Тестируем шлюз безопасности UserGate на железе зарубежного NGFW

[amarao]

А почему оно NGFW, а не PGFW? Если это третье поколение, то после появления четвёртого, оно же становится previous generation, нет?

[SlipKo]

Печально, что до сеих пор нет возможности посмотреть нагрузку по ядрам у UG.

[AC7]

Коллеги из UserGate говорят, что загрузка по ядрам равномерно распределяется. А посмотреть загрузку по конкретному ядру - да, такой возможности нет.

[Anrikigai]

Что-то я потерялся.

С одной стороны вы обещаете накатить UG на железку. Да и потом вроде про Rufus и LCD есть упоминание.

Но первым же пунктом хвастаетесь, как UG в вашей виртуальной среде работает быстрее ожидаемого, потому что у вас супер серверы.

В самом начале сотрудничества мы запросили у коллег из UserGate ТТХ под виртуальные решения. Но показатели характеристик вендора посчитаны под виртуализацию на процессорах с частотой в 2GHz. В наших облаках виртуализация построена на процессорах с частотой 3.1GHz. В итоге нам удалось получить более высокие показатели на своих тестах

И про проблемы с дисковым контроллером позабавило.

Информацию сразу же передали вендору, надеемся, скоро удастся это исправить. 

Сначала прифигел. Потом сообразил, что, наверное, речь не о вендоре "списанной железки", а о UG. Но червячок сомнения гложет - просить "допилить софт", чтобы появилась возможность ставить UG на выведенный из эксплуатации чужой программно-аппаратный комплекс...

Поиграться интересно, вопросов нет. Помню детство золотое, когда на PIX ставили BSD, вроде даже Windows (ну а что, Pentium же был). Но если вы такое готовитесь массово в прод внедрять (а как иначе объяснить просьбу "допилить" UG) - выглядит несколько странно. По крайней мере пока еще.

[dataline]

Спасибо, уточнили формулировки.
Первый пункт дополнили ― действительно, сначала мы тестировали по описанным шагам виртуальное решение на нашем оборудовании виртуализации. Это помогло обкатать сценарий тестирования. А потом уже решились на эксперименты с другим оборудованием.

Про массовое внедрение такой схемы речи здесь нет, скорее, это временное решение на случай задержек с закупками новых ПАКов и т.п. Мы показали вариант для единичных специфических запросов, которые нам встречались, и поделились способом проверки UserGate на прочность.

[Antra]

Не подскажете по используемым профилям трафика?

Вы реально с помощью iperf тестировали производительность IPS, URLF?

Какие сигнатуры на UG должны были напрячься, проверяя iperf, при включении профиля "Linux"?

Как вы настроили iperf, чтобы он доверял вашему "левому" сертификату при подключении инспекции SSL?

В соответствии с моими ожиданиями при трафике iperf о задействовании функционала NGFW речи не идет, тупой iptables перекидывает пакетики. Производительность не должна меняться, ибо нет трафика, который надо расшифровать, проверить на кучу категорий и сигнатур IPS на разных портах и протоколах. .

Хотя бы TRex погонять с imix, а лучше tcpreplay для реального трафика...

[Gonzichek]

Ну кстати да, многие даташиты не пойми как промеряны, а на живой инфре в полку валятся.

[Ava256]

Аналогичный вопрос.Какие такие сигнатуры должны были сработать на непонятный трафик iperf ) По факту проверялось влияние проходящего сетевого трафика на работу файервола в режиме все пропускать ) Вот если включить хотя бы ips для сетевых сервисов windows и по smb покопировать файлы с машины на машину, производительность сразу просядет ) А ещё это железкой можно гвозди забивать, тоже полезная функция, если не знаешь зачем она нужна )

[Qetzlcoatl]

По внутренним замерам на "сертифицированном" железе на Emix трафике:
- включение определения приложений по L7 уменьшает пропускную способность на ~10%;
- включение контентной фильтрации - в 2 раза;
- включение SSL инспектирования - ещё в 2 раза;
- включение IDPS самое "тяжёлое" - до 10 раз.
Но все эти замеры производились на версии 5.0.
Версия 6.1 ушла далеко в перёд, как по "чистой" производительности (всё выключено) так и по уменьшению влияния проверок на производительность. Но по ней пока нет официальных замеров.

[iteron_mark]

а какая аппаратная платформа использовалась для тестов?

[ekutumin]

Iperf - это L3/L4 трафик, поэтому использование всяких правил фильтрации IPS, URL и так далее бессмысленно. Есть бесплатные L7 генераторы трафика, как например Trex.

[Antra]

Ну почему бессмысленно? От задач зависит.

Если хочется продемонстрировать красивые показатели производительности при всех включенных защитах, iperf очень даже подходит.

[ekutumin]

Ито верно))

Однако все-же режим IPS инспекции = 9 Gbps, а потом добавили SSL инспекцию и получили 8.3 Gbps. В Iperf нет SSL траффика.

[Antra]

Я не думаю, что на UG все настолько плохо, что включение простой проверки "а не SSL ли это?" существенно роняет производительность.

Скорее разные параметры тестирования (где-то 70 потоков, где-то 120, где-то есть -w 32768, где-то нет...). Хотя уже ничему не удивлюсь.

[13oz]

tl;dr

Тут снова обошлись тестами а-ля "смотрите, мы научились пропускать пакеты!", или таки собрались с силами посмотреть, как UG справляется со своей основной задачей?