Firewalle nowej generacji coraz wydajniejsze

Zapory sieciowe nowej generacji NGFW (Next-generation firewalls) mają wykrywać ataki na poziomie aplikacyjnym, wymuszać polityki dostosowane do aplikacji, zapewniając jednocześnie wysoką przepustowość przy włączonych mechanizmach UTM.

Testowano urządzenia dostarczone przez firmy: Barracuda, Check Point, Fortinet i SonicWall (obecnie Dell).Testy podzieliliśmy na dwie części. W pierwszej zajęto się problemem wydajności, w drugiej sprawdzano mechanizmy i funkcjonalności oferowane przez te urządzenia.

TESTOWANIE WYDAJNOŚCI

Wyniki testów pokazują, że zapory nowej generacji stają się coraz szybsze, a kompromis między szybkością ich działania i bezpieczeństwem jest coraz mniejszy, choć wciąż jest niezbędny.

Obsługa mieszanego ruchu HTTP

Obsługa mieszanego ruchu HTTP

Dokonując kontroli na poziomie aplikacyjnym (cecha odróżniająca zapory nowej generacji od tradycyjnych), wszystkie testowane urządzenia pracują z szybkością gigabitową. Gdy jednak pojawia się ruch SSL, szybkość zmniejsza się, a po włączeniu deszyfrowania SSL - spada gwałtownie.

Najszybsze (także przy SSL) okazało się najdroższe rozwiązanie - SonicWall SuperMassive, w wielu przypadkach nawet przekraczało możliwości instalacji testowej. Z kontrolą aplikacyjną ruchu nieszyfrowanego osiągało przepustowość 20 Gb/s.

Fortinet FortiGate 3950 także zbliżał się do granicy możliwości testowania, niewiele ustępując SonicWall, przy czym obsługiwał trochę więcej połączeń TCP niż urządzenie SonicWall.

Po włączeniu IPS i mechanizmów UTM w urządzeniach SonicWall i Fortinet nie stwierdziliśmy spadku wydajności. Natomiast w produktach Barracuda i Check Point włączenie tych mechanizmów odbijało się znacząco na ich wydajności.

Dzięki architekturze o równoległym przetwarzaniu (96 rdzeni CPU) SonicWall SuperMassive 10800 potrafił w teście deszyfrować ruch SSL z szybkością 4,8 Gb/s, generowany przez symulowanych, jednoczesnych 5800 użytkowników.

Dzięki architekturze o równoległym przetwarzaniu (96 rdzeni CPU) SonicWall SuperMassive 10800 potrafił w teście deszyfrować ruch SSL z szybkością 4,8 Gb/s, generowany przez symulowanych, jednoczesnych 5800 użytkowników.

Urządzenie Check Point 12610 okazało się najwydajniejsze w testach deszyfrowaniu SSL i jedyne przekroczyło barierę 1 Gb/s (SonicWall pracował szybciej, ale tylko, gdy zmieniono konfigurację testu, dostarczając więcej jednoczesnych sesji).

Barracuda, najtańsze urządzenie, zapewniało solidną przepustowość 12 Gb/s, mierzoną przy ruchu nieszyfrowanym dla różnych typów zawartości.

W testach mierzono: przepustowość dla zawartości mieszanej i o stałej długości (HTTP i SSL); przepustowość z włączonym deszyfrowaniem SSL oraz skalowalność TCP. Z tych elementów największy nacisk położyliśmy na testy mieszanego ruchu HTTP, ponieważ najlepiej odzwierciedlają one obciążenia obsługiwane przez zapory w sieciach przedsiębiorstw.


TOP 200