Intelov logotip

Tehnološki vodnik
Optimizirajte delovanje NGFW z
Procesorji Intel® Xeon® v javnem oblaku

Avtorji
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhikša Ravisundar
Heqing Zhu

Vsebina skriti
1 Uvod
2 Ozadje in motivacija
3 Implementacija reference NGFW
4 Uvedba referenčne implementacije NGFW v oblaku
5 Ocena uspešnosti in stroškov
6 Povzetek
7 Dodatek A Konfiguracija platforme
8 Dokumenti / Viri
8.1 Reference

Uvod

Požarni zidovi naslednje generacije (NGFW) so jedro rešitev za omrežno varnost. Tradicionalni požarni zidovi izvajajo pregled prometa z upoštevanjem stanja, običajno na podlagi vrat in protokola, ki se ne morejo učinkovito braniti pred sodobnim zlonamernim prometom. NGFW-ji se razvijajo in širijo na tradicionalne požarne zidove z naprednimi zmogljivostmi poglobljenega pregleda paketov, vključno s sistemi za zaznavanje/preprečevanje vdorov (IDS/IPS), zaznavanjem zlonamerne programske opreme, identifikacijo in nadzorom aplikacij itd.
NGFW-ji so računsko intenzivne delovne obremenitve, ki opravljajo npr.ampkriptografske operacije za šifriranje in dešifriranje omrežnega prometa ter natančno ujemanje pravil za odkrivanje zlonamernih dejavnosti. Intel ponuja ključne tehnologije za optimizacijo rešitev NGFW.
Intelovi procesorji so opremljeni z različnimi arhitekturami nabora ukazov (ISA), vključno z Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) in Intel® QuickAssist Technology (Intel® QAT), ki znatno pospešijo delovanje kriptovalut.
Intel vlaga tudi v optimizacije programske opreme, vključno s tistimi za Hyperscan. Hyperscan je visokozmogljiva knjižnica za ujemanje nizov in regularnih izrazov (regex). Izkorišča tehnologijo SIMD (single instruction multiple data) na Intelovih procesorjih za izboljšanje zmogljivosti ujemanja vzorcev. Integracija Hyperscana v sisteme NGFW IPS, kot je Snort, lahko izboljša zmogljivost do 3-krat na Intelovih procesorjih.
NGFW-ji se pogosto dobavljajo kot varnostne naprave, nameščene v demilitariziranem območju (DMZ) podatkovnih centrov podjetij. Vendar pa obstaja veliko povpraševanje po virtualnih napravah ali programskih paketih NGFW, ki jih je mogoče namestiti v javni oblak, v podatkovne centre podjetij ali na robne lokacije omrežja. Ta model uvajanja programske opreme osvobaja IT oddelka podjetja stroškov delovanja in vzdrževanja, povezanih s fizičnimi napravami. Izboljša skalabilnost sistema in zagotavlja prilagodljive možnosti nabave in nakupa.
Vedno več podjetij se odloča za uvajanje rešitev NGFW v javni oblak. Ključni razlog za to je stroškovna prednost.tagzagona virtualnih naprav v oblaku.
Ker pa ponudniki komunikacijskih storitev (CSP) ponujajo množico vrst instanc z različnimi računskimi lastnostmi in cenami, je lahko izbira instance z najboljšimi skupnimi stroški lastništva (TCO) za NGFW izziv.
Ta članek predstavlja referenčno implementacijo NGFW podjetja Intel, optimizirano z Intelovimi tehnologijami, vključno s Hyperscanom. Ponuja zanesljivo dokazilo za karakterizacijo zmogljivosti NGFW na Intelovih platformah. Vključena je kot del Intelovega paketa referenčne programske opreme NetSec. V istem paketu ponujamo tudi orodje za avtomatizacijo večoblačnega omrežja (MCNAT) za avtomatizacijo uvajanja referenčne implementacije NGFW pri izbranih ponudnikih javnega oblaka. MCNAT poenostavlja analizo skupnih stroškov lastništva (TCO) za različne računalniške instance in uporabnike vodi do optimalne računalniške instance za NGFW.
Za več informacij o programskem paketu NetSec Reference se obrnite na avtorje.

Zgodovina revizij dokumenta

Revizija Datum Opis
001 marec 2025 Začetna izdaja.

1.1 Terminologija
Tabela 1. Terminologija

Okrajšava Opis
DFA Deterministični končni avtomat
DPI Globoko preverjanje paketov
HTTP Protokol za prenos hiperteksta
IDS/IPS Sistem za zaznavanje in preprečevanje vdorov
ISA Arhitektura nabora navodil
MCNAT Orodje za avtomatizacijo večoblačnih omrežij
NFA Nedeterministični končni avtomat
NGFW Požarni zid naslednje generacije
PCAP Zajem paketov
PCRE Knjižnica regularnih izrazov, združljivih s Perlom
Regeks Regularni izraz
SASE Secure Access Service Edge
SIMD Tehnologija za več podatkov z enim ukazom
TCP Transmission Control Protocol
URI Enotni identifikator vira
WAF Web Aplikacijski požarni zid

1.2 Referenčna dokumentacija
Tabela 2. Referenčni dokumenti

Referenca Vir
Prilagodljiva platforma Intel® Xeon®, zgrajena za najobčutljivejše delovne obremenitve https://www.intc.com/news-events/press-releases/detail/1423/intel-xeon-scalable-platform-built-for-most-sensitive
Smrkanje https://www.snort.org/
Pravila Snorta Talosa https://www.snort.org/downloads#rules
Hiperskeniranje https://www.intel.com/content/www/us/en/developer/articles/technical/introduction-to-hyperscan.html
Integracija Hyperscan in Snort https://www.intel.com/content/www/us/en/developer/articles/technical/hyperscan-and-snort-integration.html
Hyperscan: Hitro iskanje večvzorčnih regularnih izrazov za sodobne procesorje https://www.usenix.org/conference/nsdi19/presentation/wang-xiang
Teddy: Učinkovit mehanizem za dobesedno ujemanje, ki temelji na SIMD, za skalabilen globok pregled paketov https://dl.acm.org/doi/10.1145/3472456.3473512
Priročniki za razvijalce programske opreme za arhitekturi Intel® 64 in IA-32 https://www.intel.com/content/www/us/en/developer/articles/technical/intel-sdm.html
Intel® Intrinsics vodnik https://www.intel.com/content/www/us/en/docs/intrinsics-guide/index.html
Pospeševanje pretočnosti Suricate z uporabo programske opreme za ujemanje vzorcev Hyperscan https://www.intel.com/content/dam/www/public/us/en/documents/solution-briefs/hyperscan-scalability-solution-brief.pdf
Suricata https://suricata.io/
Hiperskeniranje v Suricati: Stanje v državi https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf
Pospešite delovanje Snorta s Hyperscanom in procesorji Intel® Xeon® v javnih oblakih https://networkbuilders.intel.com/solutionslibrary/accelerate-snort-performance-with-hyperscan-and-intel-xeon-processors-on-public-clouds
Požarni zid naslednje generacije – optimizacije s skalabilnim procesorjem Intel® Xeon® 4. generacije https://networkbuilders.intel.com/solutionslibrary/next-generation-firewall- optimizacije-rešitve-kratek-povzetek
Optimizirajte prepustnost in energetsko učinkovitost za požarne zidove naslednje generacije https://www.intel.com/content/www/us/en/products/docs/processors/xeon-accelerated/network/xeon6-firewall-solution-brief.html
Programski paket NetSec https://www.intel.com/content/www/us/en/secure/design/confidential/software-kits/kit-details.html?kitId=853965

Ozadje in motivacija

Danes je večina ponudnikov NGFW razširila svojo prisotnost s fizičnih naprav NGFW na virtualne rešitve NGFW, ki jih je mogoče namestiti v javni oblak. Uvedbe NGFW v javnem oblaku se vse pogosteje uporabljajo zaradi naslednjih prednosti:

  • Prilagodljivost: preprosto povečajte ali zmanjšajte računalniške vire med geografskimi območji, da izpolnite zahteve glede zmogljivosti.
  • Stroškovna učinkovitost: prilagodljiva naročnina, ki omogoča plačilo na uporabo. Odpravlja kapitalske izdatke in zmanjšuje operativne stroške, povezane s fizičnimi napravami.
  • Izvorna integracija s storitvami v oblaku: brezhibna integracija z javnimi storitvami v oblaku, kot so mreženje, nadzor dostopa in orodja za umetno inteligenco/strojno učenje.
  • Zaščita delovnih obremenitev v oblaku: filtriranje lokalnega prometa za delovne obremenitve podjetij, ki gostujejo v javnem oblaku.

Nižji stroški izvajanja delovne obremenitve NGFW v javnem oblaku so privlačna ponudba za primere uporabe v podjetjih.
Vendar pa je izbira instance z najboljšo zmogljivostjo in skupnimi stroški lastništva (TCO) za NGFW zahtevna, saj je na voljo široka paleta možnosti instanc v oblaku z različnimi procesorji, velikostmi pomnilnika, pasovno širino V/I, vsaka pa ima drugačno ceno. Razvili smo referenčno implementacijo NGFW, ki pomaga pri analizi zmogljivosti in skupnih stroškov lastništva različnih instanc javnega oblaka, ki temeljijo na Intelovih procesorjih. Kot vodilo za izbiro pravih instanc, ki temeljijo na Intelovih procesorjih, za rešitve NGFW v javnih oblačnih storitvah, kot sta AWS in GCP, bomo prikazali metrike zmogljivosti in razmerja med zmogljivostjo in ceno.

Implementacija reference NGFW

Intel je razvil programski paket NetSec Reference (najnovejša izdaja 25.05), ki ponuja optimizirane referenčne rešitve, ki izkoriščajo ISA in pospeševalnike, ki so na voljo v najnovejših Intelovih procesorjih in platformah, za prikaz optimizirane zmogljivosti v lokalni poslovni infrastrukturi in v oblaku. Referenčna programska oprema je na voljo pod Intelovo lastniško licenco (IPL).
Ključne značilnosti tega programskega paketa so:

  • Vključuje širok portfelj referenčnih rešitev za mreženje in varnost, ogrodja umetne inteligence za podatkovne centre v oblaku in podjetja ter robne lokacije.
  • Omogoča čas za trženje in hitro uvajanje Intelovih tehnologij.
  • Na voljo je izvorna koda, ki omogoča podvajanje scenarijev uvajanja in testnih okolij na platformah Intel.

Za več informacij o pridobitvi najnovejše izdaje programske opreme NetSec Reference se obrnite na avtorje.
Kot ključni del programskega paketa NetSec Reference programska oprema, implementacija reference NGFW poganja značilnosti delovanja NGFW in analizo skupnih stroškov lastništva (TCO) na Intelovih platformah. Zagotavljamo brezhibno integracijo Intelovih tehnologij, kot je Hyperscan, v implementacijo reference NGFW. To gradi trdne temelje za analizo NGFW na Intelovih platformah. Ker različne Intelove strojne platforme ponujajo različne zmogljivosti, od računalništva do V/I, implementacija reference NGFW predstavlja jasnejšo predstavo. view zmogljivosti platforme za delovne obremenitve NGFW in pomaga prikazati primerjave zmogljivosti med generacijami Intelovih procesorjev. Zagotavlja temeljit vpogled v metrike, vključno z računalniško zmogljivostjo, pasovno širino pomnilnika, pasovno širino V/I in porabo energije. Na podlagi rezultatov testov zmogljivosti lahko izvedemo nadaljnjo analizo skupnih stroškov lastništva (TCO) (z zmogljivostjo na dolar) na Intelovih platformah, ki se uporabljajo za NGFW.

Najnovejša izdaja (25.05) referenčne implementacije NGFW vključuje naslednje ključne funkcije:

  • Osnovni požarni zid z nadzorom stanja
  • Sistem za preprečevanje vdorov (IPS)
  • Podpora za najsodobnejše Intelove procesorje, vključno s procesorji Intel® Xeon® 6, sistemom na čipu Intel Xeon 6 itd.

V prihodnjih izdajah je načrtovana uvedba naslednjih dodatnih funkcij:

  • Pregled VPN: dešifriranje prometa IPsec za pregled vsebine
  • Pregled TLS: posredniški strežnik TLS, ki prekine povezave med odjemalcem in strežnikom ter nato izvede pregled vsebine prometa v obliki golega besedila.

3.1 Arhitektura sistema

Intel optimizira požarne zidove naslednje generacije – sistemska arhitektura

Slika 1 prikazuje celotno arhitekturo sistema. Kot osnovo za izgradnjo sistema uporabljamo odprtokodno programsko opremo:

  • VPP ponuja visokozmogljivo rešitev podatkovne ravnine z osnovnimi funkcijami požarnega zidu s prepoznavanjem stanja, vključno s seznami za nadzor dostopa (ACL), ki upoštevajo stanje. Ustvarimo več niti VPP z konfigurirano afiniteto jedra. Vsaka delovna nit VPP je pripeta na namensko jedro procesorja ali izvedbeno nit.
  • Kot IPS je izbran Snort 3, ki podpira večnitnost. Delovne niti Snorta so pripete na namenska jedra procesorja ali izvedbene niti.
  • Snort in VPP sta integrirana z vtičnikom Snort za VPP. Ta uporablja niz parov čakalnih vrst za pošiljanje paketov med VPP in Snortom. Pari čakalnih vrst in sami paketi so shranjeni v skupnem pomnilniku. Za Snort smo razvili novo komponento za pridobivanje podatkov (DAQ), ki jo imenujemo VPP Zero Copy (ZC) DAQ. Ta implementira funkcije Snort DAQ API za prejemanje in pošiljanje paketov z branjem iz ustreznih čakalnih vrst in pisanjem vanje. Ker je koristni tovor v skupnem pomnilniku, to smatramo za implementacijo Zero-Copy.

Ker je Snort 3 računalniško intenzivna delovna obremenitev, ki zahteva več računalniških virov kot obdelava podatkovne ravnine, poskušamo konfigurirati optimizirano dodelitev procesorskih jeder in uravnotežiti število niti VPP in niti Snort3, da bi dosegli najvišjo zmogljivost sistema na delujoči strojni platformi.
Slika 2 (na strani 6) prikazuje vozlišče grafa znotraj VPP, vključno s tistimi, ki so del ACL in Snort pluginsRazvili smo dve novi vozlišči grafa VPP:

  • snort-enq: sprejme odločitev o uravnoteženju obremenitve o tem, katera nit Snort naj obdela paket, in nato paket uvrsti v ustrezno čakalno vrsto.
  • snort-deq: implementirano kot vhodno vozlišče, ki anketira iz več čakalnih vrst, eno na delovno nit Snort.

Intel optimizira požarne zidove naslednje generacije - Graph Nodes

3.2 Intelove optimizacije
Naša referenčna implementacija NGFW ima prednosttagnaslednjih optimizacij:

  • Snort izkorišča visokozmogljivo knjižnico za ujemanje več regularnih izrazov Hyperscan, da bi zagotovil znatno izboljšanje zmogljivosti v primerjavi s privzetim iskalnikom v Snortu. Slika 3 prikazuje integracijo Hyperscana s Snortom za...
    pospeši tako literalno obdelavo kot tudi ujemanje regularnih izrazov. Snort 3 ponuja izvorno integracijo s Hyperscanom, kjer lahko uporabniki vklopijo Hyperscan prek konfiguracije file ali možnosti ukazne vrstice.

Intel optimizira požarne zidove naslednje generacije – Snort s Hyperscan

  • VPP ima prednosttagSkaliranje na strani prejemanja (RSS) v omrežnih adapterjih Intel® Ethernet za porazdelitev prometa med več delovnih niti VPP.
  • Navodila za Intel QAT in Intel AVX-512: Prihodnje izdaje, ki podpirajo IPsec in TLS, bodo izkoristile prednostitagIntelovih tehnologij za pospeševanje kriptovalut. Intel QAT pospešuje delovanje kriptovalut, zlasti kriptografije z javnim ključem, ki se pogosto uporablja za vzpostavljanje omrežnih povezav. Intel AVX-512 prav tako izboljšuje delovanje kriptografije, vključno z VPMADD52 (operacije množenja in kopičenja), vektorskim AES (vektorska različica ukazov Intel AES-NI), vPCLMUL (vektorizirano množenje brez prenosa, ki se uporablja za optimizacijo AES-GCM) in algoritmom Intel® Secure Hash – New Instructions (Intel® SHA-NI).

Uvedba referenčne implementacije NGFW v oblaku

4.1 Konfiguracija sistema
Tabela 3. Testne konfiguracije

metrika Vrednost
Primer uporabe Pregled jasnega besedila (vdelana programska oprema + IPS)
Prometni strokovnjakfile HTTP 64KB GET (1 GET na povezavo)
VPP ACL-ji Da (2 ACL-ja s funkcijo ohranjanja stanja)
Pravila smrkanja Lightspd (~49 tisoč pravil)
Smrkanje politike Varnost (omogočenih ~21 tisoč pravil)

Osredotočamo se na scenarije pregledovanja odprtega besedila na podlagi primerov uporabe in ključnih kazalnikov uspešnosti v RFC9411. Generator prometa je lahko ustvaril 64KB HTTP transakcije z 1 zahtevo GET na povezavo. ACL-ji so konfigurirani tako, da dovoljujejo IP-je v določenih podomrežjih. Za primerjalno analizo smo uporabili nabor pravil Snort Lightspd in varnostno politiko podjetja Cisco. Na voljo je bil tudi namenski strežnik za obdelavo zahtev generatorjev prometa.

Intel optimizira požarne zidove naslednje generacije – topologija sistemaIntel optimizira požarne zidove naslednje generacije – sistemska topologija 2

Kot je prikazano na sliki 4 in sliki 5, sistemska topologija vključuje tri primarna vozlišča instanc: odjemalca, strežnik in posredniški strežnik za uvajanje v javni oblak. Obstaja tudi oporišče za oskrbo povezav uporabnikov. Tako odjemalec (ki izvaja WRK) kot strežnik (ki izvaja Nginx) imata en namenski omrežni vmesnik na podatkovni ravnini, posredniški strežnik (ki izvaja NGFW) pa ima dva omrežna vmesnika na podatkovni ravnini za testiranje. Omrežni vmesniki na podatkovni ravni so priključeni na namensko podomrežje A (odjemalec-posredniški strežnik) in podomrežje B (posredniški strežnik-strežnik), ki vzdržujeta izolacijo od prometa upravljanja instanc. Namenski obsegi naslovov IP so definirani z ustreznimi pravili usmerjanja in ACL, programiranimi v infrastrukturo, da se omogoči pretok prometa.

4.2 Uvajanje sistema
MCNAT je programsko orodje, ki ga je razvil Intel in zagotavlja avtomatizacijo za nemoteno uvajanje omrežnih delovnih obremenitev v javnem oblaku ter ponuja predloge za izbiro najboljšega primerka v oblaku glede na zmogljivost in stroške.
MCNAT je konfiguriran z vrsto profesionalnihfiles, pri čemer vsak definira spremenljivke in nastavitve, potrebne za posamezen primerek. Vsaka vrsta primerka ima svoj lastni postopek.file ki se nato lahko posreduje orodju MCNAT CLI za namestitev te specifične vrste primerka pri danem ponudniku storitev v oblaku (CSP). Npr.ampUporaba ukazne vrstice je prikazana spodaj in v tabeli 4.

Intel optimizira požarne zidove naslednje generacije – Symbol 1

Tabela 4. Uporaba ukazne vrstice MCNAT

Možnost Opis
–umestitev Naroči orodju, naj ustvari novo uvajanje
-u Določa, katere uporabniške poverilnice naj se uporabijo
-c Ponudnik posredniških storitev (CSP) za ustvarjanje uvajanja (AWS, GCP itd.)
-s Scenarij za uvedbo
-p Profile za uporabo

Orodje ukazne vrstice MCNAT lahko zgradi in namesti instance v enem samem koraku. Ko je instanca nameščena, koraki po konfiguraciji ustvarijo potrebno konfiguracijo SSH, ki omogoča dostop do instance.
4.3 Primerjalna analiza sistema
Ko MCNAT namesti instance, se lahko vsi testi delovanja izvajajo z uporabo kompleta orodij za aplikacije MCNAT.
Najprej moramo konfigurirati testne primere v datoteki tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json, kot je prikazano spodaj:

Intel optimizira požarne zidove naslednje generacije – Symbol 2

Potem lahko uporabimo exampspodnji ukaz za zagon testa. DEPLOYMENT_PATH je mesto, kjer je shranjeno stanje uvajanja ciljnega okolja, npr. tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate.d/tfws_default.

Intel optimizira požarne zidove naslednje generacije – Symbol 3

NGFW se izvaja z določenim nizom pravil za http promet, ki ga ustvari WRK na odjemalcu, hkrati pa pripne vrsto jeder procesorja, da zbere celoten nabor podatkov o zmogljivosti za preizkušeni primerek. Ko so testi končani, so vsi podatki oblikovani kot csv in vrnjeni uporabniku.

Ocena uspešnosti in stroškov

V tem razdelku primerjamo uvedbe NGFW na različnih oblačnih instancah, ki temeljijo na procesorjih Intel Xeon, pri AWS in GCP.
To daje smernice za iskanje najprimernejše vrste instance v oblaku za NGFW glede na zmogljivost in stroške. Izbrali smo instance s 4 vCPU-ji, saj jih priporoča večina prodajalcev NGFW. Rezultati na AWS in GCP vključujejo:

  • Zmogljivost NGFW na majhnih instancah, ki gostijo 4 virtualne procesorje (vCPU) s tehnologijo Intel® Hyper-Threading (tehnologija Intel® HT) in omogočenim Hyperscan.
  • Izboljšanje zmogljivosti iz generacije v generacijo od procesorjev Intel Xeon Scalable 1. generacije do procesorjev Intel Xeon Scalable 5. generacije.
  • Izboljšanje zmogljivosti na dolar iz generacije v generacijo od procesorjev Inte® Xeon Scalable 1. generacije do procesorjev Intel Xeon Scalable 5. generacije.

5.1 Uvajanje AWS
5.1.1 Seznam tipov primerkov
Tabela 5. Primerki AWS in urne tarife na zahtevo

Vrsta primerka Model procesorja vCPE Pomnilnik (GB) Zmogljivost omrežja (Gbps) Na zahtevourlletna stopnja ($)
c5-xlarge Skalarni procesorji Intel® Xeon® 2. generacije 4 8 10 0.17
c5n-xlarge Razširljivi procesorji Intel® Xeon® 1. generacije 4 10.5 25 0.216
c6i-xlarge Skalarni procesorji Intel® Xeon® 3. generacije 4 8 12.5 0.17
c6in-xlarge Procesorji Intel Xeon Scalable 3. generacije 4 8 30 0.2268
c7i-xlarge Skalarni procesorji Intel® Xeon® 4. generacije 4 8 12.5 0.1785

Tabela 5 prikazuje več kotview primerkov AWS, ki jih uporabljamo. Za več podrobnosti o platformi glejte konfiguracijo platforme. Navedene so tudi storitve na zahtevourly-stopnja (https://aws.amazon.com/ec2/pricing/on-demand/) za vse primere. Zgoraj navedena stopnja na zahtevo je bila v času objave tega članka in se osredotoča na zahodno obalo ZDA.
Domači kino na zahtevourlDavčna stopnja se lahko razlikuje glede na regijo, razpoložljivost, poslovne račune in druge dejavnike.

5.1.2 Rezultati

Intel optimizira požarne zidove naslednje generacije – rezultati

Slika 6 primerja zmogljivost in stopnjo zmogljivosti na uro za vse do sedaj omenjene vrste primerkov:

  • Izboljšana zmogljivost z instancami, ki temeljijo na novejših generacijah procesorjev Intel Xeon. Nadgradnja s c5.xlarge (na podlagi procesorja Intel Xeon Scalable 2. generacije) na c7i.xlarge (na podlagi procesorja Intel Xeon Scalable 4. generacije).
    kaže 1.97-kratno izboljšanje zmogljivosti.
  • Zmogljivost na dolar se je izboljšala z instancami, ki temeljijo na novejših generacijah procesorjev Intel Xeon. Nadgradnja s c5n.xlarge (ki temelji na procesorju Intel Xeon Scalable 1. generacije) na c7i.xlarge (ki temelji na procesorju Intel Xeon Scalable 4. generacije) kaže 1.88-kratno izboljšanje zmogljivosti na uro.

5.2 Uvajanje GCP-ja
5.2.1 Seznam tipov primerkov
Tabela 6. Primerki GCP in urne tarife na zahtevo

Vrsta primerka Model procesorja vCPE Pomnilnik (GB) Privzeta izhodna pasovna širina (Gbps) Na zahtevourlletna stopnja ($)
n1-std-4 Intel® Xeon® 1. generacije
Prilagodljivi procesorji		 4 15 10 0.189999
n2-std-4 3. generacija Intel® Xeon®
Prilagodljivi procesorji		 4 16 10 0.194236
c3-std-4 4. generacija Intel® Xeon®
Prilagodljivi procesorji		 4 16 23 0.201608
n4-std-4 5. generacija Intel® Xeon®
Prilagodljivi procesorji		 4 16 10 0.189544
c4-std-4 5. generacija Intel® Xeon®
Prilagodljivi procesorji		 4 15 23 0.23761913

Tabela 6 prikazuje več kotview primerkov GCP, ki jih uporabljamo. Za več podrobnosti o platformi glejte Konfiguracija platforme. Navedene so tudi lokacije na zahtevourly-stopnja (https://cloud.google.com/compute/vm-instance-pricing?hl=en) za vse primere. Zgornja vrednost je bila stopnja na zahtevo v času objave tega članka in se osredotoča na zahodno obalo ZDA. Dostop do storitev na zahtevourlDavčna stopnja se lahko razlikuje glede na regijo, razpoložljivost, poslovne račune in druge dejavnike.

5.2.2 Rezultati

Intel optimizira požarne zidove naslednje generacije - 2. rezultat

Slika 7 primerja zmogljivost in stopnjo zmogljivosti na uro za vse do sedaj omenjene vrste primerkov:

  • Izboljšana zmogljivost z instancami, ki temeljijo na novejših generacijah procesorjev Intel Xeon. Nadgradnja z različice n1-std-4 (ki temelji na procesorju Intel Xeon Scalable 1. generacije) na različico c4-std-4 (ki temelji na procesorju Intel Xeon Scalable 5. generacije) kaže 2.68-kratno izboljšanje zmogljivosti.
  • Izboljšana zmogljivost na dolar z instancami, ki temeljijo na novejših generacijah procesorjev Intel Xeon. Nadgradnja z n1-std-4 (na podlagi procesorja Intel Xeon Scalable 1. generacije) na c4-std-4 (na podlagi procesorja Intel Xeon Scalable 5. generacije) kaže 2.15-kratno izboljšanje zmogljivosti na uro.

Povzetek

Z naraščajočim sprejemanjem modelov uvajanja v več in hibridnih oblakih zagotavljanje rešitev NGFW v javnem oblaku dosledno zaščito v vseh okoljih, skalabilnost za izpolnjevanje varnostnih zahtev in preprostost z minimalnimi vzdrževalnimi napori. Ponudniki omrežne varnosti ponujajo rešitve NGFW z različnimi vrstami primerkov v javnem oblaku. Ključnega pomena je, da se s pravim primerkom v oblaku zmanjšajo skupni stroški lastništva (TCO) in poveča donosnost naložbe (ROI). Ključni dejavniki, ki jih je treba upoštevati, vključujejo računalniške vire, pasovno širino omrežja in ceno. Kot reprezentativno delovno obremenitev smo uporabili referenčno implementacijo NGFW in izkoristili MCNAT za avtomatizacijo uvajanja in testiranja na različnih vrstah primerkov v javnem oblaku. Na podlagi našega primerjalnega testiranja primerki z najnovejšo generacijo procesorjev Intel Xeon Scalable na AWS (ki jih poganjajo 4. procesorji Intel Xeon Scalable) in GCP (ki jih poganjajo 5. procesorji Intel Xeon Scalable) zagotavljajo izboljšave tako zmogljivosti kot skupnih stroškov lastništva. Izboljšajo zmogljivost do 2.68-krat, hitrost delovanja na uro pa do 2.15-krat v primerjavi s prejšnjimi generacijami. Ta ocena ustvarja trdne reference za izbiro primerkov javnega oblaka, ki temeljijo na Intelu, za NGFW.

Dodatek A Konfiguracija platforme

Konfiguracije platforme
c5-xlarge – »Testiral Intel od 17. 03. 25. 1 vozlišče, 1x procesor Intel(R) Xeon(R) Platinum 8275CL s frekvenco 3.00 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 8 GB (1x8 GB DDR4 2933 MT/s [Neznano]), BIOS 1.0, mikrokoda 0x5003801, 1x elastični omrežni adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1«
c5n-xlarge – »Testiral Intel od 17. 03. 25. 1 vozlišče, 1x procesor Intel(R) Xeon(R) Platinum 8124M s frekvenco 3.00 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 10.5 GB (1×10.5 GB DDR4 2933 MT/s [Neznano]), BIOS 1.0, mikrokoda 0x2007006, 1x elastični omrežni adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1«
c6i-xlarge – »Testiral Intel od 17. 03. 25. 1 vozlišče, 1x procesor Intel(R) Xeon(R) Platinum 8375C s frekvenco 2.90 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 8 GB (1x8 GB DDR4 3200 MT/s [Neznano]), BIOS 1.0, mikrokoda 0xd0003f6, 1x elastični omrežni adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1«
c6in-xlarge – »Testiral Intel od 17. 03. 25. 1 vozlišče, 1 procesor Intel(R) Xeon(R) Platinum 8375C s frekvenco 2.90 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 8 GB (1x8 GB DDR4 3200 MT/s [Neznano]), BIOS 1.0, mikrokoda 0xd0003f6, 1x elastični omrežni adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1«
c7i-xlarge – »Testiral Intel od 17. 03. 25. 1 vozlišče, 1 procesor Intel(R) Xeon(R) Platinum 8488C s frekvenco 2.40 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 8 GB (1x8 GB DDR4 4800 MT/s [Neznano]), BIOS 1.0, mikrokoda 0x2b000620, 1x elastični omrežni adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1«
n1-std-4 – »Testiral Intel od 17. 03. 25. 1 vozlišče, 1 procesor Intel(R) Xeon(R) pri 2.00 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 15 GB (1 x 15 GB RAM-a []), BIOS Google, mikrokoda 0xffffffff, 1 naprava, 1 x 32 GB persistentni disk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1«
n2-std-4 – Testirano s strani Intela od 17. 03. 25. 1 vozlišče, 1 procesor Intel(R) Xeon(R) pri 2.60 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 16 GB (1 x 16 GB RAM-a []), BIOS Google, mikrokoda 0xffffffff, 1 naprava, 1 x 32 GB persistentni disk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Testirano s strani Intela od 14. 03. 25. 1 vozlišče, 1x procesor Intel(R) Xeon(R) Platinum 8481C s frekvenco 2.70 GHz in frekvenco 2.60 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 16 GB (1x 16 GB RAM-a []), BIOS Google, mikrokoda 0xffffffff, 1x virtualni Ethernet računalniškega mehanizma [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Testirano s strani Intela od 18. 03. 25. 1 vozlišče, 1x procesor Intel(R) Xeon(R) PLATINUM 8581C pri 2.10 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 16 GB (1x16 GB RAM-a []), BIOS Google, mikrokoda 0xffffffff, 1x virtualni Ethernet računalniškega mehanizma [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Testirano s strani Intela od 18. 03. 25. 1 vozlišče, 1x procesor Intel(R) Xeon(R) PLATINUM 8581C pri 2.30 GHz, 2 jedri, vklopljen HT, vklopljen Turbo, skupni pomnilnik 15 GB (1x15 GB RAM-a []), BIOS Google, mikrokoda 0xffffffff, 1x virtualni Ethernet računalniškega mehanizma [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”

Dodatek B Konfiguracija referenčne programske opreme Intel NGFW

Konfiguracija programske opreme Različica programske opreme
Gostiteljski OS Ubuntu 22.04 LTS
Jedro 6.8.0-1025
Prevajalnik GCC 11.4.0
WRK 74eb9437
WRK2 44a94c17
VPP 24.02
Smrkanje 3.1.36.0
DAQ 3.0.9
LuaJIT 2.1.0-beta3
Libpcap 1.10.1
PCRE 8.45
ZLIB 1.2.11
Hiperskeniranje 5.6.1
LZMA 5.2.5
NGINX 1.22.1
DPDK 23.11

Intelov logotip

Zmogljivost se razlikuje glede na uporabo, konfiguracijo in druge dejavnike. Več o tem na www.Intel.com/PerformanceIndex.
Rezultati delovanja temeljijo na testiranju na datume, prikazane v konfiguracijah, in morda ne odražajo vseh javno dostopnih posodobitev. Za podrobnosti konfiguracije si oglejte varnostno kopijo. Noben izdelek ali komponenta ne more biti popolnoma varna.
Intel zavrača vsa izrecna in implicitna jamstva, vključno brez omejitev z implicitnimi jamstvi glede primernosti za prodajo, primernosti za določen namen in nekršitve, kot tudi vsa jamstva, ki izhajajo iz poteka delovanja, poteka poslovanja ali uporabe v trgovini.
Intelove tehnologije morda zahtevajo aktivirano strojno, programsko opremo ali storitve.
Intel ne nadzira ali revidira podatkov tretjih oseb. Za oceno točnosti se morate posvetovati z drugimi viri.
Opisani izdelki lahko vsebujejo oblikovne pomanjkljivosti ali napake, znane kot errata, zaradi katerih lahko izdelek odstopa od objavljenih specifikacij. Trenutne karakterizirane napake so na voljo na zahtevo.
© Intel Corporation. Intel, logotip Intel in druge znamke Intel so blagovne znamke družbe Intel Corporation ali njenih podružnic. Druga imena in blagovne znamke se lahko zahtevajo kot last drugih.
0425/XW/MK/PDF 365150-001US

Dokumenti / Viri

Intel optimizira požarne zidove naslednje generacije [pdf] Uporabniški priročnik
Optimizirajte požarne zidove naslednje generacije, Optimizirajte, Požarni zidovi naslednje generacije, Požarni zidovi naslednje generacije, Požarni zidovi

Reference

Pustite komentar

Vaš elektronski naslov ne bo objavljen. Obvezna polja so označena *