Test zapór ogniowych UTM: Sonic Wall rekordowo szybki

W uzupełnieniu wielkiego testu urządzeń UTM, publikowanego w numerach styczniowym i lutowym NetWorld, podajemy wyniki testów nowego urządzenia UTM dla przedsiębiorstw firmy Sonic Wall, udostępnionego w marcu br. Network Security Appliance E7500 pokazało podczas testów wyjątkową wydajność, właściwą dla urządzeń UTM przeznaczonych dla dużych przedsiębiorstw.

W uzupełnieniu wielkiego testu urządzeń UTM, publikowanego w numerach styczniowym i lutowym NetWorld, podajemy wyniki testów nowego urządzenia UTM dla przedsiębiorstw firmy Sonic Wall, udostępnionego w marcu br. Network Security Appliance E7500 pokazało podczas testów wyjątkową wydajność, właściwą dla urządzeń UTM przeznaczonych dla dużych przedsiębiorstw.

Wydajność ta wyraża się przepustowością 1,3 Gb/s, prawie trzykrotnie wyższą niż najszybszy produkt prezentowany w wspomnianej edycji testów.

Chociaż firma nie zmieniła zbyt wiele w zewnętrznym wyglądzie swojej zapory ogniowej UTM, to jednak wprowadziła istotne zmiany w wewnętrznej architekturze, która pozwala na osiągniecie wydajności znacznie przekraczającej możliwości produktów linii Sonic Wall Pro. To zapewnia mechanizmom UTM - systemowi zapobiegania włamaniom, antywirusowi, antyspyware i filtrowaniu zawartości - możliwość pracy z szybkością gigabajtową.

Rdzenie źródłem wydajności

Sonic Wall NSA E7500 Version 5.0

Sonic Wall NSA E7500 Version 5.0

Linia zapór ogniowych Sonic Wall NSA, oparta na serii wielordzeniowych procesorów specjalizowanych Cavium, nazywana jest firmowym produktem "piątej generacji". Nowy sprzęt (linia ma obejmować sześć modeli) ma zastąpić dotychczasową serię produktów Pro.

Testowany E7500, najsilniejszy z serii, ma szesnastordzeniowy procesor Cavium, którego każdy rdzeń pracuje z szybkością 600 MHz. Jeden z rdzeni przeznaczony jest do zarządzania systemem, podczas gdy pozostałe 15 używane są wyłącznie do przetwarzania funkcji ochronnych (zapora ogniowa, VPN) i innych mechanizmów UTM (antywirus, ISP, filtrowanie zawartości). Także wbudowane w CPU układy przyspieszające dla kryptografii (użyteczne dla VPN) i kompresji oraz porównywania wzorców ruchu z łańcuchem danych są intensywnie wykorzystywane przez większość zestawów reguł ISP. Firma podaje, że przez 18 miesięcy prowadziła prace nad dostosowaniem istniejącego systemu operacyjnego do efektywnego wykorzystania możliwości procesora wielordzeniowego w nowym sprzęcie.

E7500 jest urządzeniem standardu 1U (16 cali) do montowania w stelażach, zawierającym osiem portów zapory ogniowej: cztery dla gigabajtowego, miedzianego Ethernetu i cztery dla interfejsów gigabitowych SFP (optycznych). Jeden dodatkowy port przeznaczony jest do połączeń z inną zaporą ogniową w konfiguracji "high availability". Urządzenie ma także redundantne, przełączane w biegu wentylatory i zasilacze. Pobierając prąd 0,9 A bez obciążenia (oraz 1,1 A podczas obciążenia), E7500 plasuje się w połowie tabeli w kategorii poboru mocy przez narzędzie tego rozmiaru.

Ocena UTM Sonic Wall

Ocena UTM Sonic Wall

Urządzenie testowano, poddając je obciążeniom wydajnościowym w sposób podobny do stosowanego we wspomnianych testach UTM. Aby jednak osiągnąć graniczną wydajność E7500, użyto szybszego urządzenia testującego - Spirent Avalanche/Reflector.

Pełna wydajność UTM, jaką uzyskano przy rekomendowanych ustawieniach (obejmującą sygnatury IPS strony klienckiej i serwerowej, , antyspyware i filtrowanie treści) to 1288 Mb/s. Dla porównania, z urządzeń opisanych w teście w styczniu, największą przepustowością wykazało się FortiGate 3600A - 520 Mb/s - i to za cenę prawie dwa razy wyższą niż E7500.

Chociaż dostawcy zapór ogniowych ciągle udoskonalają swoje urządzenia, Sonic Wall jest pierwszą firmą, oferującą tak duży skok wydajności od ostatnich testów UTM.

Podobne rezultaty osiągnięto, testując przepustowość E7500 w zakresie IPS - 1914 Mb/s, przy rekomendowanych ustawieniach, i antywirusa - 1615 Mb/s, także przy rekomendowanych ustawieniach. Oba te rezultaty są znacząco lepsze od najwyższych osiągów prezentowanych w zbiorczym teście. W porównaniu z wcześniejszym, najsilniejszym produktem Sonic Wall - Pro 5060, ta różnica jest jeszcze bardziej widoczna - E7500 wykazał się przepustowością sześć do osiem razy większą we wszystkich testach UTM.

Interfejs użytkownika bez zmian

Podczas gdy zmiany w sprzęcie są wyraźne, przejawiające się w osiąganej wydajności, przeglądarkowy interfejs użytkownika (który dla większości zarządców sieci okaże się zapewne łatwym do opanowania) oraz powiązane z tym ustawianie mechanizmów zapory ogniowej są niewiele zmienione w porównaniu z tym, co firma prezentowała w poprzednich testach.

Mocne punkty, z których znana jest seria urządzeń Sonic Wall, takie jak zarządzanie bezprzewodowym LAN, bezprzewodowy system wykrywania wtargnięć i VoIP wykorzystujący protokół SIP, a także bardzo dobre narzędzia diagnostyczne, nadal są obecne i nie zawierają istotnych zmian w porównaniu z wcześniejszą wersją.

Przepustowość Sonic Wall UTM

Przepustowość Sonic Wall UTM

Jednym z nowych mechanizmów jest możliwość zmiany parametrów skanowania dla mechanizmów UTM w zakresie od "Recommended" do "Performace Optimized". W firmware testowanego urządzenia dostępna była także trzecia opcja: "Maximum Security", ale usunięto ją w kolejnej wersji oprogramowania. Według zapewnień specjalistów Sonic Wall, zmiana ta wiąże się z tym, że poziom bezpieczeństwa przy ustawieniach "Recommended" i "Maximum" był w rzeczywistości taki sam. Zdaniem firmy nie powodują one włączania i wyłączania poszczególnych sygnatur ISP lub antywirusa, a raczej optymalizują sposób skanowania, preferując np. poszukiwanie najbardziej powszechnych zagrożeń. Podczas testów stwierdzono istotne różnice wydajności przy tych dwóch ustawieniach.

Najwyższa wydajność E7500 w obszarze zadań UTM skłoniła testujących do uaktualnienia ogólnej punktacji IPS. Zarządzanie IPS pozostało w dużej mierze niezmienione w stosunku do wersji 4 oprogramowania Sonic Wall.

E7500 wciąż wykazuje cechy właściwe dla rozwiązań MSP, charakterystycznych dla oferty Sonic Wall. Chociaż niektóre mechanizmy, m.in. IPS, są teraz ekstremalnie szybkie, firma nie zrobiła zbyt wiele w zakresie ulepszenia zarządzania i sterowania zaporą ogniową czy zestawem mechanizmów UTM. Na przykład strojenie IPS pod kątem blokady alarmów dla poszczególnych systemów jest nadal bardzo trudne i tworzy prawie niemożliwą do utrzymania konfigurację. Podobnie też nie można mieć różnych zestawów konfiguracji UTM dla odmiennych stref czy różnych przepływów w sieci. W rezultacie, chociaż zapora ogniowa jest zdolna do obsługi ogromnego wolumenu ruchu, to pasuje dobrze do sieci, w których ruch jest obsługiwany w jednorodny sposób.