
Почему построить межсетевой экран на 200 Гбит/с — это ад инженерии: честный разбор Mirada
Материал согласован с Codemaster в части технических данных и цифр. Все оценки и выводы — мои. С 1998 года по 2026 год я эксплуатировал и настраивал разные IPS и межсетевые экраны: PIX, ASA, Check Point, IPFW, IPtables, ISA/TMG, WatchGuard, Sophos, Optenet, Palo Alto Networks, Fortinet. Пару межсетевых экранов я даже помогал делать. За эти годы у меня сложилось простое правило сравнения: в реальной эксплуатации межсетевые экраны различаются не только скоростью и наборами настроек, а журналами. Настроить политику мы почти всегда сможем. А вот расследовать, почему перестал ходить трафик или отработало правило безопасности, приходится именно в наших логах. Именно в журналах инженеры проводят 90% времени. Когда мне показали журналы «Мирады» — флагманского программно-аппаратного комплекса компании Codemaster, — первая реакция была скептической. Я прямо сказал Андрею, главному инженеру проекта: лить сырой Syslog во внешнюю SIEM на скоростях 100 Гбит/с — сомнительная стратегия, любой лог коллектор под такой нагрузкой быстро упрется в физические пределы скоростей жесткого диска и сетевых интерфейсов. Также я заметил, что ручной ввод IP-адресов в правилах вместо создания адресных объектов усложняет жизнь администратору. Андрей ответил без обид: «Мы понимаем эти ограничения. Приезжай в лабораторию, посмотрим устройство под нагрузкой, разберем как работает Dataplane, покажем, чем гордимся и что уже стоит в роадмапе». Так из тестов оборудования и разговора с главным инженером родился этот обзор. Читать далее