Тестирование PT NGFW: ранняя версия межсетевого экрана нового поколения от Positive Technologies

[Elon_space]

Из таблицы не понял, по каким пунктам расхождения в заявленной и реальной пропускной способности. И есть ли вообще?

[bdoxhobehue]

Это две таблицы с разными условиями тестирования.

[Elon_space]

Я про вторую таблицу с процентовкой по простым и правилам средней сложности. Тут факт результат в рамках заявленного вендором или где-то ниже/ не дотягивает?

[bdoxhobehue]

Результаты, ниже заявленного, там по нагрузке CPU можно судить, так как наш стенд не может дать больше и это не релизная версия, железо тоже будет другим. С GEN5 процами. В планах тесты c IXIA.

[BI_Brainiam]

Тесты тестами… Но ведь как, например, со статистикой бывает: вроде и наглядно, вроде и достоверно, но есть нюансы, причем порой критичные… Вот вы по итогу рекомендуете МЭшку или продукт еще сырец?

[bdoxhobehue]

Продукта еще нет:) он появиться после ПХД, это пред релиз тесты. Могу сказать что по производительности хорошие данные, есть крутые фишки как например VC, но естественно необходимо проверить надежность и остальной функционал. Так что ждем июня.

[Ava256]

Не понял что тут тестировалось.
Пропускная способность FW по разрешающему правилу? Влияние на пропускную способность включенных AppControl и ips с неизвестным набором правил? И это стоило того?

[bdoxhobehue]

Да, по последнему разрешающему правилу, то есть он прошел все 85 к правил. APP control нельзя выключить, IPS были включены все сигнатуры, их порядка 10К. Да тесты максимально синтетические, но сейчас у вас появилось понимание о том что PT позиционирует себя в high end сегменте.

[leitosama]

А что за движок внутри IPS и откуда появились 85к правил? На 2023 год у FortiGate'а было ~10-16k правил (source).

[bdoxhobehue]

По утверждению ПТ, движок IPS собственная разработка. 85К правил на генерированы с помощью API. Если хотите пруфы могу скриншот найти.

[leitosama]

Конечно, я думаю не только мне интересно)

[Borg_IT]

Чтобы статья претендовала на серьёзное исследование (в духе старого хабра) ей не хватает важного атрибута - методики тестирования. Например, как можно говорить о результатах производительности IPS без описания конкретной методики, в которой указываются, что за правила IPS были включены, в каком месте сессии IPS искала сигнатуры, применялся ли поиск сигнатур в сжатых HTTP(s), осуществлялось ли расшифрование TLS-сессий и т.д.

Без этой информации - это просто маркетинговая статья с показателями из даташитов производителя.

[bdoxhobehue]

В этой статье основной акцент был сделан на производительность, естественно все что вы написали необходимо и это будет в цикле следующих статей. Сейчас мы ожидаем релиза и после этого будем разбираться с ней и в хвост и в гриву.

[Borg_IT]

PT в своих выступлениях рассказывал, что использует pooling CPU. Как удалось получить конкретные цифры по утилизации CPU?

[bdoxhobehue]

Для изолированных ядер используется подход на основе семплинга. Аналогичные реализации можно найти в других продуктах, использующих DPDK, например в Trex.

[Borg_IT]

Имелось ввиду режим, при котором утилизация CPU выводится в 100% для обеспечения наибольшей производительности

[onetosx]

Ставить на периметр устройство, которое не имеет на борту NAT.

А декрипта как работает?

[bdoxhobehue]

NAT будет продемонстрирован на ПХД. Декрипта как и всех MITM.

[onetosx]

Производительность ее какая?

[bdoxhobehue]

На TREX не померишь, ждем офф выхода и далее собираем новую лабу с IXIA

[onetosx]

А у нас Иксию не продают же в РФ. Насколько мне известно, она имеется в каком-то доступе только в одной компании, имеющей в названии сходство с парнокопытным животным.

[first-in-first-out]

В общем и целом неоднозначно. Материал интересный, схемы красивые, но:

Явной методики не представлено
Про ошбики 0% информации
Профиль трафика не разложен
Странный выбор нагрузочного инструмента
Какой TLS?
API - уже далеко не новость
Кол-во сигнатур тоже не самое большое, чем обсуловлен выбор?
Конфигурация шатла