Artykuł pochodzi z wydania: Luty 2025
Zunifikowane zarządzanie zagrożeniami oraz zapory sieciowe następnej generacji były swego czasu chwytliwymi hasłami marketingowymi, które miały przyciągnąć klienta. Obecnie ta technologia to powszechnie panujący standard. Sprawdzamy, co w jego obrębie ma do zaoferowania Stormshield.
Rozwiązania typu Unified Threat Management firmy Stormshield po raz pierwszy pojawiły się na naszym redakcyjnym stole testowym niespełna 10 lat temu. Sama marka była wtedy dość mało znana, choć czerpała technologicznie z produktów znanych pod nazwą Netasq. Na przestrzeni czasu rozpoznawalność nieco wzrosła, a portfolio rozwiązań francuskiego producenta zostało wyraźnie rozszerzone. Poza UTM-ami, pracującymi głównie na brzegu tradycyjnych sieci, pojawiły się także produkty chroniące sieci przemysłowe. Obecnie Stormshield oferuje kilkanaście modeli zapór sprzętowych przeznaczonych do ochrony sieci różnych rozmiarów. W katalogu znajdziemy zarówno małe UTM-y zamknięte w obudowie typu desktop i przeznaczone do ochrony małych biur zdalnych, w których pracuje od kilku do kilkudziesięciu użytkowników, a także wydajne, pełnowymiarowe zapory, mogące chronić ruch sieciowy tysięcy użytkowników z przepustowością kilkudziesięciu gigabajtów na sekundę. Model dostarczony do testów to jedno z bardziej wydajnych pudełek w ofercie, przeznaczone do ochrony środowisk wyskalowanych na około tysiąc użytkowników końcowych.
> ARCHITEKTURA I WYDAJNOŚĆ
Testowana zapora klasy NGFW to jeden z dwóch reprezentantów serii L, czyli dużych firewalli klasy korporacyjnej przeznaczonych do ochrony brzegu sieci w największych przedsiębiorstwach. Nomenklatura nazewnicza firmy Stormshield pozwala łatwo nawigować pomiędzy różnymi rodzajami produktów. Serie urządzeń oznaczono dobrze znanymi identyfikatorami typu: XS, S, M, L oraz XL. Osobna kategoria to zapory przeznaczone do ochrony środowisk OT.
Testowany SN-L-Series-2200 to modułowy firewall zamknięty w obudowie rozmiaru 1U, który został wyposażony w redundantne zasilacze i wentylatory hot-swap, a także trzy zatoki do montażu modułów sieciowych. W konfiguracji standardowej dostępne są dwa miedziane porty o przepustowości do 2,5 Gbps, oznaczone jako MGMT1 oraz MGMT2. W praktyce nie są to jednak interfejsy zarządzania typu out-of-band, odseparowane od regularnych portów sieciowych. Po wyjęciu urządzenia z pudełka oba porty ustawione są jako bridge, na poziomie którego skonfigurowano domyślny adres IP do wykonania wstępnej konfiguracji. Po odpowiednim zaadresowaniu i rekonfiguracji można je z powodzeniem wykorzystać jako regularne porty do obsługi ruchu chronionego i tak też zrobiliśmy na potrzeby naszych testów. Z oczywistych względów w środowisku produkcyjnym warto byłoby jednak doposażyć zaporę w moduły sieciowe przeznaczone do obsługi regularnego ruchu, a porty typu MGMT pozostawić do celów administracyjnych.
Karty rozszerzeń pozwalają na zwiększenie liczby portów w standardzie 2,5 Gbps do 26. Oczywiście dostępne są także moduły w standardzie 10 (miedź lub światłowód) oraz 40 Gbps. Wszystkie wspierane zestawienia można znaleźć w dokumentacji producenta. Wybrane moduły wyposażone w porty miedziane oferują także funkcję bypassu pozwalającą na przekazywanie ruchu nawet wtedy, gdy dojdzie do awarii zapory. Dobierając moduły sieciowe, warto brać pod uwagę także maksymalną wydajność z uwzględnieniem uruchomionych funkcji ochrony. W trybie zapory teoretyczna wydajność dla segmentów UDP o rozmiarze 1518 bajtów sięga 85 Gbps, a po włączeniu IPS-a odpowiednio 52 Gbps. Dla charakterystyki ruchu IMIX wartość ta spada do 30 Gbps w trybie samej zapory. Producent podaje również wydajność IPS-a dla ruchu HTTP 1 MB na poziomie 24 Gbps. Uruchomienie skanera antywirusowego skutkuje degradacją wydajności do poziomu 8 Gbps. Specyfikacja wydajnościowa zawiera sporo dodatkowych parametrów, jak chociażby maksymalna liczba tuneli IPSec zdefiniowana na poziomie 5000 oraz do 2400 równoczesnych sesji klienckich SSL VPN. Urealniona przepustowość IPSec (IMIX) to 7,7 Gbps. SN-L-Series-2200 powinien także poradzić sobie z 5 milionami równoległych połączeń oraz 200 tysiącami nowych połączeń na sekundę. Listing suchych danych wydajnościowych uzupełnia rekomendowana maksymalna liczba reguł na poziomie 16 tysięcy oraz do 1336 interfejsów logicznych.
Weryfikując nieco głębiej – z poziomu konsoli – architekturę sprzętową, okazuje się, że mamy do czynienia z platformą x86 wyspecjalizowaną pod kątem wysokowydajnej obsługi ruchu sieciowego z zapewnieniem wspominanej już nadmiarowości na poziomie zasilania i chłodzenia, jak również przestrzeni dyskowej (2 × SSD 240 GB RAID1). Za wydajność odpowiada procesor Intel Core i9-13900E, czyli 24-rdzeniowa jednostka wyposażona w osiem rdzeni typu performance oraz 16 rdzeni efficient, taktowanych odpowiednio do 5,2 lub 4 GHz. Na pokładzie znajdziemy też 64 GB RAM-u.
Za realizację mechanizmów bezpieczeństwa po stronie oprogramowania odpowiada wyspecjalizowany system operacyjny NETASQ Secured BSD (NS-BSD) w najnowszej odsłonie 4.8.5, bazujący na jądrze FreeBSD 11.3. Fundamenty OS-u pozostały niezmienione – wydajność platformy w dalszym ciągu opiera się na opatentowanej technologii proaktywnego wykrywania ataków o nazwie ASQ (Active Security Qualification), o której coraz mniej można znaleźć na oficjalnej stronie Stormshielda. W praktyce sprowadza się to do integracji funkcji firewalla z IPS-em na poziomie jądra systemu operacyjnego, dzięki czemu ograniczono liczbę operacji koniecznych do przeanalizowania każdego pakietu, częściowo eliminując wielokrotną analizę tych samych danych przez poszczególne moduły bezpieczeństwa.
[…]
Marcin Jurczyk
Autor pracuje jako architekt IT w firmie Kyndryl. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.
