Когда западные производители ушли из России, мы начали искать локальные NGFW, сравнимые по качеству с продуктами Palo Alto Networks, Check Point, Fortinet и т. д. Я лично потратил полгода на оценку отечественных технологий. В итоге среди 16 российских продуктов подходящих вариантов мы не нашли. Стало ясно, что все придется делать самим…
Сделай сам
Работу над продуктом мы начали в сентябре 2022 г., а уже весной 2023-го представили прототип NGFW на киберфестивале PHDays. Всего за 8 месяцев команда разработала решение, способное обеспечивать общую производительность в районе 40 Гбит/с, включая около 9 Гбит/с расшифрованного трафика TLS. Во время демо мы показали:
- систему управления с иерархией групп устройств и правил;
- определение протоколов L7 и приложений;
- быстрый стек TCP/IP;
- высокую нагрузку;
- расшифровку и инспекцию TLS-трафика;
- идентификацию пользователей.
Мы понимали, что специализированное железо сейчас делать негде, поэтому спроектировали NGFW, способный работать на любом x86. После презентации некоторые были настроены скептически: «У вас нет многих функций, а когда вы их добавите, производительность упадет и станет как у всех!» Однако в прототипе многое было не оптимизировано. На самом деле при расширении функционала производительность решения только росла! Цифры, которые показывает наш NGFW сейчас, тоже далеки от финальных: дальше — круче ;)
А что сейчас?
За прошедший год мы проработали самую сложную и важную часть продукта — отказоустойчивость. Теперь у нас есть кластер, возможность работы в режиме L2–L3, IPS, URL-фильтрация, GeoIP, логические устройства (контексты), виртуальные маршрутизаторы и NAT (source). Но главная новость — следующая…
Мы стали производителем оборудования!
Я уже упоминал, что наш NGFW способен работать на любом х86-железе, но для усиления продукта мы решили производить собственное (см. рис. 1 и 2). Сейчас наша линейка включает 7 моделей PT NGFW.
Остановимся подробнее на моделях PT NGFW 1010, PT NGFW 1050 и PT NGFW 3040.
PT NGFW 1010 ориентирован на умеренные потребности: внутри четырехъядерный процессор Intel Atom и 16 Гбайт памяти. Такой коробки хватает на весь наш офис. По нашим прогнозам, эта модель закроет большую часть запросов российского рынка.
Вариант помощнее (например, если нужно поставить оборудование в серверную) — PT NGFW 1050. Это модель с активным охлаждением, под капотом — Intel Atom на 16 ядер и 64 Гбайт памяти.
Наконец, PT NGFW 3040 — самое дорогое железо с топовыми показателями (не удивлюсь, если оно умеет летать). Внутри новый процессор 4th Gen Intel® Xeon® Scalable — в России в проде такого нет ни у кого. Отмечу, что большинство отечественных вендоров, которые сейчас разрабатывают железо для NGFW, ориентируются на наши спецификации. А у нас уже есть пилоты, четкий план разработки и контрактное производство на российских заводах ;)
Мы гарантируем полный цикл сопровождения: техподдержку, оперативное обслуживание и замену оборудования. Готовы отгружать оборудование за сутки и реагировать на критические инциденты в течение часа.
Завершая часть про железо, расскажу о дерзком эксперименте с зарубежным оборудованием. Один израильский вендор реализовал свой NGFW на х86-железе. Мы взяли и установили РТ NGFW на их оборудование. В результате при тех же самых правилах на одном ядре наша разработка показала скорость в 4,5 раза выше — 1,15 Гбит/с против 0,25 Гбит/с. При этом мы проводили тесты по методике вендора, а у него в железе меньше ядер. Если сравнивать серверы по одному и тому же форм-фактору, наш NGFW будет в 10 раз быстрее.
Спрос на PT NGFW есть и за рубежом. Мы планируем конкурировать с лидерами мирового рынка!
Фичи
На рис. 4 представлены некоторые фичи PT NGFW, а я сосредоточусь на трех самых интересных.
Профили IPS. Администраторам знакома боль, когда нужно гранулярно настраивать поведение IPS: гибко формировать исключения и определять, что и как IPS должен и не должен блокировать, что журналировать, а что нет. Чтобы решить проблему, мы добавили возможность задавать разные профили IPS для разного трафика. В каждом отдельном правиле политики безопасности можно указать свой профиль IPS. Все, что касается IPS, перенесли в раздел «Объекты». Там же со временем появится вкладка с сигнатурами — и админ сможет получать все данные в одном разделе.
NAT. В нашем NGFW появились политики NAT — больше никаких скрытых галочек в адресных объектах и политиках безопасности. Правила политики NAT задают, какой именно трафик необходимо транслировать и с какими параметрами. Source Nat уже на месте, скоро добавим Destination Nat и Static Nat. Также мы позаботились о трансляции портов источника: не все это поддерживают, но порой очень нужно.
GeoIP. В разделе адресов перечислены все страны и регионы из нашей базы. По GeoIP можно заблокировать или разрешить с гранулярностью до определенного региона (области), например Slovenia.Dravograd.
Фильтрация FQDN (fully qualified domain name) тоже поддерживается.
Рубрика «Испытано на себе»
Standoff
Раньше мы использовали в кибербитве NGFW западного производства. Он сегментировал сеть киберполигона и содержал набор небанальных правил (мы не блокируем атаки, чтобы игра была интересной). На Standoff в мае 2024 г. мы впервые использовали собственный NGFW. Отмечу, что виртуальной машине было выделено всего одно ядро для обработки трафика и 6 Гбайт оперативной памяти.
Для контроля доступа было настроено несколько сотен правил политики безопасности с журналированием в начале сессий и по их завершении. В каждом правиле был активирован профиль IPS в режиме мониторинга, чтобы можно было увидеть количество сработок для каждого правила и оценить активность команд. В ходе анализа трафика было обнаружено большое количество L7-протоколов и приложений — например, много http, mysql, postgres и, что логично, unknown (cессии с «фирменной» нагрузкой скриптов хакерских команд или активности сканеров). Наш NGFW легко выдерживал более 360 000 соединений в секунду на одном ядре data-plane.
Офис Positive Technologies
Мы собрали в офисе кластер из двух устройств, через который теперь работают сегменты внутренней сети компании. Уже несколько месяцев система функционирует без сбоев!
Что дальше?
Мы уже поставляем NGFW партнерам и дистрибьюторам, плюс начинаем отгрузки непосредственно клиентам. В ноябре планируем получить сертификаты ФСТЭК (мы будем первым вендором, сертифицированным по новым требованиям).
Если говорить о техническом развитии продукта, в ближайших планах:
- BGP;
- ICAP;
- LACP;
- Site-to-site VPN;
- Destination NAT;
- зеркалирование расшифрованного трафика;
- потоковый антивирус.
В серии видео «PT NGFW за стеклом» мы в реальном времени показываем, как продвигается работа над продуктом.
