Комментарии 13
Всегда считал, что NGFW - это почти как NSFW, только помягче.
Есть 2 подхода для проектирования NGFW и обработки данных на нем, применительно к вычислительным мощностям:
CPU only - путь CheckPoint. За счет AVX/SSE/MBMI и прочих интринсиков батчить пакеты в регистрах CPU для параллельной обработки + низкоуровневые оптимизации драйверов и движков обработки данных с ASM внутри.
FPGA (ПЛИС)/ASIC - спец чипы для обработки той или иной операции.
Нигде в РФ я не видел хотя бы FPGA для какой-то из функций сетевой железки, все рубят в CPU и потому такая хреновая производительность.
А все почему, FPGA дороги? Нет! Просто нет вменяемых людей, кто может нормально спроектировать FPGA конвейер и отсинтезировать его работу. Формы на WebUI нашлепать - легко, взять opensource пакеты с перелицовкой якобы под бренд - еще проще. Затянуть к себе в "движки" SNORT/SURICATA/BRO - подержите мое пиво.
А лезть внутрь, нахер недо, в opensource этого ведь нет.
Короче начинание хорошее, еще один недоNGFW в России наравне с Континент, UserGate и прочим. Года 3-4 и может что и выйдет вменяемого.
P.S. Вру, видел я FPGA в РФ, в коммутаторах ELTEX.
Если не из сетевого оборудования - то FPGA Xilinx Spartan сплошь и рядом в комплексах Acelab (восстановление данных). Но в целом это редкость, да.
Оу, а может вы заодно знаете, сколько будет стоить fpga достаточного размера что бы сделать сетевой процессор на, допустим, 100gbps вместе с набором памяти для таблиц? И так, что бы его можно было купить с учётом санкций?
1) FPGA нужен, когда действительно есть проблемы с производительностью. У нас пока ее нет, потому что мы как раз и работаем со всеми необходимыми для этого CPU-инструкциями и поддерживаем многопоточную обработку трафика. Наша старшая платформа умеет обрабатывать 50 Гбит/c в режиме NGFW (L4FW+App Control+IDPS) и уже 200 Гбит/c в режиме L4FW+App Control, такой уровень производительности покрывает бОльшую часть потребности РФ рынка. Но это не означает, что мы совсем не будем рассматривать аппаратные ускорители в дальнейшем, просто на текущий момент мы не видим в этом потребности.
2) У нас под капотом нет ни одного open source компонента в "движках". DPI, IDPS, антивирус (естественно), веб-фильтрация и категоризация, DNS Security - все это наша собственная разработка, которую мы ведем уже достаточно давно.
Коллеги, FPGA в сетевых железках у нас встречаются чаще, чем кажется 🙂
В «Цифровых решениях» мы тоже активно используем FPGA — например, в брокере сетевых пакетов и балансировщике нагрузки. Последний, к слову, можно применять для кластеризации NGFW, что как раз перекликается с темой статьи.
уже год как юзергейт анонсировал fpga в своем ngfw for datacenter.
FPGA был очень сильно нужен лет 10-15 назад. А потом появились новые инструкции в процах и сетевые карты с аппаратной поддержкой TLS. Собственно после этого и начали ваять чисто CPU NGFW перенеся сетевой стек в user space. И производительности хватает за глаза. А вот по стабильности есть сомнения
убедиться, что импортозамещение не проблема, а челлендж.
В принципе, статью можно было и не писать т.к. челлендж начинается с попытки получить цену на ваши продукты(я уж не говорю про использование) - надо быть очень-очень-очень упоротымным, иметь два вагона времени и нервов мешок.
Мне три (ТРИ, Карл!) месяца полоскали мозги и кончилось тем что дистриб просил пин из ЛК, а каспер отказывалось регать в ЛК "потому что вы не подходите под программу". Мы даже обращались к другому дистру (мало ли первый чудак на букву м), но нет пинболл продолжался
Три месяца назад наш NGFW был еще на этапе Бета тестирования и не был широко доступен, но 8 августа мы выпустили коммерческий релиз, теперь таких проблем быть не должно. Поэтому если вопрос по NGFW актуален, то можете смело обращаться к нашим дисти или партнерам-интеграторам за пилотом.
теперь таких проблем быть не должно
Увы, они есть, т.к. запрос был на продукт который уже был в релизе год (или даже больше).
можете смело обращаться
Спасибо, за предложение, но мы будем делать это в последнюю очередь, только когда другого выхода не будет, т.к. нам периодически звонит дистриб мол "вот от вас запрос был, давайте мы вам все же продадим...", я кидаю переписку про пин и ЛК и дистриб со словами "ща разберусь" снова пропадает на тройку-шестерку месяцев.
Может ли ваш продукт выявлять vpn и другие туннели, в том числе vless и shadowsocks? Это особенно интересно в контексте каналов C2 и внутренних нарушителей.
Да, уже может, хоть и не все виды туннелирования, но в этом направлении также планируем развивать наш продукт.
в том числе vless
Его - точно не сможет, если он корректно приготовлен, я вам гарантирую это.
P. S. Гарантия распространяется до конца года и только в реализации xHTTP+CDN или XTLS-Reality с самоворовством.
Kaspersky NGFW: тестирование фаервола в разрезе ИБ