2025 ж. 06 ақп.·7 мин

Check Point Quantum 6200/6400 өнімділігі: тест және ережелердің өсуі

Check Point Quantum 6200/6400 өнімділігін паспорттық цифрларға сүйеніп бағалауға болмайды: жүктеме тесті жоспарын және ережелердің 3 жылға өсуін қалай есептеу керегін көрсетеміз.

Check Point Quantum 6200/6400 өнімділігі: тест және ережелердің өсуі

Шын мәнінде не өлшенеді: өткізу қабілеті ме әлде тұрақтылық па

Check Point Quantum 6200/6400 өнімділігін бағалағанда екі ұғымды айырып алу маңызды: «лабораторияда жылдам» және «нақты желіде тұрақты». Қосылған қауіпсіздік профильдері (IPS, Anti-Bot, Anti-Virus, URL Filtering, Application Control) күтпегендей үлкен рөл атқарады. Трафиктің бір бөлігі терең тексеруге түседі, CPU, жад және логтау подсистемасына жүктеме өседі, ал «шикі пик өткізу қабілеті» сіздің баптауларыңыз бен профильдеріңізде қолданыстағы «әдеттегі» өткізуге айналады.

Кәсіп үшін жиі маңыздысы гигабиттегі максималды throughput емес, тұрақтылық: шың уақытында кідірудің өсуі, пакет жоғаруы немесе маңызды қосымшалардың (телефония, ВКС, ERP, төлемдер) жұмысының нашарлауы болмауы керек.

Үш көрсеткішті бірге ұстаңыз:

  • Throughput: нақты профильдер мен нақты трафик түрі бойынша қанша дерек өтеді.
  • Кідіру (latency): жүктеме кезінде пакеттің өту уақыты қалай өзгереді.
  • Пакет жоғалту: дроптар, TCP қайта жіберулері және пайдаланушылардың шағымдары бар ма.

Модельдерді салыстырудағы қателер көбінесе «паспорттық цифрлардан» басталады. Бұл цифрлар қандай шарттарда алынғанын сұрау маңызды: TLS inspection жоқ, егжей-тегжейлі логтау өшірілген, VPN жоқ және кейде жеңілдетілген саясатпен алынған. Тағы бір жиі қате — тек «гигабиттерді» салыстырып, қосылым орнату жылдамдығы (CPS) мен бір уақытта ашылатын сессиялар санын елемеу. Қысқа сұрауларда (веб, API) дәл CPS пен сессия кестелері тар шеңберге айналуы мүмкін.

Лабораторияда жиі «ұмытылады», ал нақты ортада әдетте қосылады: егжей-тегжейлі логтау (SmartEvent немесе сыртқы SIEM үшін), IPS Prevent режимі, site-to-site VPN және TLS inspection. Мысал: күні бойы сізде 2 Гбит/с «көрінетін» HTTPS бар делік. Инспекцияны қосқаннан кейін құрылғы трафиктің мазмұнын шифрдан шығарып талдауды бастайды, ресурстар резерві тез жоғалады, әдеттегі трафик графигі өзгермегенімен өнімділік өзгереді.

Есептеу және тестке қандай бастапқы деректер жинау керек

Quantum 6200/6400 өнімділігі шынайы болу үшін шлюз өндірісте қандай міндет атқаратынын алдымен бекіту қажет. Егер стендте тек «TCP бойынша жылдамдық» өлшеніп, кейін IPS пен инспекция қосылса, цифрлар сәйкес келмейді.

Қауіпсіздік профильдерінің тізімінен бастаңыз және олардың режимдерін нақтылаңыз. Қандай blade-тер қосулы, қай профиль таңдалған (Recommended, Strict, Custom), қандай ерекшеліктер рұқсат етіледі, қандай категориялар мен сигнатуралар әрқашан жұмыс істеуі керек — осы детальдар маңызды.

TLS inspection-ды жеке қарастырыңыз. Бұл жүктемені көбейтетін негізгі фактор, себебі трафикті өңдеу табиғаты өзгереді. Екі параметрді белгілеу жеткілікті: трафиктің қандай бөлігі шифрдан шығарылады (пайызбен) және оның қандай бөлігі кідіруге сезімтал (мысалы, ВКС немесе банктік терминалдар). Егер әзірге нақты жауап жоқ болса, бірнеше жұмыс күніндегі жоғарғы домендер, қолданбалар және SNI бойынша статистика жинаңыз.

Одан кейін трафик профилін сипаттаңыз: кім инициалдайды, қайда барады, қай кезде шарықтау. Бірдей «1 Гбит/с» жеңіл болуы мүмкін (ұзақ ағындар, аз сессия) немесе ауыр (көп қысқа қосылымдар және жоғары CPS).

Бастапқы деректерді қысқа тізімге жинау ыңғайлы:

  • Трафик және жаңа сессиялар бойынша шарықтау кезеңдері (жұмыс уақыты мен резервтік терезелер).
  • Ағындар үлесі: офис қолданушылары, серверлер, филиалдар, қашықтан жұмысшылар, ішкі сервер трафигі.
  • Маңызды қосымшалар және рұқсат етілген кідіріс (ERP, ВКС, интернет-банк, медициналық сервистер).
  • Логтау саясаты: не жазамыз, қайда жібереміз, сақтау мерзімі, URL/App үшін егжей-тегжейлі логтар керек пе.
  • Желілік ерекшеліктер: NAT, VPN, маршрут асимметриясы, DMZ бар-жоғы.

Логтау жиі артық бағаланбайды. Егер URL Filtering және App Control үшін егжей-тегжейлі логтарды қосып, оларды орталық сақтау орнына жіберсеңіз, жүктеме CPU-дан диск пен лог кезектеріне ауысып, әсіресе пик сағаттарда әсер етуі мүмкін.

Тесті «жерге түсіруге» көмектесетін мысал: жартылай нақты сценарий — негізгі офисте 800 қолданушы, 12 филиал VPN арқылы және ERP пен ВКС бар ЦОД. Шарлау шыңы — 11:00 және 16:00, түнде бэкаптар жүреді. Стендке дәл осындай тәртіпті қалпына келтіру керек, орташа тәуліктік көрсеткіш емес, әйтпесе 6200 мен 6400 арасындағы таңдау кездейсоқ шығады.

Жүктеме сценарийлері: трафикті болжамсыз қалай сипаттау керек

NGFW үшін жүктеме сценарийі — «қанша гигабит» емес, не болып жатқанын түсінікті сипаттау: қай бағыттар, қандай қолданбалар, қанша сессия, қандай шарықтау, қанша шифрлау. Бұл болмаған жағдайда тест нақты өнімділік сұрағына жауап бермейді.

2–4 апта (жақсырақ — ай) мерзіміндегі расталған деректерге сүйеніңіз: интерфейстер бойынша графиктер, NetFlow/sFlow, ағымдағы FW есептері, VPN статистикасы. Орташа мәндерден гөрі қысқа шарықтауларды жазып алу маңызды: дәл солар көбінесе CPU және сессия кестелеріндегі резервті «жейді».

Жинаудың минималды жиынтығы:

  • Бағыттар бойынша орташа және шарықтау трафигі (интернет, филиалдар, ЦОД, бұлт).
  • Бір уақытта ашылатын сессиялар және олардың пайда болу жылдамдығы (CPS), шамамен бағасы болса да.
  • Ағындардың сипаттамасы: көптеген шағын сұраулар (веб, DNS, API) немесе бірнеше ірі (бэкаптар).
  • ЦОД ішіндегі east-west үлесі және сегменттер арасындағы саясаттар арқылы өтетін трафик.
  • VPN: site-to-site туннелдердің саны және бір уақытта қосылған қашықтан қолданушылар саны.

Бір тестпен шектелмеңіз. 3–5 сценарий сипаттаған жөн, онда Mbps қана емес, трафиктің «табиғиғы» өзгереді: жұмыс күні (қысқа веб-сессиялар мен SaaS), түнгі терезе (репликациялар мен бэкаптар), дүйсенбідегі шарық (массалық логиндер және CPS өсуі), арна ақауы (трафик резервке ауысады).

Отказоустойчивтікті бөлек анықтаңыз. Active-Standby режимінде синхрондауға ресурстың бір бөлігі кетеді, ал failover кезінде жүктеме бір құрылғыға түседі. Active-Active-та трафиктің қалай бөлінетінін нақты түсіну керек — барлық ағындарды тең бөліп бөлу мүмкін болмауы мүмкін. Егер осы детальдар алдын ала сипатталмаса, нәтижелер «сәйкес» көрінгенмен нақты таңдау үшін пайдасыз болады.

Жүктеме тестіне қадамдық әдіс

Нагрузкалық тест есептік деректер үшін емес — құрылғы сіздің шыңдарды қауіпсіз профильдер қосылғанда және келісілген SLA бойынша кідіріс сақталған кезде ұстай ала ма дегенді тексеру үшін қажет. Өлшенетін мақсатын анық және сандық етіп қойыңыз: қандай пик трафик пен CPS сақталуы тиіс, қандай кідіру рұқсат етіледі, қандай сервистерді «төшіріп» жіберуге болмайды (филиалдарға VPN, телефония, негізгі деректер базалары).

Стендті дайындау

Жүгіруді бастамас бұрын өндірістікке мүмкіндігінше жақын шарттарды бекітіңіз, әсіресе 6200 мен 6400 салыстыратын болсаңыз:

  • Эталондық саясат жинаңыз: нақты желілер, NAT, VPN, объектілер, ерекшеліктер, ережелер тәртібі.
  • Өндірісте жоспарланған профильдер мен дәл сол режимдерде қосыңыз.
  • Жүктеме көзі: трафик генераторы немесе нақты серверлер мен клиенттерден құралған стенд дайындаңыз, қашан «тірі» сессиялар мен әртүрлі протоколдар болуын қадағалаңыз.
  • ПО нұсқасын, логтау параметрлерін, TLS inspection баптауларын бекітіңіз.
  • Қай жерде өлшейтініңізді анықтаңыз: кідіру мен жоғалтуларды қайда тіркейсіз (FW дейін/кейін, клиентте, серверде).

Прогоны және өлшемдер

Оңнан қиынға қарай жүріңіз, әр функцияның «құнын» көру үшін:

  • Прогон 1: инспекциясыз базалық трафик (эталон, жабдық пен стенд шегі қандай екенін түсіну үшін).
  • Прогон 2: сол трафик профилімен, бірақ қауіпсіздік профильдері қосулы.
  • Әр прогонда throughput, latency, CPU мен жад, дроптар, сессия кестелерінің толуы, интерфейс қателері тіркелсін.
  • «Ауыр» жағдайларды бөлек тексеріңіз: көп қысқа сессия (веб), ұзақ сессиялар (RDP/VDI), шифрланған трафик.
  • Деградацияның басталу сәтін анықтаңыз: қандай трафик деңгейінде немесе сессия санында кідіру өседі немесе жоғалтулар пайда болады.

Содан кейін нақты өмірдегідей логтауды қосып, саясатты күрделендіріп (+30–50% ережелер) тестті қайталаңыз. Сессия орнату уақыты мен кідіру SLA-дан аспағанына көз жеткізіңіз.

Қауіпсіздік профильдерін және олардың ресурстық құнын қалай ескеру

Сатып алу және енгізу кілтке дейін
Сіздің шекараңызға, филиалдарыңызға және ЦОДқа сай спецификация мен комплектауды дайындаймыз.
Запросить предложение

Sizing-тағы негізгі қателік — «таза» өткізу қабілетін өлшеп, кейін қауіпсіздік профильдерін қосып таңғалатын жағдай. 6200/6400 үшін профильдердің жеке-жеке және бірге қолданылғандағы шығынын есептеген пайдалы, себебі олар CPU, жад пен үдеткіштер үшін бәсекелес.

Профильдердің «құнын» қалай есептеу

Бастапқы нүктеден бастаңыз: сол маршруттар мен NAT бар трафик, бірақ Threat Preventionсыз. Содан кейін функцияларды бір-бірлеп қосып, не өзгеретінін тіркеңіз: максималды жылдамдық, кідіру, CPU жүктемесі, бір уақытта ашылатын қосылымдар мен CPS.

Әдетте ең көп ресурсты қажет ететіндер:

  • IPS: Prevent режимі Detect-пен салыстырғанда әдетте ауыр. Профиль кең және ерекшеліктер аз болған сайын жүктеме жоғары болады. Сигнатуралар жаңартылғаннан кейін қысқа бақылау жүгірісін өткізу пайдалы.
  • Threat Prevention: нақты қандай blade-тер сіздің жинағыңызда қосулы екенін тексеріңіз. Көбіне кейбір тексерістер «кеңінен» қосулы тұрады, ал тәуекелге қарай тек маңызды сегменттерді қорғау жеткілікті болуы мүмкін.
  • TLS inspection: қаупі жоғары бағыттарда мағынасы бар (пошта, веб-сервистер, SaaS). Ауыр ағындар үшін (бэкаптар, ірі жүктеулер) әдетте нүктелік ерекшеліктер қажет, әйтпесе ресурстар қашпай шифрдан шығару үшін кетеді.
  • URL Filtering және App Control: егер көп категорияларды және белсенді ережелерді пайдалансаңыз, жүктеме өседі; жай ғана blade-ті қосып қою жүктемені аса азайтуы мүмкін.
  • Логтау: егжей-тегжейлі логтар (әсіресе Accept деңгейінде) жүктемені және лог-серверге таратылатын трафикті өсіреді. Алдын ала егжей-тегжей деңгейін, оқиға жиілігін және сақтау орнын шешіңіз.

Көбінесе ұмытылатындар

Қауіпсіздік профильдерін «вакуумда» бағалауға болмайды. Олардың құны трафик қоспасына (көп шағын сессия немесе бірнеше ірі), вебтегі қолданбалар санынан және шарықтау бар-жоғы бойынша өзгеретінін есепке алыңыз. Сондықтан орта мәннен гөрі ең нашар сағаттағы мінез-құлықты тіркеп, сигнатура жаңартуларына және қосымша бақылаулардың өсуіне резерв қалдырыңыз.

3 жылға қарағандағы ережелердің өсуін есептеу: қарапайым әдіс

Қуат резервін дұрыс қалдыру үшін тек трафиктің емес, саясаттың да өсуін болжаңыз. Практикада ережелер, объектілер және лог көлемінің өсуі жиі резервті жейді және қауіпсіздік профильдері қосылғанда өнімділікке әсер етеді.

Өсу есептеуін төрт топқа бөліңіз: Access Control ережелері, NAT, объектілер (hosts, желілер, сервистер) және топтар. Динамика әртүрлі: объектілер мен топтар көбіне жаңа жүйелер пайда болғанда жылдам өседі, ал ережелер — ерекше жағдайлар мен «уақытша» рұқсаттар ұзақ тұрып қалуына байланысты.

Есептеу қадамдары (қара жобаға 15–30 минут)

  1. Қазіргі жағдайды бекітіңіз: Access Control пен NAT ережелері саны, объектілер мен топтар саны, күнделікті орташа лог көлемі.
  2. 3 жылға өсім драйверлерін сипаттаңыз: жаңа сегменттер, филиалдар, сервистер, мердігерлер, ЦОД/бұлт миграциясы, TLS inspection енгізу.
  3. Өсу қарқынын қойыңыз: айлық негізгі өсім және жобаға тән «секірулер» (миграциялар, филиал ашу, жаңа жүйелер).
  4. Күрделенуді ескеріңіз: ережелер-ерекшеліктердің үлесі, TLS-bypass өсімі, логтардың егжей-тегжейлігінің өсуі.
  5. Әр топты жүктеме сценарийіне байлаңыз: өзгерістерден қанша жаңа ағындар мен оқиғалар пайда болатынын бағалаңыз.

Содан кейін үш сценарий жасап, әр жылдың соңындағы нәтижені есептеңіз:

  • Консервативті: айына +1–2 ереже, жылына +10% объектілер, ірі жобалар жоқ.
  • Шынайы: айына +3–6 ереже, жылына 1–2 жобалық секіру, жылына +20–30% объектілер.
  • Пик: айына +8–12 ереже, жылына 3–4 секіру, TLS inspection пен лог көлемінің күрт өсуі.

Ережелер өсімін жүктемеге қалай аудару: ережелер мен объектілер көбейген сайын сәйкестендірулер көбейеді, топтар жиі қолданылады, App Control/IPS/AV арқылы өтетін сессиялар саны артатыны және лог көлемі өсетіні мағынасы бар. Сондықтан тестке Mbps қана емес, match-тердің өсуін, CPS, бір уақытта ашылатын сессиялар және логтауды қосыңыз.

Нәтижелерді қалай интерпретациялау және 6200 немесе 6400 таңдау

Нәтижелерге «сіздің желіңіздегі ең нашар сағатта құрылғы қаншалықты тұрақты ұстайды» деген сұраққа жауап ретінде қараңыз, әдемі орташа көрсеткіштер емес. Егер пикте кідіру өсіп, дроптар пайда болып, CPU тұрақты түрде шегіне жақын болса — резерв жейілді, тіпті орташа жүктеме қалыпты көрінсе де.

6200 мен 6400-ді салыстыру тек бірдей шарттарда ғана мағыналы: бірдей саясат, бірдей қауіпсіздік профильдері, бірдей қолданбалардың үлесі, бірдей сессия сипаттамасы және пакет мөлшері. Әртүрлі баптаулар оңай «қолайлы» цифрлар береді, олар өмірде қайталанбайды.

Тест есебіне не жазу керек

Тек throughput емес, оның қалай төленіп жатқанын да тіркеңіз:

  • Пиктегі CPU (орташа емес — 95–99 процентильдер пайдалырақ).
  • Жүктеме кезінде және жаңа сессиялар шарықтағанда latency.
  • Бір уақытта ашылатын сессиялар және олардың орнатылу жылдамдығы (connection rate).
  • Жад және оның профильдер қосылғандағы өсуі.
  • Логтау подсистемасы: кезектер, егжей-тегжейлілік артқанда тұрақсыздық.

Егер CPU шегіне тиетін болса, әдетте ең қымбат тұратынтар — IPS/Anti-Bot/Threat Emulation және әсіресе TLS inspection.

Қалай шешім қабылдау

Қосымша бір прогон жасаңыз: TLS inspection үлесін (мысалы, 20%-дан 50%-ға немесе мақсатты мәнге) арттырып, CPU мен кідіріс қалай өзгеретінін қараңыз. Егер пиктегі CPU резерві 30–40%-дан аз болса немесе latency айтарлықтай өссе, 6400-ге өту әдетте ақталған.

Мысал: қазіргі саясатпен 6200 пикті ұстайды, бірақ TLS inspection кеңейген сайын CPU 85–90%-ға жетіп, кідіру өседі. Бұл арқылы 1–2 жыл ішінде (ережелер өсуі, шифрлау ұлғаюы, сигнатуралар жаңартулары) құрылғы шетте жұмыс істейтін болады. Мұндай жағдайда не 6400 таңдау, не саясаттың «құнын» азайту — TLS inspection ауқымын тарылту, қажетсіз логтарды азайту немесе төмен тәуекел бағыттарына ерекшеліктер қоймау арқылы шешім қабылданады.

Өнімділікті бағалаудағы жиі қателіктер

ИБ мен ИТ үшін қабылдау метрикалары
Өлшенетін критерийлерді бекітеміз: кідіру, жоғалту, CPU шыңы және сессия орнату жылдамдығы.
Проверить SLA

Ең жиі кездесетін қате қарапайым: техникалық сипаттамаларға сеніп, сол цифрларды нақты желіден күтеді. Практикада Quantum 6200/6400 өнімділігі көбіне қосылған профильдер мен солар арқылы өтетін трафикке тәуелді.

Есептеуді бұзатын қателіктер

  • Тікелей максималды throughput-ты салыстырады, IPS, Anti-Bot, URL Filtering және TLS inspection өткізу қабілетін төмендетіп, кідіруді арттыратындығын ескермейді.
  • Синтетикалық трафикпен (бір пакет өлшемі, бір протокол, шифрлаусыз) тест жасап, нақты ортада видеобайланыс, SaaS, бэкаптар, қысқа сессиялар мен ауыр HTTPS қоспасын алады.
  • Логтаудың құнын есептемейді: егжей-тегжейлі логтар, тасымалдау, сақтау және есептер I/O мен CPU-ға әсер етеді. Нәтижесінде «фильтрациядан» емес, оқиға жазу мен өңдеуден өнімділік төмендейді.
  • Филиалдар мен ЦОД талаптарын бір ортақ профильде араластырады. Филиалда көбіне көп қысқа сессиялар мен VPN болады, ЦОД-та — ірі ағымдар мен east-west. Орташа мәндер шарықтарды жасырады.
  • Өсу тек ережелер саны бойынша ғана жоспарланады, бірақ объектілер, топтар, ерекшеліктер, NAT, маршруттар және VPN өсімін есептемейді. Саясат күрделеніп, әр пакетке жасалатын тексерістер саны артады.

Кішкентай мысал

Компания TLS inspection-ды белгілі бір қолданушылар үшін қосып, уақыт өте исключениялар қосады (банктер, мемлекеттік порталдар, ішкі сервистер). Бір жылдан кейін ережелер 20% өсіп, объектілер мен исключениялар екі есеге ұлғайды. Тестте бәрі «ережелер бойынша» қалыпты көрінгенімен, нақты ортада сәйкестендіру мен лог өңдеуден жүктеме өсті: CPU үнемі жоғары, кідіру өзгереді.

Осы тұзаққа түспеу үшін бөлек бекітіңіз: трафик профилі (протоколдар мен олардың үлестері), қосылған қауіпсіздік профильдері, логтауға қойылатын талаптар және өсім болжамы — тек ережелер емес, сонымен бірге объектілер, исключениялар және VPN бойынша.

Сатып алу және енгізу алдында жылдам чеклист

Quantum 6200/6400 сатып алмас бұрын қай профильдер іске қосылатынын нақтылап алыңыз. Қате жиі кездеседі: тестте «таза» L3/L4 қарап, өндірісте бірден IPS, App Control, Anti-Bot және TLS inspection қосады.

Трафик пен шифрлау бойынша бастапқы деректерді тексеріңіз:

  • Mbps пен CPS үшін шарықтар бағаланды ма, және шын мәнінде қанша TLS инспекцияланатыны бөлек есептелді ме.
  • Қолданба типтері анық: веб, пошта, VPN, бэкаптар, VoIP, жаңартулар.
  • «Жаман күндер» тіркелді ме: тоқсан соңындағы жабылулар, жаппай жаңартулар, периметрге шабуылдар.

Кейін үздіксіздікті қалай құратыныңызды шешіңіз. Active-Standby пен Active-Active әртүрлі мінез көрсетеді, синхрондау мен failover таусылатын резервті жейді. Егер талап — «ақауды байқатпай өту», оны қабылдауға енгізіңіз.

Қабылдау метрикаларын алдын ала жазып алып, тест пен пилотта бірдей өлшеңіз:

  • Типтік ағындар бойынша Throughput және latency.
  • Drops, CPU/RAM, сессия кестелерінің толуы.
  • Жүктеме астында тұрақтылық (5 минут емес, 1–2 сағат).

Жоспарлау көлденеңін ұмытпаңыз. 3 жылға арналған үш сценарий жасаңыз: ережелер, объектілер және лог көлемі бойынша. Қазір 900 ереже болса және айына орташа 20 ереже қосылып жатса, 3 жылдан кейін шамамен 1620 ереже болады, және логтау талаптары мен сақтау көлемі сонымен бірге өседі.

Мысал сценарий: филиалдары мен ЦОД бар ұйым

Сіздің желіге сай Sizing
Сіздің қауіпсіздік профильдеріңізді, TLS және логтауды ескере отырып 6200 немесе 6400 таңдауын бағалаймыз.
Запросить расчет

Екі алаңы бар компания: негізгі офис пен басқа қаладағы ЦОД. 8–10 филиал, кейбір қызметкерлер қашықтан жұмыс істейді. Офисте интернет 1 Гбит/с, ЦОД-та 2 Гбит/с, алаңдар арасындағы канал 500 Мбит/с. Күнделікті 900–1100 қолданушы белсенді, олардың 200–300-і пикте VPN арқылы қосылуы мүмкін.

Саясаттарда сегментация маңызды: қолданушылар, серверлер, қонақ желі және мердігерлер үшін бөлек зоналар. Мердігерлерге тек нақты сервистерге (мысалы, тикет-система және бір әкімшілік сервер) қолжетімділік беріледі; қолданушылар VLAN-ы мен сервер зонасы арасына қатаң east-west ережелері қосылады.

Қауіпсіздік профильдері дерлік барлық бағытта қосылған: IPS және сүзгілеу (URL/Anti-Virus). TLS inspection нүктелі түрде енгізіледі — мысалы, қаржы бөлімдері мен бірнеше бұлттық қолданба үшін, спецификалық сервистерді бұзбау және ресурстарды тиімді пайдалану үшін.

Мұндай сценарийдегі жүктеме тесті нақты шарықтарға негізделуі тиіс:

  • Таңертеңгі шарық: веб, пошта, жаңартулар, SaaS, филиалдардан бэкаптар қатар жүреді.
  • VPN моделін имитациялау: 200–300 қолданушының бір уақытта қосылуын және CPS өсуін модельдеу.
  • Қосымша трафик: ВКС үшін кідіру мен джиттер, ERP/CRM жауап қайтарымы, RDP/VDI тұрақтылығы.
  • Канал ауыстыру: бір интернет-арнаның сәтсіздігі және қалған арнаға жүктеменің өсуі.
  • TLS inspection қосылған жеке прогон.

3 жылдағы өсу әдетте интернет жылдамдығы бойынша емес, күрделілік бойынша жүреді. Қызметтер, сегменттер (мысалы, IoT/СКУД аймағы) және спецификалық қолданбаларға арналған ерекшеліктер қосылады. Практикалық бағалау — жылына +15–25% ереже өсімі және объектілер (топтар, желілер, NAT, исключения) санының филиалдар кеңеюімен ұлғаюы.

Егер тестте профильдер қосылғанда CPU мен CoreXL шегіне тимей, пакет жоғалтулар жоқ және ВКС пен ERP үшін кідіру келісілген мәнде қалса — 3 жылға резерв шынайы көрінеді. Қажет болса интегратор, мысалы GSE.kz, бастапқы деректер жинауға және пилот ұйымдастыруға көмектесе алады, сонда нәтиже сіздің желіні емес, зертханалық болжамдарды көрсетпейді.

Есептеу мен тесттен кейінгі келесі қадамдар

Есептеу мен стенд прогондарынан кейін нәтижені бекітіп алыңыз, сонда жарты жыл ішінде бұрынғы даулар қайталанбасын. Сұраққа қысқа жауап керек: платформа қауіпсіздік профильдері қосылғанда және ережелер өсімімен сіздің нақты трафикті ұстай ала ма?

Нәтижелерді қысқа пакетке жинап, ИБ, эксплуатация және сервис иелерімен келісіңіз. Одан әрі нақты қадамдар жүйеленген түрде көмектеседі:

  • 2–3 жүктеме сценарийін эталон ретінде бекіту (шарық сағаттар, резервтеу, жаңартулар).
  • Стендте немесе тест сегментінде пилот өткізіп, қабылдау критерийлерін тіркеу.
  • Негізгі конфигурацияны сипаттау: қай профильдер әрқашан қосулы, қайсысы нүктелі түрде.
  • Өзгерістерді бақылау процедурасын енгізу: кім ережелер қосады, ревизия қалай өтеді, ескіргендер қашан жойылады.
  • 3 жылға лицензиялар, HA/кластер, лог-сервер және сақтау жоспарын құру.

Пилот «жұмыс істейтін сияқты» деңгейінен өтуі үшін қабылдау метрикаларын алдын ала анықтаңыз. Кәдімгі 4–5 өлшенетін көрсеткіш жеткілікті:

  • Сценарийлердегі орташа және пиктік CPU мен жад жүктемесі;
  • Негізгі профильдер қосылғанда latency өсуі;
  • Пакет жоғалту үлесі және сессиялардың тұрақтылығы;
  • Жүктеме кезінде логтаудың жылдамдығы мен толықтығы;
  • Саясат өзгерістеріне (policy install) реакция уақыты.

Одан әрі тәуелсіз бақылау: ай сайын ережелер базасының өсуін қадағалау, тоқсан сайын ескірген ережелер ревизиясы, логтардың сапасы мен сақтау көлемін тексеру — әсіресе егжей-тегжейлі оқиғалар кезінде.