Firewalle nowej generacji coraz wydajniejsze
-
- Joel Snyder,
-
- David Newman,
- 21.12.2012, godz. 10:00
Zapory sieciowe nowej generacji NGFW (Next-generation firewalls) mają wykrywać ataki na poziomie aplikacyjnym, wymuszać polityki dostosowane do aplikacji, zapewniając jednocześnie wysoką przepustowość przy włączonych mechanizmach UTM.
![Firewalle nowej generacji coraz wydajniejsze](/g1/news/thumbnails/2/5/255871_255871_jpg_80_resize_620x104.webp)
Testowano urządzenia dostarczone przez firmy: Barracuda, Check Point, Fortinet i SonicWall (obecnie Dell).Testy podzieliliśmy na dwie części. W pierwszej zajęto się problemem wydajności, w drugiej sprawdzano mechanizmy i funkcjonalności oferowane przez te urządzenia.
TESTOWANIE WYDAJNOŚCI
Wyniki testów pokazują, że zapory nowej generacji stają się coraz szybsze, a kompromis między szybkością ich działania i bezpieczeństwem jest coraz mniejszy, choć wciąż jest niezbędny.
![Firewalle nowej generacji coraz wydajniejsze Firewalle nowej generacji coraz wydajniejsze](/g1/news/thumbnails/2/5/255858_255858_Obsuga_mieszanego_ruchu_HTTP_jpg_95_adaptiveresize_250x215.webp)
Obsługa mieszanego ruchu HTTP
Najszybsze (także przy SSL) okazało się najdroższe rozwiązanie - SonicWall SuperMassive, w wielu przypadkach nawet przekraczało możliwości instalacji testowej. Z kontrolą aplikacyjną ruchu nieszyfrowanego osiągało przepustowość 20 Gb/s.
Fortinet FortiGate 3950 także zbliżał się do granicy możliwości testowania, niewiele ustępując SonicWall, przy czym obsługiwał trochę więcej połączeń TCP niż urządzenie SonicWall.
Po włączeniu IPS i mechanizmów UTM w urządzeniach SonicWall i Fortinet nie stwierdziliśmy spadku wydajności. Natomiast w produktach Barracuda i Check Point włączenie tych mechanizmów odbijało się znacząco na ich wydajności.
![Firewalle nowej generacji coraz wydajniejsze Firewalle nowej generacji coraz wydajniejsze](/g1/news/thumbnails/2/5/255864_255864_Dziki_architekturze_o_rwnolegym_przetwarzaniu_96_rdze_jpg_95_adaptiveresize_250x129.webp)
Dzięki architekturze o równoległym przetwarzaniu (96 rdzeni CPU) SonicWall SuperMassive 10800 potrafił w teście deszyfrować ruch SSL z szybkością 4,8 Gb/s, generowany przez symulowanych, jednoczesnych 5800 użytkowników.
Barracuda, najtańsze urządzenie, zapewniało solidną przepustowość 12 Gb/s, mierzoną przy ruchu nieszyfrowanym dla różnych typów zawartości.
W testach mierzono: przepustowość dla zawartości mieszanej i o stałej długości (HTTP i SSL); przepustowość z włączonym deszyfrowaniem SSL oraz skalowalność TCP. Z tych elementów największy nacisk położyliśmy na testy mieszanego ruchu HTTP, ponieważ najlepiej odzwierciedlają one obciążenia obsługiwane przez zapory w sieciach przedsiębiorstw.