Wydajne zapory dla przedsiębiorstw
- NetWorld,
- 01.11.2001
W świecie zapór połączenie to wyjątkowo cenna rzecz. Jeśli zapora pracuje jako filtr pakietów, ustanawianie połączeń nie jest trudne - wszystkie pakiety wyglądają tu podobnie. Jeśli jednak zapora pracuje jako pełny serwer proxy (a taką możliwość daje produkt firmy CyberGuard), musi wykonać olbrzymią pracę. Urządzenia takie muszą najczęściej współpracować z systemem operacyjnym, aby mogły zawiadywać efektywnie wszystkimi połączeniami TCP i zarządzać tabelami zawierającymi informacje o stanie tych połączeń.
Test połączeń masowych sprawdzał, czy zapora jest w stanie sprostać wielu (ok. 100) regułom obowiązującym w takim środowisku pracy (ustanawianie i obsługa wielu połączeń TCP). Reguły często po ustanowieniu połączenia TCP tworzyły dynamicznie zasady, kreujące "szybką ścieżkę dostępu", zwiększając tym samym szybkość przetwarzania pakietów.
Inaczej jest w przypadku zapory KnightStar (CyberGuard), oferującej dwa tryby operacji: pełny serwer proxy lub filtr pakietów. Kiedy zapora pracuje jako filtr pakietów, obsługa 10 tys. połączeń nie jest dla niej problemem. Kiedy jednak pracuje w trybie serwera proxy, radzi sobie tylko ze 100 połączeniami na sekundę.
Obsługa 10 tys. połączeń na sekundę wymaga od zapory doskonałej wydajności. Mało jest aplikacji i systemów informatycznych, które mają aż tak duże wymagania. Wśród testowanych urządzeń znajdują się jednak i takie, które radzą sobie nawet z tak dużą liczbą połączeń. Są to zapory produkowane przez firmy Cisco, CyberGuard, Enternet i NetScreen.
Rzeczywiści użytkownicy
Trzeci test sprawdza, jak zapora zachowuje się, gdy obsługuje bardzo dużą liczbę stanowisk pracy. Test ten pozwala ocenić zaporę pod kątem jej przydatności w takim środowisku, w którym musi chronić budynek pełen komputerów PC, których użytkownicy cały czas nawigują po Webie.
Używając superszybkich przełączników firmy Extreme Networks, po obu stronach zapory umieszczono 20 stanowisk pracy. Ponieważ po każdej z dwóch stron zapory do jednego portu podłączono wiele stanowisk pracy, w sieci symulowano bardzo duży ruch, nawet coś w rodzaju pewnego chaosu pakietów. Każda zapora musiała sobie sama radzić z tak dużym ruchem (buforując dane i zawiadując w odpowiedni sposób pakietami), tak aby uzyskać jak największą wydajność. Testy tworzyły wiele równoległych połączeń (najcięższy test tworzył nawet 800 połączeń) i następnie uruchamiały procedury przesyłającą dane jednocześnie przez te wszystkie połączenia.
Wyniki podzielono na trzy kategorie: obciążenie niskie (od 100 do 300 jednoczesnych transferów danych); obciążenie średnie (od 400 do 600); obciążenie wysokie (od 700 do 800). Ponieważ połączenia były ustanawiane wcześniej i testy koncentrowały się na operacji jednoczesnego transmitowania danych, test symulujący obciążenie wysokie generował tyle pakietów, że połączenie Fast Ethernet (pełny dupleks) obsługujące zaporę było w 100 proc. nasycone pakietami.