Technologický průvodce
Optimalizujte výkon NGFW pomocí
Procesory Intel® Xeon® ve veřejném cloudu
Autoři
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhikša Ravisundar
Heqing Zhu
Zavedení
Firewally nové generace (NGFW) jsou jádrem řešení síťové bezpečnosti. Tradiční firewally provádějí stavovou inspekci provozu, obvykle na základě portu a protokolu, které nedokážou účinně bránit modernímu škodlivému provozu. NGFW se vyvíjejí a rozšiřují tradiční firewally o pokročilé možnosti hloubkové inspekce paketů, včetně systémů detekce/prevence narušení (IDS/IPS), detekce malwaru, identifikace a kontroly aplikací atd.
NGFW jsou výpočetně náročné úlohy, které provádějí napříkladamptj. kryptografické operace pro šifrování a dešifrování síťového provozu a porovnávání náročných pravidel pro detekci škodlivých aktivit. Společnost Intel dodává klíčové technologie pro optimalizaci řešení NGFW.
Procesory Intel jsou vybaveny různými architekturami instrukčních sad (ISA), včetně Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) a Intel® QuickAssist Technology (Intel® QAT), které výrazně urychlují výkon kryptoměn.
Společnost Intel také investuje do optimalizace softwaru, včetně těch pro Hyperscan. Hyperscan je vysoce výkonná knihovna pro porovnávání řetězců a regulárních výrazů (regex). Využívá technologii SIMD (single instruction multiple data) na procesorech Intel ke zvýšení výkonu porovnávání vzorů. Integrace Hyperscanu do systémů NGFW IPS, jako je Snort, může na procesorech Intel až 3x zlepšit výkon.
NGFWs are often delivered as a security appliance deployed in the demilitarized zone (DMZ) of enterprise data centers. However, there is a strong demand for NGFW virtual appliances or software packages that can be deployed to the public cloud, in enterprise data centers, or at network edge locations. This software deployment model frees up enterprise IT from the operations and maintenance overhead associated with physical appliances. It improves system scalability and provides flexible procurement and purchasinmožnosti g.
Nárůstasing number of enterprises are embracing public cloud deployments of NGFW solutions. A key reason for this is the cost advantagprovozování virtuálních zařízení v cloudu.
Vzhledem k tomu, že poskytovatelé komunikačních služeb (CSP) nabízejí nepřeberné množství typů instancí s různými výpočetními charakteristikami a cenami, může být výběr instance s nejlepšími celkovými náklady na vlastnictví (TCO) pro NGFW náročný.
Tento článek představuje referenční implementaci NGFW od společnosti Intel, optimalizovanou pro technologie Intel, včetně Hyperscan. Nabízí spolehlivý důkaz pro charakterizaci výkonu NGFW na platformách Intel. Je součástí balíčku NetSec Reference Software od společnosti Intel. Ve stejném balíčku také poskytujeme nástroj Multi-Cloud Networking Automation Tool (MCNAT) pro automatizaci nasazení referenční implementace NGFW u vybraných poskytovatelů veřejného cloudu. MCNAT zjednodušuje analýzu celkových nákladů na vlastnictví (TCO) pro různé výpočetní instance a vede uživatele k optimální výpočetní instanci pro NGFW.
Chcete-li se dozvědět více o balíčku NetSec Reference Software, kontaktujte prosím autory.
Historie revizí dokumentu
| Revize | Datum | Popis |
| 001 | březen 2025 | Počáteční vydání. |
1.1 Terminologie
Tabulka 1. Terminologie
| Zkratka | Popis |
| DFA | Deterministický konečný automat |
| DPI | Hluboká kontrola paketů |
| HTTP | Hypertext Transfer Protocol |
| IDS/IPS | Systém detekce a prevence narušení |
| ISA | Architektura instrukční sady |
| MCNAT | Nástroj pro automatizaci vícecloudových sítí |
| NFA | Nedeterministický konečný automat |
| NGFW | Firewall nové generace |
| PCAP | Zachytávání paketů |
| PCRE | Knihovna regulárních výrazů kompatibilních s Perlem |
| Regex | Regulární výraz |
| SASE | Zabezpečený přístup Service Edge |
| SIMD | Technologie pro více dat s jednou instrukcí |
| TCP | Transmission Control Protocol |
| URI | Jednotný identifikátor zdroje |
| WAF | Web Aplikační firewall |
1.2 Referenční dokumentace
Tabulka 2. Referenční dokumenty
Pozadí a motivace
Většina dodavatelů NGFW dnes rozšířila své působení z fyzických zařízení NGFW na virtuální řešení NGFW, která lze nasadit ve veřejném cloudu. Nasazení NGFW ve veřejném cloudu zaznamenává rostoucí přijetí díky následujícím výhodám:
- Škálovatelnost: snadné škálování výpočetních zdrojů napříč geografickými oblastmi pro splnění požadavků na výkon.
- Cenová efektivita: flexibilní předplatné umožňující platbu za použití. Eliminuje kapitálové výdaje a snižuje provozní náklady spojené s fyzickými zařízeními.
- Nativní integrace s cloudovými službami: bezproblémová integrace s veřejnými cloudovými službami, jako jsou sítě, řízení přístupu a nástroje AI/ML.
- Ochrana cloudových úloh: filtrování lokálního provozu pro podnikové úlohy hostované ve veřejném cloudu.
Snížené náklady na provozování úlohy NGFW ve veřejném cloudu jsou atraktivní nabídkou pro podnikové použití.
Výběr instance s nejlepším výkonem a celkovými náklady na vlastnictví (TCO) pro NGFW je však náročný, vzhledem k široké škále cloudových instancí s různými procesory, velikostmi paměti, šířkou pásma I/O a každá z nich má jinou cenu. Vyvinuli jsme referenční implementaci NGFW, která pomáhá s analýzou výkonu a celkových nákladů na vlastnictví (TCO) různých veřejných cloudových instancí založených na procesorech Intel. Ukážeme si metriky výkonu a poměru výkonu k investici jako vodítko pro výběr správných instancí založených na procesorech Intel pro řešení NGFW na veřejných cloudových službách, jako jsou AWS a GCP.
Implementace reference NGFW
Společnost Intel vyvinula balíček NetSec Reference Software (nejnovější verze 25.05), který nabízí optimalizovaná referenční řešení využívající ISA a akcelerátory dostupné v nejnovějších procesorech a platformách Intel k demonstraci optimalizovaného výkonu v on-premise podnikové infrastruktuře i v cloudu. Referenční software je k dispozici pod proprietární licencí Intel (IPL).
Klíčové přednosti tohoto softwarového balíčku jsou:
- Zahrnuje široké portfolio referenčních řešení pro sítě a bezpečnost, frameworky umělé inteligence pro cloudová a podniková datová centra a edge lokace.
- Umožňuje čas na uvedení na trh a rychlé přijetí technologií Intel.
- K dispozici je zdrojový kód, který umožňuje replikaci scénářů nasazení a testovacích prostředí na platformách Intel.
Chcete-li se dozvědět více o získání nejnovější verze referenčního softwaru NetSec, kontaktujte prosím autory.
Jakožto klíčová součást softwarového balíčku NetSec Reference Software řídí implementace referenčního NGFW výkonnostní charakteristiky NGFW a analýzu celkových nákladů na vlastnictví (TCO) na platformách Intel. Dodáváme bezproblémovou integraci technologií Intel, jako je Hyperscan, do implementace referenčního NGFW. To vytváří pevný základ pro analýzu NGFW na platformách Intel. Vzhledem k tomu, že různé hardwarové platformy Intel nabízejí různé možnosti od výpočetních operací až po vstupně-výstupní operace, implementace referenčního NGFW představuje jasnější představu. view možnosti platformy pro úlohy NGFW a pomáhá zobrazit srovnání výkonu mezi generacemi procesorů Intel. Poskytuje důkladný přehled metrik, včetně výpočetního výkonu, šířky pásma paměti, šířky pásma I/O a spotřeby energie. Na základě výsledků testů výkonu můžeme dále provádět analýzu celkových nákladů na vlastnictví (TCO) (s poměrem výkonu na dolar) na platformách Intel používaných pro NGFW.
Nejnovější verze (25.05) referenční implementace NGFW obsahuje následující klíčové funkce:
- Základní stavový firewall
- Systém prevence narušení (IPS)
- Podpora nejmodernějších procesorů Intel včetně procesorů Intel® Xeon® 6, SoC Intel Xeon 6 atd.
V budoucích verzích se plánuje implementace následujících dalších funkcí:
- Inspekce VPN: Dešifrování provozu pomocí IPsec pro kontrolu obsahu
- Inspekce TLS: proxy server TLS, který ukončí spojení mezi klientem a serverem a následně provede kontrolu obsahu provozu v prostém textu.
3.1 Architektura systému
Obrázek 1 znázorňuje celkovou architekturu systému. Jako základ pro budování systému využíváme software s otevřeným zdrojovým kódem:
- VPP poskytuje vysoce výkonné řešení datové roviny se základními stavovými funkcemi firewallu, včetně stavových ACL. Spouštíme více VPP vláken s nakonfigurovanou afinitou jádra. Každé pracovní vlákno VPP je připnuto k vyhrazenému jádru CPU nebo k prováděcímu vláknu.
- Jako IPS je zvolen Snort 3, který podporuje multithreading. Pracovní vlákna Snortu jsou připnuta k vyhrazeným jádrům CPU nebo k prováděcím vláknům.
- Snort a VPP jsou integrovány pomocí pluginu Snort pro VPP. Ten používá sadu párů front pro odesílání paketů mezi VPP a Snortem. Páry front a samotné pakety jsou uloženy ve sdílené paměti. Vyvinuli jsme novou komponentu pro sběr dat (DAQ) pro Snort, kterou nazýváme VPP Zero Copy (ZC) DAQ. Ta implementuje funkce Snort DAQ API pro příjem a odesílání paketů čtením a zápisem do příslušných front. Protože je datová část ve sdílené paměti, považujeme to za implementaci s nulovou kopií.
Vzhledem k tomu, že Snort 3 je výpočetně náročná úloha, která vyžaduje více výpočetních zdrojů než zpracování datové roviny, snažíme se nakonfigurovat optimalizovanou alokaci jader procesoru a vyvážit počet vláken VPP a vláken Snort3, abychom dosáhli nejvyššího výkonu na systémové úrovni na běžící hardwarové platformě.
Obrázek 2 (na straně 6) ukazuje uzel grafu v rámci VPP, včetně těch, které jsou součástí ACL a Snort. pluginsVyvinuli jsme dva nové uzly grafu VPP:
- snort-enq: provede rozhodování o vyvažování zátěže o tom, které vlákno Snortu by mělo paket zpracovat, a poté jej zařadí do odpovídající fronty.
- snort-deq: implementováno jako vstupní uzel, který dotazuje více front, jednu na každé vlákno Snort worker.
3.2 Optimalizace Intelu
Naše referenční implementace NGFW využívá výhodtagz následujících optimalizací:
- Snort využívá vysoce výkonnou knihovnu Hyperscan pro porovnávání více regulárních výrazů, která poskytuje výrazné zvýšení výkonu ve srovnání s výchozím vyhledávačem v Snortu. Obrázek 3 znázorňuje integraci Hyperscanu se Snortem.
urychlit jak zpracování literálů, tak i porovnávání regulárních výrazů. Snort 3 poskytuje nativní integraci s Hyperscanem, kde si uživatelé mohou Hyperscan zapnout buď prostřednictvím konfigurace file nebo možnosti příkazového řádku.
- VPP bere výhodutagŠkálování na straně příjmu (RSS) v síťových adaptérech Intel® Ethernet pro distribuci provozu mezi více pracovních vláken VPP.
- Pokyny pro Intel QAT a Intel AVX-512: Budoucí verze s podporou IPsec a TLS budou využívat pokročilejší technologie.tagTechnologie akcelerace kryptoměn od společnosti Intel. Intel QAT zrychluje kryptografický výkon, zejména kryptografii s veřejným klíčem, která se široce používá pro navazování síťových připojení. Intel AVX-512 také zvyšuje kryptografický výkon, včetně VPMADD52 (operace násobení a akumulace), vektorového AES (vektorová verze instrukcí Intel AES-NI), vPCLMUL (vektorizované násobení bez přenosu, používané k optimalizaci AES-GCM) a algoritmu Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).
Cloudové nasazení referenční implementace NGFW
4.1 Konfigurace systému
Tabulka 3. Konfigurace testů
| Metrický | Hodnota |
| Use Case | Inspekce prázdného textu (FW + IPS) |
| Dopravní profesionálfile | HTTP 64KB GET (1 GET na připojení) |
| Seznamy ACL VPP | Ano (2 stavové ACL) |
| Pravidla pro frkání | Lightspd (~49 tisíc pravidel) |
| Zásady Snortu | Zabezpečení (povoleno ~21 tisíc pravidel) |
Zaměřujeme se na scénáře kontroly otevřeného textu na základě případů užití a klíčových ukazatelů výkonnosti (KPI) v RFC9411. Generátor provozu mohl vytvářet HTTP transakce o velikosti 64KB s 1 požadavkem GET na připojení. Seznamy ACL jsou konfigurovány tak, aby povolovaly IP adresy v určených podsítích. Pro benchmarking jsme použili sadu pravidel Snort Lightspd a bezpečnostní zásady od společnosti Cisco. K dispozici byl také dedikovaný server pro obsluhu požadavků od generátorů provozu.
Jak je znázorněno na obrázku 4 a obrázku 5, topologie systému zahrnuje tři primární uzly instance: klienta, server a proxy pro nasazení veřejného cloudu. K dispozici je také bastionový uzel pro obsluhu připojení od uživatelů. Klient (s WRK) i server (s Nginx) mají jedno vyhrazené síťové rozhraní v datové rovině a proxy (s NGFW) má dvě síťová rozhraní v datové rovině pro testování. Síťová rozhraní v datové rovině jsou připojena k vyhrazené podsíti A (klient-proxy) a podsíti B (proxy-server), které udržují izolaci od provozu správy instancí. Jsou definovány vyhrazené rozsahy IP adres s odpovídajícími pravidly směrování a ACL naprogramovanými do infrastruktury, aby se umožnil tok provozu.
4.2 Nasazení systému
MCNAT je softwarový nástroj vyvinutý společností Intel, který poskytuje automatizaci pro bezproblémové nasazení síťových úloh ve veřejném cloudu a nabízí návrhy pro výběr nejlepší cloudové instance na základě výkonu a nákladů.
MCNAT se konfiguruje pomocí řady profesionálníchfiles, z nichž každá definuje proměnné a nastavení potřebná pro danou instanci. Každý typ instance má své vlastní profile které pak lze předat nástroji MCNAT CLI pro nasazení daného typu instance u daného poskytovatele cloudových služeb (CSP). Např.ampPoužití příkazového řádku je uvedeno níže a v tabulce 4.
Tabulka 4. Použití příkazového řádku MCNAT
| Volba | Popis |
| – nasadit | Dává nástroji pokyn k vytvoření nového nasazení. |
| -u | Definuje, které uživatelské přihlašovací údaje se mají použít |
| -c | CSP pro vytvoření nasazení na (AWS, GCP atd.) |
| -s | Scénář k nasazení |
| -p | Profile používat |
Nástroj příkazového řádku MCNAT dokáže vytvářet a nasazovat instance v jednom kroku. Po nasazení instance vytvoří kroky po konfiguraci potřebnou konfiguraci SSH, která umožní přístup k instanci.
4.3 Benchmarking systému
Jakmile MCNAT nasadí instance, lze všechny výkonnostní testy spustit pomocí sady nástrojů pro aplikace MCNAT.
Nejprve musíme nakonfigurovat testovací případy v souboru tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json, jak je uvedeno níže:
Pak můžeme použít exampPomocí níže uvedeného příkazu spusťte test. Cesta_nasazení (DEPLOYMENT_PATH) je místo, kde je uložen stav nasazení cílového prostředí, např. tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate.d/tfws_default.
Spouští NGFW s danou sadou pravidel pro http provoz generovaný WRK na klientovi a zároveň připíná řadu jader CPU, aby shromáždil kompletní sadu výkonnostních údajů pro testovanou instanci. Po dokončení testů jsou všechna data formátována jako CSV a vrácena uživateli.
Hodnocení výkonnosti a nákladů
V této části porovnáváme nasazení NGFW na různých cloudových instancích založených na procesorech Intel Xeon v AWS a GCP.
Toto poskytuje vodítko pro nalezení nejvhodnějšího typu cloudové instance pro NGFW na základě výkonu a nákladů. Vybíráme instance se 4 vCPU, protože je doporučuje většina dodavatelů NGFW. Výsledky na AWS a GCP zahrnují:
- Výkon NGFW na malých instancích, které hostují 4 vCPU s technologií Intel® Hyper-Threading (technologie Intel® HT) a povoleným Hyperscan.
- Generační nárůst výkonu procesorů Intel Xeon Scalable 1. generace po procesory Intel Xeon Scalable 5. generace.
- Generační nárůst výkonu na dolar od generace k generaci procesorů Inte® Xeon Scalable 1. generace po procesory Intel Xeon Scalable 5. generace.
5.1 Nasazení AWS
5.1.1 Seznam typů instancí
Tabulka 5. Instance AWS a hodinové sazby na vyžádání
| Typ instance | Model CPU | vCPU | Paměť (GB) | Výkon sítě (Gb/s) | Na vyžádáníurly sazba ($) |
| c5-xlarge | Škálovatelné procesory Intel® Xeon® 2. generace | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | Škálovatelné procesory Intel® Xeon® 1. generace | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | Škálovatelné procesory Intel® Xeon® 3. generace | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | Škálovatelné procesory Intel Xeon 3. generace | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | Škálovatelné procesory Intel® Xeon® 4. generace | 4 | 8 | 12.5 | 0.1785 |
Tabulka 5 ukazuje více nežview instancí AWS, které používáme. Další podrobnosti o platformě naleznete v části Konfigurace platformy. Uvádí také seznam instancí na vyžádáníurly-sazba (https://aws.amazon.com/ec2/pricing/on-demand/) pro všechny případy. Výše uvedená míra online vyžádání byla v době publikace tohoto článku a zaměřuje se na západní pobřeží USA.
Na vyžádání hourlSazba se může lišit v závislosti na regionu, dostupnosti, firemních účtech a dalších faktorech.
5.1.2 Výsledky
Obrázek 6 porovnává výkon a hodinový výkon u všech dosud zmíněných typů instancí:
- Výkon se zlepšil u instancí založených na novějších generacích procesorů Intel Xeon. Upgrade z verze c5.xlarge (založené na škálovatelném procesoru Intel Xeon 2. generace) na c7i.xlarge (založené na škálovatelném procesoru Intel Xeon 4. generace).
ukazuje 1.97násobné zlepšení výkonu. - Výkon na dolar se zlepšil u instancí založených na novějších generacích procesorů Intel Xeon. Upgrade z verze c5n.xlarge (založené na procesoru Intel Xeon Scalable 1. generace) na c7i.xlarge (založené na procesoru Intel Xeon Scalable 4. generace) vykazuje 1.88násobné zlepšení výkonu na hodinu.
5.2 Nasazení GCP
5.2.1 Seznam typů instancí
Tabulka 6. Instance GCP a hodinové sazby na vyžádání
| Typ instance | Model CPU | vCPU | Paměť (GB) | Výchozí výstupní šířka pásma (Gb/s) | Na vyžádáníurly sazba ($) |
| n1-std-4 | 1. generace Intel® Xeon® Škálovatelné procesory |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | 3. generace Intel® Xeon® Škálovatelné procesory |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | 4. generace Intel® Xeon® Škálovatelné procesory |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | 5. generace Intel® Xeon® Škálovatelné procesory |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | 5. generace Intel® Xeon® Škálovatelné procesory |
4 | 15 | 23 | 0.23761913 |
Tabulka 6 ukazuje více nežview instancí GCP, které používáme. Další podrobnosti o platformě naleznete v části Konfigurace platformy. Uvádí také seznam instancí na vyžádáníurly-sazba (https://cloud.google.com/compute/vm-instance-pricing?hl=en) pro všechny případy. Výše uvedená míra služeb na vyžádání v době publikace tohoto článku se zaměřuje na západní pobřeží USA. Služby na vyžádáníurlSazba se může lišit v závislosti na regionu, dostupnosti, firemních účtech a dalších faktorech.
5.2.2 Výsledky
Obrázek 7 porovnává výkon a hodinový výkon u všech dosud zmíněných typů instancí:
- Výkon se zlepšil u instancí založených na novějších generacích procesorů Intel Xeon. Upgrade z verze n1-std-4 (založené na procesoru Intel Xeon Scalable 1. generace) na c4-std-4 (založené na procesoru Intel Xeon Scalable 5. generace) vykazuje 2.68násobné zlepšení výkonu.
- Výkon na dolar se zlepšil u instancí založených na novějších generacích procesorů Intel Xeon. Upgrade z verze n1-std-4 (založené na procesoru Intel Xeon Scalable 1. generace) na c4-std-4 (založené na procesoru Intel Xeon Scalable 5. generace) vykazuje 2.15násobné zlepšení výkonu za hodinu.
Shrnutí
S nárůstemasing adoption of multi- and hybrid-cloud deployment models, delivering NGFW solutions on public cloud provides consistent protection across environments, scalability to meet security requirements, and simplicity with minimal maintenance efforts. Network security vendors offer NGFW solutions with a variety of cloud instance types on public cloud. It’s critical to minimize total cost of ownership (TCO) and maximize return on investment (ROI) with the right cloud instance. The key factors to consider include compute resources, network bandwidth, and price. We used NGFW reference implementation as the representative workload and leveraged MCNAT to automate the deployment and testing on different public cloud instance types. Based on our benchmarking, instances with the latest generation of Intel Xeon Scalable processors on AWS (powered by 4th Intel Xeon Scalable processors) and GCP (powered by 5th Intel Xeon Scalable processors) deliver both performance and TCO improvements. They improve the performance by up to 2.68x and the performance per hour rate by up to 2.15x over prior generations. This evaluation generates solid references on selecting Intel based public cloud instances for NGFW.
Dodatek A Konfigurace platformy
Konfigurace platformy
c5-xlarge – „Testováno společností Intel k 03. 17. 25. 1 uzel, 1 procesor Intel(R) Xeon(R) Platinum 8275CL s frekvencí 3.00 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 8 GB (1x 8 GB DDR4 2933 MT/s [Neznámý]), BIOS 1.0, mikrokód 0x5003801, 1x elastický síťový adaptér (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c5n-xlarge – „Testováno společností Intel k 03. 17. 25. 1 uzel, 1 procesor Intel(R) Xeon(R) Platinum 8124M s frekvencí 3.00 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 10.5 GB (1×10.5 GB DDR4 2933 MT/s [Neznámý]), BIOS 1.0, mikrokód 0x2007006, 1 adaptér Elastic Network (ENA), 1x 32G úložiště Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6i-xlarge – „Testováno společností Intel k 03. 17. 25. 1 uzel, 1 procesor Intel(R) Xeon(R) Platinum 8375C s frekvencí 2.90 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 8 GB (1x 8 GB DDR4 3200 MT/s [Neznámý]), BIOS 1.0, mikrokód 0xd0003f6, 1x elastický síťový adaptér (ENA), 1x 32G úložiště Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – „Testováno společností Intel k 03. 17. 25. 1 uzel, 1 procesor Intel(R) Xeon(R) Platinum 8375C s frekvencí 2.90 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 8 GB (1x8 GB DDR4 3200 MT/s [Neznámý]), BIOS 1.0, mikrokód 0xd0003f6, 1x elastický síťový adaptér (ENA), 1x 32G úložiště Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c7i-xlarge – „Testováno společností Intel k 03. 17. 25. 1 uzel, 1 procesor Intel(R) Xeon(R) Platinum 8488C s frekvencí 2.40 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 8 GB (1x 8 GB DDR4 4800 MT/s [Neznámý]), BIOS 1.0, mikrokód 0x2b000620, 1x elastický síťový adaptér (ENA), 1x 32G úložiště Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n1-std-4 – „Testováno společností Intel k 03. 17. 25. 1 uzel, 1 procesor Intel(R) Xeon(R) s frekvencí 2.00 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 15 GB (1x 15 GB RAM []), BIOS Google, mikrokód 0xffffffff, 1 zařízení, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n2-std-4 – Testováno společností Intel k 03. 17. 25. 1 uzel, 1 procesor Intel(R) Xeon(R) s frekvencí 2.60 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 16 GB (1x 16 GB RAM []), BIOS Google, mikrokód 0xffffffff, 1 zařízení, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Testováno společností Intel k 03. 14. 25. 1 uzel, 1x procesor Intel(R) Xeon(R) Platinum 8481C s frekvencí 2.70 GHz a 2.60 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 16 GB (1x 16 GB RAM []), BIOS Google, mikrokód 0xffffffff, 1x virtuální ethernetová karta Compute Engine [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Testováno společností Intel k 03. 18. 25. 1 uzel, 1x procesor Intel(R) Xeon(R) PLATINUM 8581C s frekvencí 2.10 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 16 GB (1x 16 GB RAM []), BIOS Google, mikrokód 0xffffffff, 1x virtuální ethernetová karta Compute Engine [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Testováno společností Intel k 03. 18. 25. 1 uzel, 1x procesor Intel(R) Xeon(R) PLATINUM 8581C s frekvencí 2.30 GHz, 2 jádra, zapnuté HT, zapnuté Turbo, celková paměť 15 GB (1x 15 GB RAM []), BIOS Google, mikrokód 0xffffffff, 1x virtuální ethernetová karta Compute Engine [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
Dodatek B Konfigurace referenčního softwaru Intel NGFW
| Konfigurace softwaru | Verze softwaru |
| Hostitelský OS | Ubuntu 22.04 LTS |
| Jádro | 6.8.0-1025 |
| Kompilátor | GCC 11.4.0 |
| WRK | 74eb9437 |
| 2 WRK | 44a94c17 |
| VPP | 24.02 |
| Šňupat | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Hyperskenování | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Výkon se liší podle použití, konfigurace a dalších faktorů. Více se dozvíte na www.Intel.com/PerformanceIndex.
Výsledky výkonu jsou založeny na testování k datům uvedeným v konfiguracích a nemusí odrážet všechny veřejně dostupné aktualizace. Podrobnosti o konfiguraci viz záloha. Žádný produkt ani součást nemůže být absolutně bezpečný.
Intel se zříká všech výslovných a předpokládaných záruk, včetně, bez omezení, předpokládaných záruk obchodovatelnosti, vhodnosti pro určitý účel a neporušení práv, jakož i jakékoli záruky vyplývající z průběhu výkonu, průběhu obchodování nebo použití v obchodě.
Technologie Intel mohou vyžadovat aktivaci aktivovaného hardwaru, softwaru nebo služby.
Společnost Intel nekontroluje ani nekontroluje data třetích stran. Pro posouzení přesnosti byste se měli obrátit na jiné zdroje.
Popisované produkty mohou obsahovat konstrukční vady nebo chyby známé jako errata, které mohou způsobit odchylku produktu od publikovaných specifikací. Aktuální charakterizované chyby jsou k dispozici na vyžádání.
© Intel Corporation. Intel, logo Intel a další značky Intel jsou ochranné známky společnosti Intel Corporation nebo jejích dceřiných společností. Jiná jména a značky mohou být nárokovány jako vlastnictví jiných.
0425/XW/MK/PDF 365150-001US
Dokumenty / zdroje
 |
Intel optimalizuje firewally nové generace [pdfUživatelská příručka Optimalizace firewallů nové generace, Optimalizace, Firewally nové generace, Firewally nové generace, Firewally |