Комментарии 8
Правильно ли я понял суть тестирования?
Тестирование проводилось с базовой конфигурацией
В процессе тестирования использовалось только одно правило фильтрации трафика
Это правило было настроено для разрешения всего трафика (allow all)
Дополнительные политики безопасности и правила фильтрации не применялись
Если не были настроены правила фильтрации в чём суть показывать производительность Если устройство позиционируется для крупных компаний и операторов дата-центров, то там ситуация с трафиком и потребностями в фильтрации несколько иначе :)
Вроде в тексте упоминается про 130 000 правил... Каких - не раскрыто, да :-)
Добрый день! Извините за поздний ответ. По порядку:
Тут нужно уточнить, что такое "базовая конфигурация". Уточню в пунктах ниже, возможно это снимет вопросы.
Использовалось 131 000 односложных правил: 1 src сеть с маской 24 бита, 1 dst сеть с маской 24 бита, 1 сервис. Каждое правило было уникальным. У каждого какие-то сети и сервис. Они были похожи только тем, что под них не попадал трафик генератора. Кроме последнего, 131000-го по счету правила, у которого была настройка allow all.
Нет, allow all было только у 131000-ого правила.
В описании указан EMIX-тест на FW L3/L4 + СОВ (Cyberflood), вот в нем дополнительно использовался дефолтный профиль IDPS.
Соответственно, на основании этих предпосылок мы считаем, что такие тесты позволяют оценить реальную производительность NGFW. Можно посмотреть запись с процессом этого тестирования с техническими подробностями на сайте UserGate Data Center Firewall (DCFW), начиная с 46 минуты.
Если есть сомнения в честности теста, мы можем провести для вас тестирование именно под ваши требованиями с применением генераторов трафика Breaking Point и/или Spirent Cyberflood. Можем потом написать об этом совместную статью.)
Добрый день, а не по этой методике ли шли в тестированиях ЦБ?
Или некорректен вопрос на открытой площадке?
Коллеги, добрый день! Могли бы Вы ответить на ряд вопросов:
Подскажите, пожалуйста, почему в начале тестирования у Вас - 500 Mb трафика загружают процессор на 80%?
Какую версию UGOS используете?
Какая фактическая производительность МЭ?
Какой прирост производительности получили по сравнению с F8000? И за счет чего?
Когда выкатите тесты FG?
Добрый день!
Просмотрел скриншоты, картины "500 Мбит/с в начале - процессор на 80% не увидел". Возможно проглядел, уточните какой это скриншот по счету, пожалуйста? Скорее всего это CPS-тест. В этом случае CPU открывает как можно большее количество сессий, поэтому загрузка большая, а трафик еще не начал передаваться в каждой сессии.
В DCFW используется новая версия ПО, которая получила внутренний индекс 8. Так мы явно разводим 2 продукта - NGFW и DCFW, каждый из которых будет жить самостоятельно.
Не понятен термин "фактическая производительность", уточните, пожалуйста, его значение. У NGFW можно сделать сотни конфигураций тестирования, и в каждом случае фактическая производительность может быть разной.
В среднем в 2-3 раза, в зависимости от параметра и режима работы. Как написано в статье, у F8000 2 CPU по 18 ядер каждый + 128 ГБ RAM + HDD 1 ТБ, у F8010 - 2 новых CPU AMD EPYC по 48 ядер + 256 ГБ RAM + SSD 1 ТБ (кстати, в описанных тестах испытывалась платформа с 128 ГБ RAM, позднее мы решили увеличить объем оперативки). В совокупности это дает очень серьезный рост производительности.
Сейчас тестируем бету с поддержкой IPS на FPGA, показывает до 25 Гбит/с в режиме L3/L4+IPS на EMIX, Позже комплексно протестируем в разных режимах работы. Так у нас есть протокол испытаний от августа 2024 для крупного заказчика (который потом приобрел 150 платформ, в том числе FG), где FG при 85 000 правил FW (1000 из них были с 5 элементами) и 11 000 сигнатур IPS показала 14 Гбит/с на EMIX при 20 000 000 сессий и 84 000 CPS и 21 Гбит/с если просто включить FW L3/L4.
Realtime тестирование UserGate DCFW