TLSStress.Art¶
Banco de testes de performance NGFW — alinhado ao NetSecOPEN, consciente de sustentabilidade, open-source. Coloque qualquer firewall de hardware no data path e meça sua capacidade real de decriptografia TLS, throughput, latência e teto de sessões concorrentes sob carga HTTP/2 + HTTP/3. Produz reports no formato de 16 tabelas idêntico ao publicado por Cisco, Palo Alto, Fortinet, Check Point e Keysight/Viavi.
Leia no seu idioma: English · Português · Español
⚠️ Licenciamento e uso — leia antes de clonar¶
Licença: PolyForm Noncommercial 1.0.0 com Apêndice A — Restrições Adicionais de Uso.
Público-alvo: funcionários da Cisco Systems, Inc. e engenheiros pré-vendas / pós-vendas de parceiros comerciais oficiais e certificados da Cisco. Uso fora desse público exige autorização prévia por escrito do autor (
agallon@Cisco.com).Permitido: trabalho de laboratório, demonstrações internas, engajamentos PoV / PoC com clientes.
Proibido (independente de ser "não comercial"): uso em qualquer processo de aquisição — público OU privado — incluindo pregões, editais públicos, editais privados, RFPs / RFQs / RFIs / RFTs que avaliem produtos concorrentes da Cisco; venda ou hospedagem como SaaS; qualquer comercialização sem autorização prévia por escrito.
Política em linguagem direta: English · Português · Español.
Por que TLSStress.Art¶
O mercado comercial de performance NGFW está travado entre dois vendors (Keysight CyPerf + BreakingPoint, Viavi/Spirent CyberFlood), com preço de US$ 2,0–2,5M / 100 Gbit/s de capacidade de teste (~$21–25 mil por Gbit/s). TLSStress.Art entrega a mesma metodologia + formato de report a ~$5 mil / Gbit/s — 78% mais barato na média, 88% mais barato no tier SMB de 1 Gbit/s.
| Diferencial | Detalhe |
|---|---|
| Alinhado ao NetSecOPEN | Seções de teste RFC 9411 §7 + layout de 16 tabelas do cert report, byte-a-byte compatível com certs publicados de Cisco / Palo Alto / Fortinet / Check Point |
| Consciente de sustentabilidade | Polling SNMP / IPMI / Redfish de energia ao vivo, kWh + kg CO2 + árvores-por-ano por teste, callout "se você rodasse na AWS, teria pago $X" |
| Realismo de produção | PURE — Production URL Replay Engine — repete streams reais de URLs de clientes (ingest HAR + Syslog + PCAP + SPAN) através do DUT com isolamento PIE-PA (3 camadas: pod-scale-to-0 + BGP withdraw + sanity de DNS) |
| 17 patent claims | Família DOM + OOBI + GATEWAY + RELAY · PURE + Discovery Hub · Cloud Endpoint Service · SPAN.Art · TREX.Art · proxy OBP — moat único e coerente |
| Open-core | Licença restrita a Cisco + parceiros certificados; transparência total de código-fonte; builds reproduzíveis com Sigstore Cosign keyless |
Arquitetura em visão geral — 37 MÓDULOs em 3 planos¶
A plataforma TLSStress.Art é organizada como 37 componentes MÓDULO X.Art distribuídos em 3 planos administrativos (per project_module_planes_classification_2026_05_10):
| Plano | Quantidade | Exemplos |
|---|---|---|
| DATA | 18 | PW.Art (browser engine) · K6.Art · TREX.Art · HAR.Art · SPAN.Art · PERSONAS.Art (20 Sintéticas + 10 Clonadas) · DoYour.Art · KALI.Art |
| CONTROL | 5 | BGP-{1..12}.Art · OSPF.Art · SDWAN/CoR-{1..10}.Art · VXLAN-{1..3}.Art · ISP.Art |
| MGMT | 8 + 1 híbrido | VALIDATOR.Art · GATEWAY.Art · RELAY.Art · CLONER.Art · FLOW.Art · SYSLOG.Art · SNMP.Art · API INFRA.Art · CLI.Art |
Todos os MÓDULOs compartilham a fabric OOBI imutável (VXLAN VNI 254254, UDP/4789, ULA fd5a:7c5e:a72:0::/64) — entrada do operador via GATEWAY.Art (slot .250), ponte MGMT-cliente via RELAY.Art (slot .240/.241 HA). DUTs e switches nunca participam do overlay.
📐 Arquitetura completa: ARCHITECTURE.md · Índice de ADRs: ADR/README.md
Test Kinds — 7 categorias¶
| # | Tipo | Propósito |
|---|---|---|
| 1 | PW (browser engine) | Navegação real em browser — Chromium carrega HTML/CSS/JS/imagens/fontes, mede latência grau-de-produção |
| 2 | synthetic-load engine | Teste de carga HTTP em escala — ~128 MB / agente, percentis p50/p95/p99, sintético grau-de-datasheet |
| 3 | TREX (Cisco TRex) | Tráfego stateful com DPDK kernel-bypass — line-rate TCP/UDP/IPSec, 30 Mpps/core, 40M flows |
| 4 | HAR replay | Replay L7 byte-accurate de sessões capturadas de browser — 10k sessões/host vs PW 50/host |
| 5 | Combinatorial | Plano de teste com modifiers + inspection_profile + 10 componentes NGFW — 5 presets + modo custom |
| 6 | DoYour (Art Studio) | Testes custom construídos pelo operador via Scapy + Go embed + replay PCAP (3 modos, tier premium) |
| 7 | PURE | Production URL Replay — URLs reais de clientes ingeridas de fontes Syslog/PCAP/HAR/Curated/SPAN/Cloud, repetidas com isolamento PIE-PA |
📐 Design combinatorial: TEST_PLANS.md · Perfis de inspeção (5 nomeados): INSPECTION_PROFILE.md
Compliance NetSecOPEN¶
Produz cert reports voltados a clientes byte-a-byte idênticos aos publicados por Cisco / Palo Alto / Fortinet / Check Point com ferramentas Keysight ou Viavi/Spirent. A Wave NSO de 22 PRs (Phase A — Technical Readiness — completa 2026-05-11) entrega:
| Módulo | RFC 9411 § / Apêndice |
|---|---|
| Schema + mixes Healthcare/Education + 16 tamanhos de objeto | §3-§7 |
| Cipher enforcer (4 TLS 1.2 + 4 TLS 1.3, session_tickets off) | §4.3.1.4 |
| Classe DUT XS/S/M/L → 65/120/230/560 regras ACL | §4.2 + Apêndice B |
| Preflight de 16 checks (8 RECOMMENDED + 4 OPTIONAL) | §4.3.2 |
| Orchestrator FSM 11-estados com enforcement de regras de fase | §4.3.4 |
| Runners §7.1-§7.9 + Apêndice A.2/A.3 (Detection Rate + Under Load) | §7 + A |
| KPI aggregator de 16 tabelas (layout cert) | §5 + Apêndice C |
| Stability graph SVG (visualização da sustain-window) | §4.3.4 |
| Pie chart SVG (Figuras 2 + 3 — traffic mix) | §7.1 |
| Report renderer (cert + lab × md + html, PDF-ready) | §5 reporting |
| Audit chain SHA-256 + assinatura Cosign-keyless | §5.1 traceability |
📐 Primer do operador: NETSECOPEN_PRIMER.pt-BR.md · Mapeamento de vocabulário: NETSECOPEN_ALIGNMENT.md · Report de exemplo: sample-reports/cisco-1220cx/
Status: alinhado ao NetSecOPEN (ainda não uma "Approved Tool"). Roadmap de 5 fases (Technical Readiness → Validação Independente via EANTC → Licenciamento → Membership → Campanha de Aprovação), timeline de 24-36 meses.
Sustentabilidade MVP¶
A Wave SUS de 14 PRs (2026-05-11) faz cada teste produzir um relatório de sustentabilidade ao lado do relatório de performance:
| Componente | Saída |
|---|---|
| Coletores de energia SNMP/IPMI/Redfish (PDU + server + MIBs de 10 vendors NGFW + Cisco Nexus / Catalyst / Arista / Juniper) | Watts/device ao vivo, amostragem a cada 5s |
| Aggregator de energia (integração trapezoidal Wh) | kWh + kg CO2 com fatores regionais de emissão (15 regiões do IEA 2024) |
| Conversor árvores-por-ano + crédito de carbono | Referência USDA (21 kg CO2/árvore-ano) + Ecosystem Marketplace VCM blended ($15/ton) |
| Equivalências em linguagem direta | km de carro dirigido (EPA) + horas de Netflix HD (Netflix ESG 2024) + cargas full de smartphone (EPA) |
| Calculadora de custo AWS IaaS | Compute + egress + CloudWatch logs + EBS storage no list AWS — 7 SKUs NGFW VM-Series suportadas |
| Comparação TCO competidores | Spirent / Keysight / Ixia amortizado 5 anos, 78%+ economia vs média vendor |
📐 Primer do operador: SUSTAINABILITY_PRIMER.pt-BR.md · Report de exemplo: sample-reports/sustainability-cisco-1220cx/ · Calibração real: um teste de 5 minutos no Cisco 1220CX em São Paulo, BR emite ~27 g CO2 (~0.001 árvores-ano); o mesmo workload custaria ~$5.74 na AWS vs ~$0.03 on-prem = 99,4% de economia.
Catálogo DUT — 10 famílias de vendor NGFW¶
Escopo travado per project_dut_catalog_scope:
| # | Vendor | Famílias SKU | Plano MGMT |
|---|---|---|---|
| 1 | Cisco FTD (Firepower) | 1220, 3105, 1010, 3000, 4200, FTDv | FMC + FDM + SCC |
| 2 | Cisco Secure Router | 8200 / 8300 / 8400 / 8500 (não-MX, não-EoS) | vManage REST |
| 3 | Palo Alto | PA-220 → PA-7080, PA-VM, Prisma Access | Panorama + PAN-OS REST |
| 4 | Fortinet | FortiGate FG-40F → FG-7060F + FortiGate-VM | FortiManager + REST |
| 5 | Check Point | Quantum 3600 → 28000 + CloudGuard | Gaia REST + Multi-Domain |
| 6 | HPE Juniper SRX | SRX300 → SRX5800 + vSRX | Junos Space + RESTCONF |
| 7 | Sophos | série XGS + XG (energia estimada) | Sophos Central |
| 8 | Forcepoint | NGFW 1100 → 6205 (energia estimada) | SMC |
| 9 | WatchGuard | Firebox M270 → M5800 (energia estimada) | Dimension |
| 10 | Huawei | série USG + AntiDDoS | iMaster (triple-presence: catálogos NGFW + server + switch) |
Regras de exclusão (travadas): G1 — sem decrypt TLS → não é DUT. G2 — modelos com EoS anunciado. Meraki MX excluído (sem decrypt TLS). IOS-XE modo autonomous excluído (sem NGFW). ISR + 8000V + uCPE excluídos.
📐 Referência de vendor: NGFW_CONFIGURATION_REFERENCE.pt-BR.md · API DUT: DUT_API_INTEGRATION.pt-BR.md
Topologias de deployment¶
Configuração via platform/topology.yaml em 3 eixos independentes (per ADR 0011):
| Eixo | Valores | Controla |
|---|---|---|
deployment_nodes |
single · dual · tri · multi |
Número de UCS + distribuição de roles |
l2_fabric |
nexus · none (futuro: arista, catalyst, generic) |
Switch L2 externo (ou ausência) |
dut_type |
cisco-ftd · cisco-secure-router (futuro: 8 mais) |
Vendor do DUT — gates de scripts apply/verify |
| Modo | UCS | Layout |
|---|---|---|
| Single-node | 1 | Tudo em um host. l2_fabric: none recomendado para dev/lab (NICs do UCS cabeadas direto no NGFW, trunk 802.1q multi-NIC por NIC). Suporte first-class. |
| Dual-node | 2 | UCS-1 = agentes (PW + synthetic-load engine); UCS-2 = personas + services + observability |
| Tri-node | 3 | UCS-1 = browser engine; UCS-2 = synthetic-load engine; UCS-3 = personas + services + observability |
| Multi-node | 4 | UCS-1 ngfw-dut · UCS-2 playwright · UCS-3 k6 · UCS-4 infra |
OOBI (eth0) é mandatória em todo UCS em todo modo — k3s flannel + scrape Prometheus rodam sobre ela.
📐 Quick-start por modo: single · dual · tri · multi · Split-stack dev: SPLIT_STACKS.md
Instalação em um comando¶
# Modo dev (Linux/macOS)
curl -fsSL https://raw.githubusercontent.com/nollagluiz/AI_forSE/main/scripts/install.sh | bash
# Produção (Ubuntu + k3s)
sudo ./scripts/k8s-install.sh
Detecta OS, instala Docker se necessário, gera .env host-aware, sobe o stack, aplica migrations, imprime credenciais admin. Para produção multi-UCS, ver guias de deployment acima.
Container images¶
Multi-arch (amd64 + arm64), assinadas Cosign (keyless OIDC), com SBOM:
docker pull ghcr.io/nollagluiz/web-agent-agent:latest # agentes PW.Art + K6.Art
docker pull ghcr.io/nollagluiz/web-agent-dashboard:latest # cockpit Next.js
docker pull ghcr.io/nollagluiz/web-agent-k6agent:latest # gerador K6
docker pull ghcr.io/nollagluiz/web-agent-cloner:latest # CLONER.Art (9 funções)
📐 Self-upgrade estilo Meraki (canais Recommended / RC / Beta + auto-rollback 60s): RELEASE_CHANNELS.md
Quick links — mapa de documentação¶
Arquitetura e design¶
ARCHITECTURE.md·SYSTEM_OVERVIEW.md·TECH_STACK.mdADR/README.md— 25+ architecture decision records
Compliance NetSecOPEN (Wave NSO)¶
NETSECOPEN_PRIMER.pt-BR.md· English · es — how-to do operadorNETSECOPEN_ALIGNMENT.md— matriz de coverage RFC 9411 §6 + vocabulárioTEST_PLANS.pt-BR.md· English · es — 15 padrões de carga prontosINSPECTION_PROFILE.pt-BR.md· English · es — 5 perfis nomeadosPREFLIGHT_CHECKS.pt-BR.md· English · es — auditoria de 16 checksTLS_DECRYPT_MODE_VERIFICATION.pt-BR.md· English · es — ground-truth checkTLS_INSPECTION_TRAPS.pt-BR.md· English · es — vocab hygiene (nunca "SSL Inspection")
Sustentabilidade (Wave SUS)¶
SUSTAINABILITY_PRIMER.pt-BR.md· English · es — how-to + matemática + fontes- Sample sustainability report:
sample-reports/sustainability-cisco-1220cx/
Relatórios de teste¶
REPORTS.pt-BR.md· English · es — HTML + PDF + Cosign-signed- Sample NetSecOPEN cert:
sample-reports/cisco-1220cx/
Operações de fleet¶
K6_FLEET.md— fleet synthetic-load engine (1-1.000 agentes)CLONER.pt-BR.md· English · es — arquitetura do Public Website ClonerCLONER_OPERATIONS.pt-BR.md· English · es — jobs + monitoramento
Test-bed DUT¶
DUT_TESTBED.md— setup físico NGFWNGFW_CONFIGURATION_REFERENCE.pt-BR.md· English · es — VLANs + IPs + PKI + exemplos vendorQUICKSTART_DUT_CHECKLIST.pt-BR.md· English · es — cabo → install → PKI → teste → resultadosDUT_API_INTEGRATION.pt-BR.md· English · es — integração de API vendor 3 tiersDUT_API_OPERATIONS.md— operações runtime
Rede e isolamento¶
L2_ISOLATION.pt-BR.md· English · es — defesa BPDU 3 camadasNEXUS9K_TUNING.md— tuning trunk Nexus 9000BRANCH_OFFICE.pt-BR.md· English · es — teste WAN assimétricoNAT_TESTING_MODES.pt-BR.md· English · es — cenários SDWAN + Cloud On-Ramp
Observabilidade e operações¶
MONITORING_TEST_VALIDITY.pt-BR.md· English · es — alertas bench-não-DUT bottleneckTRACING.pt-BR.md· English · es — tracing distribuídoSYSLOG_CORRELATION.pt-BR.md· English · es — fonte Discovery HubSYSLOG_OPERATIONS.pt-BR.md· English · es — guia operadorTIME_SYNC.pt-BR.md· English · es — NTP via Cloner Fn 2TIME_SYNC_FALLBACKS.md— fallbacks air-gap
Compliance e DR¶
AUDIT_LOG.md— query + procedures de handoverBACKUP_DR_OPERATOR_GUIDE.md— RTO < 30 min / RPO < 5 minPRIVACY_POLICY.pt-BR.md· English · es — dados de aceite de licençaIP_PROTECTION.pt-BR.md· English · es — proteção de propriedade intelectualACCESS_REQUEST.pt-BR.md· English · es — solicitar uso fora do público-alvo
Instalação e migração¶
AIRGAP_INSTALL.pt-BR.md· English · es — deployment air-gapPRIVATE_REPO_SETUP.pt-BR.md· English · es — deployment privadoRUNBOOK_FIRST_INSTALL.pt-BR.md· English — primeira instalaçãoCLONE_FOR_INSTALL.pt-BR.md· English · es — workflow clone-for-installMIGRATION_v1_to_v2.md— migração v1 → v2
Performance¶
PERFORMANCE_TUNING.md— sysctls + BBR + tuning QUICPERFORMANCE_TUNING_HOST.md— nível de hostPOST_RELEASE_CHECKLIST.md— engenharia de release
Intros do projeto em linguagem direta¶
- What it does · Para que serve · Para qué sirve
BRAND.pt-BR.md· English · es — tokens de marca + voz
Roadmap e futuro¶
GNMI_ROADMAP.pt-BR.md· English · es — roadmap gNMI streaming telemetryAPI_FEATURE_CATALOG.pt-BR.md· English · es — inventário de featuresRELEASE_CHANNELS.md— Recommended / RC / Beta + auto-rollback Cosign
Contribuindo¶
Veja CONTRIBUTING.md, o Code of Conduct e a Security policy.
© 2026 André Luiz Gallon — Distribuído sob PolyForm Noncommercial 1.0.0 com Restrições Adicionais de Uso (Apêndice A).