О чем материал
Рассказываем, почему у нас появилась идея создать индустриальный межсетевой экран и что из этого вышло
Защищать корпоративную сеть от хакеров — это благородно. Защищать от них промышленные системы автоматизации, которые управляют вентилями и светофорами, — это уже экзистенциально. Особенно когда выясняется, что часть этих систем все еще живут на Windows XP, общаются на протоколах, похожих на вымершие языки древней цивилизации инженеров-энтузиастов, а потерю пары пакетов считают объявлением войны. И вот, наблюдая, как кулеры PT NGFW впадают в кому при виде вибрации от проезжающего мимо трамвая, мы осознали: в нашей линейке должен появиться совсем другой зверь. Так появилась идея создать индустриальный межсетевой экран...
Начинается все невинно. Заказчик, обычно суровый мужчина, громко ставит на стол кружку с надписью «Лучшему энергетику» (или нефтянику, или железнодорожнику, но точно лучшему) и изрекает: «Нам нужна защита. От хакеров. Чтобы надежно».
Мы в ответ радостно восклицаем о заложенной в PT NGFW экспертизе: в 2025 г. она не раз помогала блокировать различные атаки на высокой скорости в реальном времени. «Стоп, — перебивает он. — Главное правило: система должна работать 24/7. 25/8, если можно! Трафика у нас немного, нам ваши супер-пупер производительные межсетевые экраны не нужны, а потряхивает стабильно. И да, отопления там нет».
Особенности национальной эксплуатации
В 2025 г. мы вместе с PT NGFW прошли боевое крещение. Первые месяцы были похожи на непрерывную техподдержку в режиме апокалипсиса. Межсетевой экран, прекрасно проходивший все тесты в лабораториях, на реальных объектах столкнулся с особенностями национальной эксплуатации. Например, самописными реализациями протоколов, не всегда соблюдающими стандарты закрытия сессий. Или микроберстом — трафиком с резкими кратковременными всплесками, быстро переполняющим буферы памяти, несмотря на то что общий поток данных укладывается в несколько мегабит. Либо c однопоточными репликациями баз данных, которые никак не балансируются.
Победить все эти проблемы нам помогли классно написанный фундамент фильтрации трафика (запас производительности которого позволял обрабатывать большие потоки даже на одном ядре процессора) и аппаратная архитектура платформ. У нас была самая современная оперативная память, и ее было достаточно, чтобы адаптировать таблицы и таймеры для любого профиля трафика. Проще говоря, это было не исправление багов, а суровая школа выживания в условиях, которые не снились никаким стандартам.
Постепенно количество обращений «у нас все горит» сократилось практически до нуля. Зато все чаще стали приходить отзывы со словами «стабильность» и «спасибо». Каждый из них я сохраняла, пересылала команде, показывала на мероприятиях и даже перечитывала вечерами. Успехом стала не отгрузка первой партии PT NGFW за 15 минут после поступления на склад, а тот момент, когда через год после внедрения суровый заказчик сказал: «А знаешь, мы уже и забыли, что у нас эта штука стоит. Она теперь почти и незаметна — как хорошая жена». Что, в общем-то, было высшей формой инженерной похвалы :)
Параллельно продукт рос, развивался и набирал все больше функциональных возможностей. Он научился принимать таблицы BGP, переключаться на резервный узел в кластере за сотню миллисекунд и строить VPN-туннели, но не потерял при этом ни одного мегабита производительности. Стало ясно, что мы готовы защищать промышленные объекты. PT NGFW нырнул в пучину протоколов АСУ ТП, которые порой были похожи не столько на протоколы для передачи информации, сколько на наследие эпохи динозавров:
- MODBUS. Протокол с открытой душой и дырами размером с вагонетку. Не шифруется, не аутентифицируется. Наш межсетевой экран, увидев такой трафик, должен был бы кричать: «Караул!». Но вместо этого мы научили его шептать: «Ш-ш-ш, детка, так и надо, это легальный трафик для открытия заслонки № 3».
- OPC UA. Протокол общения всего со всем — с чем можно и нельзя. Заставить межсетевой экран контролировать его любвеобильность — все равно что провести хор слонов через музей хрусталя, не задев ни одной вазы. Каждое рукопожатие — многоактная драма. Мы не настраиваем «белый список», мы проводим сеанс экзорцизма.
- Неизвестные протоколы 1998 г. Обнаруживается, что критически важный насос управляется контроллером, который принимает только один вид защиты — аутентификацию насоса по MAC-адресу. Если вдруг по пути MAC-адрес пакета меняется, контроллер обижается и уходит в аварию. Наш межсетевой экран должен был немедленно забыть все, что умеет делать с L2-заголовками, и превратиться в проволоку. Быструю проволоку. Или псевдопровод — что PT NGFW, к слову, прекрасно умеет, хотя это редкость на российском рынке.
Время во вселенной АСУ ТП течет медленно, а инновации боязливо обходят датчики и контроллеры стороной. ИТ-инженер видит в протоколах уязвимости. Инженер АСУ ТП видит в замене этих протоколов потенциальную остановку производства и горы брака величиной с Эльбрус. Они смотрят на один и тот же сетевой кабель, но видят совершенно разные концы света... В АСУ ТП на кону не защита данных, а реальные физические процессы, которые нам предстояло научиться защищать.
Рождение «Буханки»
После доработки кода и сигнатур мы уперлись в суровую реальность: наше детище должно жить не в серверной с кондиционерами и прочей подготовкой воздуха, а в щитовой на территории завода, где климат меняется по прихоти сварщика и суровых сибирских ветров. Для серийных моделей строка в техническом задании «Диапазон рабочих температур -40 о… +70 о», конечно, стала бы предсмертной запиской, поэтому мы начали контрактную разработку специальной платформы.
Дилемма № 1. Процессор
Наши серийные платформы выпускались на процессорах Intel Scalable Xeon Gen4. Это был предмет гордости, ведь мы первые, кто выпустил такую линейку межсетевых экранов: куча ядер, высокая производительность, поддержка различных инструкций и ускорителей. Но его комфортная зона — от +5° до +40° C. При -10° он, по слухам, начинал задумчиво считать себя снежинкой, а в +60° плавился в лужицу кремния, мечтая о вечной прохладе Балтийского моря.
Мы стали выбирать промышленный чип. Частота — мегагерцы для терпеливых, графика — чуть лучше советского телевизора «Рекорд», цена — повод для обморока. Зато он смотрит на диапазон «-40°…+70°» как на легкую прогулку и при этом готов экономно потреблять питание. Срок жизни таких процессоров — десятки лет. Поэтому мы выбрали хоть и не самый современный, зато проверенный и очень энергоэффективный Intel Apollo Lake.
Дилемма № 2. Память и накопитель
Обычные оперативная память и SSD при минусе ведут себя как сонный студент на паре в восемь утра — растет задержка, а за ней и забывчивость. Пришлось искать память и диск с расширенным температурным диапазоном. При этом мы решили не идти на компромиссы, хотя разворачивающийся на рынке микроэлектроники кризис компонентов вызывал тревогу. Все-таки для межсетевого экрана количество циклов перезаписи диска — критически важный показатель. Промышленный вариант мы проектировали если не на века, то на десяток лет бесперебойной работы точно, поэтому выбрали лучший (и почти самый дорогой) вариант на рынке.
Дилемма № 3. Вентилятор — враг мой
Ставить кулер — значит впустить внутрь пыль и агрессивную среду, которая за год превратит лопасти в грязные обрубки. Не ставить — рискуем тепловой смертью в летний зной. Мы выбрали путь аскета: пассивное охлаждение и один массивный радиатор на все. Корпус стал напоминать не то булыжник с портами, не то побочный продукт фрезерного станка. Зато нечему ломаться! Мой внутренний дизайнер плакал и заламывал руки.
«Кого ты собралась очаровывать? Монтажников с отверткой или голубей на распределительном шкафу?» — говорил голос разума, но согласиться с ним никак не получалось. Разрабатывая PT NGFW, мы думали не только о содержании, но и о форме. Он должен был вызывать эмоции с самой первой секунды, поэтому мы выбирали и цвет краски, и степень ее гладкости, придирались к эстетике и ощущениям. Упаковка, сопроводительная документация — все они стали важными частями конечного продукта. Мы были уверены, что все получилось: в 2025 г. нам десятки раз присылали видео распаковок и сравнивали нас с мировыми лидерами промышленного дизайна.
Начался бой за эстетику. В правом углу ринга скромно стоял дизайн, а в левом в предвкушении победы подпрыгивали фавориты этого матча, обладатели всех возможных чемпионских поясов: пыле- и влагозащищенность, корпус с интегрированным радиатором и форм-фактор крепления на DIN-рейку. Мы часами пытались найти хоть какой-то пример эстетичного исполнения индустриальных устройств, но все попытки заканчивались неудачей. Казалось, никто и никогда не делал ничего красивого для АСУ ТП…
Дизайн предсказуемо проиграл, но в этой борьбе все-таки родился удачный компромисс, который позволил сохранить узнаваемую обтекаемую форму, цветовое решение и общее восприятие PT NGFW. Внутри мы ласково назвали получившийся прототип «Буханкой». Название гарантировало долгий срок жизни, изначальную идеальность форм и, конечно, легендарность. Для рынка же было выбрано менее романтичное и более официальное наименование: PT NGFW 905i.
Осталось дождаться опытную партию, и индустриальный PT NGFW будет готов выйти из прохладной уютной серверной в реальную жизнь, где его врагами станут не только виртуальные хакеры, но и абсолютно реальные физические явления: сжимающий металл мороз и нескончаемая городская вибрация.
