Firewalle nowej generacji coraz wydajniejsze
- Joel Snyder,
- David Newman,
- 21.12.2012, godz. 10:00
Testy obiektów statycznych
Testy obiektów statycznych o wielkości 100 i 512 kB dały wyniki podobne do zawartości mieszanej. Urządzenia przekazują obiekty statyczne dużo szybciej przez HTTP niż SSL.
Zapory Barracuda i Check Point natomiast przekazywały obiekty w ruchu SSL szybciej niż przez HTTP (Check Point w jednym przypadku ponad trzy razy szybciej). Jest to prawdopodobnie konsekwencja zatrzymywania kontroli ruchu po sklasyfikowaniu go jako SSL.
Kiedy włączano funkcje IPS lub tryb UTM, zmniejszała się przepustowość zarówno zapory Barracuda, jak i Check Point, natomiast urządzenia Fortinet i SonicWall zachowywały taką samą wydajność niezależnie od konfiguracji.
Deszyfrowanie SSL
SSL stanowi podwójny problem dla NGFW. Jeżeli ruch jest szyfrowany, to nie można przeprowadzać kontroli na poziomie aplikacyjnym. Z kolei, jeżeli ruch jest deszyfrowany, to zawsze kosztem wydajności. Testy deszyfrowania SSL wykazały największe różnice między urządzeniami, a w przypadku SonicWall ujawniły nawet pewien problem.
Wykonując deszyfrowanie SSL zapora działa jako proxy - przechwytuje zlecenia klienta i zastępuje certyfikat serwera własnym. Ponieważ użytkownicy rzadko sprawdzają podmieniony certyfikat serwera, to myślą, że komunikują się bezpośrednio z oryginalnym serwerem. W tle zapora deszyfruje i przeprowadza kontrolę zawartości ruchu.
Dostarczone do testów oprogramowanie Barracuda zapewniało proxy nietransparentne, co spowodowało konieczność rekonfiguracji wszystkich przeglądarek klienckich, aby mogło działać deszyfrowanie (w kolejnym wydaniu firma ma zapewnić proxy transparentne). Pozostałe urządzenia deszyfrując ruch SSL, funkcjonują jako proxy transparentne.
Zdecydowanie najszybszą zaporą w deszyfrowaniu SSL we wszystkich konfiguracjach okazała się Check Point 12610 - jako jedyna zapora przekroczyła barierę 1 Gb/s.
Wyniki urządzeń Fortinet i SonicWall mocno odbiegały od ich wyników osiąganych bez deszyfrowania. Szybkość deszyfrowania dla FortiGate zmieniała się w granicach 191-472 Mb/s (bez deszyfrowania od 3,6 do 6 Gb/s).