Firewalle nowej generacji coraz wydajniejsze

Testy obiektów statycznych

Testy obiektów statycznych o wielkości 100 i 512 kB dały wyniki podobne do zawartości mieszanej. Urządzenia przekazują obiekty statyczne dużo szybciej przez HTTP niż SSL.

Firewalle nowej generacji coraz wydajniejsze

Obsługa deszyfrowania ruchu SSL

Zapory Fortinet i SonicWall przekazywały nieszyfrowane obiekty HTTP na granicy przepustowości sieci testowej. SonicWall SuperMassive zbliżyła się do maksymalnej możliwości SSL w środowisku testowym. Generator ruchu Avalanche bez testowanych urządzeń przepuszczał obiekty 100 i 512 kB w ruchu SSL z szybkością odpowiednio 17,1 i 14,4 Gb/s. Dołączona zapora SuperMassive, niezależnie od konfiguracji, realizowała ruch SSL na zbliżonym poziomie. Spadek wydajności był bardziej widoczny w przypadku FortiGate 3950B.

Zapory Barracuda i Check Point natomiast przekazywały obiekty w ruchu SSL szybciej niż przez HTTP (Check Point w jednym przypadku ponad trzy razy szybciej). Jest to prawdopodobnie konsekwencja zatrzymywania kontroli ruchu po sklasyfikowaniu go jako SSL.

Kiedy włączano funkcje IPS lub tryb UTM, zmniejszała się przepustowość zarówno zapory Barracuda, jak i Check Point, natomiast urządzenia Fortinet i SonicWall zachowywały taką samą wydajność niezależnie od konfiguracji.

Deszyfrowanie SSL

SSL stanowi podwójny problem dla NGFW. Jeżeli ruch jest szyfrowany, to nie można przeprowadzać kontroli na poziomie aplikacyjnym. Z kolei, jeżeli ruch jest deszyfrowany, to zawsze kosztem wydajności. Testy deszyfrowania SSL wykazały największe różnice między urządzeniami, a w przypadku SonicWall ujawniły nawet pewien problem.

Wykonując deszyfrowanie SSL zapora działa jako proxy - przechwytuje zlecenia klienta i zastępuje certyfikat serwera własnym. Ponieważ użytkownicy rzadko sprawdzają podmieniony certyfikat serwera, to myślą, że komunikują się bezpośrednio z oryginalnym serwerem. W tle zapora deszyfruje i przeprowadza kontrolę zawartości ruchu.

Dostarczone do testów oprogramowanie Barracuda zapewniało proxy nietransparentne, co spowodowało konieczność rekonfiguracji wszystkich przeglądarek klienckich, aby mogło działać deszyfrowanie (w kolejnym wydaniu firma ma zapewnić proxy transparentne). Pozostałe urządzenia deszyfrując ruch SSL, funkcjonują jako proxy transparentne.

Firewalle nowej generacji coraz wydajniejsze

Fortinet Fortigate integruje wszystko w pojedynczej bazie reguł, która okazuje się najłatwiejsza w zarządzaniu i najbardziej intuicyjna z punktu widzenia podstawowego bezpieczeństwa.

Dodatkowo urządzenia Barracuda i Fortinet deszyfrują SSL tylko wtedy, gdy włączona jest funkcja antywirusa. Odzwierciedlają to uzyskane wyniki: metodologia testów przewidywała deszyfrowanie w trybach "wyłącznie zapora" oraz "zapora i UTM" - w przypadku urządzeń Barracuda i Fortinet wyniki trybu "tylko zapora" uzyskano z włączonym antywirusem.

Zdecydowanie najszybszą zaporą w deszyfrowaniu SSL we wszystkich konfiguracjach okazała się Check Point 12610 - jako jedyna zapora przekroczyła barierę 1 Gb/s.

Wyniki urządzeń Fortinet i SonicWall mocno odbiegały od ich wyników osiąganych bez deszyfrowania. Szybkość deszyfrowania dla FortiGate zmieniała się w granicach 191-472 Mb/s (bez deszyfrowania od 3,6 do 6 Gb/s).


TOP 200