Поделиться
«Инфосистемы Джет» представила результаты независимого тестирования NGFW
«Инфосистемы Джет» проводит независимое тестирование представленных на российском рынке решений, чтобы дать наиболее полное представление о доступных в России решениях класса NGFW и их функциональных возможностях. Для этого в собственной лаборатории «Инфосистемы Джет» запустили тестирование в формате vendor-agnostic решений класса NGFW/UTM, представленных на российском рынке. Проверялось, как функционируют различные устройства в условиях, максимально приближенных к реальным. Об этом CNews сообщили представители «Инфосистемы Джет».
Что тестировали
На текущий момент завершено тестирование девяти решений, в том числе: Check Point R81.20, Ideco NGFW v16, InfoWatch ARMA Стена (NGFW), UserGate 7.1.0 RC, ViPNet Coordinator HW5 5.3, Континент 4.1.7 и 4.1.9, PT NGFW от Positive Technologies.
«Выбор этих решений обусловлен их распространенностью на рынке. Заявленные вендоры активно продвигают свои новинки, многие системы уже применяются в различных сценариях внедрения и миграции на отечественные продукты. Более 50 успешных завершенных нами проектов с их участием подтверждают практическую востребованность российских решений», —сказал Евгений Пузаков, эксперт отдела сетевой безопасности, «Инфосистемы Джет».
Как тестировали
Методику функционального тестирования разрабатывали на основе двух ключевых принципов. На первом этапе учли максимальное количество разнообразных потребностей пользователей NGFW, чтобы сформировать общий профиль, способный покрыть широкий спектр функциональных требований. На втором этапе методика была скорректирована с учетом обратной связи от коллег, которые непосредственно занимаются внедрением решений, что позволило отсеять лишние или неактуальные для большинства пользователей элементы.
После успешного проведения первого цикла тестов методика получила развитие. Обсуждая результаты с коллегами по индустрии, мы выявили дополнительные возможности, которые могли быть упущены из вида вначале. В результате в рамках новой расширенной методики мы добавили 17 новых тестов. Итого для каждого из решений мы протестировали более 300 функций по следующим группам: сетевые функции; функции МСЭ; функции NGFW/UTM; VPN и SD-WAN; отказоустойчивость и кластеризация; централизованное управление и отчетность; интеграция; эксплуатационные возможности.
Для тестирования систем обнаружения вторжений (СОВ/IPS) каждого решения использовалось до 10 сигнатур — наиболее актуальных на данный момент многоступенчатых атак. Эти сценарии атак были специально подготовлены для тестирования функционала IPS. Оно проводилось вручную, а не путем загрузки профилей трафика.
Логика тестирования отражает фазность некоторых атак
Запускаем первую фазу атаки (например, эксплуатацию уязвимости) с включенной защитой (СОВ/IPS) и наблюдаем, как оборудование справляется с ее блокировкой.
Отключаем защиту, проводим эту же первую фазу атаки и фиксируем ее успешное прохождение. Это необходимо, чтобы убедиться, что именно СОВ/IPS блокирует эту атаку.
Включаем защиту и, при условии успешного прохождения предыдущей фазы, запускаем следующую фазу атаки (например, эскалацию прав). Это позволяет оценить реакцию оборудования на новую угрозу в контексте общего сценария.
Отключаем защиту, проводим эту же вторую фазу атаки и наблюдаем за ее успешным прохождением без защиты.
Включаем защиту и запускаем следующую фазу атаки, чтобы оценить эффективность блокировки. И так далее.
Таким образом, чередуя включение и выключение защиты, проверялось, как решения обнаруживают и блокируют последовательные фазы атак на каждом этапе. Это позволяет не только удостовериться, что именно СОВ/IPS блокирует атаку, но и оценить способность каждого решения эффективно выявлять уязвимости в рамках сложного сценария, имитирующего хакерскую деятельность. Мы фокусировались на том, как межсетевой экран отрабатывает на разных этапах, как он блокирует каждую из фаз и как мы можем зафиксировать это в логах.
Для нагрузочного тестирования использовались профиль трафика, созданный на основе профиля реального трафика в корпоративной сети «Инфосистемы Джет». Средний размер одного пакета составляет 674 байта. В результатах тестирования мы фиксировали значения таких параметров, как пропускная способность (TP), количество передаваемых пакетов в секунду (PPS), количество устанавливаемых новых соединений в секунду (CPS) и количество одновременных соединений (CC).
В части нагрузочного тестирования специалисты адаптировали первичную методику в соответствии с изменяющимися потребностями заказчиков. Так, в обновленной версии были добавлены тест-кейсы, в которых МЭ выполняет функционал преобразования IP-адресов пользователей (SNAT). В первой версии методики проверка проводилась с использованием одного тест-кейса (первый в списке), в новой — восемь тест-кейсов: 200 правил МЭ (EMIX TP, PPS, CPS, CC); 200 правил МЭ, 20 правил NAT (EMIX TP, PPS, CPS, CC); 2000 правил МЭ (EMIX TP, PPS, CPS, CC); 2000 правил МЭ, 200 правил NAT (EMIX TP, PPS, CPS, CC); 5000 правил МЭ (EMIX TP, PPS, CPS, CC); 5000 правил МЭ, 500 правил NAT (EMIX TP, PPS, CPS, CC); 10 000 правил МЭ (EMIX TP, PPS, CPS, CC); 10 000 правил МЭ, 1000 правил NAT (EMIX TP, PPS, CPS, CC).
Процедура нагрузочного тестирования
Перед началом тестирования выполняем проверку работы тестового стенда.
Подбираем атаки, которые блокирует NGFW при заданных в рамках теста настройках.
Первое тестирование проводим со значением нагрузки из datasheet производителя.
В зависимости от результата корректируем нагрузку.
Подбираем значения нагрузки так, чтобы потери трафика составляли менее 1% на протяжении пяти минут.
Запускаем повторный тест, чтобы зафиксировать повторяемость результата.
Проводим тест с подобранным значением TP (пропускной способности), параллельно запуская атаки, чтобы убедиться, что при максимальных значениях TP NGFW продолжает выполнять свои функции по отражению атак.
Фиксируем результат — EMIX TP, PPS, CPS, CC.
Также для нагрузочного тестирования решений использовался нагрузочный профиль EMIX с включенными атаками для проверки работоспособности оборудования под нагрузкой с включенным модулем СОВ (IPS).
«Решения развиваются стремительно, и на сегодняшнем рынке сложилась здоровая конкуренция. В этих условиях вендоры прислушиваются к рынку и к интеграторам, постоянно наращивают функционал и производительность своих систем. Мы видим позитивную динамику: вендоры повышают зрелость своих решений в борьбе за клиентов», — сказал Евгений Свиридов, архитектор инфраструктуры информационной безопасности, «Инфосистемы Джет».
Усредненные результаты выполнения групп функций, протестированых по методике «Инфосистемы Джет», для всех российских решений
«Российские NGFW-решения демонстрируют удовлетворительную зрелость в части централизованного управления и отчетности, что отражает общее стремление отечественных разработчиков к развитию этих функций. Есть явный прогресс в ключевых областях защиты, однако рынок NGFW в России находится в стадии активного формирования, где наблюдается большой разброс в подходах к реализации функциональности и стабильности работы. В целом, рынок демонстрирует потенциал к дальнейшему развитию и созреванию, но требует внимательного анализа как со стороны разработчиков, так и со стороны заказчиков», — сказал Роман Асаев, руководитель группы сетевой безопасности центра информационной безопасности, «Инфосистемы Джет».
Производители активно развивают сетевые функции — поддержку протоколов динамической маршрутизации или виртуальные роутеры в самом устройстве (функционал VRF). Кроме того, рынок начинает задумываться и об удобстве эксплуатационных возможностей — о возможности диагностики в CLI, доступе к логам ОС или наличии API в продукте. К блоку функционала, который в среднем меньше всего реализован, относятся функции SD-WAN или WEB-portal VPN, распространенные в зарубежных решениях.
Что касается результатов нагрузочных тестов, важно отметить, что их задачей не являлось сравнение решений между собой, сравнивались заявленные вендором результаты с полученными в лаборатории «Инфосистемы Джет» данными.
На результаты влияет множество факторов: профиль трафика — в каждой организации он свой; настройки NGFW — включенные модули, используемое количество сигнатур IPS и т.п.; настройки правил МСЭ — количество правил, широта правил (количество трафика, проверяемое каждым правилом, особенно актуально для SSL Inspection, AppControl и пр.).
«Благодаря полученным в лаборатории “Инфосистемы Джет” результатам можно сделать вывод о том, что рынок и производители не стоят на месте. Положительная динамика наблюдается на рынке в целом, а реальная производительность все ближе к декларируемой. Результаты и методология тестирования находятся в открытом доступе — обмен знаниями и опытом, на наш взгляд, очень важен для роста продуктов и индустрии в целом», — сказал Александр Джаганян, руководитель направления сетевой безопасности центра информационной безопасности, «Инфосистемы Джет».
В 2025 г. бурное развитие решений NGFW и конкурентная борьба производителей продолжаются, ведь помимо импортозамещения есть задачи по созданию новых и масштабированию существующих инфраструктур, для которых также необходимо подобрать надежное и соответствующее требованиям бизнеса решение NGFW. «Инфосистемы Джет» продолжает тестирование.
Поделиться
Короткая ссылка
