Największy firewall w historii
- Artur Wawrowski,
- 31.03.2009
Gdyby księga rekordów Guinnessa zawierała pozycję "największy firewall", Junipera SRX 5800 z pewnością zająłby to miejsce. Testy wykazują jednak kłopoty z bezpieczeństwem i zarządzaniem.
Prędkość przetwarzania danych największego urządzenia typu firewall stworzonego przez Junipera osiągnęła niemal 140 Gb/s przy podłączeniu 16 interfejsów 10Gb Ethernet, co czyni tę maszynę największym testowanym firewallem. Niestety, "największy" nie znaczy wcale "najlepszy".
Konstrukcja
Juniper SRX 5800 jest systemem modułowym, posiadającym dwa moduły kontrolne do zarządzania komunikacją wewnętrzną. Dalsze wyposażenie należy do klienta. Karty wejścia/wyjścia I/O dostępne są w dwóch rodzajach: 4x 10G Ethernet oraz 40x 1Gb/s Ethernet. Dodatkowo należy zainstalować karty SPC (Service Processing Cards), zapewniające firewall czy IDS.
to maksymalna przepustowość firewalla SRX 5800
Systemem operacyjnym dla SRX 5800 jest JunOS, z dołączonymi funkcjonalnościami firewalla i IDS zapożyczonymi z Juniper NetScreen. Jeśli ktoś lubi zarządzanie routerem z poziomu wiersza poleceń, a jednocześnie ma skromną pulę reguł firewalla - SRX 5800 będzie rozwiązaniem w sam raz dla niego.
Pomiar wydajności
Testy SRX 5800 prowadzono osobno dla protokołów UDP i TCP oraz oszacowano funkcjonalność i ergonomię systemu. Test UDP wykazał ogromne możliwości nowego firewalla Junipera. Przy ramkach o maksymalnym rozmiarze 1518 bajtów, przepustowość firewalla wynosiła ponad 137 Gb/s, ze średnim opóźnieniem 76 mikrosekund. Włączenie NAT pozostało bez wpływu zarówno na wydajność, jak i opóźnienie. System znacznie zwolnił przy zmianie rozmiaru ramki na 64 i 256 bajtów, z przepustowością - odpowiednio - 6,9 Gb/s i 29 Gb/s. Opóźnienie również wzrosło i wynosiło odpowiednio 152 i 292 mikrosekundy.
Niższa wydajność przy protokole UDP niekoniecznie jest problemem dla większości użytkowników - protokół ten stanowi 5% lub mniej całego ruchu w Internecie, zgodnie z próbkami obserwowanymi przez CAIDA i inne firmy. Pośredniczenie w przekazywaniu ramek protokołu TCP jest dużo bardziej istotne, jeśli weźmiemy pod uwagę większość stosowanych urządzeń.