Как правильно проводить нагрузочные тесты для NGFW: советы и рекомендации

Как правильно проводить нагрузочные тесты для NGFW: советы и рекомендации
В реальных сетях невозможно, чтобы все устройства устанавливали все сессии одновременно. Даже при тестировании на скорости 400 Гбит/с нельзя подавать все 400 Гбит/с и одновременно открывать 1 000 000 сессий в секунду, так как это приведет к DDoS-атаке, которая может вывести из строя NGFW без должной защиты. NGFW подвержены атакам, основанным на большом количестве новых сессий. Чтобы предотвратить это, разработчики внедряют защиту от DoS на интерфейсах.

Для эффективного тестирования NGFW необходимо использовать стадию RAMP UP, которая предполагает постепенное увеличение количества новых соединений через тестируемое устройство.

Этапы тестирования Throughput на IXIA

Тестирование Throughput включает три ключевых этапа: RAMP UP, STEADY и RAMP DOWN.



  1. RAMP UP: На этом этапе происходит плавный рост всех параметров. Например, открывается 100 новых сессий в секунду с целью достичь 1000 одновременных сессий. Этот процесс занимает несколько минут.
  2. STEADY: На основном этапе мы продолжаем подавать необходимый трафик в уже установленные сессии, имитируя типичную работу сети. Это может длиться от нескольких минут до суток, чтобы удостовериться в стабильности устройства под максимальной нагрузкой. Если тест STEADY длится всего несколько минут, это может свидетельствовать о неуверенности поставщика. Длительное тестирование позволяет выявить утечки памяти, что может привести к перезагрузке устройства.
  3. RAMP DOWN: На заключительном этапе мы плавно завершаем все сессии через TCP FIN или RST. Этот процесс также занимает несколько минут.
При тестировании двух NGFW в режиме HA Active-Passive, когда активное устройство выходит из строя, весь трафик перенаправляется на резервное устройство. Даже в этом случае не все сессии будут пытаться открываться одновременно. Если первая попытка не удалась, сессия будет повторно запускаться через несколько секунд.

Если ваша цель — тестирование на CPS, возможно, вам потребуется создать 1000 новых сессий в секунду, чтобы оценить реакцию устройства, его процессора, буферов памяти, лог-коллекторов и дисков. Важно также учитывать, какой функционал включен для каждой сессии. Показатель CPS будет снижаться по мере увеличения объема анализа, выполняемого NGFW, включая DPI, URL, OCSP, SSL, IPS, AV и TI.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь

ksiva

Пусть будет утренний в честь того, что я его создал утром.