Tæknihandbók
Hámarka afköst NGFW með
Intel® Xeon® örgjörvar í almenningsskýi
Höfundar
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eiríkur Jónsson
Subhiksha Ravisundar
Heqing Zhu
Inngangur
Eldveggir næstu kynslóðar (NGFW) eru kjarninn í netöryggislausnum. Hefðbundnir eldveggir framkvæma umferðarskoðun með stöðubundinni aðferð, oftast byggt á tengi og samskiptareglum, sem geta ekki varið sig á áhrifaríkan hátt gegn nútíma skaðlegri umferð. NGFW þróast og stækka hefðbundna eldveggi með háþróaðri djúpri pakkaskoðunargetu, þar á meðal innbrotsgreiningar-/varnakerfum (IDS/IPS), spilliforritagreiningu, auðkenningu og stjórnun forrita o.s.frv.
NGFW eru reiknifrek vinnuálag sem framkvæmir til dæmisampdulritunaraðgerðir fyrir dulkóðun og afkóðun netumferðar og þung reglusamsvörun til að greina illgjarn starfsemi. Intel býður upp á grunntækni til að hámarka NGFW lausnir.
Örgjörvar Intel eru búnir ýmsum leiðbeiningasettararkitektúrum (ISA), þar á meðal Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) og Intel® QuickAssist Technology (Intel® QAT) sem flýta verulega fyrir afköstum dulritunargjaldmiðla.
Intel fjárfestir einnig í hugbúnaðarbestun, þar á meðal fyrir Hyperscan. Hyperscan er afkastamikið strengja- og reglulegra segða (regex) samsvörunarsafn. Það nýtir sér SIMD-tækni (e. single instruction multiple data) í Intel örgjörvum til að auka afköst mynstursamsvörunar. Samþætting Hyperscan við NGFW IPS kerfi eins og Snort getur bætt afköst allt að þrefalt í Intel örgjörvum.
NGFW-tæki eru oft afhent sem öryggistæki sem eru sett upp á afvopnuðu svæði (DMZ) í gagnaverum fyrirtækja. Hins vegar er mikil eftirspurn eftir NGFW sýndartækjum eða hugbúnaðarpakka sem hægt er að setja upp í almenningsskýinu, í gagnaverum fyrirtækja eða á jaðri netsins. Þessi hugbúnaðarútfærslulíkan losar upplýsingatæknifyrirtæki undan rekstrar- og viðhaldskostnaði sem tengist efnislegum tækjum. Það bætir sveigjanleika kerfisins og býður upp á sveigjanlega innkaupa- og kaupmöguleika.
Fjöldi fyrirtækja sem nýta sér almenna skýjauppsetningu á NGFW lausnum er sífellt fleiri. Lykilástæða fyrir þessu er kostnaðarhagur.tagað keyra sýndartæki í skýinu.
En þar sem þjónustuveitendur bjóða upp á fjölda tilvikategunda með mismunandi reikniauðkenni og verðlagningu, getur verið krefjandi að velja tilvik með bestu heildarkostnaði fyrir NGFW.
Þessi grein kynnir NGFW viðmiðunarútfærslu frá Intel, sem hefur verið fínstillt með Intel tækni, þar á meðal Hyperscan. Hún býður upp á áreiðanlega sönnunargögn fyrir afköst NGFW á Intel kerfum. Hún er hluti af NetSec viðmiðunarhugbúnaðarpakka Intel. Við bjóðum einnig upp á Multi-Cloud Networking Automation Tool (MCNAT) í sama pakka til að sjálfvirknivæða uppsetningu NGFW viðmiðunarútfærslunnar á völdum opinberum skýjaþjónustuaðilum. MCNAT einfaldar TCO greiningu fyrir mismunandi reiknitilvik og leiðbeinir notendum að bestu reiknitilvikinu fyrir NGFW.
Vinsamlegast hafið samband við höfunda til að fá frekari upplýsingar um NetSec tilvísunarhugbúnaðarpakkann.
Endurskoðunarsaga skjala
| Endurskoðun | Dagsetning | Lýsing |
| 001 | mars 2025 | Upphafleg útgáfa. |
1.1 Hugtök
Tafla 1. Hugtök
| Skammstöfun | Lýsing |
| DFA | Ákveðinn endanlegur sjálfvirkur |
| DPI | Djúp pakkaskoðun |
| HTTP | Hypertext Transfer Protocol |
| IDS/IPS | Kerfi til að greina og koma í veg fyrir innbrot |
| ISA | Kennslusett arkitektúr |
| MCNAT | Sjálfvirkniverkfæri fyrir fjölskýjanet |
| NFA | Óákveðinn endanlegur sjálfvirkur |
| NGFW | Næsta kynslóð eldveggs |
| PCAP | Pakkataka |
| PCRE | Perl-samhæft reglulegt segðasafn |
| Regex | Regluleg tjáning |
| SASE | Öruggur aðgangsþjónusta Edge |
| SIMD | Einföld leiðbeining margvísleg gagnatækni |
| TCP | Siðareglur um flutningsstýringu |
| URI | Samræmt auðkenni fyrir auðlindir |
| WAF | Web Umsókn eldveggur |
1.2 Tilvísunarskjöl
Tafla 2. Tilvísunarskjöl
Bakgrunnur og hvatning
Í dag hafa flestir NGFW-framleiðendur aukið umfang sitt frá því að nota raunveruleg NGFW-tæki yfir í sýndar NGFW-lausnir sem hægt er að setja upp í almenningsskýinu. Notkun NGFW í almenningsskýinu er að aukast vegna eftirfarandi ávinnings:
- Sveigjanleiki: Auðvelt er að stækka eða minnka þverfræðilegar útreikningsauðlindir til að uppfylla afkastakröfur.
- Hagkvæmni: sveigjanleg áskrift til að leyfa greiðslu eftir notkun. Útrýmir fjárfestingarkostnaði (capex) og dregur úr rekstrarkostnaði sem tengist efnislegum tækjum.
- Innbyggð samþætting við skýjaþjónustu: óaðfinnanleg samþætting við opinberar skýjaþjónustur eins og netkerfi, aðgangsstýringar og gervigreindar-/vélanámstól.
- Vernd gegn skýjavinnuálagi: síun á staðbundinni umferð fyrir vinnuálag fyrirtækja sem hýst er í almenningsskýi.
Lægri kostnaður við að keyra NGFW vinnuálagið í almenna skýinu er aðlaðandi kostur fyrir notkunartilvik fyrirtækja.
Hins vegar er krefjandi að velja tilvik með bestu afköstum og heildarkostnaði fyrir NGFW, þar sem fjölbreytt úrval af skýjatilvikum er í boði með mismunandi örgjörvum, minnisstærðum, IO-bandvídd og hvert þeirra er verðlagt á mismunandi hátt. Við höfum þróað NGFW tilvísunarútfærslu til að aðstoða við afköst og heildarkostnaðargreiningu á mismunandi opinberum skýjatilvikum byggðum á Intel örgjörvum. Við munum sýna fram á afköst og afköst á hvern dollar sem leiðbeiningar við val á réttum Intel-byggðum tilvikum fyrir NGFW lausnir á opinberum skýjaþjónustum eins og AWS og GCP.
Tilvísunarútfærsla NGFW
Intel þróaði NetSec Reference Software pakkann (nýjasta útgáfa 25.05) sem býður upp á bestu mögulegu lausnir sem nýta sér ISA og hröðla sem eru í boði í nýjustu Intel örgjörvum og kerfum til að sýna fram á bestu mögulegu afköst í innviðum fyrirtækja á staðnum og í skýinu. Viðmiðunarhugbúnaðurinn er fáanlegur undir Intel Proprietary License (IPL).
Helstu eiginleikar þessa hugbúnaðarpakka eru:
- Inniheldur breitt úrval af tilvísunarlausnum fyrir net og öryggi, gervigreindarramma fyrir skýja- og fyrirtækjagagnaver og jaðarstaði.
- Gefur tíma til markaðssetningar og hraða innleiðingu á Intel-tækni.
- Frumkóði er tiltækur sem gerir kleift að endurtaka dreifingaraðstæður og prófunarumhverfi á Intel-kerfum.
Vinsamlegast hafið samband við höfunda til að fá frekari upplýsingar um hvernig hægt er að nálgast nýjustu útgáfuna af NetSec tilvísunarhugbúnaðinum.
Sem mikilvægur hluti af NetSec tilvísunarhugbúnaðarpakkanum, knýr NGFW tilvísunarútfærslan áfram afköst NGFW og greiningu á heildarkostnaði (TCO) á Intel-kerfum. Við bjóðum upp á óaðfinnanlega samþættingu Intel-tækni eins og Hyperscan í NGFW tilvísunarútfærslunni. Hún leggur traustan grunn fyrir NGFW greiningu á Intel-kerfum. Þar sem mismunandi Intel-vélbúnaðarkerfi bjóða upp á mismunandi möguleika, allt frá útreikningum til IO, veitir NGFW tilvísunarútfærslan skýrari mynd af... view af kerfisgetu fyrir NGFW vinnuálag og hjálpar til við að sýna frammistöðusamanburð milli kynslóða Intel örgjörva. Það veitir ítarlega innsýn í mælikvarða, þar á meðal reikniafrakstur, minnisbandvídd, IO bandvídd og orkunotkun. Byggt á niðurstöðum afkastaprófa getum við framkvæmt frekari TCO greiningu (með afköstum á hvern dollar) á Intel kerfum sem notuð eru fyrir NGFW.
Nýjasta útgáfan (25.05) af NGFW tilvísunarútfærslunni inniheldur eftirfarandi lykilatriði:
- Grunn eldveggur með stöðu
- Innbrotsvarnakerfi (IPS)
- Stuðningur við nýjustu Intel örgjörva, þar á meðal Intel® Xeon® 6 örgjörva, Intel Xeon 6 SoC, o.s.frv.
Í framtíðarútgáfum er áætlað að eftirfarandi viðbótareiginleikar verði innleiddir:
- VPN skoðun: IPsec afkóðun umferðar fyrir efnisskoðun
- TLS skoðun: TLS milliþjónn til að slíta tengingum milli biðlara og netþjóns og framkvæma síðan efnisskoðun á umferðinni í látlausum texta.
3.1 Kerfisarkitektúr
Mynd 1 sýnir heildararkitektúr kerfisins. Við notum opinn hugbúnað sem grunn að smíði kerfisins:
- VPP býður upp á afkastamikla gagnaplanslausn með grunnvirkni eldveggs með stöðubundnum aðgengisreglum (stateful access limits). Við sköpum marga VPP þræði með stilltri kjarnatengsl. Hver VPP vinnuþráður er festur við sérstakan örgjörvakjarna eða keyrsluþráð.
- Snort 3 er valið sem IPS, sem styður fjölþráða. Snort verkþræðir eru festir við sérstaka örgjörvakjarna eða keyrsluþræði.
- Snort og VPP eru samþætt með Snort viðbótinni í VPP. Þetta notar safn af biðröðum til að senda pakka milli VPP og Snort. Biðröðarpörin og pakkarnir sjálfir eru geymdir í sameiginlegu minni. Við þróuðum nýjan gagnaöflunarþátt (DAQ) fyrir Snort, sem við köllum VPP Zero Copy (ZC) DAQ. Þetta útfærir Snort DAQ API virknina til að taka á móti og senda pakka með því að lesa úr og skrifa í viðeigandi biðraðir. Þar sem gagnamagnið er í sameiginlegu minni, teljum við þetta vera Zero-Copy útfærslu.
Þar sem Snort 3 er reikniaflsfrekt vinnuálag sem krefst meiri reikniauðlinda en gagnaplansvinnsla, erum við að reyna að stilla upp fínstillta kjarnaúthlutun örgjörva og jafnvægi milli fjölda VPP-þráða og Snort3-þráða til að fá sem mesta kerfisafköst á keyrandi vélbúnaðarpalli.
Mynd 2 (á blaðsíðu 6) sýnir grafhnútinn innan VPP, þar á meðal þá sem eru hluti af ACL og Snort. pluginsVið þróuðum tvo nýja VPP grafhnúta:
- snort-enq: tekur ákvörðun um álagsjöfnun um hvaða Snort-þráður á að vinna úr pakkanum og setur hann síðan í samsvarandi biðröð.
- snort-deq: útfært sem inntakshnúta sem kannar úr mörgum biðröðum, einni í hverjum Snort verkþræði.
3.2 Intel hagræðingar
NGFW tilvísunarútfærslan okkar nýtur góðs aftage af eftirfarandi hagræðingum:
- Snort nýtir sér afkastamikla samsvörunarbókasafnið Hyperscan fyrir margar regex til að auka afköst verulega samanborið við sjálfgefna leitarvélina í Snort. Mynd 3 sýnir samþættingu Hyperscan við Snort til að...
flýta fyrir bæði bókstaflegri machng og regex samsvörun. Snort 3 býður upp á innbyggða samþættingu við Hyperscan þar sem notendur geta kveikt á Hyperscan annað hvort í gegnum stillingar. file eða skipanalínuvalkostir.
- VPP nýtir sértage af Receive Side Scaling (RSS) í Intel® Ethernet netkortum til að dreifa umferð yfir marga VPP vinnuþræði.
- Leiðbeiningar um Intel QAT og Intel AVX-512: Framtíðarútgáfur sem styðja IPsec og TLS munu nýta sértage af dulritunarhraðatækni frá Intel. Intel QAT flýtir fyrir afköstum dulritunar, sérstaklega dulritun með opinberum lyklum sem er mikið notuð til að koma á nettengingum. Intel AVX-512 eykur einnig dulritunarafköst, þar á meðal VPMADD52 (margföldunar- og uppsöfnunaraðgerðir), vektor AES (vektorútgáfa af Intel AES-NI leiðbeiningunum), vPCLMUL (vektorvædd flutningslaus margföldun, notuð til að hámarka AES-GCM) og Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).
Skýjaútfærsla á NGFW tilvísunarútfærslu
4.1 Kerfisstilling
Tafla 3. Prófunarstillingar
| Mæling | Gildi |
| Notkunarmál | Skoðun á skýrum texta (FW + IPS) |
| Umferðarfræðingurfile | HTTP 64KB GET (1 GET á hverja tengingu) |
| VPP aðgangsstýringar | Já (2 aðgangsstýringar með stöðu) |
| Reglur um hrjót | Lightspd (~49k reglur) |
| Snort-stefna | Öryggi (~21 þúsund reglur virkjaðar) |
Við leggjum áherslu á skoðunarsviðsmyndir með skýrum texta byggðar á notkunartilvikum og lykilárangursvísum (KPI) í RFC9411. Umferðarframleiðandinn gæti búið til 64KB HTTP færslur með einni GET beiðni á hverja tengingu. Aðgangsstýringar (ACL) eru stilltar til að leyfa IP tölur í tilgreindum undirnetum. Við notuðum Snort Lightspd reglusettið og öryggisstefnu frá Cisco fyrir viðmiðunarprófanir. Það var einnig sérstakur netþjónn til að afgreiða beiðnir frá umferðarframleiðendum.
Eins og sést á mynd 4 og mynd 5, inniheldur kerfisbyggingin þrjá aðal tilvikshnúta: biðlara, netþjón og milliþjón fyrir dreifingu í almenningsskýi. Þar er einnig virkishnútur til að þjóna tengingum frá notanda. Bæði biðlarinn (sem keyrir WRK) og netþjónninn (sem keyrir Nginx) hafa eitt sérstakt gagnaplansnetviðmót, og milliþjónninn (sem keyrir NGFW) hefur tvö gagnaplansnetviðmót til prófunar. Gagnaplansnetviðmót eru tengd sérstöku undirneti A (biðlari-milliþjónn) og undirneti B (milliþjónn-milliþjónn) sem viðhalda einangrun frá umferð tilvikastjórnunar. Sérstök IP-tölubil eru skilgreind með samsvarandi leiðar- og ACL-reglum sem eru forritaðar á innviðina til að leyfa umferðarflæði.
4.2 Kerfisuppsetning
MCNAT er hugbúnaðartól þróað af Intel sem býður upp á sjálfvirkni fyrir óaðfinnanlega dreifingu netvinnuálags á almenningsskýi og býður upp á tillögur um val á besta skýjatilvikinu út frá afköstum og kostnaði.
MCNAT er stillt með röð af faglegumfiles, þar sem hvert skilgreinir breytur og stillingar sem krafist er fyrir hvert tilvik. Hvert tilvikstegund hefur sína eigin eiginleika.file sem síðan er hægt að senda til MCNAT CLI tólsins til að dreifa þeirri tilteknu tegund tilviks á tilteknum skýjaþjónustuaðila (CSP).ampNotkun skipanalínunnar er sýnd hér að neðan og í töflu 4.
Tafla 4. Notkun MCNAT skipanalínu
| Valkostur | Lýsing |
| –dreifa | Leiðbeinir tólinu um að búa til nýja dreifingu |
| -u | Skilgreinir hvaða notendaupplýsingar á að nota |
| -c | CSP til að búa til dreifingu á (AWS, GCP, o.s.frv.) |
| -s | Atburðarás til að dreifa |
| -p | Profile að nota |
Skipanalínutólið MCNAT getur smíðað og dreift tilvikum í einu skrefi. Þegar tilvikið hefur verið dreift, búa skrefin eftir stillingu til nauðsynlegar SSH stillingar til að leyfa aðgang að tilvikinu.
4.3 Kerfisviðmiðun
Þegar MCNAT hefur sett upp tilvikin er hægt að keyra öll afkastapróf með því að nota MCNAT forritatólið.
Fyrst þurfum við að stilla prófunartilvik á tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json eins og sýnt er hér að neðan:
Þá getum við notað fyrrverandiample skipunina hér að neðan til að ræsa prófunina. DEPLOYMENT_PATH er þar sem dreifingarstaða markumhverfisins er geymd, t.d. tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.
Það keyrir NGFW með tilteknum reglum um http-umferð sem WRK býr til á notanda, en festir fjölda örgjörvakjarna til að safna saman fullum afköstum fyrir tilvikið sem verið er að prófa. Þegar prófunum er lokið eru öll gögnin sniðin sem csv-skrá og send aftur til notandans.
Árangurs- og kostnaðarmat
Í þessum kafla berum við saman NGFW-innleiðingar á mismunandi skýjatilvikum byggðar á Intel Xeon örgjörvum hjá AWS og GCP.
Þetta veitir leiðbeiningar um að finna bestu gerð skýjatilvika fyrir NGFW út frá afköstum og kostnaði. Við veljum tilvik með 4 vCPU-einingum þar sem flestir NGFW-framleiðendur mæla með þeim. Niðurstöður á AWS og GCP eru meðal annars:
- NGFW afköst á litlum tilvikstegundum sem hýsa 4 vCPU með Intel® Hyper-Threading tækni (Intel® HT tækni) og Hyperscan virkt.
- Afköst aukast frá kynslóð til kynslóðar frá stigstærðar örgjörvum fyrstu kynslóðar Intel Xeon til stigstærðar örgjörva fimmtu kynslóðar Intel Xeon.
- Aukning á afköstum á hvern dollar frá kynslóð til kynslóðar, frá stigstærðar örgjörvum fyrstu kynslóðar Inte® Xeon til stigstærðar örgjörva fimmtu kynslóðar Intel Xeon.
5.1 AWS innleiðing
5.1.1 Listi yfir tilvikategundir
Tafla 5. AWS tilvik og tímagjöld fyrir eftirspurn
| Tegund tilviks | CPU líkan | vCPU | Minni (GB) | Netafköst (Gbps) | Eftirspurn eftir þjónustuurly-hlutfall ($) |
| c5-xlarge | Stærðanlegir örgjörvar frá 2. kynslóð Intel® Xeon® | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | Stækkanlegar örgjörvar frá fyrstu kynslóð Intel® Xeon® | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | Þriðja kynslóðar Intel® Xeon® stigstærðar örgjörvar | 4 | 8 | 12.5 | 0.17 |
| c6 tommur - stór | Þriðja kynslóðar Intel Xeon stigstærðar örgjörvar | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | 4. kynslóðar stigstærðar Intel® Xeon® örgjörvar | 4 | 8 | 12.5 | 0.1785 |
Tafla 5 sýnir yfirview af AWS tilvikum sem við notum. Vinsamlegast skoðið stillingar á kerfinu fyrir frekari upplýsingar um kerfið. Þar er einnig listi yfir þjónustu á eftirspurn.urly-hlutfall (https://aws.amazon.com/ec2/pricing/on-demand/) fyrir öll tilvik. Ofangreint var verðið á eftirspurn þegar þessi grein var birt og beinist að vesturströnd Bandaríkjanna.
Eftirspurn eftir húsiurlY-hlutfallið getur verið breytilegt eftir svæðum, framboði, fyrirtækjareikningum og öðrum þáttum.
5.1.2 Niðurstöður
Mynd 6 ber saman afköst og afköst á klukkustund fyrir allar tilvikagerðir sem nefndar hafa verið hingað til:
- Afköst batnuðu með tilvikum byggð á nýrri kynslóðum Intel Xeon örgjörva. Uppfærsla úr c5.xlarge (byggt á 2. kynslóð Intel Xeon Scalable örgjörva) í c7i.xlarge (byggt á 4. kynslóð Intel Xeon Scalable örgjörva).
sýnir 1.97x framför í afköstum. - Afköst á hvern dollar batnuðu með tilvikum byggð á nýrri kynslóðum Intel Xeon örgjörva. Uppfærsla úr c5n.xlarge (byggt á 1. kynslóð Intel Xeon Scalable örgjörva) í c7i.xlarge (byggt á 4. kynslóð Intel Xeon Scalable örgjörva) sýnir 1.88-falda aukningu á afköstum/klukkustund.
5.2 GCP innleiðing
5.2.1 Listi yfir tilvikategundir
Tafla 6. GCP tilvik og tímagjöld á eftirspurn
| Tegund tilviks | CPU líkan | vCPU | Minni (GB) | Sjálfgefin útgangsbandvídd (Gbps) | Eftirspurn eftir þjónustuurly-hlutfall ($) |
| n1-staðall-4 | Fyrsta kynslóð Intel® Xeon® Skalanlegir örgjörvar |
4 | 15 | 10 | 0.189999 |
| n2-staðall-4 | Þriðja kynslóð Intel® Xeon® Skalanlegir örgjörvar |
4 | 16 | 10 | 0.194236 |
| c3-staðall-4 | 4. kynslóð Intel® Xeon® Skalanlegir örgjörvar |
4 | 16 | 23 | 0.201608 |
| n4-staðall-4 | 5. kynslóð Intel® Xeon® Skalanlegir örgjörvar |
4 | 16 | 10 | 0.189544 |
| c4-staðall-4 | 5. kynslóð Intel® Xeon® Skalanlegir örgjörvar |
4 | 15 | 23 | 0.23761913 |
Tafla 6 sýnir yfirview af GCP tilvikum sem við notum. Vinsamlegast skoðið stillingar kerfisins fyrir frekari upplýsingar um kerfið. Þar er einnig listi yfir stillingar á eftirspurn.urly-hlutfall (https://cloud.google.com/compute/vm-instance-pricing?hl=en) fyrir öll tilvik. Ofangreint var verðið fyrir sjónvarp á eftirspurn þegar þessi grein var birt og beinist að vesturströnd Bandaríkjanna.urlY-hlutfallið getur verið breytilegt eftir svæðum, framboði, fyrirtækjareikningum og öðrum þáttum.
5.2.2 Niðurstöður
Mynd 7 ber saman afköst og afköst á klukkustund fyrir allar tilvikagerðir sem nefndar hafa verið hingað til:
- Afköst batnuðu með tilvikum byggð á nýrri kynslóðum Intel Xeon örgjörva. Uppfærsla úr n1-std-4 (byggt á 1. kynslóð Intel Xeon Scalable örgjörva) í c4-std-4 (byggt á 5. kynslóð Intel Xeon Scalable örgjörva) sýnir 2.68-falda afköstabætur.
- Afköst á hvern dollar batnuðu með tilvikum byggð á nýrri kynslóðum Intel Xeon örgjörva. Uppfærsla úr n1-std-4 (byggt á 1. kynslóð Intel Xeon Scalable örgjörva) í c4-std-4 (byggt á 5. kynslóð Intel Xeon Scalable örgjörva) sýnir 2.15-falda afköst/klukkustundarbætingu.
Samantekt
Með vaxandi notkun fjöl- og blönduðu skýjadreifingarlíkana veitir afhending NGFW-lausna á almenningsskýi samræmda vernd í öllum umhverfum, sveigjanleika til að uppfylla öryggiskröfur og einfaldleika með lágmarks viðhaldsfyrirhöfn. Netöryggisframleiðendur bjóða upp á NGFW-lausnir með fjölbreyttum gerðum skýjatilvika á almenningsskýi. Það er mikilvægt að lágmarka heildarkostnað við eignarhald (TCO) og hámarka arðsemi fjárfestingar (ROI) með réttu skýjatilvikinu. Lykilþættir sem þarf að hafa í huga eru reikniauðlindir, netbandvídd og verð. Við notuðum NGFW-viðmiðunarútfærslu sem dæmigert vinnuálag og nýttum MCNAT til að sjálfvirknivæða dreifingu og prófanir á mismunandi gerðum almenningsskýjatilvika. Samkvæmt viðmiðum okkar skila tilvik með nýjustu kynslóð Intel Xeon Scalable örgjörva á AWS (knúið af 4. Intel Xeon Scalable örgjörvum) og GCP (knúið af 5. Intel Xeon Scalable örgjörvum) bæði afköstum og TCO. Þau bæta afköstin um allt að 2.68x og afköst á klukkustund um allt að 2.15x miðað við fyrri kynslóðir. Þetta mat gefur traustar viðmiðanir um val á Intel-byggðum almenningsskýjatilvikum fyrir NGFW.
Viðauki A Stillingar kerfis
Stillingar vettvangs
c5-xlarge – „Prófað af Intel frá og með 17.03.25. 1 hnútur, 1x Intel(R) Xeon(R) Platinum 8275CL örgjörvi við 3.00 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 8 GB (1x8 GB DDR4 2933 MT/s [Óþekkt]), BIOS 1.0, örkóði 0x5003801, 1x Elastic netkort (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c5n-xlarge – „Prófað af Intel frá og með 17.03.25. 1 hnútur, 1x Intel(R) Xeon(R) Platinum 8124M örgjörvi við 3.00 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 10.5 GB (1×10.5 GB DDR4 2933 MT/s [Óþekkt]), BIOS 1.0, örkóði 0x2007006, 1x Elastic netkort (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6i-xlarge – „Prófað af Intel frá og með 17.03.25. 1 hnútur, 1x Intel(R) Xeon(R) Platinum 8375C örgjörvi við 2.90 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 8GB (1x8GB DDR4 3200 MT/s [Óþekkt]), BIOS 1.0, örkóði 0xd0003f6, 1x Elastic netkort (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – „Prófað af Intel frá og með 17.03.25. 1 hnútur, 1x Intel(R) Xeon(R) Platinum 8375C örgjörvi við 2.90 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 8GB (1x8GB DDR4 3200 MT/s [Óþekkt]), BIOS 1.0, örkóði 0xd0003f6, 1x Elastic netkort (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c7i-xlarge – „Prófað af Intel frá og með 17.03.25. 1 hnútur, 1x Intel(R) Xeon(R) Platinum 8488C örgjörvi við 2.40 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 8 GB (1x8 GB DDR4 4800 MT/s [Óþekkt]), BIOS 1.0, örkóði 0x2b000620, 1x Elastic netkort (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n1-std-4 – „Prófað af Intel frá og með 17.03.25. 1 hnútur, 1x Intel(R) Xeon(R) örgjörvi við 2.00 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 15 GB (1x15 GB vinnsluminni []), BIOS Google, örkóði 0xffffffff, 1x tæki, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n2-std-4 – Prófað af Intel frá og með 17.03.25. 1 hnútur, 1x Intel(R) Xeon(R) örgjörvi @ 2.60 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 16 GB (1x16 GB vinnsluminni []), BIOS Google, örkóði 0xffffffff, 1x tæki, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Prófað af Intel frá og með 14.03.25. 1 hnútur, 1x Intel(R) Xeon(R) Platinum 8481C örgjörvi @ 2.70GHz @ 2.60GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 16GB (1x16GB vinnsluminni []), BIOS Google, örkóði 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Prófað af Intel frá og með 18.03.25. 1 hnútur, 1x Intel(R) Xeon(R) PLATINUM 8581C örgjörvi við 2.10 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 16 GB (1x16 GB vinnsluminni []), BIOS Google, örkóði 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Prófað af Intel frá og með 18.03.25. 1 hnútur, 1x Intel(R) Xeon(R) PLATINUM 8581C örgjörvi við 2.30 GHz, 2 kjarnar, HT kveikt, Turbo kveikt, heildarminni 15 GB (1x15 GB vinnsluminni []), BIOS Google, örkóði 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
Viðauki B Uppsetning Intel NGFW tilvísunarhugbúnaðar
| Hugbúnaðarstillingar | Hugbúnaðarútgáfa |
| Host OS | Ubuntu 22.04 LTS |
| Kjarni | 6.8.0-1025 |
| Þjálfari | GCC 11.4.0 |
| WRK | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| Fnýst | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Lífsfang | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Ofurskönnun | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Afköst eru mismunandi eftir notkun, uppsetningu og öðrum þáttum. Frekari upplýsingar á www.Intel.com/PerformanceIndex.
Niðurstöður árangurs byggjast á prófunum frá og með dagsetningum sem sýndar eru í stillingum og endurspegla ef til vill ekki allar opinberar uppfærslur. Sjá öryggisafrit fyrir upplýsingar um stillingar. Engin vara eða hluti getur verið algerlega örugg.
Intel afsalar sér öllum óbeinum og óbeinum ábyrgðum, þar með talið, án takmarkana, óbeinum ábyrgðum um söluhæfni, hæfni í ákveðnum tilgangi og að ekki sé brotið, sem og hvers kyns ábyrgð sem stafar af frammistöðu, viðskiptum eða notkun í viðskiptum.
Intel tækni kann að þurfa að virkja vélbúnað, hugbúnað eða þjónustu.
Intel stjórnar ekki eða endurskoðar gögn frá þriðja aðila. Þú ættir að hafa samband við aðrar heimildir til að meta nákvæmni.
Vörurnar sem lýst er geta innihaldið hönnunargalla eða villur sem kallast errata sem geta valdið því að varan víki frá birtum forskriftum. Núverandi einkennandi errata eru fáanlegar ef óskað er.
© Intel Corporation. Intel, Intel lógóið og önnur Intel merki eru vörumerki Intel Corporation eða dótturfélaga þess. Önnur nöfn og vörumerki má gera tilkall til sem eign annarra.
0425/XW/MK/PDF 365150-001US
Skjöl / auðlindir
 |
Intel fínstillir næstu kynslóð eldveggja [pdfNotendahandbók Fínstilla næstu kynslóð eldveggja, Fínstilla, næstu kynslóð eldveggja, kynslóð eldveggja, eldveggir |