Największy firewall w historii

Gdyby księga rekordów Guinnessa zawierała pozycję "największy firewall", Junipera SRX 5800 z pewnością zająłby to miejsce. Testy wykazują jednak kłopoty z bezpieczeństwem i zarządzaniem.

Prędkość przetwarzania danych największego urządzenia typu firewall stworzonego przez Junipera osiągnęła niemal 140 Gb/s przy podłączeniu 16 interfejsów 10Gb Ethernet, co czyni tę maszynę największym testowanym firewallem. Niestety, "największy" nie znaczy wcale "najlepszy".

Konstrukcja

Juniper SRX 5800 jest systemem modułowym, posiadającym dwa moduły kontrolne do zarządzania komunikacją wewnętrzną. Dalsze wyposażenie należy do klienta. Karty wejścia/wyjścia I/O dostępne są w dwóch rodzajach: 4x 10G Ethernet oraz 40x 1Gb/s Ethernet. Dodatkowo należy zainstalować karty SPC (Service Processing Cards), zapewniające firewall czy IDS.

137 Gb/s

to maksymalna przepustowość firewalla SRX 5800

System jest projektowany dla środowisk pracujących w sposób ciągły, niemniej Juniper nie wszędzie umieścił technologię hot-swap. Nie można dodawać lub usuwać kart bez naruszania przepływu danych. Rozwiązaniem sugerowanym przez producenta jest tworzenie klastrów - łączenie razem co najmniej dwu tych olbrzymich jednostek pozwala jedną z nich wyłączyć, w celu modernizacji czy przeglądu bez przerywania transmisji przez całość.

Systemem operacyjnym dla SRX 5800 jest JunOS, z dołączonymi funkcjonalnościami firewalla i IDS zapożyczonymi z Juniper NetScreen. Jeśli ktoś lubi zarządzanie routerem z poziomu wiersza poleceń, a jednocześnie ma skromną pulę reguł firewalla - SRX 5800 będzie rozwiązaniem w sam raz dla niego.

Pomiar wydajności

Testy SRX 5800 prowadzono osobno dla protokołów UDP i TCP oraz oszacowano funkcjonalność i ergonomię systemu. Test UDP wykazał ogromne możliwości nowego firewalla Junipera. Przy ramkach o maksymalnym rozmiarze 1518 bajtów, przepustowość firewalla wynosiła ponad 137 Gb/s, ze średnim opóźnieniem 76 mikrosekund. Włączenie NAT pozostało bez wpływu zarówno na wydajność, jak i opóźnienie. System znacznie zwolnił przy zmianie rozmiaru ramki na 64 i 256 bajtów, z przepustowością - odpowiednio - 6,9 Gb/s i 29 Gb/s. Opóźnienie również wzrosło i wynosiło odpowiednio 152 i 292 mikrosekundy.

Niższa wydajność przy protokole UDP niekoniecznie jest problemem dla większości użytkowników - protokół ten stanowi 5% lub mniej całego ruchu w Internecie, zgodnie z próbkami obserwowanymi przez CAIDA i inne firmy. Pośredniczenie w przekazywaniu ramek protokołu TCP jest dużo bardziej istotne, jeśli weźmiemy pod uwagę większość stosowanych urządzeń.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200