Technologický sprievodca
Optimalizujte výkon NGFW pomocou
Procesory Intel® Xeon® vo verejnom cloude
Autori
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhikša Ravisundar
Heqing Zhu
Úvod
Firewally novej generácie (NGFW) sú jadrom riešení sieťovej bezpečnosti. Tradičné firewally vykonávajú stavovú kontrolu prevádzky, zvyčajne na základe portu a protokolu, ktoré nedokážu účinne chrániť pred modernou škodlivou prevádzkou. NGFW sa vyvíjajú a rozširujú oproti tradičným firewallom o pokročilé možnosti hĺbkovej kontroly paketov vrátane systémov detekcie/prevencie narušení (IDS/IPS), detekcie škodlivého softvéru, identifikácie a kontroly aplikácií atď.
NGFW sú výpočtovo náročné pracovné záťaže, ktoré vykonávajú napríkladampkryptografické operácie na šifrovanie a dešifrovanie sieťovej prevádzky a porovnávanie prísnych pravidiel na detekciu škodlivých aktivít. Spoločnosť Intel dodáva základné technológie na optimalizáciu riešení NGFW.
Procesory Intel sú vybavené rôznymi architektúrami inštrukčných sád (ISA), vrátane Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) a Intel® QuickAssist Technology (Intel® QAT), ktoré výrazne zrýchľujú výkon kryptomien.
Spoločnosť Intel investuje aj do optimalizácie softvéru vrátane optimalizácie pre Hyperscan. Hyperscan je vysoko výkonná knižnica na porovnávanie reťazcov a regulárnych výrazov (regex). Využíva technológiu SIMD (single instruction multiple data) v procesoroch Intel na zvýšenie výkonu porovnávania vzorov. Integrácia Hyperscanu do systémov NGFW IPS, ako je Snort, môže až 3-násobne zlepšiť výkon v procesoroch Intel.
NGFW sa často dodávajú ako bezpečnostné zariadenia nasadené v demilitarizovanej zóne (DMZ) podnikových dátových centier. Existuje však silný dopyt po virtuálnych zariadeniach alebo softvérových balíkoch NGFW, ktoré je možné nasadiť do verejného cloudu, v podnikových dátových centrách alebo na okraji siete. Tento model nasadenia softvéru oslobodzuje podnikové IT od prevádzkových a údržbárskych režijných nákladov spojených s fyzickými zariadeniami. Zlepšuje škálovateľnosť systému a poskytuje flexibilné možnosti obstarávania a nákupu.
Stále viac podnikov využíva nasadenie riešení NGFW do verejného cloudu. Hlavným dôvodom je cenová výhoda.tagprevádzkovania virtuálnych zariadení v cloude.
Keďže však poskytovatelia cloudových služieb (CSP) ponúkajú množstvo typov inštancií s rôznymi výpočtovými charakteristikami a cenami, výber inštancie s najlepšími celkovými nákladmi na vlastníctvo (TCO) pre NGFW môže byť náročný.
Tento článok predstavuje referenčnú implementáciu NGFW od spoločnosti Intel, optimalizovanú s technológiami Intel vrátane Hyperscan. Ponúka spoľahlivý dôkaz o charakterizácii výkonu NGFW na platformách Intel. Je súčasťou balíka referenčného softvéru NetSec od spoločnosti Intel. V tom istom balíku poskytujeme aj nástroj Multi-Cloud Networking Automation Tool (MCNAT) na automatizáciu nasadenia referenčnej implementácie NGFW u vybraných poskytovateľov verejného cloudu. MCNAT zjednodušuje analýzu celkových nákladov na vlastníctvo (TCO) pre rôzne výpočtové inštancie a vedie používateľov k optimálnej výpočtovej inštancii pre NGFW.
Ak sa chcete dozvedieť viac o balíku NetSec Reference Software, kontaktujte autorov.
História revízií dokumentu
| Revízia | Dátum | Popis |
| 001 | marec 2025 | Prvotné uvoľnenie. |
1.1 Terminológia
Tabuľka 1. Terminológia
| Skratka | Popis |
| DFA | Deterministický konečný automat |
| DPI | Hlboká kontrola paketov |
| HTTP | Hypertext Transfer Protocol |
| IDS/IPS | Systém detekcie a prevencie narušení |
| ISA | Architektúra súboru inštrukcií |
| MCNAT | Nástroj na automatizáciu viaccloudových sietí |
| NFA | Nedeterministický konečný automat |
| NGFW | Firewall novej generácie |
| PCAP | Zachytávanie paketov |
| PCRE | Knižnica regulárnych výrazov kompatibilná s Perlom |
| Regex | Regulárny výraz |
| SASE | Secure Access Service Edge |
| SIMD | Technológia viacerých dát s jednou inštrukciou |
| TCP | Transmission Control Protocol |
| URI | Jednotný identifikátor zdroja |
| WAF | Web Aplikačný firewall |
1.2 Referenčná dokumentácia
Tabuľka 2. Referenčné dokumenty
Pozadie a motivácia
Väčšina dodávateľov NGFW dnes rozšírila svoje pôsobenie z fyzických zariadení NGFW na virtuálne riešenia NGFW, ktoré je možné nasadiť vo verejnom cloude. Nasadenia NGFW vo verejnom cloude zaznamenávajú rastúce prijatie vďaka nasledujúcim výhodám:
- Škálovateľnosť: jednoduché škálovanie alebo zmenšovanie výpočtových zdrojov naprieč geografickými oblasťami s cieľom splniť požiadavky na výkon.
- Nákladová efektívnosť: flexibilné predplatné umožňujúce platbu za spotrebu. Eliminuje kapitálové výdavky a znižuje prevádzkové náklady spojené s fyzickými zariadeniami.
- Natívna integrácia s cloudovými službami: bezproblémová integrácia s verejnými cloudovými službami, ako sú siete, riadenie prístupu a nástroje AI/ML.
- Ochrana cloudových úloh: filtrovanie lokálnej prevádzky pre podnikové úlohy hostované vo verejnom cloude.
Znížené náklady na prevádzku pracovnej záťaže NGFW vo verejnom cloude sú atraktívnou ponukou pre podnikové použitie.
Výber inštancie s najlepším výkonom a celkovými nákladmi na vlastníctvo (TCO) pre NGFW je však náročný, keďže je k dispozícii široká škála cloudových inštancií s rôznymi procesormi, veľkosťami pamäte, šírkou pásma I/O a každá z nich má inú cenu. Vyvinuli sme referenčnú implementáciu NGFW, ktorá pomáha s analýzou výkonu a celkových nákladov na vlastníctvo rôznych verejných cloudových inštancií založených na procesoroch Intel. Ukážeme metriky výkonu a pomeru výkonu k cene ako pomôcku pri výbere správnych inštancií založených na procesoroch Intel pre riešenia NGFW vo verejných cloudových službách, ako sú AWS a GCP.
Implementácia referencie NGFW
Spoločnosť Intel vyvinula balík referenčného softvéru NetSec (najnovšia verzia 25.05), ktorý poskytuje optimalizované referenčné riešenia využívajúce ISA a akcelerátory dostupné v najnovších procesoroch a platformách Intel na demonštráciu optimalizovaného výkonu v lokálnej podnikovej infraštruktúre a v cloude. Referenčný softvér je dostupný pod licenciou Intel Proprietary License (IPL).
Kľúčové prednosti tohto softvérového balíka sú:
- Zahŕňa široké portfólio referenčných riešení pre siete a bezpečnosť, frameworky umelej inteligencie pre cloudové a podnikové dátové centrá a okrajové lokality.
- Umožňuje čas na uvedenie na trh a rýchle prijatie technológií Intel.
- K dispozícii je zdrojový kód, ktorý umožňuje replikáciu scenárov nasadenia a testovacích prostredí na platformách Intel.
Ak chcete získať viac informácií o získaní najnovšej verzie referenčného softvéru NetSec, kontaktujte autorov.
Ako kľúčová súčasť balíka NetSec Reference Software, implementácia referencie NGFW riadi výkonnostné charakteristiky NGFW a analýzu celkových nákladov na vlastníctvo (TCO) na platformách Intel. Zabezpečujeme bezproblémovú integráciu technológií Intel, ako je Hyperscan, do implementácie referencie NGFW. Buduje pevný základ pre analýzu NGFW na platformách Intel. Keďže rôzne hardvérové platformy Intel ponúkajú rôzne možnosti od výpočtov až po vstupno-výstupné operácie, implementácia referencie NGFW predstavuje jasnejší prehľad. view možnosti platformy pre pracovné zaťaženia NGFW a pomáha zobraziť porovnanie výkonu medzi generáciami procesorov Intel. Poskytuje dôkladný prehľad o metrikách vrátane výpočtového výkonu, šírky pásma pamäte, šírky pásma I/O a spotreby energie. Na základe výsledkov testov výkonu môžeme ďalej vykonávať analýzu celkových nákladov na vlastníctvo (TCO) (s výkonom na dolár) na platformách Intel používaných pre NGFW.
Najnovšia verzia (25.05) referenčnej implementácie NGFW obsahuje nasledujúce kľúčové funkcie:
- Základný stavový firewall
- Systém prevencie vniknutia (IPS)
- Podpora najmodernejších procesorov Intel vrátane procesorov Intel® Xeon® 6, SoC Intel Xeon 6 atď.
V budúcich vydaniach sa plánuje implementácia nasledujúcich ďalších funkcií:
- Inšpekcia VPN: Dešifrovanie IPsec prevádzky na účely kontroly obsahu
- Inšpekcia TLS: proxy server TLS, ktorý ukončí spojenia medzi klientom a serverom a následne vykoná inšpekciu obsahu prenosu v otvorenom texte.
3.1 Architektúra systému
Obrázok 1 znázorňuje celkovú architektúru systému. Ako základ pre vybudovanie systému využívame softvér s otvoreným zdrojovým kódom:
- VPP poskytuje vysokovýkonné riešenie dátovej roviny so základnými stavovými funkciami firewallu vrátane stavových ACL. Vytvárame viacero vlákien VPP s nakonfigurovanou afinitou jadra. Každé pracovné vlákno VPP je pripojené k vyhradenému jadru CPU alebo k vykonávaciemu vláknu.
- Ako IPS je zvolený Snort 3, ktorý podporuje viacvláknové spracovanie. Pracovné vlákna Snortu sú pripnuté k vyhradeným jadrám CPU alebo k vykonávacím vláknam.
- Snort a VPP sú integrované pomocou pluginu Snort do VPP. Ten používa sadu párov frontov na odosielanie paketov medzi VPP a Snortom. Páry frontov a samotné pakety sú uložené v zdieľanej pamäti. Vyvinuli sme nový komponent na zber dát (DAQ) pre Snort, ktorý nazývame VPP Zero Copy (ZC) DAQ. Tento komponent implementuje funkcie Snort DAQ API na prijímanie a odosielanie paketov čítaním a zápisom do príslušných frontov. Keďže užitočné zaťaženie je v zdieľanej pamäti, považujeme to za implementáciu s nulovou kópiou.
Keďže Snort 3 je výpočtovo náročná pracovná záťaž, ktorá vyžaduje viac výpočtových zdrojov ako spracovanie dátovej roviny, snažíme sa nakonfigurovať optimalizovanú alokáciu jadier procesora a vyvážiť počet vlákien VPP a vlákien Snort3, aby sme dosiahli najvyšší výkon na systémovej úrovni na bežiacej hardvérovej platforme.
Obrázok 2 (na strane 6) zobrazuje uzol grafu v rámci VPP vrátane tých, ktoré sú súčasťou ACL a Snort pluginsVyvinuli sme dva nové uzly grafu VPP:
- snort-enq: rozhoduje o vyrovnávaní záťaže o tom, ktoré vlákno Snortu má paket spracovať, a potom paket zaradí do príslušného frontu.
- snort-deq: implementovaný ako vstupný uzol, ktorý vyhľadáva informácie z viacerých frontov, jeden pre každé pracovné vlákno Snort.
3.2 Optimalizácie od spoločnosti Intel
Naša referenčná implementácia NGFW využíva výhodytagz nasledujúcich optimalizácií:
- Snort využíva vysokovýkonnú knižnicu Hyperscan na porovnávanie viacerých regulárnych výrazov, ktorá poskytuje výrazné zvýšenie výkonu v porovnaní s predvoleným vyhľadávačom v Snorte. Obrázok 3 znázorňuje integráciu Hyperscanu so Snortom.
zrýchliť spracovanie literálov aj porovnávanie regulárnych výrazov. Snort 3 poskytuje natívnu integráciu s Hyperscanom, kde si používatelia môžu Hyperscan zapnúť buď prostredníctvom konfigurácie file alebo možnosti príkazového riadka.
- VPP má výhodutagŠkálovanie na strane príjmu (RSS) v sieťových adaptéroch Intel® Ethernet na distribúciu prevádzky medzi viaceré pracovné vlákna VPP.
- Pokyny pre Intel QAT a Intel AVX-512: Budúce vydania, ktoré podporujú IPsec a TLS, budú využívať výhody...tagtechnológie krypto akcelerácie od spoločnosti Intel. Intel QAT zrýchľuje krypto výkon, najmä kryptografiu s verejným kľúčom, ktorá sa široko používa na nadväzovanie sieťových pripojení. Intel AVX-512 tiež zvyšuje kryptografický výkon, vrátane VPMADD52 (operácie násobenia a akumulácie), vektorového AES (vektorová verzia inštrukcií Intel AES-NI), vPCLMUL (vektorizované násobenie bez prenosu, používané na optimalizáciu AES-GCM) a algoritmu Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).
Cloudové nasadenie referenčnej implementácie NGFW
4.1 Konfigurácia systému
Tabuľka 3. Testovacie konfigurácie
| Metrické | Hodnota |
| Prípad použitia | Kontrola voľného textu (FW + IPS) |
| Dopravný profesionálfile | HTTP 64KB GET (1 GET na pripojenie) |
| Zoznamy prístupových práv VPP | Áno (2 stavové ACL) |
| Pravidlá pre chrchanie | Lightspd (~49k pravidiel) |
| Zásady Snortu | Zabezpečenie (povolených ~21k pravidiel) |
Zameriavame sa na scenáre kontroly otvoreného textu na základe prípadov použitia a KPI v RFC9411. Generátor prevádzky mohol vytvárať 64KB HTTP transakcie s 1 GET požiadavkou na pripojenie. ACL sú nakonfigurované tak, aby povoľovali IP adresy v určených podsieťach. Na porovnávanie sme použili sadu pravidiel Snort Lightspd a bezpečnostnú politiku od spoločnosti Cisco. K dispozícii bol aj vyhradený server na obsluhu požiadaviek od generátorov prevádzky.
Ako je znázornené na obrázku 4 a obrázku 5, topológia systému zahŕňa tri primárne uzly inštancie: klienta, servera a proxy pre nasadenie verejného cloudu. K dispozícii je aj bastionový uzol na obsluhu pripojení od používateľov. Klient (s WRK) aj server (s Nginx) majú jedno vyhradené sieťové rozhranie dátovej roviny a proxy (s NGFW) má dve sieťové rozhrania dátovej roviny na testovanie. Sieťové rozhrania dátovej roviny sú pripojené k vyhradenej podsieti A (klient-proxy) a podsieti B (proxy-server), ktoré udržiavajú izoláciu od prevádzky správy inštancií. Vyhradené rozsahy IP adries sú definované s príslušnými pravidlami smerovania a ACL naprogramovanými do infraštruktúry, aby sa umožnil tok prevádzky.
4.2 Nasadenie systému
MCNAT je softvérový nástroj vyvinutý spoločnosťou Intel, ktorý poskytuje automatizáciu pre bezproblémové nasadenie sieťových úloh vo verejnom cloude a ponúka návrhy na výber najlepšej cloudovej inštancie na základe výkonu a nákladov.
MCNAT sa konfiguruje pomocou série profesionálnychfiles, pričom každý z nich definuje premenné a nastavenia potrebné pre každú inštanciu. Každý typ inštancie má svoj vlastný profile ktoré sa potom dajú odovzdať nástroju MCNAT CLI na nasadenie daného typu inštancie u daného poskytovateľa cloudových služieb (CSP). Napr.ampPoužitie príkazového riadka je uvedené nižšie a v tabuľke 4.
Tabuľka 4. Použitie príkazového riadka MCNAT
| Možnosť | Popis |
| – nasadiť | Dá nástroju pokyn na vytvorenie nového nasadenia |
| -u | Definuje, ktoré používateľské prihlasovacie údaje sa majú použiť |
| -c | CSP na vytvorenie nasadenia na (AWS, GCP atď.) |
| -s | Scenár nasadenia |
| -p | Profile používať |
Nástroj príkazového riadka MCNAT dokáže vytvoriť a nasadiť inštancie v jednom kroku. Po nasadení inštancie kroky po konfigurácii vytvoria potrebnú konfiguráciu SSH, ktorá umožní prístup k inštancii.
4.3 Benchmarking systému
Keď MCNAT nasadí inštancie, všetky výkonnostné testy sa môžu spustiť pomocou aplikačnej sady nástrojov MCNAT.
Najprv musíme nakonfigurovať testovacie prípady v súbore tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json takto:
Potom môžeme použiť examppríkaz nižšie na spustenie testu. DEPLOYMENT_PATH je miesto, kde je uložený stav nasadenia cieľového prostredia, napr. tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate.d/tfws_default.
Spúšťa NGFW s danou sadou pravidiel pre http prevádzku generovanú WRK na klientovi, pričom pripína rozsah jadier CPU, aby zhromaždil kompletnú sadu čísel výkonu pre testovanú inštanciu. Po dokončení testov sú všetky údaje naformátované ako CSV a vrátené používateľovi.
Hodnotenie výkonnosti a nákladov
V tejto časti porovnávame nasadenia NGFW na rôznych cloudových inštanciách založených na procesoroch Intel Xeon v AWS a GCP.
Toto poskytuje návod na nájdenie najvhodnejšieho typu cloudovej inštancie pre NGFW na základe výkonu a nákladov. Vyberáme inštancie so 4 vCPU, pretože ich odporúča väčšina dodávateľov NGFW. Výsledky na AWS a GCP zahŕňajú:
- Výkon NGFW na malých inštanciách, ktoré hostia 4 vCPU s technológiou Intel® Hyper-Threading (technológia Intel® HT) a povoleným Hyperscan.
- Generačné nárasty výkonu od procesorov Intel Xeon Scalable 1. generácie po procesory Intel Xeon Scalable 5. generácie.
- Zvýšenie výkonu na dolár medzi generáciami od procesorov Inte® Xeon Scalable 1. generácie po procesory Intel Xeon Scalable 5. generácie.
5.1 Nasadenie AWS
5.1.1 Zoznam typov inštancií
Tabuľka 5. Inštancie AWS a hodinové sadzby na požiadanie
| Typ inštancie | Model CPU | vCPU | Pamäť (GB) | Výkon siete (Gb/s) | Na požiadanieurly sadzba ($) |
| c5-xlarge | Škálovateľné procesory Intel® Xeon® 2. generácie | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | Škálovateľné procesory Intel® Xeon® 1. generácie | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | Škálovateľné procesory Intel® Xeon® 3. generácie | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | Škálovateľné procesory Intel Xeon 3. generácie | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | Škálovateľné procesory Intel® Xeon® 4. generácie | 4 | 8 | 12.5 | 0.1785 |
Tabuľka 5 zobrazuje viac akoview inštancií AWS, ktoré používame. Ďalšie podrobnosti o platforme nájdete v časti Konfigurácia platformy. Uvádza sa v nej aj zoznam ho na požiadanieurly sadzba (https://aws.amazon.com/ec2/pricing/on-demand/) pre všetky prípady. Vyššie uvedená miera na požiadanie bola v čase publikovania tohto článku a zameriava sa na západné pobrežie USA.
Na požiadanieurlSadzba sa môže líšiť v závislosti od regiónu, dostupnosti, firemných účtov a ďalších faktorov.
5.1.2 Výsledky
Obrázok 6 porovnáva výkon a hodinovú mieru výkonu na všetkých doteraz spomenutých typoch inštancií:
- Výkon sa zlepšil s inštanciami založenými na novších generáciách procesorov Intel Xeon. Aktualizácia z verzie c5.xlarge (založenej na škálovateľnom procesore Intel Xeon 2. generácie) na c7i.xlarge (založenej na škálovateľnom procesore Intel Xeon 4. generácie).
ukazuje 1.97-násobné zlepšenie výkonu. - Výkon na dolár sa zlepšil s inštanciami založenými na novších generáciách procesorov Intel Xeon. Aktualizácia z verzie c5n.xlarge (založenej na procesore Intel Xeon Scalable 1. generácie) na verziu c7i.xlarge (založenej na procesore Intel Xeon Scalable 4. generácie) vykazuje 1.88-násobné zlepšenie výkonu/hodiny.
5.2 Nasadenie GCP
5.2.1 Zoznam typov inštancií
Tabuľka 6. Inštancie GCP a hodinové sadzby na požiadanie
| Typ inštancie | Model CPU | vCPU | Pamäť (GB) | Predvolená výstupná šírka pásma (Gb/s) | Na požiadanieurly sadzba ($) |
| n1-std-4 | 1. generácia Intel® Xeon® Škálovateľné procesory |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | 3. generácia Intel® Xeon® Škálovateľné procesory |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | 4. generácia Intel® Xeon® Škálovateľné procesory |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | 5. generácia Intel® Xeon® Škálovateľné procesory |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | 5. generácia Intel® Xeon® Škálovateľné procesory |
4 | 15 | 23 | 0.23761913 |
Tabuľka 6 zobrazuje viac akoview inštancií GCP, ktoré používame. Ďalšie podrobnosti o platforme nájdete v časti Konfigurácia platformy. Uvádza sa v nej aj zoznam ho na požiadanieurly sadzba (https://cloud.google.com/compute/vm-instance-pricing?hl=en) pre všetky prípady. Vyššie uvedená hodnota bola sadzba na požiadanie v čase publikovania tohto dokumentu a zameriava sa na západné pobrežie USA. Doprava na požiadanieurlSadzba sa môže líšiť v závislosti od regiónu, dostupnosti, firemných účtov a ďalších faktorov.
5.2.2 Výsledky
Obrázok 7 porovnáva výkon a hodinovú mieru výkonu na všetkých doteraz spomenutých typoch inštancií:
- Výkon sa zlepšil s inštanciami založenými na novších generáciách procesorov Intel Xeon. Aktualizácia z verzie n1-std-4 (založenej na procesore Intel Xeon Scalable 1. generácie) na c4-std-4 (založenej na procesore Intel Xeon Scalable 5. generácie) vykazuje 2.68-násobné zlepšenie výkonu.
- Výkon na dolár sa zlepšil s inštanciami založenými na novších generáciách procesorov Intel Xeon. Aktualizácia z verzie n1-std-4 (založenej na procesore Intel Xeon Scalable 1. generácie) na c4-std-4 (založenej na procesore Intel Xeon Scalable 5. generácie) vykazuje 2.15-násobné zlepšenie výkonu/hodiny.
Zhrnutie
S rastúcim využívaním modelov nasadenia multi- a hybridných cloudov poskytuje poskytovanie riešení NGFW vo verejnom cloude konzistentnú ochranu v rôznych prostrediach, škálovateľnosť na splnenie bezpečnostných požiadaviek a jednoduchosť s minimálnymi nárokmi na údržbu. Dodávatelia sieťovej bezpečnosti ponúkajú riešenia NGFW s rôznymi typmi cloudových inštancií vo verejnom cloude. Je nevyhnutné minimalizovať celkové náklady na vlastníctvo (TCO) a maximalizovať návratnosť investícií (ROI) so správnou cloudovou inštanciou. Medzi kľúčové faktory, ktoré treba zvážiť, patria výpočtové zdroje, šírka pásma siete a cena. Ako reprezentatívnu pracovnú záťaž sme použili referenčnú implementáciu NGFW a na automatizáciu nasadenia a testovania na rôznych typoch inštancií verejného cloudu sme využili MCNAT. Na základe nášho benchmarkingu prinášajú inštancie s najnovšou generáciou procesorov Intel Xeon Scalable na AWS (poháňaných 4. generáciou procesorov Intel Xeon Scalable) a GCP (poháňaných 5. generáciou procesorov Intel Xeon Scalable) zlepšenie výkonu aj celkových nákladov na vlastníctvo. Zlepšujú výkon až 2.68-násobne a výkon za hodinu až 2.15-násobne oproti predchádzajúcim generáciám. Toto hodnotenie generuje solídne referencie pre výber inštancií verejného cloudu založených na Intel pre NGFW.
Dodatok A Konfigurácia platformy
Konfigurácie platformy
c5-xlarge – „Testované spoločnosťou Intel k 03. 17. 25. 1 uzol, 1x procesor Intel(R) Xeon(R) Platinum 8275CL s frekvenciou 3.00 GHz, 2 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 8 GB (1x8 GB DDR4 2933 MT/s [Neznáme]), BIOS 1.0, mikrokód 0x5003801, 1x elastický sieťový adaptér (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c5n-xlarge – „Testované spoločnosťou Intel k 03. 17. 25. 1 uzol, 1x procesor Intel(R) Xeon(R) Platinum 8124M s frekvenciou 3.00 GHz, 2 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 10.5 GB (1×10.5 GB DDR4 2933 MT/s [Neznáme]), BIOS 1.0, mikrokód 0x2007006, 1x elastický sieťový adaptér (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6i-xlarge – „Testované spoločnosťou Intel k 03. 17. 25. 1 uzol, 1x procesor Intel(R) Xeon(R) Platinum 8375C s frekvenciou 2.90 GHz, 2 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 8 GB (1x8 GB DDR4 3200 MT/s [Neznáme]), BIOS 1.0, mikrokód 0xd0003f6, 1x elastický sieťový adaptér (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – „Testované spoločnosťou Intel k 03. 17. 25. 1 uzol, 1x procesor Intel(R) Xeon(R) Platinum 8375C s frekvenciou 2.90 GHz, 2 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 8 GB (1x8 GB DDR4 3200 MT/s [Neznáme]), BIOS 1.0, mikrokód 0xd0003f6, 1x elastický sieťový adaptér (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c7i-xlarge – „Testované spoločnosťou Intel k 03. 17. 25. 1 uzol, 1x procesor Intel(R) Xeon(R) Platinum 8488C s frekvenciou 2.40 GHz, 2 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 8 GB (1x 8 GB DDR4 4800 MT/s [Neznáme]), BIOS 1.0, mikrokód 0x2b000620, 1x elastický sieťový adaptér (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n1-std-4 – „Testované spoločnosťou Intel k 03. 17. 25. 1 uzol, 1x procesor Intel(R) Xeon(R) s frekvenciou 2.00 GHz, 2 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 15 GB (1x 15 GB RAM []), BIOS Google, mikrokód 0xffffffff, 1x zariadenie, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n2-std-4 – Testované spoločnosťou Intel k 03. 17 uzol, 25x procesor Intel(R) Xeon(R) s frekvenciou 1 GHz, 1 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 2.60 GB (2x16 GB RAM []), BIOS Google, mikrokód 1xffffffff, 16x zariadenie, 0x 1G PersistentDisk, Ubuntu 1 LTS, 32-22.04.5gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
c3-std-4 – Testované spoločnosťou Intel k 03. 14 uzol, 25x procesor Intel(R) Xeon(R) Platinum 1C s frekvenciou 1 GHz a 8481 GHz, 2.70 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 2.60 GB (2x16 GB RAM []), BIOS Google, mikrokód 1xffffffff, 16x virtuálny Ethernet Compute Engine [gVNIC], 0x 1G nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
n4-std-4 – Testované spoločnosťou Intel k 03. 18 uzol, 25x procesor Intel(R) Xeon(R) PLATINUM 1C s frekvenciou 1 GHz, 8581 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 2.10 GB (2x16 GB RAM []), BIOS Google, mikrokód 1xffffffff, 16x virtuálny Ethernet Compute Engine [gVNIC], 0x 1G nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
c4-std-4 – Testované spoločnosťou Intel k 03. 18 uzol, 25x procesor Intel(R) Xeon(R) PLATINUM 1C s frekvenciou 1 GHz, 8581 jadrá, zapnuté HT, zapnuté Turbo, celková pamäť 2.30 GB (2x15 GB RAM []), BIOS Google, mikrokód 1xffffffff, 15x virtuálny Ethernet Compute Engine [gVNIC], 0x 1G nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
Dodatok B Konfigurácia referenčného softvéru Intel NGFW
| Konfigurácia softvéru | verzia softvéru |
| Hostiteľský OS | Ubuntu 22.04 LTS |
| Kernel | 6.8.0-1025 |
| Kompilátor | GCC 11.4.0 |
| WRK | 74eb9437 |
| 2 WRK | 44a94c17 |
| VPP | 24.02 |
| Odfrknutie | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Hyperskenovanie | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Výkon sa líši podľa použitia, konfigurácie a ďalších faktorov. Viac sa dozviete na www.Intel.com/PerformanceIndex.
Výsledky výkonnosti sú založené na testovaní k dátumom zobrazeným v konfiguráciách a nemusia odrážať všetky verejne dostupné aktualizácie. Podrobnosti o konfigurácii nájdete v zálohe. Žiadny produkt alebo komponent nemôže byť absolútne bezpečný.
Spoločnosť Intel sa zrieka všetkých výslovných a implicitných záruk, vrátane, bez obmedzenia, implicitných záruk predajnosti, vhodnosti na konkrétny účel a neporušenia, ako aj akejkoľvek záruky vyplývajúcej z priebehu výkonu, priebehu obchodovania alebo používania v obchode.
Technológie Intel môžu vyžadovať aktiváciu hardvéru, softvéru alebo služby.
Spoločnosť Intel nekontroluje ani nekontroluje údaje tretích strán. Na posúdenie presnosti by ste sa mali obrátiť na iné zdroje.
Popísané produkty môžu obsahovať konštrukčné chyby alebo chyby známe ako errata, ktoré môžu spôsobiť odchýlku produktu od publikovaných špecifikácií. Aktuálne charakterizované chyby sú k dispozícii na vyžiadanie.
© Intel Corporation. Intel, logo Intel a ďalšie značky Intel sú ochranné známky spoločnosti Intel Corporation alebo jej dcérskych spoločností. Iné názvy a značky môžu byť majetkom iných.
0425/XW/MK/PDF 365150-001US
Dokumenty / zdroje
 |
Intel optimalizuje firewally novej generácie [pdf] Používateľská príručka Optimalizácia firewallov novej generácie, Optimalizácia, Firewally novej generácie, Firewally novej generácie, Firewally |