как каждый протокол может требовать разных ресурсов для анализа и обработки. Устройства могут показывать различную производительность в зависимости от того, какие протоколы включены в их тестовом наборе.

  • Что такое одновременные сессии (concurrent connections) и почему они важны при выборе межсетевого экрана?

    -Одновременные сессии - это количество активных соединений, которые может обработать межсетевой экран в одно и то же время. Это важный параметр при выборе устройства, так как он определяет его способность обслуживать запросы пользователей и обеспечивать стабильную работу сети.

  • Какое количество одновременных сессий генерирует в среднем каждый хост в сети?

    -Согласно скрипту, можно предположить, что в среднем каждый хост генерирует около 100 одновременных сессий, что должно быть учтено при выборе межсетевого экрана.

  • Что такое SSL и как он влияет на количество одновременных сессий?

    -SSL (Secure Sockets Layer) - это протокол для защиты передачи данных в сети, который использует шифрование. Он может уменьшить количество одновременных сессий, так как требует дополнительных ресурсов для обеспечения безопасности.

Outlines

00:00

😀 Информационная безопасность и производительность сетевых экранов

Денис Баранков, руководитель направления безопасности компании POS Technologies, делится своими знаниями о влиянии трафика на производительность сетевых экранов нового поколения. Он объясняет разницу между уровнями L3 и L4 амортизаторов, а также важность анализа транзакций на уровне L7. Денис подчёркивает, что нереальные скорости, указанные в даташитах, могут существенно отличаться от реальных, что подтверждается тестами компании NSS Labs, где производительность сетевых экранов с разным размером транзакций оказывается сильно разной.

05:00

😉 ИмпортANCE транзакций и микса протоколов в сетевых экранах

Второй параграф подчёркивает, что размер транзакции и микс протоколов играют ключевую роль в производительности сетевых экранов. Денис Баранков уточняет, что HTTP-трафик, который наиболее часто встречается в сетях, отражает только часть всей картины. Он также указывает на то, что разные поставщики могут использовать разные миксы протоколов для тестирования своих устройств, что влияет на их производительность. Примеры с даташитами Check Point и Fortinet демонстрируют, как изменение набора приложений в миксе может существенно изменить производительность сетевого экрана.

10:00

😌 Выбор сетевого экрана: важные параметры и их оценка

В заключительном параграфе Денис Баранков рассматривает три ключевых параметра при выборе нового поколения сетевых экранов: число новых соединений, количество одновременных соединений (concurrent connections) и пропускная способность (сру). Он подчёркивает важность понимания этих параметров и их корректной оценки, отметив, что разница в производительности между разными уровнями амортизаторов может быть существенной. Денис также дает рекомендации по определению числа одновременных соединений для выбора подходящего сетевого экрана и делится своими взглядами на возможные подвохи в даташитах.

Mindmap

Keywords

💡Информационная безопасность

Информационная безопасность - это область, связанная с защитой данных и информационных систем от несанкционированного доступа, потери, изменения или уничтожения. В контексте видео это основная тема, так как Денис Баранков, руководитель направления по безопасности, делится своими знаниями в этой сфере.

💡Производительность

Производительность в видео описывается как важный параметр для оценки эффективности межсетевых экранов нового поколения. Денис Баранков обсуждает, как трафик и транзакции влияют на производительность и как это может быть измерено.

💡Трафик

Трафик в видео связан с объемом данных, передаваемых через сеть. Автор говорит о том, что уровень трафика и его тип, такие как UDP или TCP, могут влиять на производительность межсетевых экранов.

💡Транзакции

Транзакции в контексте видео представляют собой обмен данными между приложениями, например, запросы и ответы между браузером и веб-сервером. Размер транзакции является ключевым параметром при измерении производительности на уровне L7.

💡L3 и L4

Уровни L3 и L4 относятся к стекам протоколов OSI, где L3 - это сетевой уровень, а L4 - транспортный. В видео упоминается, что для этих уровней существуют нормальные параметры амортизаторов, связанные с производительностью.

💡L7

Уровень L7 относится к приложенному уровню протокола OSI, где происходит анализ транзакций на основе приложений. В видео Денис Баранков обсуждает важность анализа транзакций на уровне L7 для точной оценки производительности.

💡Дат-шиты

Дат-шиты (datasheets) - это технические документы, содержащие информацию о продукте, его характеристиках и возможностях. В видео упоминается, что дат-шиты могут содержать разные параметры для измерения производительности, влияющие на выбор межсетевого экрана.

💡Пропускная способность

Пропускная способность - это способность устройства передавать данные в сеть. В видео это один из ключевых параметров, которые Денис Баранков рекомендует рассматривать при выборе межсетевого экрана.

💡Одновременные сессии

Одновременные сессии описывают количество активных соединений, которые может обработать устройство в определенный момент времени. В видео это параметр, который помогает определить, насколько эффективен будет межсетевой экран для предполагаемой нагрузки.

💡Тесты производительности

Тесты производительности - это процессы, используемые для измерения эффективности работы оборудования, в данном случае межсетевых экранов. В видео упоминается о компании NSS Labs, которая проводит такие тесты и определяет, насколько производительность соответствует заявленным характеристикам.

Highlights

Денис Баранков, руководитель направления безопасности в POS Technologies, обсуждает влияние трафика на производительность межсетевых экранов нового поколения.

Обсуждение L3 и L4 уровней амортизаторов и их нормальных параметров, указанных в даташитах.

Уровень L7 требует анализа транзакций для понимания эффективности работы межсетевого экрана.

Различие в измерении производительности на основе размера транзакции HTTP в разных даташитах.

Влияние выбора размера транзакции на производительность устройств от различных производителей.

Тесты компании NSS Labs, демонстрирующие разницу в производительности при изменении размера транзакции.

Рекомендация для выбора межсетевого экрана с учетом размера транзакции HTTP 64 КБ для более точного отражения сетевого трафика.

Важность учета микса протоколов при выборе межсетевого экрана и анализе производительности.

Различие в производительности устройств с одинаковой скоростью измерения из-за различий в размере транзакций.

Влияние набора приложений (Application Mix) на производительность межсетевого экрана и его тестирование.

Изменение скорости межсетевого экрана Checkpoint в зависимости от набора приложений и транзакций.

Примеры тестирования производительности Palo Alto Networks и Fortinet с различными Application Mix.

Важность измерения производительности на основе размера транзакции для точного определения эффективности межсетевого экрана.

Параметр одновременных сессий (concurrent connections) как ключевой фактор при выборе межсетевого экрана.

Различие в количестве одновременных сессий для L4 и L7 уровней безопасности в даташитах.

Влияние анализа приложений и безопасности на количество одновременных сессий, отмеченное в даташитах.

Использование примера устройства cisco ACE для иллюстрации разницы в одновременных сессиях для TCP, HTTP и SSL.

Подводя итог, Баранков подчёркивает значимость размера транзакции, одновременных сессий и пропускной способности при выборе межсетевого экрана.

Transcripts

play00:00

[музыка]

play00:11

Здравствуйте я Денис баранков

play00:12

руководитель направления сво

play00:14

безопасности компании POS technolog

play00:16

более 30 лет Я занимаюсь информационной

play00:18

безопасностью и делюсь с вами знаниями

play00:20

Сегодня я хочу поговорить о том как сам

play00:23

трафик влияет на производительность мего

play00:25

экрана нового поколения Мы с вами уже

play00:27

говорили что вообще L3 и L4 уровни для

play00:31

свечей амортизаторов есть нормальные

play00:33

параметры которые мы с вами

play00:35

рассматриваем и они тоже указаны в dat

play00:37

sheet каждого Next Generation фала Но

play00:40

это уровень именно когда мы работаем с

play00:42

фреймами и с пакетами и эти параметры

play00:45

записываются либо на udp трафике либо

play00:47

пишется Frame per Second либо Packet per

play00:53

Second так вот эти параметры на самом

play00:56

деле не реальная скорость на Generation

play00:58

Фае а параметры когда всё выключено то

play01:01

есть нет анализа приложений нет работы

play01:04

аэса ну скажите Какой антивирус в udp

play01:07

трафике что-то будет искать Нет конечно

play01:10

так вот когда мы переходим на уровень L7

play01:13

нам нужно говорить о транзакциях Почему

play01:16

Потому что на самом деле приложения

play01:17

общаются друг с другом при помощи

play01:19

транзакций приведу пример допустим у нас

play01:21

есть клиент то есть браузер и веб-сервер

play01:24

мы отправляем туда запрос Get и в ответ

play01:27

получаем HTML страницу так вот размер

play01:29

этой страниц обычно называется

play01:32

транзакция И на самом деле на уровне L7

play01:35

мы говорим о размере транзакции то есть

play01:37

transaction per

play01:42

Second так вот когда вы смотрите Дат

play01:47

выясняется что для протокола http разные

play01:50

поставщики измеряют вообще-то свой спут

play01:53

на разном размере транзакции приведу

play01:56

пример смотрите если Вы посмотрите dat

play02:00

sheit Fora или Power networks там будет

play02:02

размер http 64 КБ и производительность

play02:05

измерена на

play02:09

http Если Вы посмотрите dat sheit

play02:12

компании Cisco то у них на самом деле

play02:13

два и один из них называется

play02:19

124b не буду вдаваться в подробности но

play02:21

они просто зачем-то суммируют все пакеты

play02:24

которые идут во время транзакции делят

play02:26

чество пакетов и получается 1024 байта а

play02:28

на самом деле размер ции у них 250 КБ

play02:31

так вот если одно устройство измерить на

play02:34

http и на транзакции 64 КБ и это же

play02:37

устройство измерить на http с размером

play02:40

транзакции 256 или 250 КБ как думаете

play02:44

разная будет производительность конечно

play02:46

она так и будет отличаться в четыре раза

play02:49

то есть что достигает компания циска

play02:52

когда она даёт такую информацию она на

play02:55

самом деле ускоряет своё устройство

play02:57

пошту в четыре раза то это говорит что

play03:00

если здесь 10 Гбит то здесь 10 Гбит на

play03:04

самом деле устройство в четыре раза

play03:10

слабее внимание Казалось бы одно

play03:13

устройство даёт 10 Гигабит другое даёт

play03:16

10 Гигабит а на самом деле Вот это

play03:19

устройство оно в четыре раза меньше по

play03:21

производительности То есть если в него у

play03:23

падать вот эти транзакции оно даст 2,5

play03:26

гиби вот и всё на самом деле Чтобы Вот

play03:30

это обосновать нужно провести тесты

play03:32

Обычно люди когда слышат это впервые им

play03:34

кажется что это какая-то Космическая

play03:36

технология А давайте посмотрим на тесты

play03:39

компании nss labs Итак компания nss labs

play03:44

ежегодно проводит тесты Она приглашает

play03:46

поставщиков фв и измеряет их

play03:48

производительность что она сделала Она

play03:50

подала два раза разный трафик он

play03:54

отличался только размером транзакции это

play03:56

были http запросы сначала были запросы

play03:59

длиной 44

play04:01

[музыка]

play04:05

КБ и все устройства Ну практически все

play04:09

показали производительность 10 Гбит в

play04:14

секунду а затем они подали трафик где

play04:18

http и размер транзакции был 1,7

play04:24

[музыка]

play04:26

КБ И как вы думаете Какая стала скорость

play04:30

1 Гигабит в

play04:33

секунду То есть поставщики у которых Дат

play04:38

написано 10 Гигабит в секунду вдруг

play04:40

стали выдавать производительность точнее

play04:43

срут 1 Гигабит в секунду Как вы думаете

play04:46

Когда вы приходите навстречу вам продают

play04:48

устройство как десяти гигабитная или

play04:49

гигабитная так вот моя рекомендация и

play04:52

мой опыт говорит о том что лучше всего

play04:55

для того чтобы посчитать Какое

play04:57

устройство нужно вам сеть брать

play05:00

http

play05:01

64кб это больше всего отражает тот

play05:04

трафик который есть в сети но это ещё не

play05:06

всё Казалось бы ведь только http Нету ни

play05:10

у какого вообще заказчика ни у кого нет

play05:12

такого в сети у вас на самом деле микс

play05:14

протоколов у вас будет ssl у вас будет

play05:17

SNB и так далее у всех будет разный так

play05:19

вот у разных поставщиков на самом деле

play05:22

ещё и разные миксы протоколов и они на

play05:24

них тестируют то есть есть специальный

play05:26

набор протоколов который подаёт КПО

play05:28

специальный набор про подают т пальта

play05:31

циска и так далее на самом деле он

play05:33

просто

play05:41

нарезанная производительность и здесь

play05:44

важный вопрос который нужно тоже задать

play05:46

поставщику А какой здесь был размер

play05:48

транзакции и это тоже важно то есть

play05:50

например если посмотреть Application Мик

play05:52

чекпоинта то он указывает Ну допустим 64

play05:55

КБ ssl Ну допустим 2 6

play06:01

КБ и так далее для всех протоколов если

play06:04

посмотреть Application Mix

play06:05

опубликованный фонет там нет размера

play06:07

транзакций так же как и нет размера

play06:09

транзакций для СС в общем везде свои

play06:12

тонкости приведу интересные примеры в

play06:15

2008 году компания checkpoint

play06:18

публиковала дата sheit модели своей

play06:24

15600 и он был равен такой замечательной

play06:27

скорости как 5 2

play06:33

габита в 2010 году модель

play06:37

15600 показала скорость 10

play06:48

Гигабит Что изменилось А вот как раз

play06:51

изменился набор приложений в Application

play06:54

Mix стоило его только чекпоинту поменять

play06:57

как сразу их устройства стали в два раза

play07:00

быстрее есть ещё один замечательный

play07:03

пример если взять Application Mix от

play07:06

fortinet и запустить его на компанию Pal

play07:08

alta networks Я лично проводил эти тесты

play07:11

выяснял что Pal alta networks

play07:13

становилось в два раза быстрее потому

play07:15

что их Application Mix реально был

play07:17

сложнее для анализа вот и всё в итоге мы

play07:21

с вами разобрались что если измерять

play07:23

производительность межевого экрана в

play07:25

фрейма в секунду или в пакетах в секунду

play07:28

ну это всё равно что измерять съеденную

play07:31

еду в молекулах Я съел на ужин 10 млрд

play07:35

молекул потрясающе а была ли это вода

play07:38

или Был ли это

play07:40

стейк разве нам не важно Так вот меж

play07:43

всех экранах нового поколения важен

play07:45

размер транзакции и протокол http или

play07:49

FTP или какой-то другой И это всё влияет

play07:53

на движок анализа и на

play07:55

производительность пошли

play07:57

дальше т параметр при выборе меж всего

play08:00

экрана нового поколения - это число

play08:02

одновременных сессий которые

play08:04

по-английски называется concurrent

play08:15

connections Вы можете легко это

play08:17

посчитать Для этого вам надо

play08:19

предположить а сколько каждый человек

play08:22

генерирует одновременных соединений

play08:24

которые будут идти через Межевой экран А

play08:27

давайте посмотрим как это выглядит

play08:31

по сути через шивой экран идут

play08:34

подключения к каким-то

play08:37

серверам и ответы от этих

play08:42

серверов и по сути каждый человек

play08:44

генерирует какое-то число запросов и

play08:46

ответов каждое устройство в сети

play08:47

генерирует какое-то количество устройств

play08:49

и ответов соответственно подключение

play08:51

каждое в одну сторону внутри меж всего

play08:53

экрана обычно

play08:57

называется по Су говорим о сессиях и

play09:00

сессия - это два потока в одну сторону и

play09:03

в другую то есть вот это всё

play09:10

сессия соответственно нам нужно знать

play09:13

сколько одновременных сессий должно

play09:14

держать наше устройства которые мы

play09:16

покупаем но я обычно исхожу из параметра

play09:19

100 то есть каждое устройство генерирует

play09:22

в среднем 100 одновременных сессий то

play09:24

есть оно создаёт сессию Затем идёт

play09:28

ответ Потом оно ещё ещё раз создаёт

play09:31

сессию потом идёт

play09:33

ответ какие-то сессии могут кончаться Ну

play09:37

в общем одновременно где-то число 100

play09:40

достаточно простой параметр И здесь тоже

play09:42

важно заметить что на самом деле когда

play09:44

вы смотрите в dat sheit то пишут число

play09:46

сессий для L4 когда выключена вся

play09:49

безопасность и для L7 когда включено

play09:52

анализ приложений IPS антивирус и так

play09:55

далее Если Вы посмотрите в любой Дат

play09:58

неважно какого поставщика вы обнаружите

play10:00

что разница где-то 100 раз итак у вас

play10:03

есть корен Connection для L4 для

play10:09

tcp и есть корен Connection Ну допустим

play10:12

для

play10:16

http Ну и допустим есть ssl Connection

play10:19

для ssl или

play10:24

tls как вообще отличаются эти числа на

play10:27

самом деле серьёзно tcp Connection

play10:29

обычно в 10 раз больше чем например http

play10:32

concurrent Connection И тем более больше

play10:34

чем ssl concurrent Connection Почему

play10:36

Потому что для того чтобы анализировать

play10:38

tcp нам нужно анализировать только

play10:40

заголовки это 40 байт А для того чтобы

play10:42

анализировать http нам вообще-то нужно

play10:44

анализировать полностью контент а там

play10:46

HTML там JavaScript и там вообще может

play10:49

быть всё что угодно Ну например вирус

play10:51

чтобы проверить моё утверждение Вы

play10:53

можете посмотреть в любой dat sheet и

play10:54

есть такое интересное устройство оно в

play10:56

принципе больше не выпускается но у него

play10:58

как раз есть все эти три параметры оно

play11:00

называется cis

play11:05

Ace Посмотрите там эти три параметры и

play11:07

вы поймёте насколько сильно они

play11:10

отличаются Итак я рассказал про

play11:12

concurrent connections число

play11:13

одновременных соединений которое должно

play11:15

идти через ваш межсетевой экран в

play11:17

среднем Я считаю что каждый хост

play11:19

генерирует 100 одновременных соединений

play11:22

одновременно соответственно Если вы

play11:24

смотрите на свой мечевой экран то вы

play11:26

будете видеть там несколько параметров

play11:28

конкурент connection в режиме только tcp

play11:31

в режиме детекта приложений в режиме S

play11:34

protection или prevention Ну и Если у

play11:37

вас есть SS шифрование то тоже там будет

play11:39

concurrent connections и это будет самое

play11:41

маленькое значение друзья я вам

play11:43

рассказал про три важных параметрах

play11:46

которые нужно смотреть когда вы

play11:47

покупаете меть экран нового поколения

play11:49

число новых соединений конкурент

play11:52

connections или число одновременных

play11:54

соединений и конечно же пропускная

play11:56

способность или сру также я рассказал

play12:00

как правильно это оценивать куда

play12:02

смотреть и какие вообще могут быть

play12:05

подвохи если вам интересно про другие

play12:08

параметры например про задержки или

play12:10

gitter или ещё какие-то параметры

play12:11

которые есть тоже у шеевых экранов

play12:13

нового поколения Пишите в комментариях

play12:16

Подписывайтесь и вы услышите новые

play12:18

подборки по этой теме С вами был Денис

play12:21

транков руководитель направления сетевой

play12:23

безопасности компании POS Technologies

play12:26

До новых

play12:28

встреч I

Browse More Related Video

всем, кто чувствует себя одиноким

Самый эффективный метод чтобы снизить пульс при интенсивной тренировке и увеличить МПК (VO2max)

НАСТРОЙ АВТОРЕКЛАМУ ПО ПРАВИЛЬНЫМ КЛЮЧАМ / Как НАСТРОИТЬ РЕКЛАМУ на Wildberries

Dongle Dual DACs Dual OP-amps | Review dan Impresi Fiio KA13 VS Fiio Q11, Acmee 4S, SXFI Indonesia

S&D Zone Creation Theory

Старт в программировании за 15 секунд. Как и с чего начать свой путь

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
Информационная безопасностьМежсетевой экранПроизводительностьТрафикТранзакцииHTTPSSLТесты производительностиПараметры выбораСетевая безопасностьТехнологии POS
Do you need a summary in English?