Тест или показуха: как не купить бесполезный NGFW

Тест или показуха: как не купить бесполезный NGFW

Почему NGFW проходит через настоящую проверку, а не тест-драйв в шоуруме.

image

Защита сетей никогда не была простой задачей, и современный мир IT постоянно усложняет ситуацию. Новые виды атак, рост трафика, переход к распределенной инфраструктуре — все это заставляет компании и специалистов по кибербезопасности искать более элегантные и эффективные способы защиты. Именно поэтому концепция Next Generation Firewall (NGFW) в последние годы получила широкое распространение. А чтобы не было “кот в мешке”, важно грамотно тестировать такие системы на соответствие актуальным требованиям и стандартам. Один из наиболее авторитетных документов в этой области — RFC 9411, предлагающий основы тестирования пропускной способности и функциональных возможностей современных NGFW.

В данной статье мы рассмотрим, как и почему стоит организовать тестирование NGFW, ориентируясь на требования, описанные в RFC 9411. Поговорим об особенностях методологии тестирования, затронем ключевые аспекты и приведем конкретные примеры. Также обсудим плюсы и минусы NGFW с точки зрения исполнителей и IT-отделов в целом. Если вы когда-нибудь задумывались о том, как оценить реальную эффективность межсетевого экрана нового поколения, то эта статья будет особенно полезна.

Почему NGFW так важны?

Традиционные межсетевые экраны (firewall) имели относительно узкую специализацию: они отслеживали соединения и фильтровали пакеты по набору статических правил. С наступлением эпохи облачных технологий и увеличением объемов зашифрованного трафика возможностей классических решений стало недоставать. NGFW (Next Generation Firewall) предлагает интеллектуальный анализ трафика, включая проверку приложений, выявление вторжений и работу с контентом на более глубоком уровне. Это позволяет более гибко настраивать политику безопасности, учитывать поведение пользователей и обнаруживать аномальную активность.

Таким образом, NGFW обеспечивает комплексный подход: в одном решении сочетаются традиционная фильтрация пакетов, средства обнаружения вторжений, проверка SSL/TLS, контроль доступа к приложениям и часто дополнительные модули защиты (например, антиспам или Web Application Firewall). Однако, как известно, чем шире функционал, тем больше деталей, которые следует проверить. Именно на этом этапе и становится актуальным RFC 9411, описывающий принципы и подходы к оценке пропускной способности и производительности NGFW.

Обзор RFC 9411

RFC 9411 — это документ, выпущенный IETF (Internet Engineering Task Force), который ставит своей целью определить стандартные методики измерения производительности сетевых устройств нового поколения. Хотя в тексте уделяется внимание не только NGFW, но и другим компонентам сетевой инфраструктуры, фокус на тестировании межсетевых экранов и связанной с ними аналитики очевиден.

Если упрощенно, RFC 9411 помогает выработать единообразный подход к следующим аспектам:

  • Пропускная способность. Как корректно измерять скорость обработки трафика, чтобы тестовые результаты соответствовали реальности.
  • Задержки и латентность. Влияние анализа пакетов на время доставки данных и общий QoS.
  • Оценка производительности в условиях различных видов трафика. Например, какая часть трафика шифруется, каково соотношение коротких и длинных сессий, как часто инициируются новые соединения.
  • Учет сложных сценариев. Инспекция приложений, фильтрация контента, работа со встроенными базами данных по угрозам и т.д.

Проще говоря, RFC 9411 позволяет выработать стандартизированную методологию, которая отсекает “красивые” маркетинговые цифры и дает реальное понимание возможностей и ограничений NGFW. Как следствие, заказчик или тестировщик может лучше оценить, подходит ли конкретное устройство под его инфраструктурные задачи.

Ключевые аспекты тестирования по RFC 9411

Тестирование NGFW — это не просто включить устройство и посмотреть, как оно “пропускает” пакеты. Чтобы результирующие данные были объективными и воспроизводимыми, важно учесть все факторы, влияющие на производительность. Среди ключевых параметров, которые рассматриваются в RFC 9411, можно выделить следующие:

  1. Состав трафика. Трафик может быть HTTP, HTTPS, FTP, DNS и так далее. Чаще всего NGFW теряет часть производительности на обработке зашифрованных данных (TLS). Так что тест должен учитывать разные типы протоколов, их сочетание и объем шифрованного потока.
  2. Тип фильтрации. NGFW умеет проверять не только источники и назначения, но и уровень приложений, контент, сигнатуры угроз. Каждая дополнительная проверка увеличивает нагрузку на устройство.
  3. Размер пакетов. В реальной сети пакеты различного размера идут вперемешку, и NGFW обрабатывает их с разной скоростью. Следовательно, тесты должны учитывать варьирующиеся длины пакетов, отражая реальную картину.
  4. Число одновременных сессий. Пиковая нагрузка может быть связана с большим количеством одновременно открытых соединений. Если устройство не справляется с таким объемом, реальная пропускная способность может существенно снизиться.
  5. Влияние DPI (Deep Packet Inspection). Глубокий анализ трафика требует значительных вычислительных ресурсов. Так что важно тестировать и ситуации, когда NGFW активно применяет DPI на различных уровнях.
  6. Поведение в режиме отказоустойчивости. Некоторые NGFW могут работать в кластере. В случае выхода из строя одного узла нагрузка переходит к другому. Тест должен учитывать этот сценарий.

По сути, RFC 9411 выступает в роли стандартизированного “чек-листа”, чтобы ничего не упустить и правильно интерпретировать полученные данные.

Методология тестирования: пошаговый пример

Представим, что мы имеем лабораторную среду и хотим протестировать NGFW определенной марки. Рассмотрим пошагово, что нужно сделать, опираясь на рекомендации из RFC 9411:

  1. Определить цель тестирования. Сначала мы формулируем, что нас интересует: максимальная пропускная способность при HTTPS-трафике, стабильность соединений или, к примеру, время реакции на штурм ботнетом. Чёткое понимание цели позволит избежать излишней расплывчатости.
  2. Подготовить тестовый стенд. Настраиваем оборудование: сервер для генерации трафика, маршрутизаторы, сам NGFW и, при необходимости, дополнительный тестовый сервер для анализа логов. Важно исключить “узкие места” вне самой системы NGFW — иначе результаты могут быть некорректными.
  3. Собрать и настроить необходимые инструменты. Программное обеспечение вроде Ixia или Spirent TestCenter часто используется для эмуляции многопоточного сетевого трафика. Также могут понадобиться утилиты командной строки вроде iperf для измерения пропускной способности в базовых сценариях.
  4. Создать профиль трафика. Здесь мы решаем, какой процент HTTPS, HTTP, SMTP и других протоколов будет сгенерирован. Также учитываем, какой объем трафика будет зашифрован. Этот этап важен, ведь NGFW ведет себя по-разному при разных типах нагрузки.
  5. Установить правила на NGFW. Настраиваем те самые политики фильтрации, интроспекции контента, антивирусной проверки, которые применяются в реальной среде. Чем больше функций мы включим, тем более “честным” будет тест.
  6. Запустить тест и собрать метрики. В течение определенного времени, как правило от нескольких минут до нескольких часов, система генерирует трафик. Параллельно мы фиксируем метрики: пропускную способность (Gbps или Mbps), задержки (ms), потери пакетов, загрузку процессора на NGFW и т.д. После этого сравниваем результаты с контрольными показателями, указанными в RFC 9411, и внутренними целевыми параметрами.
  7. Анализ результатов. Если пропускная способность отличается от заявленной в спецификации, стоит разобраться, какие модули NGFW вызывают замедление. Иногда проблема кроется не столько в самом межсетевом экране, сколько в неправильной настройке SSL-инспекции или недостаточной аппаратной производительности при включении определенных функций.
  8. Документирование. RFC 9411 подчеркивает важность прозрачной отчетности. В финальном отчете указываются условия тестирования, конфигурация оборудования, спецификация трафика и результативные показатели.

Такой подход обеспечивает системность и воспроизводимость, а также помогает выявить реальные узкие места в производительности NGFW.

Какие инструменты и платформы используются?

Помимо упомянутых специализированных коммерческих решений (Ixia, Spirent), существуют и бесплатные инструменты, позволяющие хотя бы базово проверить производительность NGFW:

  • Iperf или Iperf3. Популярный инструмент для замера пропускной способности в разных протоколах TCP, UDP. Хотя он не дает глубокого сценарного тестирования, но хорошо подходит для первичной оценки.
  • Apache JMeter. Может использоваться не только для тестирования веб-приложений, но и для создания нагрузки HTTP/HTTPS, в том числе с эмуляцией множества пользователей.
  • Netmap или DPDK. Это больше для разработчиков, которые хотят протестировать производительность на уровне сетевых драйверов и сравнить результаты при включенной и выключенной фильтрации.
  • Tcpreplay. Полезен для “прокрутки” реальных дампов трафика через NGFW и оценки, насколько тот корректно обрабатывает известные паттерны.

В идеале, чтобы соответствовать рекомендациям из RFC 9411, лучше использовать специализированные комплексы, способные моделировать разные сценарии и генерировать отчеты по стандартным методикам. Но часто в небольших компаниях бюджет ограничен, поэтому любой вариант с реплеем реального трафика лучше, чем полное отсутствие тестирования.

Плюсы NGFW и их отражение в тестировании

Современные NGFW интересны не только своими многофункциональными возможностями, но и тем, что их можно достаточно гибко подстраивать под нужды конкретной организации. Рассмотрим основные плюсы, которые, разумеется, нужно проверить в процессе тестирования:

  1. Глубокая фильтрация. NGFW видит не только IP-адреса и порты, но и контент, сигнатуры вирусов, злоумышленную активность. На тестовом стенде это означает проверку реакции на различные вредоносные сценарии.
  2. Удобное управление политиками. В большинстве решений есть удобные графические консоли и механизмы для сегментации сети. Во время теста проверяется удобство, скорость развертывания правил, а также эффективность.
  3. Интеграция с другими системами. NGFW часто связывается с системами SIEM, IAM, антивирусными сервисами в облаке. Если все интеграции корректно работают при высокой нагрузке, значит, изделие действительно надежно.
  4. Мониторинг и аналитика. Встроенные модули отчетности позволяют отслеживать аномалии, проводить расследования инцидентов. А в ходе тестирования можно проверить точность и детализацию логирования при различных объемах трафика.

Плюсы выглядят заманчиво, но важно понимать, что включение всех этих функций одновременно может создавать серьезную нагрузку на устройство. И здесь критическую роль играет RFC 9411, который помогает грамотно оценить производительность.

Минусы NGFW и связанные с ними проблемы

Впрочем, у NGFW есть и некоторые недостатки, которые могут проявиться особенно ярко при тщательном тестировании:

  1. Высокая стоимость решений. Дополнительные функции контроля приложений и защиты обходятся недешево, к тому же требуются более мощные процессоры и больше оперативной памяти, чтобы справляться с DPI. В тестах это отражается в необходимости более серьезной инфраструктуры и тщательного планирования.
  2. Сложность настройки. Расширенные возможности ведут к усложнению конфигурации. Ошибки в правилах могут приводить к ошибочным блокировкам или, наоборот, к недообнаружению угроз. Тесты в рамках RFC 9411 должны учитывать, насколько корректно обрабатываются различные сценарии конфигурации.
  3. Снижение пропускной способности при включении всех функций. Чем больше проверок выполняет NGFW, тем ниже итоговая производительность. Тестирование часто выявляет существенный разрыв между “сферическим” показателем throughput в пустом вакууме и реальными данными, когда включена SSL-инспекция, антивирус и прочие модули.
  4. Потенциальные проблемы совместимости. Иногда NGFW некорректно работает с экзотическими протоколами или специфическими приложениями. Важно проверять, как устройство ведет себя в нетривиальных случаях, например при взаимодействии со старыми версиями TLS или специфическими IoT-девайсами.

В совокупности эти минусы означают, что перед покупкой и внедрением NGFW организация должна потратить время и ресурсы на полноценные тесты. Наглядная статистика позволит понять, стоит ли вкладываться в дорогостоящий проект.

Частые ошибки при тестировании NGFW

Тестирование NGFW требует серьезного подхода. Ошибки и упущения могут привести к неправильным выводам, а следовательно — к неверным инвестициям в IT-безопасность. Вот несколько типичных проблем:

  • Использование усеченного профиля трафика. В реальной сети редко бывает только один протокол. Если тест ограничивается лишь HTTP, результаты могут быть нереалистично высокими.
  • Отсутствие учета SSL-дешифрации. Многие компании включают дешифрацию только после инцидента или “по требованию”, хотя для объективного теста важно проверить этот процесс на регулярной основе.
  • Недостаточное время теста. Короткие 5-минутные тесты не всегда показывают, как устройство ведет себя при длительной нагрузке, когда могут накапливаться логи, кеши и состояние сессий.
  • Игнорирование режимов отказоустойчивости. Если NGFW работает в кластере, стоит проверить, какова пропускная способность после переключения на резервный узел. Нередко возникают провалы производительности в момент фейловера.
  • Необъективное сравнение разных решений. Для честного сравнительного анализа важно обеспечить идентичные условия для каждого тестируемого продукта, иначе любые результаты можно оспорить.

Успешное тестирование, в идеале, должно быть повторяемым и тщательно задокументированным. RFC 9411 дает базовую структуру, но дисциплина тестировщиков и инженерная аккуратность — тоже ключевые факторы.

Практическое применение: кейсы из реальной жизни

Рассмотрим пару гипотетических ситуаций, где результаты тестирования по RFC 9411 дают весомые аргументы в пользу или против конкретной модели NGFW:

  1. Корпорация с большим штатом. Допустим, у компании несколько филиалов и десятки тысяч сотрудников, многие из которых работают удаленно. Требуется обеспечить инспекцию HTTPS, антивирусную проверку и контроль приложений (например, ограничение потокового видео). Тест на стенде показал, что при включении всех функций NGFW модель А начинает пропускать не более 2 Gbps вместо заявленных 10 Gbps. Поэтому выбирается модель B, которая пусть и дороже, но реально выдерживает 8 Gbps с включенной SSL-инспекцией и не падает во время пиковых нагрузок.
  2. Малый бизнес с одним офисом. У них на счету каждая копейка, но безопасность тоже важна. Тестирование показало, что базовая модель NGFW X, которая стоит сравнительно недорого, вполне справляется с их трафиком, так как у компании всего 50 сотрудников, а SSL-инспекция включается только для некоторых категорий сайтов. В результате они не переплачивают за избыточную производительность, но при этом получают необходимую функциональность.

В обоих случаях стандартизированный подход позволяет избежать влияния маркетинговых обещаний и принять решение на основе реальных данных. А главное — все повторяется в реальном мире, поскольку условия тестирования максимально приближены к производственной среде.

Заключение

Тестирование NGFW по RFC 9411 — важный шаг для любого, кто хочет реально оценить потенциальные или уже имеющиеся решения по безопасности сети. Данный стандарт призван упорядочить и унифицировать методики тестирования, делая результаты честными и сопоставимыми. Имея на руках такие данные, IT-специалисты могут принимать взвешенные решения, выбирать оптимальные модели и настраивать их с максимальной пользой для бизнеса.

Конечно, любые бенчмарки и лабораторные испытания — это лишь часть картины. Остаются вопросы совместимости с конкретными приложениями, удобства в управлении, технической поддержки от вендора и многое другое. Однако без внятного понимания пропускной способности, задержек, влияния SSL-инспекции и других факторов строить надежную систему безопасности будет трудно. Именно поэтому RFC 9411 становится своеобразным “маяком”, помогающим навигации по непростому морю современных межсетевых экранов.

В конечном счете, грамотное и глубокое тестирование дает ответ на главный вопрос: сможет ли NGFW защитить вашу инфраструктуру, не создавая при этом критических узких мест и не приводя в отчаяние администраторов от сложности настройки. А значит, время и ресурсы, потраченные на тесты, окупятся многократно — как за счет предотвращенных атак, так и за счет сохраненных нервов

Твой код — безопасный?

Расскажи, что знаешь о DevSecOps.
Пройди опрос и получи свежий отчет State of DevOps Russia 2025.

Участвовать