Stiùireadh Cleachdaiche Ballachan-teine Intel Optimize an Ath Ghinealach

Stiùireadh Teicneòlais
Leasaich coileanadh NGFW le
Pròiseasairean Intel® Xeon® air an sgòth phoblach

Ùghdaran
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eairic Jones
Subhiksha Ravisundar
Tha Zhu

Clàr-innse seiche

1 Ro-ràdh

2 Eachdraidh agus Brosnachadh

3 Buileachadh Iomraidh NGFW

4 Cleachdadh NGFW san sgòth

5 Measadh Coileanaidh is Cosgais

6 Geàrr-chunntas

7 Leas-phàipear A Rèiteachadh Àrd-ùrlair

8 Sgrìobhainnean/Goireasan

8.1 Iomraidhean

Ro-ràdh

Tha ballachan-teine an ath ghinealaich (NGFWn) aig cridhe fhuasglaidhean tèarainteachd lìonra. Bidh ballachan-teine traidiseanta a’ dèanamh sgrùdadh trafaic stàiteil, mar as trice stèidhichte air port agus protocol nach urrainn dìon gu h-èifeachdach an aghaidh trafaic droch-rùnach an latha an-diugh. Bidh NGFWn ag atharrachadh agus a’ leudachadh air ballachan-teine traidiseanta le comasan sgrùdaidh pacaid domhainn adhartach, a’ gabhail a-steach siostaman lorg/casg ionnsaigh (IDS/IPS), lorg malware, comharrachadh is smachd aplacaidean, msaa.
Tha NGFWn nan luchdan-obrach dian-choimpiutaireachd a bhios a’ coileanadh, mar eisimpleirampobrachaidhean crioptagrafach airson crioptachadh is dì-chrioptachadh trafaic lìonra agus maidseadh riaghailtean trom airson gnìomhachd droch-rùnach a lorg. Bidh Intel a’ lìbhrigeadh teicneòlasan bunaiteach gus fuasglaidhean NGFW a bharrachadh.
Tha pròiseasairean Intel uidheamaichte le diofar ailtireachd seata stiùiridh (ISAn), nam measg Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) agus Intel® QuickAssist Technology (Intel® QAT) a bhios a’ luathachadh coileanadh crypto gu mòr.
Bidh Intel cuideachd a’ tasgadh ann an leasachaidhean bathar-bog, nam measg an fheadhainn airson Hyperscan. ’S e leabharlann maidseadh sreang is abairtean cunbhalach (regex) àrd-choileanaidh a th’ ann an Hyperscan. Bidh e a’ cleachdadh teicneòlas dàta ioma-stiùiridh singilte (SIMD) air pròiseasairean Intel gus coileanadh maidseadh phàtranan a bhrosnachadh. Faodaidh amalachadh Hyperscan ann an siostaman NGFW IPS leithid Snort coileanadh a leasachadh suas ri 3x air pròiseasairean Intel.
NGFWs are often delivered as a security appliance deployed in the demilitarized zone (DMZ) of enterprise data centers. However, there is a strong demand for NGFW virtual appliances or software packages that can be deployed to the public cloud, in enterprise data centers, or at network edge locations. This software deployment model frees up enterprise IT from the operations and maintenance overhead associated with physical appliances. It improves system scalability and provides flexible procurement and purchasinroghainnean g.
Mòranasing number of enterprises are embracing public cloud deployments of NGFW solutions. A key reason for this is the cost advantage de bhith a’ ruith innealan brìgheil san sgòth.
Ach, leis gu bheil CSPn a’ tabhann iomadh seòrsa eisimpleir le feartan coimpiutaireachd agus prìsean eadar-dhealaichte, faodaidh e bhith dùbhlanach an eisimpleir leis an TCO as fheàrr a thaghadh airson NGFW.
Tha am pàipear seo a’ toirt a-steach buileachadh fiosrachaidh NGFW bho Intel, air a bharrachadh le teicneòlasan Intel, a’ gabhail a-steach Hyperscan. Tha e a’ tabhann puing dearbhaidh earbsach airson comharrachadh coileanaidh NGFW air àrd-ùrlaran Intel. Tha e air a ghabhail a-steach mar phàirt de phacaid Bathar-bog Iomraidh NetSec aig Intel. Bidh sinn cuideachd a’ toirt seachad an Multi-Cloud Networking Automation Tool (MCNAT) san aon phacaid gus cleachdadh buileachadh fiosrachaidh NGFW air solaraichean sgòthan poblach taghte a dhèanamh fèin-ghluasadach. Bidh MCNAT a’ sìmpleachadh mion-sgrùdadh TCO airson diofar eisimpleirean coimpiutaireachd agus a’ stiùireadh luchd-cleachdaidh chun eisimpleir coimpiutaireachd as fheàrr airson NGFW.
Cuir fios gu na h-ùghdaran gus tuilleadh ionnsachadh mun phacaid bathar-bog fiosrachaidh NetSec.

Eachdraidh ath-sgrùdadh sgrìobhainnean

Ath-sgrùdadh	Ceann-latha	Tuairisgeul
001	Màrt 2025	Sgaoileadh tùsail.

1.1 Briathrachas
Clàr 1. Briathrachas

Giorrachadh	Tuairisgeul
DFA	Uathoibreag Crìochnaichte Deimhinnte
DPI	Sgrùdadh pacaid domhainn
HTTP	Pròtacal tar-chuir Hypertext
IDS/IPS	Siostam Lorgaidh is Casg Ionnsaigh
ISA	Ailtireachd Seata Stiùiridh
MCNAT	Inneal Fèin-ghluasad Lìonrachaidh Ioma-Neò
NFA	Uathoibreag crìochnaichte neo-chinnteach
NGFW	Balla-teine an ath ghinealaich
PCAP	Glacadh pacaid
PCRE	Leabharlann Abairtean Cunbhalach Co-chòrdail ri Perl
Regex	Aithris Cunbhalach
SASE	Edge seirbheis ruigsinneachd tèarainte
SIMD	Teicneòlas Dàta Ioma-stiùireadh Singilte
TCP	Pròtacal Smachd Transmission
URI	Aithniche Ghoireasan Èideadh
WAF	Web Balla-teine app

1.2 Leabhar-fiosrachaidh
Clàr 2. Sgrìobhainnean Iomraidh

Iomradh	Stòr
Àrd-ùrlar Scalable Intel® Xeon® Air a thogail airson na h-uallaichean obrach as mothachaile	https://www.intc.com/news-events/press-releases/detail/1423/intel-xeon-scalable-platform-built-for-most-sensitive
Sròn	https://www.snort.org/
Riaghailtean Snort Talos	https://www.snort.org/downloads#rules
Hyperscan	https://www.intel.com/content/www/us/en/developer/articles/technical/introduction-to-hyperscan.html
Amalachadh Hyperscan agus Snort	https://www.intel.com/content/www/us/en/developer/articles/technical/hyperscan-and-snort-integration.html
Hyperscan: Maidsear Regex Ioma-phàtran Luath airson CPUan Nuadh-aimsireil	https://www.usenix.org/conference/nsdi19/presentation/wang-xiang
Teddy: Einnsean Maidseadh Litireil Èifeachdach stèidhichte air SIMD airson Sgrùdadh Pacaid Domhainn Sgealachail	https://dl.acm.org/doi/10.1145/3472456.3473512
Leabhraichean-làimhe Luchd-leasachaidh Bathar-bog Ailtireachd Intel® 64 agus IA-32	https://www.intel.com/content/www/us/en/developer/articles/technical/intel-sdm.html
Stiùireadh Intrinsics Intel®	https://www.intel.com/content/www/us/en/docs/intrinsics-guide/index.html
A’ luathachadh coileanadh tro-chur Suricata le bhith a’ cleachdadh bathar-bog maidseadh phàtranan Hyperscan	https://www.intel.com/content/dam/www/public/us/en/documents/solution-briefs/hyperscan-scalability-solution-brief.pdf
Suricata	https://suricata.io/
Hyperscan ann an Suricata: Staid an Aonaidh	https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf
Luathaich Coileanadh Snort le Pròiseasairean Hyperscan agus Intel® Xeon® air Neòil Phoblach	https://networkbuilders.intel.com/solutionslibrary/accelerate-snort-performance-with-hyperscan-and-intel-xeon-processors-on-public-clouds
Balla-teine an ath ghinealaich – Leasachaidhean leis a’ 4mh ginealach de phròiseasar sgèileachail Intel® Xeon®	https://networkbuilders.intel.com/solutionslibrary/next-generation-firewall- geàrr-chunntas-fuasglaidh-optamachaidh
Leasaich an Toradh agus Èifeachdas Cumhachd airson Ballachan-teine an Ath Ghinealaich	https://www.intel.com/content/www/us/en/products/docs/processors/xeon-accelerated/network/xeon6-firewall-solution-brief.html
Pasgan Bathar-bog NetSec	https://www.intel.com/content/www/us/en/secure/design/confidential/software-kits/kit-details.html?kitId=853965

Eachdraidh agus Brosnachadh

An-diugh, tha a’ mhòr-chuid de luchd-reic NGFW air an lorg-coise aca a leudachadh bho innealan NGFW corporra gu fuasglaidhean NGFW brìgheil a ghabhas cleachdadh san sgòth phoblach. Tha cleachdadh NGFW sgòth phoblach a’ faicinn barrachd uchd-mhacachd air sgàth nan sochairean a leanas:

Sgèileadh: faodaidh tu goireasan coimpiutaireachd thar-geo a mheudachadh no a lùghdachadh gu furasta gus coinneachadh ri riatanasan coileanaidh.
Èifeachdas cosgais: ballrachd sùbailte gus leigeil le pàigheadh gach cleachdadh. A’ cur às do chosgaisean calpa (capex) agus a’ lughdachadh chosgaisean obrachaidh co-cheangailte ri innealan corporra.
Amalachadh dùthchasach le seirbheisean sgòthan: amalachadh gun fhiosta le seirbheisean sgòthan poblach leithid lìonrachadh, smachdan ruigsinneachd agus innealan AI / ML.
Dìon air luchdan-obrach sgòthan: sìoladh trafaic ionadail airson luchdan-obrach iomairt air an cumail air sgòth phoblach.

Tha cosgais nas ìsle ruith luchd-obrach NGFW anns an sgòth phoblach na mholadh tarraingeach airson cùisean cleachdaidh iomairt.
Ach, tha e dùbhlanach an eisimpleir leis a’ choileanadh agus an TCO as fheàrr a thaghadh airson NGFW, leis gu bheil raon farsaing de roghainnean eisimpleir sgòthan rim faighinn le diofar CPUan, meudan cuimhne, leud-bann IO, agus tha prìs eadar-dhealaichte air gach fear. Tha sinn air Buileachadh Iomraidh NGFW a leasachadh gus cuideachadh le mion-sgrùdadh coileanaidh agus TCO diofar eisimpleirean sgòthan poblach stèidhichte air pròiseasairean Intel. Seallaidh sinn meatairean coileanaidh agus coileanadh gach dolar mar stiùireadh airson na h-eisimpleirean stèidhichte air Intel ceart a thaghadh airson fuasglaidhean NGFW air seirbheisean sgòthan poblach leithid AWS agus GCP.

Buileachadh Iomraidh NGFW

Leasaich Intel am pasgan Bathar-bog Iomraidh NetSec (an sgaoileadh as ùire 25.05) a bheir seachad fuasglaidhean iomraidh leasaichte a’ cleachdadh ISAn agus luathaichean a tha rim faighinn anns na CPUan agus àrd-ùrlaran Intel as ùire gus coileanadh leasaichte a nochdadh aig bun-structar iomairt air an làrach agus air an sgòth. Tha am bathar-bog iomraidh ri fhaighinn fo Chead Seilbhe Intel (IPL).
Is iad na prìomh rudan a tha cudromach sa phacaid bathar-bog seo:

A’ gabhail a-steach pasgan farsaing de fhuasglaidhean fiosrachaidh airson lìonrachadh is tèarainteachd, frèamaichean AI airson ionadan dàta sgòthan is iomairt agus àiteachan air an oir.
A’ leigeil le ùine a dhol air a’ mhargaidh agus gabhail ri teicneòlasan Intel gu luath.
Tha còd tùsail ri fhaighinn a leigeas le suidheachaidhean cleachdaidh agus àrainneachdan deuchainn ath-riochdachadh air àrd-ùrlaran Intel.

Cuir fios gu na h-ùghdaran gus tuilleadh ionnsachadh mu bhith a’ faighinn an fhoillseachadh as ùire de bhathar-bog fiosrachaidh NetSec.
Mar phàirt chudromach de phacaid Bathar-bog Iomraidh NetSec, bidh cur an gnìomh iomraidh NGFW a’ stiùireadh feartan coileanaidh NGFW agus mion-sgrùdadh TCO air àrd-ùrlaran Intel. Bidh sinn a’ lìbhrigeadh amalachadh gun fhiosta de theicneòlasan Intel leithid Hyperscan ann an cur an gnìomh iomraidh NGFW. Bidh e a’ togail bunait làidir airson mion-sgrùdadh NGFW air àrd-ùrlaran Intel. Leis gu bheil diofar àrd-ùrlaran bathar-cruaidh Intel a’ tabhann diofar chomasan bho choimpiutaireachd gu IO, tha cur an gnìomh iomraidh NGFW a’ toirt seachad sealladh nas soilleire. view de chomasan àrd-ùrlair airson luchdan-obrach NGFW agus a’ cuideachadh le bhith a’ sealltainn coimeasan coileanaidh eadar ginealaichean de phròiseasairean Intel. Bheir e sealladh mionaideach air meatrach, a’ gabhail a-steach coileanadh coimpiutaireachd, leud-bann cuimhne, leud-bann IO, agus caitheamh cumhachd. Stèidhichte air toraidhean deuchainn coileanaidh, is urrainn dhuinn tuilleadh mion-sgrùdadh TCO (le coileanadh gach dolar) a dhèanamh air àrd-ùrlaran Intel a thathas a’ cleachdadh airson NGFW.

Tha na prìomh fheartan a leanas anns an fhoillseachadh as ùire (25.05) de chur an gnìomh fiosrachaidh NGFW:

Balla-teine stàiteil bunaiteach
Siostam casg sàrachaidh (IPS)
Taic do phròiseasairean Intel ùr-nodha a’ gabhail a-steach pròiseasairean Intel® Xeon® 6, Intel Xeon 6 SoC, msaa.

Tha dùil gum bi na feartan a bharrachd a leanas an sàs ann am foillseachaidhean san àm ri teachd:

Sgrùdadh VPN: Dì-chrioptachadh IPsec de thrafaig airson sgrùdadh susbaint
Sgrùdadh TLS: Proxy TLS gus na ceanglaichean eadar neach-dèiligidh agus frithealaiche a thoirt gu crìch agus an uairsin sgrùdadh susbaint a dhèanamh air an trafaic teacsa soilleir.

3.1 ailtireachd siostam

Tha Figear 1 a’ sealltainn ailtireachd iomlan an t-siostaim. Bidh sinn a’ cleachdadh bathar-bog stòr fosgailte mar bhunait airson an siostam a thogail:

Tha VPP a’ toirt seachad fuasgladh plèana dàta àrd-choileanaidh le gnìomhan balla-teine stàiteil bunaiteach, a’ gabhail a-steach ACLan stàiteil. Bidh sinn a’ gineadh iomadh snàth VPP le dàimh cridhe rèiteichte. Tha gach snàth obrach VPP air a phronnadh ri cridhe CPU sònraichte no snàth cur an gnìomh.
Tha Snort 3 air a thaghadh mar IPS, a tha a’ toirt taic do ioma-shnàthadh. Tha snàithleanan luchd-obrach Snort air an prìneadh ri cridheachan CPU sònraichte no snàithleanan cur an gnìomh.
Tha Snort agus VPP air an amalachadh le bhith a’ cleachdadh plugan Snort gu VPP. Bidh seo a’ cleachdadh seata de chàraidean ciudha airson pacaidean a chuir eadar VPP agus Snort. Tha na càraidean ciudha agus na pacaidean fhèin air an stòradh ann an cuimhne cho-roinnte. Leasaich sinn co-phàirt ùr airson Dàta-faighinn (DAQ) airson Snort, ris an can sinn VPP Zero Copy (ZC) DAQ. Bidh seo a’ cur an gnìomh gnìomhan API Snort DAQ gus pacaidean fhaighinn agus a chuir a-mach le bhith a’ leughadh bho agus a’ sgrìobhadh chun nan ciudha buntainneach. Leis gu bheil an luchd-pàighidh ann an cuimhne cho-roinnte, tha sinn den bheachd gur e cur an gnìomh Zero-Copy a tha seo.

Leis gur e obair-obrach dian coimpiutaireachd a th’ ann an Snort 3 a dh’ fheumas barrachd ghoireasan coimpiutaireachd na giullachd plèana dàta, tha sinn a’ feuchainn ri roinneadh cridhe pròiseasar leasaichte a rèiteachadh agus cothromachadh a dhèanamh eadar an àireamh de shnàithleanan VPP agus snàithleanan Snort3 gus an coileanadh ìre siostaim as àirde fhaighinn air an àrd-ùrlar bathar-cruaidh a tha a’ ruith.
Tha Figear 2 (air duilleag 6) a’ sealltainn an nód grafa taobh a-staigh VPP, a’ gabhail a-steach an fheadhainn a tha nam pàirt den ACL agus Snort. pluginsLeasaich sinn dà nód grafa VPP ùr:

snort-enq: a’ dèanamh co-dhùnadh cothromachaidh luchdan mu dè an snàth Snort a bu chòir am pacaid a phròiseasadh agus an uairsin a’ cur a’ phacaid dhan chiudha co-fhreagarrach.
snort-deq: air a chur an gnìomh mar nód cuir-a-steach a bhios a’ bhòtadh bho iomadh ciudha, aon gach snàthainn neach-obrach Snort.

3.2 Leasachaidhean Intel
Tha ar cur an gnìomh fiosrachaidh NGFW a’ gabhail adhartastage de na leasachaidhean a leanas:

Bidh Snort a’ cleachdadh leabharlann maidseadh ioma-ghnìomhan àrd-choileanaidh Hyperscan gus àrdachadh mòr a thoirt seachad ann an coileanadh an taca ris an einnsean sgrùdaidh bunaiteach ann an Snort. Tha Figear 3 a’ soilleireachadh amalachadh Hyperscan le Snort gus
luathaich coileanadh machng litireil agus maidseadh regex. Tha Snort 3 a’ toirt seachad amalachadh dùthchasach le Hyperscan far am faod luchd-cleachdaidh Hyperscan a thionndadh air an dàrna cuid tro rèiteachadh file no roghainnean loidhne-àithne.

Tha VPP a’ gabhail adhartastage de Sgèileadh Taobh Faighinn (RSS) ann an Adaptairean Lìonra Ethernet Intel® gus trafaic a sgaoileadh thar iomadh snàthainn obrach VPP.
Stiùiridhean Intel QAT agus Intel AVX-512: Bidh fiosan san àm ri teachd a bheir taic do IPsec agus TLS a’ gabhail adhartastagteicneòlasan luathachaidh crypto bho Intel. Bidh Intel QAT a’ luathachadh coileanadh crypto, gu sònraichte crioptagrafaireachd iuchrach phoblach a thathas a’ cleachdadh gu farsaing airson ceanglaichean lìonra a stèidheachadh. Bidh Intel AVX-512 cuideachd a’ neartachadh coileanadh crioptagrafach, a’ gabhail a-steach VPMADD52 (obrachaidhean iomadachaidh is cruinneachaidh), vector AES (dreach vector de stiùiridhean Intel AES-NI), vPCLMUL (iomadachadh gun ghiùlan vectaraichte, air a chleachdadh gus AES-GCM a bharrachadh), agus Intel® Secure Hash Algorithm – Stiùiridhean Ùra (Intel® SHA-NI).

Cleachdadh NGFW san sgòth

4.1 Rèiteachadh an t-siostaim
Clàr 3. Rèiteachaidhean deuchainn

Meadrach	Luach
Cleachd Cùis	Sgrùdadh Teacsa Soilleir (FW + IPS)
Pro Trafaicfile	HTTP 64KB GET (1 GET gach Ceangal)
ACLan VPP	Tha (2 ACL stàiteil)
Riaghailtean Snòrtadh	Lightspd (riaghailtean ~49k)
Poileasaidh Snòrtadh	Tèarainteachd (~21k riaghailtean air an comasachadh)

Bidh sinn a’ cur fòcas air suidheachaidhean sgrùdaidh teacsa soilleir stèidhichte air cùisean cleachdaidh agus KPIan ann an RFC9411. Dh’ fhaodadh an gineadair trafaic gnothaichean HTTP 64KB a chruthachadh le 1 iarrtas GET gach ceangal. Tha ACLn air an rèiteachadh gus leigeil le IPn anns na fo-lìonraidhean ainmichte. Ghabh sinn ri riaghailtean Snort Lightspd agus poileasaidh tèarainteachd bho Cisco airson coimeas-tomhais. Bha frithealaiche sònraichte ann cuideachd gus frithealadh air iarrtasan bho ghineadairean trafaic.

Mar a chithear ann am Figear 4 agus Figear 5, tha trì prìomh nodan eisimpleir ann an topo-eòlas an t-siostaim: neach-dèiligidh, frithealaiche agus progsaidh airson cleachdadh sgòthan poblach. Tha nod daingneachaidh ann cuideachd gus ceanglaichean bhon neach-cleachdaidh a fhrithealadh. Tha aon eadar-aghaidh lìonra plèana-dàta sònraichte aig an dà chuid an neach-dèiligidh (a’ ruith WRK) agus an frithealaiche (a’ ruith Nginx), agus tha dà eadar-aghaidh lìonra plèana-dàta aig a’ phrogsaidh (a’ ruith NGFW) airson deuchainnean. Tha eadar-aghaidhean lìonra plèana-dàta ceangailte ri fo-lìonra sònraichte A (neach-dèiligidh-progsaidh) agus fo-lìonra B (progsaidh-frithealaiche) a chumas iad fhèin air leth bho thrafaig riaghlaidh eisimpleirean. Tha raointean seòlaidh IP sònraichte air am mìneachadh le riaghailtean sligheachaidh agus ACL co-fhreagarrach air am prògramadh air a’ bhun-structar gus leigeil le sruthadh trafaig.

4.2 Cleachdadh Siostaim
’S e inneal bathar-bog a th’ ann am MCNAT a chaidh a leasachadh le Intel a bheir seachad fèin-ghluasad airson cleachdadh luchd-obrach lìonraidh gun fhiosta air sgòthan poblach agus a tha a’ tabhann mholaidhean air mar a thaghas tu an eisimpleir sgòthan as fheàrr stèidhichte air coileanadh agus cosgais.
Tha MCNAT air a rèiteachadh tro shreath de phroifeasantafiles, gach fear a’ mìneachadh nan caochladairean agus nan roghainnean a tha a dhìth airson gach eisimpleir. Tha a bhuannachd fhèin aig gach seòrsa eisimpleirfile a ghabhas an uair sin a chur chun inneal MCNAT CLI gus an seòrsa eisimpleir sònraichte sin a chleachdadh air solaraiche seirbheis sgòthan (CSP) sònraichte.ampTha cleachdadh loidhne-àithne le air a shealltainn gu h-ìosal agus ann an Clàr 4.

Clàr 4. Cleachdadh Loidhne-àithne MCNAT

Roghainn	Tuairisgeul
–cur a-mach	A’ toirt stiùireadh don inneal gus cleachdadh ùr a chruthachadh
-u	A’ mìneachadh dè na teisteanasan cleachdaiche a thèid a chleachdadh
-c	CSP gus cleachdadh a chruthachadh air (AWS, GCP, msaa)
-s	Suidheachadh ri chleachdadh
-p	Profile a chleachdadh

Faodaidh inneal loidhne-àithne MCNAT eisimpleirean a thogail agus a chleachdadh ann an aon cheum. Cho luath ‘s a bhios an eisimpleir air a chleachdadh, cruthaichidh na ceumannan às dèidh rèiteachaidh an rèiteachadh SSH riatanach gus leigeil leis an eisimpleir faighinn chun an t-seansail.
4.3 Coimeas-tomhais Siostaim
Cho luath ‘s a bhios MCNAT air na h-eisimpleirean a chleachdadh, faodar a h-uile deuchainn coileanaidh a ruith le bhith a’ cleachdadh pasgan innealan tagraidh MCNAT.
An toiseach, feumaidh sinn cùisean deuchainn a rèiteachadh aig tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json mar a leanas:

An uairsin is urrainn dhuinn an ex a chleachdadhampCleachd an àithne gu h-ìosal gus an deuchainn a chur air bhog. ’S ann anns an DEPLOYMENT_PATH a tha staid cleachdaidh na h-àrainneachd targaid air a stòradh, m.e., tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.

Bidh e a’ ruith NGFW le seata riaghailtean sònraichte air trafaic http a chaidh a chruthachadh le WRK air an neach-dèiligidh, fhad ’s a tha e a’ prìneadh raon de chridheachan CPU, gus seata iomlan de dh’ àireamhan coileanaidh a chruinneachadh airson an eisimpleir fo dheuchainn. Nuair a bhios na deuchainnean deiseil, thèid an dàta gu lèir a chruth mar csv agus a thilleadh chun neach-cleachdaidh.

Measadh Coileanaidh is Cosgais

Anns an earrann seo, bidh sinn a’ dèanamh coimeas eadar cleachdaidhean NGFW air diofar eisimpleirean sgòthan stèidhichte air pròiseasairean Intel Xeon aig AWS agus GCP.
Tha seo a’ toirt stiùireadh air mar a lorgas tu an seòrsa eisimpleir sgòthan as freagarraiche airson NGFW stèidhichte air coileanadh agus cosgais. Bidh sinn a’ taghadh eisimpleirean le 4 vCPUn oir tha iad air am moladh leis a’ mhòr-chuid de luchd-reic NGFW. Am measg nan toraidhean air AWS agus GCP tha:

Coileanadh NGFW air seòrsachan beaga eisimpleirean a bhios a’ cumail 4 vCPUn le Teicneòlas Intel® Hyper-Threading (Teicneòlas Intel® HT) agus Hyperscan air an comasachadh.
Barrachd coileanaidh bho ghinealach gu ginealach bho phròiseasairean Intel Xeon Scalable den chiad ghinealach gu pròiseasairean Intel Xeon Scalable den 5mh ginealach.
Buannachd gach dolar ann an coileanadh bho ghinealach gu ginealach bho phròiseasairean Inte® Xeon Scalable den 1mh ginealach gu pròiseasairean Intel Xeon Scalable den 5mh ginealach.

5.1 Cleachdadh AWS
5.1.1 Liosta Seòrsa Eisimpleirean
Clàr 5. Eisimpleirean AWS agus Reataichean Uairean Air-iarrtas

Seòrsa Eisimpleir	Modail CPU	vCPU	Cuimhne (GB)	Coileanadh lìonra (Gbps)	Air iarrtasurlìre y ($)
c5-xlarge	Pròiseasairean sgèileachail Intel® Xeon® 2na ginealach	4	8	10	0.17
c5n-xlarge	Pròiseasairean sgèileachail Intel® Xeon® 1d ginealach	4	10.5	25	0.216
c6i-xlarge	Pròiseasairean sgèileachail Intel® Xeon® 3mh ginealach	4	8	12.5	0.17
c6in-xlarge	Pròiseasairean Intel Xeon Scalable 3mh ginealach	4	8	30	0.2268
c7i-xlarge	Pròiseasairean sgèileachail Intel® Xeon® 4mh ginealach	4	8	12.5	0.1785

Tha Clàr 5 a’ sealltainn an còrrview de na h-eisimpleirean AWS a bhios sinn a’ cleachdadh. Thoir sùil air Rèiteachadh Àrd-ùrlair airson tuilleadh fiosrachaidh mun àrd-ùrlar. Tha e cuideachd a’ liostadh an obair air iarrtas.urlìre y (https://aws.amazon.com/ec2/pricing/on-demand/) airson a h-uile cùis. B’ e an ìre gu h-àrd an ìre air-iarrtas aig àm foillseachaidh a’ phàipeir seo agus tha e ag amas air costa an iar nan SA.
An taigh-òsta air iarrtasurlDh’fhaodadh an ìre y atharrachadh a rèir na sgìre, ruigsinneachd, cunntasan corporra, agus factaran eile.

5.1.2 Toraidhean

Tha Figear 6 a’ dèanamh coimeas eadar coileanadh agus ìre coileanaidh san uair air na seòrsaichean eisimpleirean uile a chaidh ainmeachadh gu ruige seo:

Coileanadh air a leasachadh le eisimpleirean stèidhichte air ginealaichean nas ùire de phròiseasairean Intel Xeon. Ag ùrachadh bho c5.xlarge (stèidhichte air pròiseasar Intel Xeon Scalable den 2na ginealach) gu c7i.xlarge (stèidhichte air pròiseasar Intel Xeon Scalable den 4mh ginealach)
a’ sealltainn leasachadh coileanaidh 1.97x.
Coileanadh gach dolar air a leasachadh le eisimpleirean stèidhichte air ginealaichean nas ùire de phròiseasairean Intel Xeon. Tha ùrachadh bho c5n.xlarge (stèidhichte air pròiseasar Intel Xeon Scalable den 1mh ginealach) gu c7i.xlarge (stèidhichte air pròiseasar Intel Xeon Scalable den 4mh ginealach) a’ sealltainn leasachadh 1.88x ann an ìre coileanaidh/uair.

5.2 Cleachdadh GCP
5.2.1 Liosta Seòrsa Eisimpleirean
Clàr 6. Eisimpleirean GCP agus Reataichean Uairean Air-iarrtas

Seòrsa Eisimpleir	Modail CPU	vCPU	Cuimhne (GB)	Leud-bann bunaiteach airson fàgail (Gbps)	Air iarrtasurlìre y ($)
n1-std-4	1d Ginealach Intel® Xeon® Pròiseasaran scalable	4	15	10	0.189999
n2-std-4	3mh ginealach Intel® Xeon® Pròiseasaran scalable	4	16	10	0.194236
c3-std-4	4mh ginealach Intel® Xeon® Pròiseasaran scalable	4	16	23	0.201608
n4-std-4	5mh ginealach Intel® Xeon® Pròiseasaran scalable	4	16	10	0.189544
c4-std-4	5mh ginealach Intel® Xeon® Pròiseasaran scalable	4	15	23	0.23761913

Tha Clàr 6 a’ sealltainn an còrrview de eisimpleirean GCP a bhios sinn a’ cleachdadh. Thoir sùil air Rèiteachadh Àrd-ùrlair airson tuilleadh fiosrachaidh mun àrd-ùrlar. Tha e cuideachd a’ liostadh an obair air iarrtas.urlìre y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) airson a h-uile cùis. B’ e an ìre gu h-àrd an ìre air-iarrtas aig àm foillseachaidh a’ phàipeir seo agus tha e ag amas air costa an iar nan SA. An ìre air-iarrtasurlDh’fhaodadh an ìre y atharrachadh a rèir na sgìre, ruigsinneachd, cunntasan corporra, agus factaran eile.

5.2.2 Toraidhean

Tha Figear 7 a’ dèanamh coimeas eadar coileanadh agus ìre coileanaidh san uair air na seòrsaichean eisimpleirean uile a chaidh ainmeachadh gu ruige seo:

Coileanadh air a leasachadh le eisimpleirean stèidhichte air ginealaichean nas ùire de phròiseasairean Intel Xeon. Tha ùrachadh bho n1-std-4 (stèidhichte air pròiseasar Intel Xeon Scalable den 1mh ginealach) gu c4-std-4 (stèidhichte air pròiseasar Intel Xeon Scalable den 5mh ginealach) a’ sealltainn leasachadh coileanaidh 2.68x.
Coileanadh gach dolar air a leasachadh le eisimpleirean stèidhichte air ginealaichean nas ùire de phròiseasairean Intel Xeon. Tha ùrachadh bho n1-std-4 (stèidhichte air pròiseasar Intel Xeon Scalable den 1mh ginealach) gu c4-std-4 (stèidhichte air pròiseasar Intel Xeon Scalable den 5mh ginealach) a’ sealltainn leasachadh 2.15x air an ìre coileanaidh/uair.

Geàrr-chunntas

Leis an àrdachadhasing adoption of multi- and hybrid-cloud deployment models, delivering NGFW solutions on public cloud provides consistent protection across environments, scalability to meet security requirements, and simplicity with minimal maintenance efforts. Network security vendors offer NGFW solutions with a variety of cloud instance types on public cloud. It’s critical to minimize total cost of ownership (TCO) and maximize return on investment (ROI) with the right cloud instance. The key factors to consider include compute resources, network bandwidth, and price. We used NGFW reference implementation as the representative workload and leveraged MCNAT to automate the deployment and testing on different public cloud instance types. Based on our benchmarking, instances with the latest generation of Intel Xeon Scalable processors on AWS (powered by 4th Intel Xeon Scalable processors) and GCP (powered by 5th Intel Xeon Scalable processors) deliver both performance and TCO improvements. They improve the performance by up to 2.68x and the performance per hour rate by up to 2.15x over prior generations. This evaluation generates solid references on selecting Intel based public cloud instances for NGFW.

Leas-phàipear A Rèiteachadh Àrd-ùrlair

Rèiteachadh àrd-ùrlar
c5-xlarge – “Deuchainn le Intel bho 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 8GB (1x8GB DDR4 2933 MT/s [Neo-aithnichte]), BIOS 1.0, microcode 0x5003801, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c5n-xlarge – “Deuchainn le Intel bho 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8124M CPU @ 3.00GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 10.5GB (1×10.5GB DDR4 2933 MT/s [Neo-aithnichte]), BIOS 1.0, microcode 0x2007006, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c6i-xlarge – “Deuchainn le Intel bho 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 8GB (1x8GB DDR4 3200 MT/s [Neo-aithnichte]), BIOS 1.0, microcode 0xd0003f6, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – “Deuchainn le Intel bho 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 8GB (1x8GB DDR4 3200 MT/s [Neo-aithnichte]), BIOS 1.0, microcode 0xd0003f6, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c7i-xlarge – “Deuchainn le Intel bho 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 8GB (1x8GB DDR4 4800 MT/s [Neo-aithnichte]), BIOS 1.0, microcode 0x2b000620, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n1-std-4 – “Deuchainn le Intel bho 03/17/25. 1-node, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, 2 chores, HT On, Turbo On, Cuimhne Iomlan 15GB (1x15GB RAM []), BIOS Google, microcode 0xffffffff, 1x inneal, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n2-std-4 – Deuchainn le Intel bho 03/17/25. 1-node, 1x Intel(R) Xeon(R) CPU @ 2.60GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x inneal, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Deuchainn le Intel bho 03/14/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Deuchainn le Intel bho 03/18/25. 1-node, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.10GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Deuchainn le Intel bho 03/18/25. 1-node, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz, 2 choraichean, HT On, Turbo On, Cuimhne Iomlan 15GB (1x15GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”

Leas-phàipear B Rèiteachadh Bathar-bog Iomraidh Intel NGFW

Configuration bathar-bog	Tionndadh bathar-bog
OS aoigheachd	Ubuntu 22.04 LTS
Kernel	6.8.0-1025
Compiler	GCC 11.4.0
WRK	74eb9437
WRK2	44a94c17
VPP	24.02
Sròn	3.1.36.0
DAQ	3.0.9
LuaJIT	2.1.0-beta3
Libpcap	1.10.1
PCRE	8.45
ZLIB	1.2.11
Hyperscan	5.6.1
LZMA	5.2.5
NGINX	1.22.1
DPDK	23.11

Bidh coileanadh ag atharrachadh a rèir cleachdadh, rèiteachadh agus factaran eile. Ionnsaich tuilleadh aig www.Intel.com/PerformanceIndex.
Tha toraidhean dèanadais stèidhichte air deuchainnean mar a tha cinn-latha air an sealltainn ann an rèiteachaidhean agus is dòcha nach bi iad a’ nochdadh a h-uile ùrachadh a tha ri fhaighinn gu poblach. Faic cùl-taic airson mion-fhiosrachadh rèiteachaidh. Chan urrainn dha toradh no co-phàirt sam bith a bhith gu tur tèarainte.
Tha Intel a’ diùltadh a h-uile barantas soilleir agus so-thuigsinn, a’ gabhail a-steach gun chuingealachadh, na barrantasan so-thuigsinn a thaobh marsantachd, freagarrachd airson adhbhar sònraichte, agus neo-bhriseadh, a bharrachd air barantas sam bith ag èirigh bho chùrsa dèanadais, cùrsa làimhseachaidh, no cleachdadh ann am malairt.
Is dòcha gu feum teicneòlasan Intel bathar-cruaidh, bathar-bog no gnìomh seirbheis comasach.
Chan eil Intel a’ cumail smachd air no a’ sgrùdadh dàta treas-phàrtaidh. Bu chòir dhut bruidhinn ri tobraichean eile gus cruinneas a mheasadh.
Faodaidh uireasbhaidhean dealbhaidh no mearachdan ris an canar errata a bhith anns na toraidhean a tha air am mìneachadh a dh’ fhaodadh gum bi an toradh a ’gluasad bho shònrachaidhean foillsichte. Gheibhear mearachdan comharraichte gnàthach ma thèid an iarraidh.
© Intel Corporation. Tha Intel, suaicheantas Intel, agus comharran Intel eile nan comharran-malairt aig Intel Corporation no na fo-chompanaidhean aige. Faodar ainmean is suaicheantasan eile a thagradh mar sheilbh chàich.
0425/XW/MK/PDF 365150-001US

Sgrìobhainnean/Goireasan

Intel a’ Leasachadh Ballachan-teine an Ath Ghinealaich [pdfStiùireadh Cleachdaiche
Leasachadh Ballachan-teine an Ath Ghinealaich, Leasachadh, Ballachan-teine an Ath Ghinealaich, Ballachan-teine an Ginealaich, Ballachan-teine

Iomraidhean

Leabhar-làimhe cleachdaiche