Я был удивлен, когда услышал, что один из производителей рекомендует перезагружать свой firewall раз в 2-3 месяца. Как часто нужно перезагружать ваш NGFW? И почему?
В любом софте, который работает у вас в компании есть баги. Они всплывут, вопрос во времени. Посмотрите в top 50 производителей на CVE details. Посмотрите, среди них есть производители по безопасности, которых вы тоже используете. У всех есть и будут уязвимости. А уязвимость чаще всего это именно баг в софте.
Есть еще баги, которые влияют на производительность и стабильность. Насколько быстро вылезают баги, влияющие на стабильность?
В NGFW все больше и больше функций. И писать идеально код человечество не научилось. Что делать конечному пользователю? В текущей ситуации мы часто используем более старые версии программного обеспечения, потому что в них меньше багов. Все новые версии программного обеспечения чаще всего сырые и производители сами же не рекомендуют ставить. Установка новой непротестированной версии в продакшн - серьезная авантюра для бизнеса. Нам должно быть неважно, что трафик может внезапно перестать ходить на какое-то время, любо новая фича важнее сопутствующих проблем. В любом случае вы должны подготовить процедуру что вы будете делать, чтобы уложиться в MTD (Maximum Tolerable Downtime).
Поэтому когда производитель рапортует про свое устройство или про новые фичи, обязательно просите reference визит к тем, кто уже использует эту версию. Потребуйте показать в интерфейсе uptime. Если перезагрузка была недавно, то спросите почему недавно перезагружали устройство.
В недавно вышедшей статье " Как вогнать в краску продавца NGFW " описано как тестировать NGFW на производительность, но нет описания как тестировать стабильность. А это важный компонент! Все баги вылезают только под нагрузкой и только в процессе реальной эксплуатации, когда вы создаете правила, объекты, ставите политики. Плюс в последнее время на рынок вышли китайские производители, которые на тесты приносят совсем свежие версии продуктов, которые вообще еще ни у кого не стоят в продакшн. В тесте который идет 10 минут все может быть хорошо, а в вашей сети через неделю может всплыть memory leak и вам потребуется перезагрузка. Если у вас важные транзакции финансовые идут по сети, то это скорее всего не то, что вы и ваш бизнес хотели получить.
Поэтому вывод такой: тестирование NGFW нужно проводить на своем трафике в реальной сети, минимум месяц, чтобы проверить, что устройство работает стабильно.
