1. Strona główna
  2. Wiadomości

Firewalle nowej generacji coraz wydajniejsze

  • Joel Snyder,
  • David Newman,

Zapory sieciowe nowej generacji NGFW (Next-generation firewalls) mają wykrywać ataki na poziomie aplikacyjnym, wymuszać polityki dostosowane do aplikacji, zapewniając jednocześnie wysoką przepustowość przy włączonych mechanizmach UTM.

Testowano urządzenia dostarczone przez firmy: Barracuda, Check Point, Fortinet i SonicWall (obecnie Dell).Testy podzieliliśmy na dwie części. W pierwszej zajęto się problemem wydajności, w drugiej sprawdzano mechanizmy i funkcjonalności oferowane przez te urządzenia.

TESTOWANIE WYDAJNOŚCI

Wyniki testów pokazują, że zapory nowej generacji stają się coraz szybsze, a kompromis między szybkością ich działania i bezpieczeństwem jest coraz mniejszy, choć wciąż jest niezbędny.

Obsługa mieszanego ruchu HTTP

Dokonując kontroli na poziomie aplikacyjnym (cecha odróżniająca zapory nowej generacji od tradycyjnych), wszystkie testowane urządzenia pracują z szybkością gigabitową. Gdy jednak pojawia się ruch SSL, szybkość zmniejsza się, a po włączeniu deszyfrowania SSL - spada gwałtownie.

Najszybsze (także przy SSL) okazało się najdroższe rozwiązanie - SonicWall SuperMassive, w wielu przypadkach nawet przekraczało możliwości instalacji testowej. Z kontrolą aplikacyjną ruchu nieszyfrowanego osiągało przepustowość 20 Gb/s.

Fortinet FortiGate 3950 także zbliżał się do granicy możliwości testowania, niewiele ustępując SonicWall, przy czym obsługiwał trochę więcej połączeń TCP niż urządzenie SonicWall.

Po włączeniu IPS i mechanizmów UTM w urządzeniach SonicWall i Fortinet nie stwierdziliśmy spadku wydajności. Natomiast w produktach Barracuda i Check Point włączenie tych mechanizmów odbijało się znacząco na ich wydajności.

Dzięki architekturze o równoległym przetwarzaniu (96 rdzeni CPU) SonicWall SuperMassive 10800 potrafił w teście deszyfrować ruch SSL z szybkością 4,8 Gb/s, generowany przez symulowanych, jednoczesnych 5800 użytkowników.

Urządzenie Check Point 12610 okazało się najwydajniejsze w testach deszyfrowaniu SSL i jedyne przekroczyło barierę 1 Gb/s (SonicWall pracował szybciej, ale tylko, gdy zmieniono konfigurację testu, dostarczając więcej jednoczesnych sesji).

Barracuda, najtańsze urządzenie, zapewniało solidną przepustowość 12 Gb/s, mierzoną przy ruchu nieszyfrowanym dla różnych typów zawartości.

W testach mierzono: przepustowość dla zawartości mieszanej i o stałej długości (HTTP i SSL); przepustowość z włączonym deszyfrowaniem SSL oraz skalowalność TCP. Z tych elementów największy nacisk położyliśmy na testy mieszanego ruchu HTTP, ponieważ najlepiej odzwierciedlają one obciążenia obsługiwane przez zapory w sieciach przedsiębiorstw.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem IDGLicensing@theygsgroup.com