В условиях стремительно растущего числа кибератак и усложнения сетевого трафика компании все чаще делают ставку на решения класса NGFW (Next-Generation Firewall). Одним из таких решений является «Континент 4», разработанный российской компанией «Код Безопасности». Для подтверждения его заявленных характеристик было проведено независимое тестирование экспертами BI.ZONE.
В ходе испытаний на специализированном стенде была проверена пропускная способность межсетевого экрана, система контроля приложений и эффективность работы механизма обнаружения и предотвращения атак (IDS/IPS). В качестве генератора трафика использовалась платформа Ixia Breaking Point, позволяющая эмулировать реальные сценарии сетевой нагрузки.
Какие результаты показал «Континент 4» в условиях тестирования? Как изменяется его производительность при разных режимах работы? И как логирование влияет на итоговую пропускную способность? Разбираемся в итогах испытаний.
Конфигурация
- Шасси Ixia XGS2-HSL с ПО Ixia Breaking Point.
- Модуль нагрузки Ixia PerfectStorm.
- Сетевое оборудование Huawei S6730-H.
- Устройство «Континент 4» в конфигурации: ЦУС (IPC-R1000) и кластер на IPC-R800.
Ключевые результаты тестирования
Ниже – обобщённые данные из общей таблицы результатов и комментарии:
2. МСЭ (UDP 1500)
- Зафиксированная пропускная способность: 37,44 Гбит/с (заявлено 24 Гбит/с)
- Нагрузка: макс. 100% на одно ядро, в среднем 74,4%
По UDP с размером пакета ~1500 байт устройство показало 37+ Гбит/с, что выше заявленного уровня 24 Гбит/с.
2. МСЭ (Appmix)
2.1 С логированием
- Зафиксированная пропускная способность: 13,41 Гбит/с (заявлено 13 Гбит/с)
- Нагрузка: макс. 92,9%, в среднем 68,7%
2.2 Без логирования
- Зафиксированная пропускная способность: 16,01 Гбит/с
- (Нет заявленных цифр для сценария «без логирования»; сравнение только по фактическому результату.)
- Нагрузка: макс. 98,7%, в среднем 65,2%
Логирование заметно снижает пропускную способность с 16 Гбит/с до ~13 Гбит/с.
3. Контроль приложений (Appmix)
3.1 С логированием
- Зафиксированная пропускная способность: 13,42 Гбит/с
- Нагрузка: макс. 87,7%, в среднем 83,25%
3.2 Без логирования
- Зафиксированная пропускная способность: 16,01 Гбит/с
- Нагрузка: макс. 98,7%, в среднем 67,7%
Аналогично режиму МСЭ, логирование снижает пропускную способность на несколько Гбит/с.
4. Контроль приложений + Система обнаружения/предотвращения вторжений (IDS/IPS)
Включался DPI и определённый процент «СОВ» (набор сигнатур), плюс в трафик подмешивались атаки.
- 4.1 (100% DPI, 47% СОВ)
- Пропускная способность: 5,81 Гбит/с (заявлено 3,8 Гбит/с)
- Нагрузка: макс. 100%, в среднем 96,9%
- 4.2 (100% DPI, 65% СОВ)
- Пропускная способность: 6,05 Гбит/с (заявлено 3,8 Гбит/с)
- Нагрузка: макс. 100%, в среднем 99,2%
- 4.3 (100% DPI, 90% СОВ)
- Пропускная способность: 2,36 Гбит/с (заявлено 3,8 Гбит/с)
- Нагрузка: макс. 97,3%, в среднем 92,4%
При 90% сигнатур пропускная способность снижается наиболее заметно (до ~2,36 Гбит/с), что чуть ниже, чем заявленные 3,8 Гбит/с. В остальных сценариях показатели выше или сопоставимы с заявленными.
Выводы и основные наблюдения
1. MSЭ-режим (UDP и Appmix)
- Устройство показало пропускную способность выше заявленных значений (UDP 1500 – 37 Гбит/с при заявленных 24 Гбит/с, Appmix – 13 Гбит/с против заявленных 13 Гбит/с с логированием).
- Отключение логирования повышает скорость на ~2–3 Гбит/с.
2. Контроль приложений
- Аналогично, при включённом логировании устройство обрабатывает около 13 Гбит/с, а без логирования – около 16 Гбит/с.
3. Контроль приложений + IDS/IPS
- При умеренных процентных соотношениях сигнатур (47%, 65%) устройство показывает скорость выше заявленной (5,8–6,0 Гбит/с против 3,8 Гбит/с).
- При высокой загрузке модуля IPS (90% СОВ) пропускная способность падает до 2,36 Гбит/с, что уже ниже заявленных 3,8 Гбит/с. Средняя нагрузка ядер при этом находится в районе 92–99%.
4. Зависимость от логирования
- Практически во всех тестах видно, что включённое логирование снижает итоговую пропускную способность (требуется дополнительная вычислительная мощность).
5. Нагрузка на ядра
- В большинстве тестов максимальная загрузка отдельных ядер достигает 90–100%, тогда как средняя может быть значительно меньше, но это даёт понять, что «узкими местами» зачастую выступают отдельные ядра под конкретные процессы.
Общая оценка
1. В целом устройство подтверждает заявленные характеристики в большинстве тестов, кроме одной комбинации (100% контроль приложений + 90% CОВ), где пропускная способность оказалась ниже, чем ожидалось (2,36 Гбит/с вместо заявленных 3,8 Гбит/с).
2. При более низкой загрузке IPS (47% и 65%) результаты даже выше заявленных.
3. Логирование является существенным фактором, уменьшающим скорость на 15–20%.
4. В режиме обычного межсетевого экрана (UDP 1500) устройство способно обеспечить существенно более высокую производительность (37 Гбит/с), чем заявлено (24 Гбит/с), что положительно характеризует «Континент 4» в части брандмауэрных функций.
Резюме для быстрого чтения
- Цель: Проверить NGFW «Континент 4» на пропускную способность в разных режимах (брандмауэр, DPI, IDS/IPS).
- Метод: Генерация трафика Ixia Breaking Point (Appmix, UDP) и анализ результатов.
- Основной вывод: Устройство в большинстве тестов соответствует или превосходит заявленные скорости. Исключение — тест с 90% IDS/IPS, где пропускная способность оказалась ниже заявленного показателя.
- Фактор: Включённое логирование уменьшает пропускную способность на 2–3 Гбит/с, что подтверждает высокую роль журналирования в загрузке системы.
Документ подтверждает, что NGFW «Континент 4» демонстрирует стабильную работу и заявленные характеристики (при большинстве сценариев) в условиях, заданных методикой тестирования.
Глобал АйТи является действующим платиновым партерном компании Код безопасности, обращайтесь за решением «Континент 4» к нам.
