Чеклист для тестирования NGFW

Чеклист для тестирования NGFW

Легко ли выбрать NGFW

Когда мы с вами берем к себе в организацию NGFW, то нам нужно его проверить перед покупкой. Обычно это сложно, потому что сейчас все оборудование многофункциональное и непонятно в чем вендор хорош, а где нет.

Руководители смотрят в Gartner и выбирают лидеров.

А как выбрать нужную производительность

Опытные люди выбирают модели, посмотрев тесты NSS LABS, например, самый последний тест 2019 года показан внизу. Здесь проведено сравнение на одинаковых настройках всех вендоров и заодно проведено сравнение с результатами из официальных datasheet (что не совсем корректно, поскольку в официальных dataseheet скорости измерялись на других настройках). Никогда не выбираем по официальным datasheet! Вы смело выбираете устройство нужной вам скорости только по тестам, например, по данным NSS и затем переходите к сравнению функционала и удобства использования. Например, если синий уровень достигает 7Гбит/с и вам нужно 7 Гбит/с, то выбираете варианты оттуда.  Однако не все так просто!


Лучше, если вы решили протестировать сами. 

Я создал таблицу. Это чеклист, по которому вы выбираете нужные вам функции и просите вендора их включить. Вы должны добавить в методику тестирования пункт проверяющий каждое ДА в вашей таблице. Если вендор сделал это все на нужной вам скорости - покупайте. Если вы включили нужные вам функции и устройство производителя не выдержало одновременного включения функций - просите принести более мощную модель! 

Первые три пункта: версия операционки и версия баз. Они реально влияют на производительность, поэтому запишите версию себе в таблицу, чтобы тест можно было повторить другим людям или чтобы вы могли сравнить предыдущие результаты после обновления на новую версию, с новыми функциями. Если вы не знаете на какой версии была протестирована производительность, то вам сложно будет возвращаться к результатам тестов и сравнивать их с чужими результатами.

Остальные пункты по-разному влияют на производительность. Основное правило: чем больше проверок вы просите устройство проделать с трафиком, тем ему сложнее и тем оно будет медленнее.
  • Как вы думаете, где легче искать HTTP только на 80 порту или на всех 65535?
  • Сколько ресурсов нужно устройству анализа, чтобы разрешить facebook и запретить dropbox, ведь они ходят по одному 443 порту?
  • Если вы сравниваете одно устройство с 100% включенных сигнатур IPS, а другое с 40% то интересно какой результат вы хотите получить? )
  • Если вы сравниваете один потоковый антивирус, который ловит ВПО только по HTTP, а другой по HTTP, HTTPS и SMB, то как вы думаете какому устройству сложнее? )

На самом деле даже включение анализа и блокировки файлов в приложениях FTP и SMB может убить производительность начисто. Так что будьте аккуратны в своих желаниях! )

Параметры влияющие на производительностьПроизводитель/ Модель
Версия операционной системы9.0.6
Версия базы сигнатур IPS2 апреля 2020
Версия базы сигнатур антивируса2 апреля 2020
Включено определение приложений на стандартных портахДА
Включено определение приложений на нестандартных портахДА
Включено локальное журналирование всех соединенийДА
Включено расшифрование SSL по нестандартным портамДА
Включен SSL Decrypt в режиме работы анализа ответов сервера (SSL Incoming)НЕТ
Включен SSL Decrypt в режиме работы человек-посередине (SSL Proxy)ДА
Включена отправка расшифрованного трафика на внешнее устройство через зеркальный портНЕТ
Включена URL фильтрация по 100% имеющихся категорийДА
Включено журналирование всех URLДА
Включен IPS 100% сигнатурДА
Включено локальное журналирование всех срабатываний IPSДА
Включен Antivirus 100% сигнатур для трафика  SMB, FTP, HTTP, SMTP, POP3, IMAP и их SSL версий во всех направленияхДА
Включено локальное журналирование всех срабатываний антивирусаДА
Включено Ant-Spyware 100% сигнатурДА
Включено локальное журналирование всех срабатываний Anti-SpywareДА
Включено определение типов файлов во всех приложениях (DLP)ДА
Включено журналирование файлов во всех приложенияхНЕТ
Включена отправка файлов во внешнюю песочницу из трафика SMB, FTP, HTTP, SMTP, POP3, IMAP и их SSL версий во всех направленияхНЕТ
Включено журналирование событий в песочницеНЕТ
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ksiva

Пусть будет утренний в честь того, что я его создал утром.