PT NGFW - NGFW
В 2022 году компания Positive Technologies заявила о разработке своего NGFW. Начальное позиционирование продукта строится вокруг создания ПЕРВОГО российского межсетевого экрана нового поколения с высоким уровнем производительности, надежности и стабильности. С учетом, что PT NGFW только развивается, хочется в большей степени разобрать именно параметр «производительность» PT NGFW.
В компании заявляют про амбициозные планы по получению высокой пропускной способности за счет модернизированного стека TCP/IP. Речь идет о 20 Гбит/сек в режиме NGFW и 130 Гбит/сек в режиме L4-фильтрации. Цифры действительно внушительные. Но, как обычно, дьявол кроется в мелочах.
И эти «мелочи» – в аппаратных платформах, на которых получаются такие цифры производительности.
Первый пример – младшая платформа на Intel Atom с 2 ядрами:
Здесь мы видим 310 Мбит/сек в режиме IPS.
Например, UserGate на своей младшей платформе C100 заявляет производительность для IPS 300 Мбит/сек и те же самые 300 Мбит/сек для режима NGFW.
У «Континент 4» ситуация аналогичная – младшая платформа IPC-R10 в режиме NGFW выдает 630 Мбит/сек.
Странно, ведь PT NGFW обещает модернизированный стек TCP/IP с высокой производительностью. Но на младших платформах это не заметно.
Посмотрим на средние платформы:
PT NGFW – Intel Atom, 16 ядер, 64 ГБ ОЗУ. 4 Гбит/сек в режиме IPS.
У UserGate под такие параметры попадает E3000 – 14 ядер, 32 ГБ ОЗУ. 3,9 Гбит/сек в режиме IPS и 3,9 Гбит/сек в режиме NGFW.
У «Континент 4» сопоставимой платформой выступает IPC-R800. 8 ядер, 16 ГБ ОЗУ. 5 Гбит/сек в режиме IPS и 4,8 Гбит/сек в режиме NGFW.
Хм. Опять видим, что каких-либо высоких цифр производительности у PT NGFW в сравнении с другими игроками рынка нет. Посмотрим на старший сегмент.
PT NGFW – Intel Xeon Gold, 48 ядер, 768 ГБ ОЗУ. 44,9 Гбит/сек в режиме IPS. Уже значительно!
Вернемся к UserGate и «Континент 4»… Но их здесь нет, так как у данных вендоров отсутствует сопоставимая по характеристикам платформа.
Самая старшая платформа UserGate – F8000. 36 ядер, 64 ГБ ОЗУ. 8 Гбит/сек в режиме IPS и 8 Гбит/сек в режиме NGFW.
Самая старшая платформа «Континент 4» – IPC-3000F. 28 ядер, 32 ГБ ОЗУ. Заявляют 10 Гбит/сек в режиме IPS и 9 Гбит/сек в режиме NGFW.
Вроде бы PT NGFW показывает большую производительность. Но давайте посмотрим на таблицу.
|
Младший сегмент |
||||
Вендор |
Процессор |
ОЗУ |
МСЭ |
IPS |
NGFW |
PT NGFW |
2 ядра |
8 ГБ |
727 Мбит/сек |
310 Мбит/сек |
- |
UserGate – C100 |
4 ядра |
8 ГБ |
2 000 Мбит/сек |
300 Мбит/Сек |
300 Мбит/сек |
Континент 4 – IPC-R10 |
2 ядра |
4 ГБ |
1 800 Мбит/сек |
150 Мбит/сек |
600 Мбит/Сек |
|
Средний сегмент |
||||
Вендор |
Процессор |
ОЗУ |
МСЭ |
IPS |
NGFW |
PT NGFW |
16 ядер |
64 ГБ |
10 Гбит/сек |
4 Гбит/сек |
- |
UserGate – E3000 |
14 ядер |
32 ГБ |
40 Гбит/сек |
3,9 Гбит/сек |
3,9 Гбит/сек |
Континент 4 – IPC-R800 |
8 ядер |
16 ГБ |
24 Гбит/сек |
5 Гбит/сек |
4,8 Гбит/сек |
|
Старший сегмент |
||||
Вендор |
Процессор |
ОЗУ |
МСЭ |
IPS |
NGFW |
PT NGFW |
48 ядер |
768 ГБ |
130 Гбит/сек |
44,9 Гбит/сек |
- |
UserGate – F8000 |
36 ядер |
64 ГБ |
40 Гбит/сек |
8 Гбит/сек |
8 Гбит/сек |
Континент 4 – IPC-3000NF2 |
28 ядер |
32 ГБ |
80 Гбит/сек |
10 Гбит/сек |
9 Гбит/сек |
Весь маркетинг пропадает. В PT NGFW бОльшие цифры производительности получаются просто за счет использования более мощного чем у конкурентов железа (768 ГБ ОЗУ, Карл!). Интересно, что на сопоставимых по мощности платформам PT NGFW даже проигрывает в производительности.
А где же модернизированный стек TCP/IP, который должен обеспечивать высокую пропускную способность?
Понятное дело, что сравнивать NGFW по производительности только по тем цифрам, которые публикую вендоры не совсем правильно, так как везде разные профили трафика и разные методики. Но как минимум для понимания «А что вообще происходит?» – это вполне рабочий способ.
В общем мораль такова: давайте перестанем верить в маркетинговые заявления и начнем наконец заглядывать «внутрь».