Поделиться
Производительность PT NGFW от Positive Technologies оказалась выше заявленной в документации
Межсетевой экран нового поколения PT NGFW прошел независимую оценку работоспособности в лаборатории BI.Zone. В испытаниях участвовала старшая аппаратная платформа продукта — PT NGFW 3040. Тестирование в разных режимах работы показало, что реальная производительность PT NGFW выше заявленной в технической документации. Высокая производительность является одним из основных конкурентных преимуществ PT NGFW. При этом продукт адаптирован не только для крупных, но и небольших инсталляций. Об этом CNews сообщили представители Positive Technologies.
В 2024 г. около 40 российских компаний заявили о том, что разрабатывают или уже выпустили продукт класса NGFW. В условиях роста продуктовых предложений компании делают выбор, полагаясь на результаты пилотных тестирований, а также на данные независимых лабораторий. Одним из таких исследовательских центров в России является лаборатория BI.Zone, которая протестировала межсетевой экран нового поколения PT NGFW 3040.
Испытания проходили на специальном стенде BI.Zone. Анализ выполнялся как с включенной, так и c выключенной системой предотвращения вторжений (IPS), с расшифровкой трафика и без нее. На практике для повышения скорости обработки трафика пользователи могут отключать модуль IPS при использовании NGFW внутри периметра, например между центрами обработки данных. Тесты пропускной способности проводились с использованием профиля трафика EMIX — смеси трафика, созданного на основе общего профиля крупных компаний. Этот же набор регулярно используется во внутренних тестах PT NGFW (испытания проводились в соответствии с RFC 9411 — мировым стандартом тестирований межсетевых экранов), результаты которых опубликованы на сайте Positive Technologies.
Проверка в лаборатории BI.Zone показала, что продукт фактически поддерживает до 20 млн. одновременных соединений, в то время как заявленный сейчас порог в документации PT NGFW — до 14 млн. Анализ количества новых сессий, обрабатываемых в секунду, также доказал, что у ПАКа PT NGFW 3040 есть запас производительности. При предельной нагрузке генератора в лаборатории BI.Zone показатель достиг 2,07 млн. сессий/с; процессор PT NGFW при этом был загружен только на 77% — в технических характеристиках сообщается о 2,2 млн. Во время тестов максимальная пропускная способность при проверке зашифрованного трафика составила около 33 Гбит/с, при этом в документации указано до 25 Гбит/с. В одном из сценариев также проверено качество обнаружения киберугроз (catch rate): продукт заблокировал 85,3% запущенных атак. Оставшиеся порядка 15% атак, по оценке экспертного центра безопасности PT Expert Security Center (PT ESC), являются низкоприоритетными, так как не распространены в России за период с 2021 г. Команда экспертов PT NGFW при этом проактивно ведет работу по детектированию и низкоприоритетных угроз для повышения уровня catch rate.
«Мы обратились в BI.Zone для проведения независимой оценки при помощи признанного в индустрии инструментария — рынок должен был увидеть реальные показатели. Именно таких тестирований сегодня не хватает отрасли ИБ: компании по-разному проверяют свои продукты, и далеко не всегда результаты можно назвать объективными, — сказал Юрий Дышлевой, лидер продуктовой практики PT NGFW. — Полученные в ходе тестов высокие результаты реальной пропускной способности межсетевых экранов — это не только возможность для крупных компаний строить высоконагруженные центры обработки данных с минимальным набором оборудования и расходами, максимальной простотой внедрения и эксплуатации, но и гарантия стабильности работы PT NGFW в любой инфраструктуре. Запас производительности является своего рода страховкой от внезапных всплесков нагрузки, сложных профилей трафика и атак, направленных на отказ межсетевых экранов».
Такие результаты были достигнуты на одной аппаратной платформе PT NGFW 3040. При этом некоторые российские вендоры демонстрируют схожие показатели производительности только при использовании десятков аппаратных платформ в кластере.
Поделиться
Короткая ссылка
