Обновить

Почему построить межсетевой экран на 200 Гбит/с — это ад инженерии: честный разбор Mirada

Уровень сложностиСредний
Время на прочтение18 мин
Охват и читатели11K
Всего голосов 11: ↑10 и ↓1+12
Комментарии9

Комментарии 9

разные IPS и межсетевые экраны: PIX, ASA, Check Point, IPFW, IPtables, ISA/TMG, WatchGuard, Sophos, Optenet, Palo Alto Networks, Fortinet

Чем рекламируемый Вами продукт лучше уже существующих вышесказанных? Есть ли у него перспектива на мировом коммерческом рынке?

Насчёт “рекламируемого”: пролистайте главы 2, 4, 10, 11, 12, 13. Там прямо написано: нет объектной модели, заблокированные сессии не журналируются локально, DPI на базе Suricata — это не зрелый App-ID, ICAP вместо потокового AV создаёт инфраструктурный налог. Рекламный текст так не выглядит.

По существу: чем лучше? В одном конкретном параметре: изолированный Control Plane под нагрузкой 193 Гбит/с при 19% CPU на дашборде. У большинства программных шлюзов при таком трафике SSH перестаёт отвечать. Здесь управляемость сохраняется. Это инженерный взгляд, а не маркетинговая информация.

Про “мировой коммерческий рынок” тоже вопрос хороший, но он предполагает, что продукт туда метит. Не метит. Palo Alto Networks и Fortinet ушли с российского рынка в 2022-м. Задача Codemaster обеспечить российские ЦОД и телеком операторов, так чтобы была сертификация ФСТЭК и работа для рынка где важно импортозамещение. Это другая игра с другими правилами.

Про “мировой коммерческий рынок” тоже вопрос хороший, но он предполагает, что продукт туда метит. Не метит. Palo Alto Networks и Fortinet ушли с российского рынка в 2022-м. Задача Codemaster обеспечить российские ЦОД и телеком операторов, так чтобы была сертификация ФСТЭК и работа для рынка где важно импортозамещение. Это другая игра с другими правилами.

А что не так?
Многие коммерческие продукты имеют огромный легаси код в совей архитектуре, который тянет весь продукт вниз, накладывая ограничения. Раз Codemaster получил финансирование и смог с нуля создать новый продукт на современной базе под современные задачи с учетом современных и перспективных сетевых угроз, то почему бы не выйти на мировой рыной? Импортозамещение не означает изоляцию и не запрещает экспорт продукта.

Да, соглашусь, идея хорошая. Реально сейчас можно сделать лучше чем прошлые вендоры. Но давайте подумаем. В сетевой безопасности покупают не только производительность, а еще покупают доверие. Поставить российский МСЭ на периметр европейского банка или американского телекома в 2026 году это уже не технический, а политический вопрос…

Дружественные рынки если смотреть: Ближний Восток, Юго-Восточная Азия, Африка, Латинская Америка, да технически открыты. Там российский паспорт не блокирует сделку. Вопрос в том, есть ли у Codemaster ресурс на параллельный go-to-market за пределами домашнего рынка.

Сравнивать пока сырой конечно ngfw, с 15-20 летними цисками, с айпитейблз? Это серьезный вопрос?

Paolo Alto, fortinet ушли; checkpoint почти ушёл, да и сертифицирована версия дремучая.

ЕЕсли допилят продукт, получат сертификаты ФСТЭК, будет своя разработка на рынке. Не одними юзергейтами, випнетами или континентами обходиться

Мне понравился ваш обзор.

Нечасто такое в последнее время встретишь: много технических деталей и мало рекламы.

Спасибо !

Спасибо!

Спасибо!

Автору спасибо за действительно инженерный разбор без маркетинговой шелухи, большая редкость.

Пара уточняющих вопросов по архитектуре, которые возникли после прочтения:

  1. В статье упоминается, что строится классификационное дерево в памяти. Учитывая отказ от First Match, корректно ли я понимаю, что на 88 тысячах правил итоговое дерево поиска получается более плоским и детерминированным по задержке, чем классический последовательный обход? И как миграция на объектную модель (когда объект будет раскрываться в десятки IP) повлияет на этот алгоритм в следующих релизах - пойдет ли перестроение дерева в рантайме?

  2. По поводу изоляции CPU: 19% на дашборде при 100% утилизации ядер Dataplane — понятная ситуация. Реализован ли механизм предотвращения "Noisy Neighbor", когда, например, Elasticsearch внутри своего контейнера в момент ротации индексов внезапно начнет отъедать кэш L3 или каналы памяти у ядер Dataplane? Используется ли тут Intel RDT/CAT или жесткая изоляция только по ядрам?

  3. И вопрос вдогонку про высокую доступность: HA-линк синхронизирует conntrack. Учитывая скорость установки соединений (сотни тысяч CPS в тестах), какой механизм гарантирует, что сессия уже ушла в Dataplane на Master, но еще не реплицировалась на Slave до момента падения? Отбрасывается ли такой трафик на резерве или Mirada умеет делать "session pickup" с повторной валидацией TCP?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации