Почему одни межсетевые экраны нового поколения (NGFW) держат нагрузку, а другие деградируют? Разбор независимого тестирования «Инфосистемы Джет»: как рост числа правил влияет на производительность, пропускную способность, число сессий и скорость обработки соединений.
- 1. Введение
- 2. Тест, который оказался честным
- 3. Момент, где всё начинает ломаться
- 4. Почему реальные проблемы начинаются не с гигабит
- 5. Почему 200 правил — это уже тревожный сигнал
- 6. Архитектура решает больше, чем кажется
- 7. Разница между вендорами становится видна только под нагрузкой
- 8. Где заказчики чаще всего ошибаются
- 9. Выводы
Введение
На рынке NGFW долгое время существовала интересная ситуация: каждый вендор оперировал собственными метриками, публиковал «лабораторные» цифры и аккуратно обходит сложные вопросы (например, как устройство ведёт себя в реальной инфраструктуре с тысячами правил и включёнными модулями безопасности).
На этом фоне тестирование, которое провела «Инфосистемы Джет», выглядит почти как исключение. Специалисты попытались приблизиться к живой эксплуатации: EMIX-трафик, включённые IPS, антивирус, контроль приложений, SSL Inspection, сценарий периметрового файрвола для компании на 500–1000 сотрудников.
Тестировались продукты Positive Technologies, UserGate, «С-Терра СиЭсПи», «Айдеко», «Код Безопасности», Check Point Software Technologies, ГК InfoWatch и «ИнфоТеКС»:
- UserGate NGFW 7.4.1;
- PT NGFW 1.7.2;
- С-Терра Экран-М;
- Ideco NGFW v18;
- Континент 4.1.9;
- Check Point R81.2;
- Ideco NGFW v16;
- InfoWatch ARMA Стена (NGFW);
- UserGate 7.1.0 RC;
- ViPNet Coordinator HW 5.3;
- Континент 4.1.7.
Но самое интересное в этой истории — даже не сами результаты, а то, что остаётся за кадром. Потому что цифры опубликованы, а вот их интерпретация — нет.
Тест, который оказался честным
Обычно нагрузочное тестирование NGFW — это история про «максимальную пропускную способность». Вендор показывает красивую цифру в гигабитах, и на этом разговор заканчивается. В реальной жизни это почти ничего не говорит о том, как устройство поведёт себя в продакшене.
В тесте «Инфосистемы Джет» логика другая. Здесь предел производительности фиксируется не в тот момент, когда «просели гигабиты», а когда потери пакетов или сессий превышают 1 %. На первый взгляд это техническая деталь, но именно она полностью меняет смысл результатов.
Потому что в реальной сети критично не то, сколько трафика можно прокачать в идеальных условиях, а то, насколько стабильно обрабатываются соединения. Пользователь не замечает «просадки throughput», он замечает, что отваливается VPN, зависает видеоконференцсвязь или не открывается CRM.
И именно в этой плоскости тест начинает показывать неприятные для некоторых вендоров вещи.
Момент, где всё начинает ломаться
Если присмотреться к цифрам, вырисовывается интересная особенность: при относительно небольшом количестве правил некоторые NGFW демонстрируют нормальные показатели — в районе 8,5 Гбит/с, но дальше происходит резкий перелом.
При увеличении числа правил до нескольких тысяч производительность падает в несколько раз (примерно до 2,5 Гбит/с), а затем продолжает снижаться до уровней около 1 Гбит/с и ниже.
Рисунок 1. Нагрузочное тестирование NGFW
Важно даже не само падение, а его характер. Это не плавная деградация, которую можно ожидать при росте нагрузки. Это эффект, когда система начинает сдуваться многократно, как будто упирается в архитектурное ограничение.
Почему реальные проблемы начинаются не с гигабит
Давайте сразу определимся, что пропускная способность — вообще не главный показатель. Пока устройство ещё держит поток, создаётся иллюзия, что всё в порядке. Но на самом деле первыми начинают деградировать совсем другие вещи — количество новых соединений и общее число активных сессий.
Это логично: каждый новый запрос в NGFW — это не просто пакет, а целый набор операций. Нужно разобрать соединение, сопоставить его с правилами, прогнать через модули анализа, иногда расшифровать SSL. И если механизм обработки правил устроен неэффективно, нагрузка растёт быстрее, чем кажется.
В результате система ещё может «качать гигабиты», но уже не справляется с динамикой трафика. Соединения начинают теряться, сессии обрываются, появляются тайм-ауты. Вроде работает, но постоянно «что-то не так».
Почему 200 правил — это уже тревожный сигнал
Отдельно стоит обратить внимание на тот уровень, где начинается деградация. В тесте заметные проблемы появляются уже на уровне порядка 200 правил.
В реальной инфраструктуре такое количество правил — это даже не «сложная политика», а скорее базовый уровень. Если система начинает заметно проседать уже на старте, это означает, что в продакшене она неизбежно окажется под постоянным давлением.
Здесь важно понимать: тест Jet — это не стресс-тест в классическом смысле. Это попытка воспроизвести типовую среду. А значит, наблюдаемая деградация — это не крайний случай, а вполне реальный сценарий.
Архитектура решает больше, чем кажется
Когда речь заходит о производительности NGFW, часто обсуждают процессоры, интерфейсы и «железо». Но результаты такого рода тестов довольно быстро показывают, что ключевую роль играет совсем другое.
Всё упирается в то, как именно система работает с правилами. Насколько эффективно она ищет совпадения, умеет ли оптимизировать политики, использует ли кеширование, разделяет ли быстрый и медленный путь обработки трафика. Есть ли аппаратное ускорение или всё ложится на CPU.
Если эти механизмы реализованы неудачно, рост количества правил превращается в лавинообразное увеличение нагрузки. И никакое «мощное железо» не спасает — оно просто быстрее достигает своего предела.
Именно поэтому два NGFW с похожими характеристиками могут вести себя совершенно по-разному при одинаковых условиях.
Разница между вендорами становится видна только под нагрузкой
На фоне этого особенно интересно сравнение разных решений в рамках одного теста. Потому что в лёгких сценариях различия между ними часто минимальны. Почти все умеют выполнять базовые функции, почти все показывают приличные цифры.
Но как только усложняется политика и растёт нагрузка, начинает проявляться архитектура. У одних решений деградация происходит резко и рано, у других — гораздо более плавно, без потери управляемости.
Это не делает одни продукты плохими, а другие хорошими, но чётко показывает, где проходят границы применимости.
Таблица 1. Результаты нагрузочного тестирования
| Нагрузочное тестирование | С-Терра Экран-М | UserGate NGFW 7.4.1 | PT NGFW 1.7.2 | Ideco NGFW v18 | Континент 4.1.9 | Check Point R81.20 | Ideco NGFW v16 | InfoWatch ARMA Стена (NGFW) | UserGate 7.1.0 RC | ViPNet Coordinator HW5 5.3 | Континент 4.1.7 | |||||||||||||||||||||||||||||||||
|
Платформа |
Серверная платформа на базе x86 (не серийная) с 128 CPU и 512 GB оперативной памяти | UserGate NGFW F8010 | 2010 | EX | IPC-3000F40 | 7000 Plus | EX | 0 | - | HW5000 | IPC-R1000 | |||||||||||||||||||||||||||||||||
| EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
C, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | EMIX, Gbit/s |
CC, k | CPS, k c/s | PPS, Mp/s | |
|
Результаты теста вендора |
Не заявлялось | - | - | - | 5 | - | - | - | 10 | - | - | - | 6 | - | - | - | 6.3 | - | - | - | 9.50 | - | - | - | 5 | - | - | - | 7.8 | - | - | - | Нет данных | - | - | - | 1 | - | - | - | 4.90 | - | - | - |
|
200 правил МЭ |
23.53 | 27.9 | 24.2 | 2.83 | 8.57 | 10.3 | 8.28 | 1.25 | 23.73 | 1710 | 36.5 | 3.9 | 4.2 | 2.31 | 2.96 | 0.64 | 7.75 | 5.61 | 7.50 | 0.98 | 8.5 | 4.98 | 8.47 | 1 | 0.75 | 0.55 | 0.85 | 0.09 | 6.2 | 6 | 5.8 | 0.73 | Нет данных | Нет данных | Нет данных | Нет данных | 1.22 | 1.12 | 1.2 | 0.14 | 2.50 | 1.64 | 2.5 | 0.35 |
|
200 правил МЭ и 20 правил NAT |
25.98 | 25.2 | 26.3 | 3.14 | 8.46 | 9.39 | 8.03 | 1.25 | 23.63 | 1710 | 36.4 | 3.9 | 3.7 | 2.3 | 3.89 | 0.58 |
7.34 |
5.42 | 7.26 | 0.93 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
|
2000 правил МЭ |
24.71 | 30.5 | 25.1 | 2.99 | 2.5 | 2.66 | 2.18 | 0.359 | 23.63 | 1710 | 36.5 | 3.9 | 3.5 | 1.42 | 3.3 | 0.54 | 7.54 | 5.60 | 7.50 | 0.96 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
|
2000 правил МЭ, 200 правил NAT |
24.61 | 22.1 | 25.1 | 2.98 | 2.49 | 2.79 | 2.37 | 0.358 | 23.6 | 1710 | 36.4 | 3.9 | 3.5 | 1.98 | 3.42 | 0.54 | 7.32 | 5.73 | 7.27 | 0.93 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
|
5000 правил МЭ |
23.73 | 20.8 | 23.9 | 2.85 | 1.27 | 1.42 | 1.25 | 0.19 | 23.9 | 1760 | 34.8 | 3.9 | 3 | 1.74 | 2.91 | 0.45 | 6.68 | 4.87 | 6.52 | 0.84 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
|
5000 правил МЭ, 500 правил NAT |
23.34 | 26 | 24 | 2.82 | 1.29 | 1.42 | 1.25 | 0.19 | 23.9 | 1760 | 34.8 | 3.9 | 3 | 1.81 | 2.96 | 0.47 | 6.62 | 5.29 | 6.51 | 0.82 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
|
10000 правил МЭ |
23.34 | 23.6 | 23.9 | 2.78 | 0.787 | 0.914 | 0.715 | 0.114 | 23.7 | 1710 | 36.5 | 3.9 | 0 | 0 | 0 | 0 | 5.54 | 4.18 | 5.52 | 0.70 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
|
10000 правил МЭ, 1000 правил NAT |
23.24 | 14.8 | 23.6 | 2.82 | 0.78 | 0.875 | 0.727 | 0.114 | 23.7 | 1760 | 32.5 | 3.9 | 0 | 0 | 0 | 0 | 5.34 | 3.72 | 5.27 | 0.68 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
Где заказчики чаще всего ошибаются
Проблема в том, что выбор NGFW до сих пор часто строится на очень поверхностных критериях. Смотрят на максимальную пропускную способность, на список функций, иногда — на цену. И почти не смотрят на то, как устройство ведёт себя в условиях, близких к реальности.
В результате на этапе пилота всё действительно работает. Правил немного, нагрузка ограничена, конфигурация аккуратная. Но по мере роста инфраструктуры политика усложняется, появляются дополнительные сервисы, филиалы, исключения. И именно в этот момент начинаются проблемы, которые невозможно было увидеть на старте.
Выводы
Результаты тестирования «Инфосистемы Джет» ценны не только сами по себе, но и как повод переосмыслить подход к выбору NGFW.
Тут наглядно показано, что реальная производительность определяется не цифрами в спецификации, а тем, как система справляется с ростом сложности. Насколько она устойчива к увеличению числа правил, как ведёт себя при включённых модулях безопасности, как реагирует на динамику трафика.
И, пожалуй, самый важный вывод здесь в том, что деградация — это не крайний случай, а нормальное поведение, если архитектура не рассчитана на масштабирование.
Поэтому выбирать NGFW по гигабитам — это примерно то же самое, что оценивать автомобиль только по максимальной скорости. В какой-то момент всё равно выяснится, как он ведёт себя на реальной дороге. И именно это в итоге оказывается решающим.
Рекомендуем также ознакомиться с нашим обзором российского рынка межсетевых экранов нового поколения (NGFW). Кроме того, не так давно мы развенчали 4 мифа про NGFW, которыми вы так дорожите.
