Intel logo

Tehnološki vodič
Optimizirajte performanse NGFW-a pomoću
Intel® Xeon® procesori u javnom oblaku

Autori
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhikša Ravisundar
Heqing Zhu

Sadržaj sakriti
1 Uvod
2 Pozadina i motivacija
3 Implementacija reference NGFW-a
4 Implementacija referentne implementacije NGFW-a u oblaku
5 Evaluacija performansi i troškova
6 Rezime
7 Dodatak A Konfiguracija platforme
8 Dokumenti / Resursi
8.1 Reference

Uvod

Zaštitni zidovi sljedeće generacije (NGFW) su u srži rješenja za mrežnu sigurnost. Tradicionalni zaštitni zidovi vrše inspekciju prometa na osnovu stanja, obično na osnovu porta i protokola, što ne može efikasno braniti od modernog zlonamjernog prometa. NGFW-ovi se razvijaju i proširuju na tradicionalne zaštitne zidove s naprednim mogućnostima dubinske inspekcije paketa, uključujući sisteme za otkrivanje/sprječavanje upada (IDS/IPS), otkrivanje zlonamjernog softvera, identifikaciju i kontrolu aplikacija itd.
NGFW-ovi su računalno intenzivna opterećenja koja obavljaju, na primjeramptj. kriptografske operacije za šifriranje i dešifriranje mrežnog prometa i teško usklađivanje pravila za otkrivanje zlonamjernih aktivnosti. Intel pruža ključne tehnologije za optimizaciju NGFW rješenja.
Intelovi procesori su opremljeni različitim arhitekturama skupova instrukcija (ISA), uključujući Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) i Intel® QuickAssist Technology (Intel® QAT) koje značajno ubrzavaju kripto performanse.
Intel također ulaže u optimizacije softvera, uključujući i one za Hyperscan. Hyperscan je visokoučinkovita biblioteka za usklađivanje stringova i regularnih izraza (regex). Koristi tehnologiju jedne instrukcije i više podataka (SIMD) na Intel procesorima kako bi poboljšala performanse usklađivanja uzoraka. Integracija Hyperscana u NGFW IPS sisteme kao što je Snort može poboljšati performanse i do 3 puta na Intel procesorima.
NGFWs are often delivered as a security appliance deployed in the demilitarized zone (DMZ) of enterprise data centers. However, there is a strong demand for NGFW virtual appliances or software packages that can be deployed to the public cloud, in enterprise data centers, or at network edge locations. This software deployment model frees up enterprise IT from the operations and maintenance overhead associated with physical appliances. It improves system scalability and provides flexible procurement and purchasing opcije.
An increasing number of enterprises are embracing public cloud deployments of NGFW solutions. A key reason for this is the cost advantagpokretanja virtuelnih uređaja u oblaku.
Ipak, budući da CSP-ovi nude mnoštvo tipova instanci s različitim računarskim karakteristikama i cijenama, odabir instance s najboljim ukupnim troškovima vlasništva (TCO) za NGFW može biti izazovan.
Ovaj rad predstavlja referentnu implementaciju NGFW-a od Intela, optimiziranu Intelovim tehnologijama, uključujući Hyperscan. Nudi pouzdanu osnovu za karakterizaciju performansi NGFW-a na Intelovim platformama. Uključena je kao dio Intelovog NetSec Reference Software paketa. Također pružamo Multi-Cloud Networking Automation Tool (MCNAT) u istom paketu za automatizaciju implementacije referentne implementacije NGFW-a na odabranim javnim cloud provajderima. MCNAT pojednostavljuje analizu ukupnih troškova vlasništva (TCO) za različite računarske instance i vodi korisnike do optimalne računarske instance za NGFW.
Molimo kontaktirajte autore kako biste saznali više o NetSec Reference Software paketu.

Istorija revizija dokumenta

Revizija Datum Opis
001 mart 2025 Prvo izdanje.

1.1 Terminologija
Tabela 1. Terminologija

Skraćenica Opis
DFA Deterministički konačni automat
DPI Duboka inspekcija paketa
HTTP Protokol za prijenos hiperteksta
IDS/IPS Sistem za detekciju i prevenciju upada
ISA Arhitektura skupa instrukcija
MCNAT Alat za automatizaciju višeoblačnih mreža
NFA Nedeterministički konačni automat
NGFW Zaštitni zid sljedeće generacije
PCAP Snimanje paketa
PCRE Biblioteka regularnih izraza kompatibilnih s Perlom
Regeks Regularni izraz
SASE Secure Access Service Edge
SIMD Tehnologija višestrukih podataka s jednom instrukcijom
TCP Protokol kontrole prijenosa
URI Jedinstveni identifikator resursa
WAF Web Zaštitni zid aplikacija

1.2 Referentna dokumentacija
Tabela 2. Referentni dokumenti

Referenca Izvor
Intel® Xeon® skalabilna platforma napravljena za najosjetljivija radna opterećenja https://www.intc.com/news-events/press-releases/detail/1423/intel-xeon-scalable-platform-built-for-most-sensitive
Hrkanje https://www.snort.org/
Pravila Snorta Talosa https://www.snort.org/downloads#rules
Hiperskeniranje https://www.intel.com/content/www/us/en/developer/articles/technical/introduction-to-hyperscan.html
Integracija Hyperscan-a i Snorta https://www.intel.com/content/www/us/en/developer/articles/technical/hyperscan-and-snort-integration.html
Hyperscan: Brzi višestruki regex matcher za moderne procesore https://www.usenix.org/conference/nsdi19/presentation/wang-xiang
Teddy: Efikasan SIMD-bazirani mehanizam za doslovno upoređivanje za skalabilnu dubinsku inspekciju paketa https://dl.acm.org/doi/10.1145/3472456.3473512
Priručnici za razvojne programere za Intel® 64 i IA-32 arhitekture https://www.intel.com/content/www/us/en/developer/articles/technical/intel-sdm.html
Intel® vodič za intrinzične sisteme https://www.intel.com/content/www/us/en/docs/intrinsics-guide/index.html
Ubrzavanje performansi propusnosti Suricate korištenjem softvera za usklađivanje uzoraka Hyperscan-a https://www.intel.com/content/dam/www/public/us/en/documents/solution-briefs/hyperscan-scalability-solution-brief.pdf
Suricata https://suricata.io/
Hiperskeniranje u Suricati: Stanje nacije https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf
Ubrzajte performanse Snorta pomoću Hyperscana i Intel® Xeon® procesora u javnim oblacima https://networkbuilders.intel.com/solutionslibrary/accelerate-snort-performance-with-hyperscan-and-intel-xeon-processors-on-public-clouds
Zaštitni zid sljedeće generacije – Optimizacije sa skalabilnim procesorom Intel® Xeon® 4. generacije https://networkbuilders.intel.com/solutionslibrary/next-generation-firewall- optimizacije-rješenja-kratki-sažetak
Optimizujte propusnost i energetsku efikasnost za zaštitne zidove sljedeće generacije https://www.intel.com/content/www/us/en/products/docs/processors/xeon-accelerated/network/xeon6-firewall-solution-brief.html
NetSec softverski paket https://www.intel.com/content/www/us/en/secure/design/confidential/software-kits/kit-details.html?kitId=853965

Pozadina i motivacija

Danas je većina NGFW dobavljača proširila svoje prisustvo sa fizičkih NGFW uređaja na virtuelna NGFW rješenja koja se mogu implementirati u javnom oblaku. Implementacije NGFW-a u javnom oblaku doživljavaju sve veću primjenu zbog sljedećih prednosti:

  • Skalabilnost: lako skalirajte ili smanjite računarske resurse na više geografskih lokacija kako biste ispunili zahtjeve za performansama.
  • Isplativost: fleksibilna pretplata koja omogućava plaćanje po korištenju. Eliminira kapitalne izdatke (capex) i smanjuje operativne troškove povezane s fizičkim uređajima.
  • Izvorna integracija s uslugama u oblaku: besprijekorna integracija s javnim uslugama u oblaku kao što su umrežavanje, kontrole pristupa i alati za umjetnu inteligenciju/strojno učenje.
  • Zaštita opterećenja u oblaku: filtriranje lokalnog prometa za poslovna opterećenja hostovana u javnom oblaku.

Smanjeni troškovi pokretanja NGFW opterećenja u javnom oblaku su atraktivan prijedlog za poslovne slučajeve upotrebe.
Međutim, odabir instance s najboljim performansama i ukupnim troškovima vlasništva (TCO) za NGFW je izazovan, s obzirom na širok raspon opcija cloud instanci dostupnih s različitim CPU-ima, veličinama memorije, IO propusnim opsegom, a svaka ima drugačiju cijenu. Razvili smo NGFW referentnu implementaciju kako bismo pomogli u analizi performansi i TCO-a različitih javnih cloud instanci zasnovanih na Intel procesorima. Demonstrirat ćemo metrike performansi i performansi po dolaru kao vodič za odabir pravih Intel instanci za NGFW rješenja na javnim cloud servisima kao što su AWS i GCP.

Implementacija reference NGFW-a

Intel je razvio NetSec Reference Software paket (najnovija verzija 25.05) koji pruža optimizirana referentna rješenja koristeći ISA-e i akceleratore dostupne u najnovijim Intelovim CPU-ima i platformama kako bi se demonstrirale optimizirane performanse na lokalnoj poslovnoj infrastrukturi i u oblaku. Referentni softver je dostupan pod Intelovom vlasničkom licencom (IPL).
Ključne karakteristike ovog softverskog paketa su:

  • Uključuje širok portfolio referentnih rješenja za umrežavanje i sigurnost, AI okvire za cloud i poslovne podatkovne centre i rubne lokacije.
  • Omogućava vrijeme za plasman na tržište i brzo usvajanje Intelovih tehnologija.
  • Dostupan je izvorni kod koji omogućava repliciranje scenarija implementacije i testnih okruženja na Intel platformama.

Molimo kontaktirajte autore kako biste saznali više o nabavci najnovijeg izdanja NetSec Reference Softwarea.
Kao ključni dio NetSec Reference softverskog paketa, NGFW referentna implementacija pokreće karakteristike performansi NGFW-a i analizu ukupnih troškova vlasništva (TCO) na Intel platformama. Nudimo besprijekornu integraciju Intel tehnologija kao što je Hyperscan u NGFW referentnoj implementaciji. To gradi solidnu osnovu za NGFW analizu na Intel platformama. Budući da različite Intelove hardverske platforme nude različite mogućnosti, od računarstva do ulazno-izlaznih operacija (IO), NGFW referentna implementacija predstavlja jasniju sliku. view mogućnosti platforme za NGFW opterećenja i pomaže u prikazivanju poređenja performansi između generacija Intel procesora. Pruža detaljan uvid u metrike, uključujući računarske performanse, propusnost memorije, propusnost ulazno-izlaznih operacija i potrošnju energije. Na osnovu rezultata testova performansi, možemo dalje provesti analizu ukupnih vlasničkih troškova (TCO) (s performansama po dolaru) na Intel platformama koje se koriste za NGFW.

Najnovije izdanje (25.05) referentne implementacije NGFW uključuje sljedeće ključne karakteristike:

  • Osnovni zaštitni zid sa praćenjem stanja
  • Sistem za sprečavanje upada (IPS)
  • Podrška za najsavremenije Intel procesore, uključujući Intel® Xeon® 6 procesore, Intel Xeon 6 SoC, itd.

Planirano je da buduća izdanja implementiraju sljedeće dodatne funkcije:

  • VPN inspekcija: IPsec dešifriranje prometa za inspekciju sadržaja
  • TLS inspekcija: TLS proxy koji prekida veze između klijenta i servera, a zatim vrši inspekciju sadržaja prometa otvorenog teksta.

3.1 Arhitektura sistema

Intel optimizuje zaštitne zidove sljedeće generacije - Arhitektura sistema

Slika 1 prikazuje cjelokupnu arhitekturu sistema. Koristimo softver otvorenog koda kao osnovu za izgradnju sistema:

  • VPP pruža visokoperformansno rješenje za podatkovnu ravninu s osnovnim funkcijama zaštitnog zida s mogućnošću praćenja stanja, uključujući ACL-ove s mogućnošću praćenja stanja. Pokrećemo više VPP niti s konfiguriranim afinitetom jezgre. Svaka VPP radna nit je vezana za namjensku jezgru CPU-a ili izvršnu nit.
  • Snort 3 je odabran kao IPS, koji podržava višenitnost. Snort radni niti su pričvršćene na namjenska CPU jezgra ili izvršne niti.
  • Snort i VPP su integrirani pomoću Snort dodatka za VPP. Ovo koristi skup parova redova čekanja za slanje paketa između VPP-a i Snorta. Parovi redova čekanja i sami paketi se pohranjuju u dijeljenoj memoriji. Razvili smo novu komponentu za akviziciju podataka (DAQ) za Snort, koju nazivamo VPP Zero Copy (ZC) DAQ. Ovo implementira Snort DAQ API funkcije za primanje i slanje paketa čitanjem iz i pisanjem u relevantne redove čekanja. Budući da se korisni teret nalazi u dijeljenoj memoriji, ovo smatramo implementacijom Zero-Copy.

Budući da je Snort 3 računalno intenzivno opterećenje koje zahtijeva više računarskih resursa nego obrada podataka, pokušavamo konfigurirati optimiziranu alokaciju jezgara procesora i uravnotežiti broj VPP niti i Snort3 niti kako bismo postigli najviše performanse sistema na pokrenutoj hardverskoj platformi.
Slika 2 (na stranici 6) prikazuje čvor grafa unutar VPP-a, uključujući one koji su dio ACL-a i Snorta pluginsRazvili smo dva nova VPP čvora grafa:

  • snort-enq: donosi odluku o uravnoteženju opterećenja o tome koja Snort nit treba obraditi paket, a zatim ga stavlja u odgovarajući red čekanja.
  • snort-deq: implementiran kao ulazni čvor koji proziva više redova, jedan po Snort radnoj niti.

Intel optimizuje zaštitne zidove sljedeće generacije - Grafički čvorovi

3.2 Intelove optimizacije
Naša referentna implementacija NGFW-a uzima prednosttage od sljedećih optimizacija:

  • Snort koristi Hyperscan biblioteku za višestruko usklađivanje regex izraza visokih performansi kako bi pružio značajno poboljšanje performansi u poređenju sa zadanim pretraživačem u Snortu. Slika 3 ističe Hyperscan integraciju sa Snortom.
    ubrzava i obradu literala i usklađivanje regexova. Snort 3 pruža izvornu integraciju s Hyperscanom gdje korisnici mogu uključiti Hyperscan putem konfiguracije file ili opcije komandne linije.

Intel optimizuje zaštitne zidove sljedeće generacije - Snort sa Hyperscan-om

  • VPP preuzima prednosttagSkaliranje prijemne strane (RSS) u Intel® Ethernet mrežnim adapterima za distribuciju prometa preko više VPP radnih niti.
  • Intel QAT i Intel AVX-512 upute: Buduća izdanja koja podržavaju IPsec i TLS će koristiti prednosti...tagtehnologija kripto ubrzanja od Intela. Intel QAT ubrzava kripto performanse, posebno kriptografiju javnog ključa koja se široko koristi za uspostavljanje mrežnih veza. Intel AVX-512 također poboljšava kriptografske performanse, uključujući VPMADD52 (operacije množenja i akumulacije), vektorski AES (vektorska verzija Intel AES-NI instrukcija), vPCLMUL (vektorizirano množenje bez prenosa, koje se koristi za optimizaciju AES-GCM) i Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).

Implementacija referentne implementacije NGFW-a u oblaku

4.1 Konfiguracija sistema
Tabela 3. Testne konfiguracije

Metric Vrijednost
Slučaj upotrebe Inspekcija čistog teksta (FW + IPS)
Profesionalac u prometufile HTTP 64KB GET (1 GET po konekciji)
VPP ACL-ovi Da (2 ACL-a sa punim stanjem)
Pravila frktanja Lightspd (~49k pravila)
Snort politika Sigurnost (omogućeno je ~21 hiljada pravila)

Fokusiramo se na scenarije inspekcije čistog teksta na osnovu slučajeva upotrebe i KPI-jeva u RFC9411. Generator prometa mogao je kreirati HTTP transakcije od 64KB s 1 GET zahtjevom po konekciji. ACL-ovi su konfigurirani da dozvole IP adrese u određenim podmrežama. Usvojili smo skup pravila Snort Lightspd i sigurnosnu politiku kompanije Cisco za benchmarking. Također je postojao namjenski server za posluživanje zahtjeva od generatora prometa.

Intel optimizuje zaštitne zidove sljedeće generacije - topologija sistemaIntel optimizuje zaštitne zidove sljedeće generacije - Topologija sistema 2

Kao što je prikazano na slikama 4 i 5, topologija sistema uključuje tri primarna čvora instance: klijenta, servera i proxyja za implementaciju javnog oblaka. Postoji i bastionski čvor za opsluživanje konekcija od strane korisnika. I klijent (na kojem radi WRK) i server (na kojem radi Nginx) imaju jedan namjenski mrežni interfejs na ravni podataka, a proxy (na kojem radi NGFW) ima dva mrežna interfejsa na ravni podataka za testiranje. Mrežni interfejsi na ravni podataka su povezani sa namjenskom podmrežom A (klijent-proxy) i podmrežom B (proxy-server) koje održavaju izolaciju od prometa upravljanja instancama. Namjenski rasponi IP adresa su definirani sa odgovarajućim pravilima usmjeravanja i ACL-a programiranim na infrastrukturi kako bi se omogućio protok prometa.

4.2 Implementacija sistema
MCNAT je softverski alat koji je razvio Intel, a koji omogućava automatizaciju za besprijekorno raspoređivanje mrežnog opterećenja u javnom oblaku i nudi prijedloge za odabir najbolje instance oblaka na osnovu performansi i cijene.
MCNAT se konfiguriše kroz niz profesionalnihfiles, od kojih svaki definira varijable i postavke potrebne za svaku instancu. Svaki tip instance ima svoj vlastiti profile koji se zatim može proslijediti MCNAT CLI alatu za implementaciju tog specifičnog tipa instance na određenom provajderu usluga u oblaku (CSP). Npr.ampUpotreba komandne linije je prikazana ispod i u Tabeli 4.

Intel optimizuje zaštitne zidove sljedeće generacije - Symbol 1

Tabela 4. Korištenje MCNAT komandne linije

Opcija Opis
– rasporediti Upućuje alat da kreira novo raspoređivanje
-u Definira koje korisničke vjerodajnice treba koristiti
-c CSP za kreiranje implementacije na (AWS, GCP, itd.)
-s Scenarij za implementaciju
-p Profile koristiti

Alat komandne linije MCNAT može izgraditi i implementirati instance u jednom koraku. Nakon što je instanca implementirana, koraci nakon konfiguracije kreiraju potrebnu SSH konfiguraciju kako bi se omogućio pristup instanci.
4.3 Sistemsko mjerenje performansi
Nakon što MCNAT implementira instance, svi testovi performansi mogu se pokrenuti pomoću MCNAT alata.
Prvo, moramo konfigurirati testne slučajeve na tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json kao što je prikazano u nastavku:

Intel optimizuje zaštitne zidove sljedeće generacije - Symbol 2

Onda možemo koristiti exampkomandu ispod za pokretanje testa. DEPLOYMENT_PATH je mjesto gdje se pohranjuje stanje implementacije ciljnog okruženja, npr. tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.

Intel optimizuje zaštitne zidove sljedeće generacije - Symbol 3

Pokreće NGFW sa datim skupom pravila o http prometu koji generira WRK na klijentu, dok istovremeno fiksira niz CPU jezgara, kako bi prikupio potpuni skup podataka o performansama za testiranu instancu. Kada se testovi završe, svi podaci se formatiraju kao csv i vraćaju korisniku.

Evaluacija performansi i troškova

U ovom odjeljku upoređujemo NGFW implementacije na različitim cloud instancama zasnovanim na Intel Xeon procesorima na AWS-u i GCP-u.
Ovo daje smjernice za pronalaženje najprikladnijeg tipa instance u oblaku za NGFW na osnovu performansi i troškova. Biramo instance sa 4 vCPU-a jer ih preporučuje većina NGFW dobavljača. Rezultati na AWS-u i GCP-u uključuju:

  • Performanse NGFW-a na malim tipovima instanci koje hostiraju 4 vCPU-a sa omogućenom Intel® Hyper-Threading tehnologijom (Intel® HT tehnologija) i Hyperscan-om.
  • Povećanje performansi iz generacije u generaciju, od prve generacije Intel Xeon Scalable procesora do pete generacije Intel Xeon Scalable procesora.
  • Povećanje performansi po dolaru iz generacije u generaciju, od prve generacije Inte® Xeon Scalable procesora do pete generacije Intel Xeon Scalable procesora.

5.1 Implementacija AWS-a
5.1.1 Lista tipova instanci
Tabela 5. AWS instance i satnice na zahtjev

Vrsta instance CPU model vCPU Memorija (GB) Performanse mreže (Gbps) Kućni ljubimci na zahtjevurly stopa ($)
c5-xlarge Skalabilni procesori Intel® Xeon® druge generacije 4 8 10 0.17
c5n-xlarge Skalabilni procesori Intel® Xeon® prve generacije 4 10.5 25 0.216
c6i-xlarge Skalabilni procesori Intel® Xeon® treće generacije 4 8 12.5 0.17
c6in-xlarge Skalabilni procesori Intel Xeon treće generacije 4 8 30 0.2268
c7i-xlarge Skalabilni procesori Intel® Xeon® 4. generacije 4 8 12.5 0.1785

Tabela 5 prikazuje prekoview AWS instanci koje koristimo. Za više detalja o platformi pogledajte Konfiguraciju platforme. Tamo su također navedeni ho-ovi na zahtjevurly stopa (https://aws.amazon.com/ec2/pricing/on-demand/) za sve slučajeve. Gore navedena stopa je bila na zahtjev u vrijeme objavljivanja ovog rada i fokusira se na zapadnu obalu SAD-a.
Kućni ljubimci na zahtjevurlY stopa može varirati ovisno o regiji, dostupnosti, korporativnim računima i drugim faktorima.

5.1.2 Rezultati

Intel optimizuje zaštitne zidove sljedeće generacije - Rezultati

Slika 6 upoređuje performanse i brzinu performansi po satu na svim do sada spomenutim tipovima instanci:

  • Performanse su poboljšane s instancama zasnovanim na novijim generacijama Intel Xeon procesora. Nadogradnja sa c5.xlarge (bazirane na Intel Xeon Scalable procesoru 2. generacije) na c7i.xlarge (bazirane na Intel Xeon Scalable procesoru 4. generacije)
    pokazuje poboljšanje performansi od 1.97 puta.
  • Performanse po dolaru su poboljšane s instancama zasnovanim na novijim generacijama Intel Xeon procesora. Nadogradnja sa c5n.xlarge (baziranog na Intel Xeon Scalable procesoru 1. generacije) na c7i.xlarge (baziranog na Intel Xeon Scalable procesoru 4. generacije) pokazuje poboljšanje performansi po satu od 1.88x.

5.2 Implementacija GCP-a
5.2.1 Lista tipova instanci
Tabela 6. GCP instance i satnice na zahtjev

Vrsta instance CPU model vCPU Memorija (GB) Zadani izlazni propusni opseg (Gbps) Kućni ljubimci na zahtjevurly stopa ($)
n1-std-4 Intel® Xeon® prve generacije
Skalabilni procesori		 4 15 10 0.189999
n2-std-4 Intel® Xeon® treće generacije
Skalabilni procesori		 4 16 10 0.194236
c3-std-4 Intel® Xeon® 4. generacije
Skalabilni procesori		 4 16 23 0.201608
n4-std-4 Intel® Xeon® 5. generacije
Skalabilni procesori		 4 16 10 0.189544
c4-std-4 Intel® Xeon® 5. generacije
Skalabilni procesori		 4 15 23 0.23761913

Tabela 6 prikazuje prekoview GCP instanci koje koristimo. Za više detalja o platformi pogledajte Konfiguraciju platforme. Tamo su također navedeni ho-ovi na zahtjevurly stopa (https://cloud.google.com/compute/vm-instance-pricing?hl=en) za sve slučajeve. Gore navedena stopa je bila na zahtjev u vrijeme objavljivanja ovog rada i fokusira se na zapadnu obalu SAD-a. Na zahtjevurlY stopa može varirati ovisno o regiji, dostupnosti, korporativnim računima i drugim faktorima.

5.2.2 Rezultati

Intel optimizuje zaštitne zidove sljedeće generacije - Rezultati 2

Slika 7 upoređuje performanse i brzinu performansi po satu na svim do sada spomenutim tipovima instanci:

  • Performanse su poboljšane s instancama zasnovanim na novijim generacijama Intel Xeon procesora. Nadogradnja sa n1-std-4 (baziranog na Intel Xeon Scalable procesoru 1. generacije) na c4-std-4 (baziranog na Intel Xeon Scalable procesoru 5. generacije) pokazuje poboljšanje performansi od 2.68x.
  • Performanse po dolaru su poboljšane s instancama zasnovanim na novijim generacijama Intel Xeon procesora. Nadogradnja sa n1-std-4 (baziranog na Intel Xeon Scalable procesoru 1. generacije) na c4-std-4 (baziranog na Intel Xeon Scalable procesoru 5. generacije) pokazuje poboljšanje performansi po satu od 2.15 puta.

Rezime

Sa povećanjemasing adoption of multi- and hybrid-cloud deployment models, delivering NGFW solutions on public cloud provides consistent protection across environments, scalability to meet security requirements, and simplicity with minimal maintenance efforts. Network security vendors offer NGFW solutions with a variety of cloud instance types on public cloud. It’s critical to minimize total cost of ownership (TCO) and maximize return on investment (ROI) with the right cloud instance. The key factors to consider include compute resources, network bandwidth, and price. We used NGFW reference implementation as the representative workload and leveraged MCNAT to automate the deployment and testing on different public cloud instance types. Based on our benchmarking, instances with the latest generation of Intel Xeon Scalable processors on AWS (powered by 4th Intel Xeon Scalable processors) and GCP (powered by 5th Intel Xeon Scalable processors) deliver both performance and TCO improvements. They improve the performance by up to 2.68x and the performance per hour rate by up to 2.15x over prior generations. This evaluation generates solid references on selecting Intel based public cloud instances for NGFW.

Dodatak A Konfiguracija platforme

Konfiguracije platforme
c5-xlarge – „Testirano od strane Intela od 03. 17 čvor, 25x Intel(R) Xeon(R) Platinum 1CL CPU @ 1GHz, 8275 jezgre, HT uključen, Turbo uključen, Ukupna memorija 3.00GB (2x8GB DDR1 8 MT/s [Nepoznato]), BIOS 4, mikrokod 2933x1.0, 0x Elastic Network Adapter (ENA), 5003801x 1G Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4“
c5n-xlarge – „Testirano od strane Intela od 03. 17 čvor, 25x Intel(R) Xeon(R) Platinum 1M CPU @ 1GHz, 8124 jezgre, HT uključen, Turbo uključen, Ukupna memorija 3.00GB (2×10.5GB DDR1 10.5 MT/s [Nepoznato]), BIOS 4, mikrokod 2933x1.0, 0x Elastic Network Adapter (ENA), 2007006x 1G Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4“
c6i-xlarge – „Testirano od strane Intela od 03. 17 čvor, 25x Intel(R) Xeon(R) Platinum 1C CPU @ 1GHz, 8375 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.90GB (2x8GB DDR1 8 MT/s [Nepoznato]), BIOS 4, mikrokod 3200xd1.0f0, 0003x Elastic Network Adapter (ENA), 6x 1G Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4“
c6in-xlarge – „Testirano od strane Intela od 03. 17 čvor, 25x Intel(R) Xeon(R) Platinum 1C CPU @ 1GHz, 8375 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.90GB (2x8GB DDR1 8 MT/s [Nepoznato]), BIOS 4, mikrokod 3200xd1.0f0, 0003x Elastic Network Adapter (ENA), 6x 1G Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4“
c7i-xlarge – „Testirano od strane Intela od 03. 17 čvor, 25x Intel(R) Xeon(R) Platinum 1C CPU @ 1GHz, 8488 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.40GB (2x8GB DDR1 8 MT/s [Nepoznato]), BIOS 4, mikrokod 4800x1.0b0, 2x Elastični mrežni adapter (ENA), 000620x 1G Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4“
n1-std-4 – „Testirano od strane Intela od 03. 17 čvor, 25x Intel(R) Xeon(R) CPU @ 1GHz, 1 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.00GB (2x15GB RAM []), BIOS Google, mikrokod 1xffffffff, 15x uređaj, 0x 1G PersistentDisk, Ubuntu 1 LTS, 32-22.04.5gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4“
n2-std-4 – Testirano od strane Intela od 03. 17 čvor, 25x Intel(R) Xeon(R) CPU @ 1GHz, 1 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.60GB (2x16GB RAM []), BIOS Google, mikrokod 1xffffffff, 16x uređaj, 0x 1G PersistentDisk, Ubuntu 1 LTS, 32-22.04.5gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
c3-std-4 – Testirano od strane Intela od 03. 14 čvor, 25x Intel(R) Xeon(R) Platinum 1C CPU @ 1GHz @ 8481GHz, 2.70 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.60GB (2x16GB RAM []), BIOS Google, mikrokod 1xffffffff, 16x Compute Engine Virtual Ethernet [gVNIC], 0x 1G nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
n4-std-4 – Testirano od strane Intela od 03. 18 čvor, 25x Intel(R) Xeon(R) PLATINUM 1C CPU @ 1GHz, 8581 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.10GB (2x16GB RAM []), BIOS Google, mikrokod 1xffffffff, 16x Compute Engine Virtual Ethernet [gVNIC], 0x 1G nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
c4-std-4 – Testirano od strane Intela od 03. 18 čvor, 25x Intel(R) Xeon(R) PLATINUM 1C CPU @ 1GHz, 8581 jezgre, HT uključen, Turbo uključen, Ukupna memorija 2.30GB (2x15GB RAM []), BIOS Google, mikrokod 1xffffffff, 15x Compute Engine Virtual Ethernet [gVNIC], 0x 1G nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”

Dodatak B Konfiguracija referentnog softvera Intel NGFW

Konfiguracija softvera Verzija softvera
Host OS Ubuntu 22.04 LTS
Kernel 6.8.0-1025
Kompajler GCC 11.4.0
WRK 74eb9437
WRK2 44a94c17
VPP 24.02
Hrkanje 3.1.36.0
DAQ 3.0.9
LuaJIT 2.1.0-beta3
Libpcap 1.10.1
PCRE 8.45
ZLIB 1.2.11
Hiperskeniranje 5.6.1
LZMA 5.2.5
NGINX 1.22.1
DPDK 23.11

Intel logo

Performanse variraju ovisno o upotrebi, konfiguraciji i drugim faktorima. Saznajte više na www.Intel.com/PerformanceIndex.
Rezultati performansi su zasnovani na testiranju na datume prikazane u konfiguracijama i možda neće odražavati sva javno dostupna ažuriranja. Pogledajte rezervnu kopiju za detalje o konfiguraciji. Nijedan proizvod ili komponenta ne mogu biti apsolutno sigurni.
Intel se odriče svih izričitih i implicitnih garancija, uključujući, bez ograničenja, implicitne garancije za prodaju, prikladnost za određenu svrhu i nekršenje, kao i svaku garanciju koja proizilazi iz toka performansi, načina poslovanja ili upotrebe u trgovini.
Intelove tehnologije mogu zahtevati aktiviranje hardvera, softvera ili usluga.
Intel ne kontroliše niti revidira podatke trećih strana. Trebali biste konsultovati druge izvore da biste ocijenili tačnost.
Opisani proizvodi mogu sadržavati nedostatke u dizajnu ili greške poznate kao greške koje mogu uzrokovati da proizvod odstupi od objavljenih specifikacija. Trenutne karakterizirane greške dostupne su na zahtjev.
© Intel Corporation. Intel, Intel logo i druge Intel oznake su zaštitni znaci Intel Corporation ili njenih podružnica. Druga imena i robne marke mogu se smatrati vlasništvom drugih.
0425/XW/MK/PDF 365150-001US

Dokumenti / Resursi

Intel optimizuje zaštitne zidove sljedeće generacije [pdf] Korisnički priručnik
Optimizirajte zaštitne zidove sljedeće generacije, Optimizirajte, Zaštitni zidovi sljedeće generacije, Zaštitni zidovi generacije, Zaštitni zidovi

Reference

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *