Чеклист для тестирования NGFW

Легко ли выбрать NGFW

Когда мы с вами берем к себе в организацию NGFW, то нам нужно его проверить перед покупкой. Обычно это сложно, потому что сейчас все оборудование многофункциональное и непонятно в чем вендор хорош, а где нет.

Руководители смотрят в Gartner и выбирают лидеров.

А как выбрать нужную производительность

Опытные люди выбирают модели, посмотрев тесты NSS LABS, например, самый последний тест 2019 года показан внизу. Здесь проведено сравнение на одинаковых настройках всех вендоров и заодно проведено сравнение с результатами из официальных datasheet (что не совсем корректно, поскольку в официальных dataseheet скорости измерялись на других настройках). Никогда не выбираем по официальным datasheet! Вы смело выбираете устройство нужной вам скорости только по тестам, например, по данным NSS и затем переходите к сравнению функционала и удобства использования. Например, если синий уровень достигает 7Гбит/с и вам нужно 7 Гбит/с, то выбираете варианты оттуда.  Однако не все так просто!

Лучше, если вы решили протестировать сами. 

Я создал таблицу. Это чеклист, по которому вы выбираете нужные вам функции и просите вендора их включить. Вы должны добавить в методику тестирования пункт проверяющий каждое ДА в вашей таблице. Если вендор сделал это все на нужной вам скорости - покупайте. Если вы включили нужные вам функции и устройство производителя не выдержало одновременного включения функций - просите принести более мощную модель! 

Первые три пункта: версия операционки и версия баз. Они реально влияют на производительность, поэтому запишите версию себе в таблицу, чтобы тест можно было повторить другим людям или чтобы вы могли сравнить предыдущие результаты после обновления на новую версию, с новыми функциями. Если вы не знаете на какой версии была протестирована производительность, то вам сложно будет возвращаться к результатам тестов и сравнивать их с чужими результатами.

Остальные пункты по-разному влияют на производительность. Основное правило: чем больше проверок вы просите устройство проделать с трафиком, тем ему сложнее и тем оно будет медленнее.

• Как вы думаете, где легче искать HTTP только на 80 порту или на всех 65535?
• Сколько ресурсов нужно устройству анализа, чтобы разрешить facebook и запретить dropbox, ведь они ходят по одному 443 порту?
• Если вы сравниваете одно устройство с 100% включенных сигнатур IPS, а другое с 40% то интересно какой результат вы хотите получить? )
• Если вы сравниваете один потоковый антивирус, который ловит ВПО только по HTTP, а другой по HTTP, HTTPS и SMB, то как вы думаете какому устройству сложнее? )

На самом деле даже включение анализа и блокировки файлов в приложениях FTP и SMB может убить производительность начисто. Так что будьте аккуратны в своих желаниях! )