Firewalle nowej generacji coraz wydajniejsze

Firma SonicWall zakwestionowała przyjętą metodologię testów. Bez deszyfrowania SuperMassive przenosiła ruch SSL z szybkością 11,3 Gb/s (nawet z włączonymi mechanizmami UTM). Przy deszyfrowaniu ten sam ładunek osiągał szybkość 83 Mb/s. Przy obiektach statycznych 100 kB przepustowość spadła do 49 Mb/s.

Według producenta, SuperMassive może deszyfrować ruch z dużo większą przepustowością, jeżeli będzie obciążana przez większą liczbę jednoczesnych użytkowników (generator ruchu Spirent Avalanche skonfigurowano do emulowania jednoczesnej pracy 126 użytkowników). Dostawca zwrócił uwagę, że w czasie tych testów wykorzystanie CPU urządzenia osiągało zaledwie ok. 2%.

Firewalle nowej generacji coraz wydajniejsze

Barracuda NG Firewall, najtańsze w stawce urządzenie, zapewniało w teście solidną przepustowość 12 Gb/s, mierzoną przy ruchu nieszyfrowanym dla różnych typów zawartości.

Aby zweryfikować te zastrzeżenia, przeprowadziliśmy dodatkowa próbę z przepływem ok. 50-krotnie większym (5800 jednoczesnych użytkowników) i wtedy okazało się, że taki ruch deszyfrowany jest z szybkością 4,8 Gb/s. Ten sam test masowego przepływu przeprowadzono na innych zaporach, ale żadna z nich nie była w stanie operować na tym poziomie, nie gubiąc elementów niektórych transakcji.

Chociaż wyniki testów wskazują na znaczne poprawienie wydajności urządzeń w deszyfrowaniu SSL, to jednak w praktyce może nie być tak różowo. W testach używano relatywnie słabego szyfrowania RC4-MD5. Chociaż algorytmy te są wykorzystywane przez wiele sklepów internetowych, to większość banków i instytucji finansowych korzysta z silniejszego szyfrowania (jak AES256-SHA1), które wymaga zaangażowania dużo większej mocy obliczeniowej i w rezultacie zmniejsza przepustowość.

Skalowalność TCP

Ostatni zestaw testów sprawdzał skalowalność TCP. Po pierwsze, w kategorii maksymalnej liczby równoległych połączeń, jakie każde urządzenie mogło utrzymywać bez przekroczeń czasu i innych błędów. Po drugie - maksymalnej szybkości, przy której każde urządzenie mogło ustanowić i utrzymywać nowe połączenia bez żadnych błędów.

Spirent Avalanche skonfigurowano do sekwencyjnego tworzenia dużej liczby połączeń: każde istniejące połączenie wykonywało jedno nowe zlecenie HTTP co 60 s.

Zapora FortiGate 3950B wykazała się najlepszym wynikiem, obsługując ponad 10 mln połączeń. SonicWall SuperMassive był tuż za nią - z 9,9 mln połączeń. Systemy Check Point i Barracuda obsługiwały dużo mniej połączeń, odpowiednio: 900 tys. i 320 tys.

Aby zmierzyć tempo ustanawiania połączeń, Spirent Avalanche skonfigurowano do używania starszej specyfikacji HTTP 1.0, która wymaga nowego połączenia TCP dla każdej nowej transakcji. SonicWall SuperMassive uzyskała wynik najlepszy, ustanawiając 290 tys. połączeń na sekundę. Zapora Check Point osiągnęła wynik 57 039 połączeń na sekundę, natomiast zapory Barracuda i Fortinet odpowiednio 47 043 i 42 911 połączeń na sekundę. Architektura o równoległym przetwarzaniu w SuperMassive (96 rdzeni CPU) zdecydowanie preferuje testy takie jak ten.

Firewalle nowej generacji coraz wydajniejsze


TOP 200