Команда «Инфосистемы Джет» подтвердила совместимость модуля балансировки нагрузки на базе Бифорком с PT NGFW

Совместное решение позволяет объединить несколько PT NGFW в отказоустойчивый active-active-кластер с распределением нагрузки и горизонтальным масштабированием, обеспечивая пропускную способность до нескольких терабит.

В лаборатории «Инфосистемы Джет» инженеры объединили четыре межсетевых экрана PT NGFW (по 100 Гбит/с в режиме IPS у каждого) с двумя балансировщиками Бифорком и смоделировали промышленную нагрузку: через собранный кластер пропускали трафик с ростом интенсивности от 50 до 200 Гбит/с. Тестирование включало сценарии отказов: обрыв канала, перезагрузку устройства и потерю BFD-сессии. Потери пакетов при переключении между PT NGFW оказались минимальны, восстановление во всех сценариях занимало доли секунды, а добавление нового устройства увеличивало пропускную способность кластера без замены имеющихся узлов.

PT NGFW — комплексное решение для защиты сети от современных киберугроз. Платформа объединяет функции контроля и фильтрации трафика, инспекции приложений, обнаружения и предотвращения вторжений (IDS/IPS), URL-фильтрации и потокового антивируса. Линейка PT NGFW включает 10 моделей: от решений для небольших офисов с производительностью до 120 Мбит/с до систем для центров обработки данных с пропускной способностью до 400 Гбит/с в режиме межсетевого экрана и до 100 Гбит/с в режиме IPS.

После интеграции балансировщика от «Бифорком Тек» и нескольких PT NGFW в рамках общей архитектуры трафик распределяется маршрутизаторами Бифорком с помощью симметричного хэш‑алгоритма. Это гарантирует, что все пакеты одной сессии проходят через один и тот же межсетевой экран. Решение также поддерживает Policy‑Based Routing, что позволяет задавать правила маршрутизации для различных сервисов, приложений или подсетей. Состояние каждого межсетевого экрана непрерывно отслеживается с использованием протоколов BFD, BGP, а также функции IP SLA. При отказе одного из узлов его нагрузка перенаправляется на оставшиеся, при этом потоки, изначально обрабатываемые оставшимися узлами, не затрагиваются (аналог resilient ecmp).

По итогам проекта верифицирована архитектура, которая распределяет трафик между любым числом межсетевых экранов (МСЭ) и масштабируется до нескольких терабит пропускной способности. Подключение конечного сервисного узла поддерживается на скоростях 10, 25, 40, 100 Гбит/с и выше — в зависимости от проектных требований. Архитектура также предусматривает гибкое масштабирование общей производительности за счет линейного добавления новых МСЭ.

«Это была не только интересная техническая задача, но и возможность помочь одному из наших очень хороших партнеров. Сейчас на рынке действительно есть вопросы с отечественными NGFW большой производительности (от 100 Гбит/с), и созданное нами совместное решение позволяет закрыть эту проблему», — отметил Алексей Пантелеев, директор департамента развития «Инфосистемы Джет».

«PT NGFW способен гибко встраиваться в инфраструктуру наших клиентов, а предложенная архитектура расширяет доступные сценарии его интеграции. В ряде случаев такой подход позволяет обеспечить необходимый уровень масштабирования, устойчивость сервисов к пиковым нагрузкам и отказам, что особенно важно для крупных корпоративных сетей. Хочу поблагодарить команды Бифорком и "Инфосистемы Джет" за высокую техническую экспертизу, слаженную совместную работу и внимательный подход к проверке решения в ходе тестирования», — прокомментировал лидер продуктовой практики PT NGFW в Positive Technologies Юрий Дышлевой.

«Сегодня заказчикам недостаточно производительного NGFW — критически важно обеспечить масштабирование и устойчивость инфраструктуры при росте нагрузки. Архитектура на базе решений "Бифорком Тек" позволяет строить отказоустойчивые active-active-кластеры для обработки трафика на уровнях в сотни гигабит. Построение отказоустойчивой архитектуры на базе маршрутизаторов в режиме active-active гарантирует стабильную работу сети при пиковых нагрузках. Мы специализируемся на разработке высокопроизводительных систем коммутации и маршрутизации для дата-центров, региональных и магистральных сетей связи», — уточнил Александр Беспалов, главный архитектор департамента систем коммуникации и маршрутизации «Бифорком Тек».

По итогам испытаний «Инфосистемы Джет» получила статус аккредитованного партнера Positive Technologies по внедрению этой архитектуры с PT NGFW.