Texnologiya bələdçisi
ilə NGFW Performansını optimallaşdırın
İctimai Buludda Intel® Xeon® Prosessorları
Müəlliflər
Xiang Wang
Jayprakash Patidar
Declan Doherty
Erik Cons
Subhiksha Ravisundar
Heqing Zhu
Giriş
Yeni nəsil firewalllar (NGFW) şəbəkə təhlükəsizliyi həllərinin əsasını təşkil edir. Ənənəvi firewalllar müasir zərərli trafikdən effektiv şəkildə müdafiə edə bilməyən port və protokola əsaslanan statistik trafik yoxlamasını həyata keçirir. NGFW-lər, müdaxilənin aşkarlanması/profilaktikası sistemləri (IDS/IPS), zərərli proqramların aşkarlanması, tətbiqin identifikasiyası və nəzarəti və s. daxil olmaqla qabaqcıl dərin paket yoxlama imkanlarına malik ənənəvi firewalllar əsasında inkişaf edir və genişlənir.
NGFW-lər, məsələn, yerinə yetirən hesablama intensiv iş yükləridirample, şəbəkə trafikinin şifrələnməsi və şifrəsinin açılması üçün kriptoqrafik əməliyyatlar və zərərli fəaliyyətlərin aşkarlanması üçün ağır qayda uyğunluğu. Intel NGFW həllərini optimallaşdırmaq üçün əsas texnologiyalar təqdim edir.
Intel prosessorları kripto performansını əhəmiyyətli dərəcədə sürətləndirən Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) və Intel® QuickAssist Technology (Intel® QAT) daxil olmaqla müxtəlif təlimat dəsti arxitekturaları (ISA) ilə təchiz edilmişdir.
Intel həmçinin Hyperscan üçün olanlar da daxil olmaqla proqram təminatının optimallaşdırılmasına sərmayə qoyur. Hyperscan yüksək performanslı sətir və müntəzəm ifadə (regex) uyğun gələn kitabxanadır. O, nümunə uyğunluğu performansını artırmaq üçün Intel prosessorlarında tək təlimatlı çoxlu məlumat (SIMD) texnologiyasından istifadə edir. Snort kimi NGFW IPS sistemlərinə Hyperscan inteqrasiyası Intel prosessorlarında performansı 3 dəfəyə qədər artıra bilər.
NGFWs are often delivered as a security appliance deployed in the demilitarized zone (DMZ) of enterprise data centers. However, there is a strong demand for NGFW virtual appliances or software packages that can be deployed to the public cloud, in enterprise data centers, or at network edge locations. This software deployment model frees up enterprise IT from the operations and maintenance overhead associated with physical appliances. It improves system scalability and provides flexible procurement and purchasing seçimləri.
Bir artımasing number of enterprises are embracing public cloud deployments of NGFW solutions. A key reason for this is the cost advantagbuludda virtual cihazların işlədilməsi.
Bununla belə, CSP-lər müxtəlif hesablama xüsusiyyətləri və qiymətləri olan çoxsaylı nümunə növləri təklif etdiyindən, NGFW üçün ən yaxşı TCO-ya malik nümunəni seçmək çətin ola bilər.
Bu yazı, Hyperscan daxil olmaqla Intel texnologiyaları ilə optimallaşdırılmış Intel-dən NGFW istinad tətbiqini təqdim edir. O, Intel platformalarında NGFW performans xarakteristikası üçün etibarlı sübut nöqtəsi təklif edir. O, Intel-in NetSec Referans Proqram təminatı paketinin bir hissəsi kimi daxil edilmişdir. Seçilmiş ictimai bulud provayderlərində NGFW istinad tətbiqinin tətbiqini avtomatlaşdırmaq üçün eyni paketdə Çox Buludlu Şəbəkə Avtomatlaşdırma Alətini (MCNAT) təmin edirik. MCNAT müxtəlif hesablama nümunələri üçün TCO təhlilini asanlaşdırır və istifadəçiləri NGFW üçün optimal hesablama nümunəsinə istiqamətləndirir.
NetSec Referans Proqram paketi haqqında ətraflı öyrənmək üçün müəlliflərlə əlaqə saxlayın.
Sənədin Təftiş Tarixçəsi
| Reviziya | Tarix | Təsvir |
| 001 | Mart 2025 | İlkin buraxılış. |
1.1 Terminologiya
Cədvəl 1. Terminologiya
| İxtisar | Təsvir |
| DFA | Deterministik Sonlu Avtomat |
| DPI | Dərin Paket Təftişi |
| HTTP | Hipermətn ötürmə protokolu |
| IDS/IPS | Hücumun aşkarlanması və qarşısının alınması sistemi |
| İSA | Təlimat dəsti Arxitektura |
| MCNAT | Çox Buludlu Şəbəkə Avtomatlaşdırma Aləti |
| NFA | Qeyri-deterministik Sonlu Avtomat |
| NGFW | Növbəti nəsil Firewall |
| PCAP | Paket tutma |
| PCRE | Perl Uyğun Normal İfadələr Kitabxanası |
| Regex | Normal ifadə |
| SASE | Təhlükəsiz Giriş Xidməti Edge |
| SIMD | Tək Təlimat Çoxlu Məlumat Texnologiyası |
| TCP | Transmissiya Nəzarət Protokolu |
| URI | Vahid Resurs İdentifikatoru |
| WAF | Web Tətbiq Firewall |
1.2 İstinad Sənədi
Cədvəl 2. İstinad sənədləri
Fon və Motivasiya
Bu gün əksər NGFW təchizatçıları öz izlərini fiziki NGFW cihazlarından ictimai buludda yerləşdirilə bilən virtual NGFW həllərinə qədər genişləndiriblər. İctimai bulud NGFW yerləşdirmələri aşağıdakı üstünlüklərə görə daha çox qəbul edilir:
- Ölçeklenebilirlik: performans tələblərinə cavab vermək üçün çarpaz coğrafi hesablama resurslarını asanlıqla böyüdün və ya azaldın.
- Xərc effektivliyi: istifadəyə görə ödənişə imkan verən çevik abunə. Əsaslı məsrəfləri (capex) aradan qaldırır və fiziki cihazlarla bağlı əməliyyat xərclərini azaldır.
- Bulud xidmətləri ilə yerli inteqrasiya: şəbəkə, giriş nəzarəti və AI/ML alətləri kimi ictimai bulud xidmətləri ilə qüsursuz inteqrasiya.
- Bulud iş yüklərinin qorunması: ictimai buludda yerləşdirilən müəssisə iş yükləri üçün yerli trafik filtrasiyası.
NGFW iş yükünün ictimai buludda idarə edilməsinin azaldılmış dəyəri müəssisədən istifadə halları üçün cəlbedici təklifdir.
Bununla belə, NGFW üçün ən yaxşı performansa və TCO-ya malik nümunəni seçmək çətindir, çünki müxtəlif CPU-lar, yaddaş ölçüləri, IO bant genişliyi və hər biri fərqli qiymətə malik bulud nümunəsi variantlarının geniş çeşidi mövcuddur. Biz Intel prosessorlarına əsaslanan müxtəlif ictimai bulud nümunələrinin performansı və TCO təhlilinə kömək etmək üçün NGFW Referans Tətbiqini işləyib hazırlamışıq. AWS və GCP kimi ictimai bulud xidmətlərində NGFW həlləri üçün düzgün Intel əsaslı nümunələri seçmək üçün bələdçi kimi hər dollara görə performans və performans nümayiş etdirəcəyik.
NGFW Referans Tətbiqi
Intel, yerli müəssisə infrastrukturunda və buludda optimallaşdırılmış performans nümayiş etdirmək üçün ən yeni Intel CPU və platformalarında mövcud olan ISA-lar və sürətləndiricilərdən istifadə edərək optimallaşdırılmış istinad həlləri təqdim edən NetSec Referans Proqram paketini (son buraxılış 25.05) işləyib hazırlayıb. İstinad proqramı Intel Mülkiyyət Lisenziyası (IPL) altında mövcuddur.
Bu proqram paketinin əsas məqamları bunlardır:
- Şəbəkə və təhlükəsizlik üçün istinad həllərinin geniş portfelini, bulud və korporativ məlumat mərkəzləri və kənar yerlər üçün AI çərçivələri daxildir.
- İntel texnologiyalarının bazara çıxarılmasına və sürətlə mənimsənilməsinə imkan verir.
- Intel platformalarında yerləşdirmə ssenarilərini və sınaq mühitlərini təkrarlamağa imkan verən mənbə kodu mövcuddur.
NetSec Referans Proqramının ən son buraxılışını əldə etmək haqqında ətraflı öyrənmək üçün müəlliflərlə əlaqə saxlayın.
NetSec Reference Software paketinin kritik hissəsi kimi, NGFW istinad tətbiqi Intel platformalarında NGFW performans xüsusiyyətlərini və TCO təhlilini idarə edir. Biz NGFW istinad tətbiqində Hyperscan kimi Intel texnologiyalarının qüsursuz inteqrasiyasını təmin edirik. O, Intel platformalarında NGFW təhlili üçün möhkəm zəmin yaradır. Fərqli Intel aparat platformaları hesablamadan IO-ya qədər müxtəlif imkanlar təklif etdiyi üçün NGFW istinad tətbiqi daha aydın şəkildə təqdim edir. view NGFW iş yükləri üçün platforma imkanları və Intel prosessorlarının nəsilləri arasında performans müqayisələrini göstərməyə kömək edir. O, hesablama performansı, yaddaş bant genişliyi, IO bant genişliyi və enerji istehlakı da daxil olmaqla ölçülər haqqında ətraflı məlumat verir. Performans testinin nəticələrinə əsasən, biz NGFW üçün istifadə edilən Intel platformalarında TCO təhlilini (bir dollara görə performansla) daha da apara bilərik.
NGFW istinad tətbiqinin ən son buraxılışı (25.05) aşağıdakı əsas xüsusiyyətləri ehtiva edir:
- Əsas statuslu firewall
- Hücumun qarşısının alınması sistemi (IPS)
- Ən müasir Intel prosessorlarına dəstək, o cümlədən Intel® Xeon® 6 prosessorları, Intel Xeon 6 SoC və s.
Gələcək buraxılışlar aşağıdakı əlavə xüsusiyyətləri həyata keçirmək üçün planlaşdırılır:
- VPN yoxlaması: məzmunun yoxlanılması üçün trafikin IPsec şifrəsinin açılması
- TLS yoxlaması: müştəri ilə server arasındakı əlaqələri dayandırmaq və sonra açıq mətn trafikində məzmun yoxlamasını həyata keçirmək üçün TLS Proksi.
3.1 Sistem Memarlığı
Şəkil 1 ümumi sistemin arxitekturasını göstərir. Sistemi qurmaq üçün əsas kimi açıq mənbəli proqram təminatından istifadə edirik:
- VPP statuslu ACL-lər də daxil olmaqla, əsas statuslu firewall funksiyaları ilə yüksək performanslı məlumat planı həllini təmin edir. Biz konfiqurasiya edilmiş əsas yaxınlıq ilə çoxlu VPP mövzularını yaradırıq. Hər bir VPP işçi ipi xüsusi CPU nüvəsinə və ya icra ipinə bərkidilir.
- Snort 3 IPS kimi seçilir, bu da çox iş parçacığını dəstəkləyir. Snort işçi ipləri xüsusi CPU nüvələrinə və ya icra iplərinə bərkidilir.
- Snort və VPP Snort plaginindən istifadə edərək VPP-yə inteqrasiya olunub. Bu, VPP və Snort arasında paketlərin göndərilməsi üçün bir sıra növbə cütlərindən istifadə edir. Növbə cütləri və paketlərin özləri ortaq yaddaşda saxlanılır. Biz Snort üçün VPP Zero Copy (ZC) DAQ adlandırdığımız yeni Data Acquisition (DAQ) komponenti hazırladıq. Bu, müvafiq növbələrdən oxumaq və onlara yazmaqla paketləri qəbul etmək və ötürmək üçün Snort DAQ API funksiyalarını həyata keçirir. Faydalı yük paylaşılan yaddaşda olduğundan, biz bunu Sıfır Kopiya tətbiqi hesab edirik.
Snort 3, məlumat müstəvisinin emalından daha çox hesablama resursları tələb edən hesablama intensiv iş yükü olduğundan, işləyən aparat platformasında ən yüksək sistem səviyyəsində performans əldə etmək üçün optimallaşdırılmış prosessor nüvəsinin ayrılmasını və VPP tellərinin sayı və Snort3 ipləri arasında balansı konfiqurasiya etməyə çalışırıq.
Şəkil 2 (səhifə 6) ACL və Snort-un bir hissəsi olanlar da daxil olmaqla VPP daxilində qrafik qovşağını göstərir plugins. İki yeni VPP qrafik qovşağı hazırladıq:
- snort-enq: hansı Snort ipinin paketi emal etməli olduğuna dair yük balanslaşdırıcı qərar verir və sonra paketi müvafiq növbəyə yığır.
- snort-deq: hər bir Snort işçi ipi üçün bir neçə növbədən sorğu keçirən giriş qovşağı kimi həyata keçirilir.
3.2 Intel Optimizasiyası
NGFW istinad tətbiqimiz qabaqcıl tələb edirtagaşağıdakı optimallaşdırmalardan e:
- Snort, Snort-dakı standart axtarış mühərriki ilə müqayisədə performansda əhəmiyyətli artım təmin etmək üçün Hyperscan yüksək performanslı çoxsaylı regex uyğunluq kitabxanasından istifadə edir. Şəkil 3 Snort to ilə Hyperscan inteqrasiyasını vurğulayır
həm hərfi machng, həm də regex uyğunluğu performansını sürətləndirin. Snort 3, istifadəçilərin ya konfiqurasiya vasitəsilə Hyperscan-ı aktivləşdirə biləcəyi Hyperscan ilə yerli inteqrasiyanı təmin edir. file və ya əmr satırı seçimləri.
- VPP avans alırtagÇoxlu VPP işçi ipləri üzrə trafiki paylamaq üçün Intel® Ethernet Şəbəkə Adapterlərində Yan Ölçməni (RSS) qəbul edin.
- Intel QAT və Intel AVX-512 təlimatları: IPsec və TLS-ni dəstəkləyən gələcək buraxılışlar qabaqcıl olacaqtagIntel-dən kripto sürətləndirmə texnologiyalarının e. Intel QAT kriptovalyuta performansını sürətləndirir, xüsusən də şəbəkə əlaqələrinin qurulması üçün geniş istifadə olunan açıq açar kriptoqrafiyası. Intel AVX-512 həmçinin kriptoqrafik performansı artırır, o cümlədən VPMADD52 (çoxaltma və toplama əməliyyatları), vektor AES (Intel AES-NI təlimatlarının vektor versiyası), vPCLMUL (Vektorlaşdırılmış daşınmadan çoxalma, AES-GCM-ni optimallaşdırmaq üçün istifadə olunur) və Intel® Secure Hash Alqoritmi – Yeni Təlimatlar (Intel®-NI).
NGFW Referans Tətbiqinin Buludda Yerləşdirilməsi
4.1 Sistem Konfiqurasiyası
Cədvəl 3. Test konfiqurasiyaları
| Metrik | Dəyər |
| İstifadə Case | Aydın Mətn Təftişi (FW + IPS) |
| Traffic Profile | HTTP 64KB GET (Hər qoşulma üçün 1 GET) |
| VPP ACL | Bəli (2 vəziyyətli ACL) |
| Snort qaydaları | Lightspd (~49k qayda) |
| Snort Siyasəti | Təhlükəsizlik (~21k qayda aktivdir) |
Biz RFC9411-də istifadə hallarına və KPI-lərə əsaslanan aydın mətn yoxlama ssenarilərinə diqqət yetiririk. Trafik generatoru hər bir əlaqə üçün 64 GET sorğusu ilə 1KB HTTP əməliyyatları yarada bilər. ACL-lər müəyyən edilmiş alt şəbəkələrdə IP-lərə icazə vermək üçün konfiqurasiya edilmişdir. Biz müqayisə üçün Snort Lightspd qaydalar dəstini və Cisco-nun təhlükəsizlik siyasətini qəbul etdik. Trafik generatorlarından gələn sorğulara xidmət etmək üçün xüsusi server də var idi.
Şəkil 4 və Şəkil 5-də göstərildiyi kimi, sistem topologiyasına üç əsas nümunə qovşağı daxildir: müştəri, server və ictimai bulud yerləşdirilməsi üçün proksi. İstifadəçidən bağlantılara xidmət etmək üçün bir bastion node da var. Hər iki müştəri (WRK ilə işləyən) və server (Nginx ilə işləyən) vahid xüsusi məlumat müstəvisi şəbəkə interfeysinə malikdir və proksi (NGFW ilə işləyən) sınaq üçün iki məlumat müstəvisi şəbəkə interfeysinə malikdir. Məlumat müstəvisi şəbəkə interfeysləri instansiya idarəetmə trafikindən izolyasiyanı təmin edən xüsusi alt şəbəkə A (müştəri-proksi) və alt şəbəkə B (proksi-server) ilə birləşdirilir. Xüsusi IP ünvan diapazonları trafik axınına icazə vermək üçün infrastruktura proqramlaşdırılmış müvafiq marşrutlaşdırma və ACL qaydaları ilə müəyyən edilir.
4.2 Sistemin yerləşdirilməsi
MCNAT ictimai buludda problemsiz şəbəkə iş yükünün yerləşdirilməsi üçün avtomatlaşdırma təmin edən və performans və qiymətə əsaslanan ən yaxşı bulud nümunəsinin seçilməsi ilə bağlı təkliflər təklif edən Intel tərəfindən hazırlanmış proqram alətidir.
MCNAT bir sıra pro vasitəsilə konfiqurasiya edilmişdirfiles, hər biri hər bir nümunə üçün tələb olunan dəyişənləri və parametrləri müəyyən edir. Hər bir nümunə növünün öz peşəkarı varfile daha sonra həmin xüsusi nümunə növünü verilmiş bulud xidməti təminatçısında (CSP) yerləşdirmək üçün MCNAT CLI alətinə ötürülə bilər. Məsample komanda xəttinin istifadəsi aşağıda və Cədvəl 4-də göstərilmişdir.
Cədvəl 4. MCNAT Komanda Xəttinin İstifadəsi
| Seçim | Təsvir |
| – yerləşdirmək | Alətə yeni yerləşdirmə yaratmaq üçün göstəriş verir |
| -u | Hansı istifadəçi etimadnaməsini istifadə edəcəyini müəyyənləşdirir |
| -c | Yerləşdirmə yaratmaq üçün CSP (AWS, GCP və s.) |
| -s | Yerləşdirmə üçün ssenari |
| -p | Profile istifadə etmək |
MCNAT komanda xətti aləti bir addımda nümunələr yarada və yerləşdirə bilər. Nümunə yerləşdirildikdən sonra, post konfiqurasiya addımları nümunəyə daxil olmaq üçün lazımi SSH konfiqurasiyasını yaradır.
4.3 Sistemin müqayisəsi
MCNAT nümunələri yerləşdirdikdən sonra bütün performans testləri MCNAT proqram alətlər dəstindən istifadə etməklə həyata keçirilə bilər.
Əvvəlcə tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json ünvanında test işlərini aşağıdakı kimi konfiqurasiya etməliyik:
Sonra köhnədən istifadə edə bilərikampTesti başlamaq üçün aşağıdakı əmri daxil edin. DEPLOYMENT_PATH hədəf mühitin yerləşdirmə vəziyyətinin saxlandığı yerdir, məsələn, tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.
Test edilən nümunə üçün performans nömrələrinin tam dəstini toplamaq üçün bir sıra CPU nüvələrini bağlayarkən, müştəridə WRK tərəfindən yaradılan http trafikinə dair verilmiş qaydalar dəsti ilə NGFW-ni idarə edir. Testlər tamamlandıqdan sonra bütün məlumatlar csv kimi formatlanır və istifadəçiyə qaytarılır.
Performans və Xərclərin Qiymətləndirilməsi
Bu bölmədə biz AWS və GCP-də Intel Xeon prosessorlarına əsaslanan müxtəlif bulud nümunələrində NGFW yerləşdirmələrini müqayisə edirik.
Bu, performans və qiymətə əsaslanaraq NGFW üçün ən uyğun bulud nümunəsi növünü tapmaq üçün təlimat verir. Əksər NGFW təchizatçıları tərəfindən tövsiyə edildiyi üçün biz 4 vCPU-lu nümunələri seçirik. AWS və GCP üzrə nəticələrə aşağıdakılar daxildir:
- Intel® Hyper-Threading Texnologiyası (Intel® HT Texnologiyası) və Hyperscan aktivləşdirilmiş 4 vCPU-ya sahib olan kiçik instansiya növlərində NGFW performansı.
- 1-ci Nəsil Intel Xeon Scalable prosessorlarından 5-ci Nəsil Intel Xeon Scalable prosessorlarına qədər nəsildən-nəslə performans artımı.
- 1-ci Nəsil Inte® Xeon Scalable prosessorlarından 5-ci Nəsil Intel Xeon Scalable prosessorlarına qədər hər dollar artımı üçün nəsildən-nəslə performans.
5.1 AWS Yerləşdirmə
5.1.1 Nümunə Növlərinin Siyahısı
Cədvəl 5. AWS Nümunələri və Tələb üzrə Saat Tarifləri
| Nümunə Növü | CPU Modeli | vCPU | Yaddaş (GB) | Şəbəkə performansı (Gbps) | On-demand hourly dərəcəsi ($) |
| c5-xlarge | 2-ci nəsil Intel® Xeon® Scalable prosessorları | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | 1-ci nəsil Intel® Xeon® Scalable prosessorları | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | 3-cü nəsil Intel® Xeon® Scalable prosessorları | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | 3-cü nəsil Intel Xeon Scalable prosessorları | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | 4-cü nəsil Intel® Xeon® Scalable prosessorları | 4 | 8 | 12.5 | 0.1785 |
Cədvəl 5-də yuxarıda göstərilənlər göstərilirview istifadə etdiyimiz AWS nümunələri. Ətraflı platforma təfərrüatları üçün Platforma Konfiqurasiyasına baxın. O, həmçinin tələb olunan ho-ları sadalayırurly dərəcəsi (https://aws.amazon.com/ec2/pricing/on-demand/) bütün hallar üçün. Yuxarıda göstərilənlər bu sənədin dərc edildiyi zaman tələb nisbəti idi və ABŞ-ın qərb sahilinə yönəlmişdir.
On-demand hourly dərəcəsi bölgəyə, mövcudluğa, korporativ hesablara və digər amillərə görə dəyişə bilər.
5.1.2 Nəticələr
Şəkil 6 indiyə qədər qeyd olunan bütün nümunə növləri üzrə performansı və saatda performansı müqayisə edir:
- Performans yeni nəsil Intel Xeon prosessorlarına əsaslanan nümunələrlə yaxşılaşdırıldı. c5.xlarge (2-ci Nəsil Intel Xeon Scalable prosessoru əsasında) c7i.xlarge (4-cü Nəsil Intel Xeon Scalable prosessoru əsasında) təkmilləşdirilməsi
1.97x performans yaxşılaşmasını göstərir. - Yeni nəsil Intel Xeon prosessorlarına əsaslanan nümunələrlə dollar başına performans yaxşılaşdı. c5n.xlarge (1-ci Nəsil Intel Xeon Ölçəklənən prosessor əsasında) c7i.xlarge (4-cü Nəsil Intel Xeon Ölçəklənən prosessor əsasında) üçün təkmilləşdirmə 1.88x performans/saat sürətinin yaxşılaşdırılmasını göstərir.
5.2 GCP Yerləşdirilməsi
5.2.1 Nümunə Növlərinin Siyahısı
Cədvəl 6. GCP Nümunələri və Tələb üzrə Saat Tarifləri
| Nümunə Növü | CPU Modeli | vCPU | Yaddaş (GB) | Defolt çıxış bant genişliyi (Gbps) | On-demand hourly dərəcəsi ($) |
| n1-std-4 | 1-ci nəsil Intel® Xeon® Ölçəklənən prosessorlar |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | 3-cü nəsil Intel® Xeon® Ölçəklənən prosessorlar |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | 4-cü nəsil Intel® Xeon® Ölçəklənən prosessorlar |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | 5-cü nəsil Intel® Xeon® Ölçəklənən prosessorlar |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | 5-cü nəsil Intel® Xeon® Ölçəklənən prosessorlar |
4 | 15 | 23 | 0.23761913 |
Cədvəl 6-də yuxarıda göstərilənlər göstərilirview istifadə etdiyimiz GCP nümunələri. Ətraflı platforma təfərrüatları üçün Platforma Konfiqurasiyasına baxın. O, həmçinin tələb olunan ho-ları sadalayırurly dərəcəsi (https://cloud.google.com/compute/vm-instance-pricing?hl=en) bütün hallar üçün. Yuxarıda göstərilənlər, bu sənədin dərc edildiyi zaman tələb olunan nisbət idi və ABŞ-ın qərb sahilinə yönəldilmişdir. On-demand hourly dərəcəsi bölgəyə, mövcudluğa, korporativ hesablara və digər amillərə görə dəyişə bilər.
5.2.2 Nəticələr
Şəkil 7 indiyə qədər qeyd olunan bütün nümunə növləri üzrə performansı və saatda performansı müqayisə edir:
- Performans yeni nəsil Intel Xeon prosessorlarına əsaslanan nümunələrlə yaxşılaşdırıldı. n1-std-4-dən (1-ci Nəsil Intel Xeon Ölçəklənən prosessor əsasında) c4-std-4-ə (5-ci Nəsil Intel Xeon Ölçəklənən prosessor əsasında) yüksəldilməsi 2.68x performans yaxşılaşmasını göstərir.
- Yeni nəsil Intel Xeon prosessorlarına əsaslanan nümunələrlə dollar başına performans yaxşılaşdı. N1-std-4-dən (1-ci Nəsil Intel Xeon Ölçəklənən prosessor əsasında) c4-std-4-ə (5-ci Nəsil Intel Xeon Ölçəklənən prosessor əsasında) yüksəldilməsi 2.15x performans/saat sürətinin yaxşılaşdırılmasını göstərir.
Xülasə
Artımlaasing adoption of multi- and hybrid-cloud deployment models, delivering NGFW solutions on public cloud provides consistent protection across environments, scalability to meet security requirements, and simplicity with minimal maintenance efforts. Network security vendors offer NGFW solutions with a variety of cloud instance types on public cloud. It’s critical to minimize total cost of ownership (TCO) and maximize return on investment (ROI) with the right cloud instance. The key factors to consider include compute resources, network bandwidth, and price. We used NGFW reference implementation as the representative workload and leveraged MCNAT to automate the deployment and testing on different public cloud instance types. Based on our benchmarking, instances with the latest generation of Intel Xeon Scalable processors on AWS (powered by 4th Intel Xeon Scalable processors) and GCP (powered by 5th Intel Xeon Scalable processors) deliver both performance and TCO improvements. They improve the performance by up to 2.68x and the performance per hour rate by up to 2.15x over prior generations. This evaluation generates solid references on selecting Intel based public cloud instances for NGFW.
Əlavə A Platforma Konfiqurasiyası
Platforma Konfiqurasiyaları
c5-xlarge – “Intel tərəfindən 03/17/25 tarixində sınaq. 1-node, 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz, 2 nüvə, HT On, Turbo Aktiv, Ümumi Yaddaş 8GB (1x8GB DDR4 2933Un), BIOSs1.0de/məlumdur. 0x5003801, 1x Elastik Şəbəkə Adapteri (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c5n-xlarge – “Intel tərəfindən 03/17/25 tarixində sınaq. 1-node, 1x Intel(R) Xeon(R) Platinum 8124M CPU @ 3.00GHz, 2 nüvə, HT Aktiv, Turbo Aktiv, Ümumi Yaddaş 10.5GB (1×10.5GB [MT4/DDR2933] məlumdur) 1.0, mikrokod 0x2007006, 1x Elastik Şəbəkə Adapteri (ENA), 1x 32G Amazon Elastik Blok Mağazası, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1.”
c6i-xlarge – “Intel tərəfindən 03/17/25 tarixində sınaq. 1 qovşaq, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90 GHz, 2 nüvə, HT Aktiv, Turbo Aktiv, Ümumi Yaddaş 8 GB (1x8 GB DDR4/mikro), BIOScode 3200 tanınır. 1.0xd0f0003, 6x Elastik Şəbəkə Adapteri (ENA), 1x 1G Amazon Elastik Blok Mağazası, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12“
c6in-xlarge – “Intel tərəfindən 03/17/25 tarixində sınaq. 1-node, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 nüvə, HT Aktiv, Turbo Aktiv, Ümumi Yaddaş 8GB (1x8GB DDR4/mikro), BIOScode 3200 tanınır. 1.0xd0f0003, 6x Elastik Şəbəkə Adapteri (ENA), 1x 1G Amazon Elastik Blok Mağazası, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
c7i-xlarge – "Intel tərəfindən 03/17/25 tarixində sınaq. 1-node, 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, 2 nüvə, HT On, Turbo Aktiv, Ümumi Yaddaş 8GB (1x8GB DDR4/microMTs), BIOScode 4800 tanınır. 1.0x0b2, 000620x Elastik Şəbəkə Adapteri (ENA), 1x 1G Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
n1-std-4 – “Intel tərəfindən 03/17/25 tarixində sınaq. 1-node, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, 2 nüvə, HT On, Turbo On, Ümumi Yaddaş 15GB (1x15GB RAM []), BIOS Google, microcodeff, 0x1G cihazı PersistentDisk, Ubuntu 1 LTS, 32-22.04.5gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4“
n2-std-4 – 03 tarixində Intel tərəfindən sınaqdan keçirilmişdir. 17-node, 25x Intel(R) Xeon(R) CPU @ 1GHz, 1 nüvə, HT On, Turbo On, Ümumi Yaddaş 2.60GB (2x16GB RAM []), BIOS Google, mikrokod 1xffffffff, 16x cihaz, 0x 1G PersistentDisk, Ubuntu1TS, Ubuntu32. 22.04.5-6.8.0gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
c3-std-4 – 03/14/25 tarixində Intel tərəfindən sınaq. 1-qovşaq, 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz, 2 nüvə, HT Aktiv, Turbo Aktiv, Ümumi Yaddaş 16GB (1x16GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Virtual [Network1] Mühərriki nvme_card-pd, Ubuntu 32 LTS, 22.04.5-6.8.0-gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
n4-std-4 – 03 tarixində Intel tərəfindən sınaqdan keçirilmişdir. 18-node, 25x Intel(R) Xeon(R) PLATINUM 1C CPU @ 1GHz, 8581 nüvə, HT On, Turbo On, Ümumi Yaddaş 2.10GB (2x16GB RAM []), BIOS Google, mikrokod 1xffffffff, 16x Compute Engine Virtual Ethernet, 0x Compute Engine Virtual Ethernet [1gVN1] nvme_card-pd, Ubuntu 32 LTS, 22.04.5-6.8.0-gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
c4-std-4 – 03/18/25 tarixində Intel tərəfindən sınaq. 1-node, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz, 2 nüvə, HT On, Turbo On, Ümumi Yaddaş 15GB (1x15GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Compute Engine Virtual Ethernet, 1x Compute Engine Virtual Ethernet [32gVN22.04.5] nvme_card-pd, Ubuntu 6.8.0 LTS, 1025-11.4-gcp, gcc 24.12, NGFW 5.6.1, Hyperscan XNUMX”
Əlavə B Intel NGFW Referans Proqramının Konfiqurasiyası
| Proqram təminatının konfiqurasiyası | Software Version |
| Host OS | Ubuntu 22.04 LTS |
| Kernel | 6.8.0-1025 |
| Kompilyator | GCC 11.4.0 |
| WRK | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| xoruldamaq | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Hiperskan | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Performans istifadəyə, konfiqurasiyaya və digər amillərə görə dəyişir. Ətraflı məlumat əldə edin www.Intel.com/PerformanceIndex.
Performans nəticələri konfiqurasiyalarda göstərilən tarixlərdəki sınaqlara əsaslanır və bütün ictimaiyyətə açıq olan yeniləmələri əks etdirməyə bilər. Konfiqurasiya təfərrüatları üçün ehtiyat nüsxəyə baxın. Heç bir məhsul və ya komponent tamamilə təhlükəsiz ola bilməz.
Intel bütün açıq və nəzərdə tutulan zəmanətlərdən, o cümlədən məhdudiyyətsiz olaraq, satışa yararlılıq, müəyyən məqsəd üçün uyğunluq və pozulmama ilə bağlı nəzərdə tutulan zəmanətlərdən, habelə performans, əməliyyat kursu və ya ticarətdə istifadədən irəli gələn hər hansı zəmanətdən imtina edir.
Intel texnologiyaları effektiv aparat, proqram təminatı və ya xidmət aktivləşdirilməsini tələb edə bilər.
Intel üçüncü tərəf məlumatlarına nəzarət etmir və ya audit etmir. Dəqiqliyi qiymətləndirmək üçün digər mənbələrə müraciət etməlisiniz.
Təsvir edilən məhsullarda dizayn qüsurları və ya səhvlər kimi tanınan səhvlər ola bilər ki, bu da məhsulun dərc edilmiş spesifikasiyalardan kənara çıxmasına səbəb ola bilər. Cari xarakterizə edilən səhvlər istək əsasında mövcuddur.
© Intel Korporasiyası. Intel, Intel loqosu və digər Intel markaları Intel Korporasiyasının və ya onun törəmə şirkətlərinin ticarət nişanlarıdır. Digər adlar və markalar başqalarının mülkiyyəti kimi iddia edilə bilər.
0425/XW/MK/PDF 365150-001ABŞ
Sənədlər / Resurslar
 |
Intel Optimize Next Generation Firewalls [pdf] İstifadəçi təlimatı Yeni Nəsil Firewallları Optimize Edin, Optimize Edin, Növbəti Nəsil Firewallları, Nəsil Firewallları, Firewallları optimallaşdırın |