Nembo ya Intel

Mwongozo wa Teknolojia
Boresha Utendaji wa NGFW na
Vichakataji vya Intel® Xeon® kwenye Wingu la Umma

Waandishi
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhiksha Ravisundar
Heqing Zhu

Yaliyomo kujificha
1 Utangulizi
2 Usuli na Motisha
3 Utekelezaji wa Marejeleo ya NGFW
4 Usambazaji wa Wingu wa Utekelezaji wa Marejeleo ya NGFW
5 Tathmini ya Utendaji na Gharama
6 Muhtasari
7 Kiambatisho A Usanidi wa Jukwaa
8 Nyaraka / Rasilimali
8.1 Marejeleo

Utangulizi

Militamo ya kizazi kijacho (NGFWs) ndiyo msingi wa suluhu za usalama wa mtandao. Ngome za jadi hufanya ukaguzi wa hali ya juu wa trafiki, kwa kawaida kulingana na bandari na itifaki ambayo haiwezi kulinda kikamilifu dhidi ya trafiki ya kisasa hasidi. NGFWs hubadilika na kupanuka kwenye ngome za jadi zenye uwezo wa hali ya juu wa kukagua pakiti, ikijumuisha mifumo ya kugundua/kuzuia uvamizi (IDS/IPS), ugunduzi wa programu hasidi, utambuzi na udhibiti wa programu, n.k.
NGFWs ni mzigo mkubwa wa kazi unaofanya kazi, kwa mfanoample, shughuli za kriptografia za usimbaji fiche wa trafiki ya mtandao na usimbuaji na ulinganishaji wa sheria nzito za kugundua shughuli hasidi. Intel hutoa teknolojia za msingi ili kuboresha suluhu za NGFW.
Vichakataji vya Intel vina vifaa vya usanifu wa seti mbalimbali za maagizo (ISA), ikijumuisha Maagizo Mapya ya Kiwango cha Intel® ya Usimbaji fiche (Intel® AES-NI) na Teknolojia ya Intel® QuickAssist (Intel® QAT) ambayo huharakisha utendakazi wa crypto kwa kiasi kikubwa.
Intel pia inawekeza katika uboreshaji wa programu ikijumuisha zile za Hyperscan. Hyperscan ni mfuatano wa utendaji wa juu na usemi wa kawaida (regex) maktaba inayolingana. Hutumia teknolojia ya maelekezo moja ya data nyingi (SIMD) kwenye vichakataji vya Intel ili kuongeza utendaji wa kulinganisha muundo. Ujumuishaji wa Hyperscan katika mifumo ya NGFW IPS kama vile Snort inaweza kuboresha utendaji kwa hadi mara 3 kwenye vichakataji vya Intel.
NGFWs are often delivered as a security appliance deployed in the demilitarized zone (DMZ) of enterprise data centers. However, there is a strong demand for NGFW virtual appliances or software packages that can be deployed to the public cloud, in enterprise data centers, or at network edge locations. This software deployment model frees up enterprise IT from the operations and maintenance overhead associated with physical appliances. It improves system scalability and provides flexible procurement and purchasing chaguzi.
nyongezaasing number of enterprises are embracing public cloud deployments of NGFW solutions. A key reason for this is the cost advantage ya kuendesha vifaa vya mtandaoni kwenye wingu.
Walakini, kwa kuwa CSPs hutoa aina nyingi za mifano na sifa tofauti za kukokotoa na bei, kuchagua mfano na TCO bora zaidi kwa NGFW kunaweza kuwa changamoto.
Karatasi hii inatanguliza utekelezaji wa marejeleo ya NGFW kutoka kwa Intel, iliyoboreshwa na teknolojia za Intel, ikijumuisha Hyperscan. Inatoa uthibitisho wa kuaminika wa sifa za utendaji wa NGFW kwenye majukwaa ya Intel. Imejumuishwa kama sehemu ya kifurushi cha Intel's NetSec Reference Software. Pia tunatoa Zana ya Uendeshaji wa Mitandao Mingi ya Wingu (MCNAT) katika kifurushi sawa ili kuweka kiotomatiki utumaji wa utekelezaji wa marejeleo ya NGFW kwa watoa huduma mahususi wa wingu wa umma. MCNAT hurahisisha uchanganuzi wa TCO kwa matukio tofauti ya kukokotoa na kuwaelekeza watumiaji kwenye mfano bora wa kukokotoa wa NGFW.
Tafadhali wasiliana na waandishi ili kujifunza zaidi kuhusu kifurushi cha Programu ya Marejeleo ya NetSec.

Historia ya Marekebisho ya Hati

Marekebisho Tarehe Maelezo
001 Machi 2025 Kutolewa kwa awali.

1.1 Istilahi
Jedwali 1. Istilahi

Ufupisho Maelezo
DFA Deterministic Finite Automaton
DPI Ukaguzi wa Pakiti ya kina
HTTP Itifaki ya Uhamisho wa Maandishi Makubwa
Vitambulisho/IPS Mfumo wa Kugundua na Kuzuia Uingiliaji
ISA Maelekezo Set Usanifu
MCNAT Chombo cha Uendeshaji cha Mtandao wa Wingu nyingi
NFA Finite Automaton isiyo ya kuamua
NGFW Firewall ya kizazi kijacho
PCAP Kukamata Pakiti
PCRE Maktaba ya Maongezi ya Kawaida ya Perl
Regex Usemi wa Mara kwa Mara
SASE Ukingo wa Huduma ya Ufikiaji Salama
SIMD Maagizo Moja Teknolojia ya Data Nyingi
TCP Itifaki ya Kudhibiti Usafirishaji
URI Kitambulisho cha Rasilimali Sare
WAF Web Programu ya Firewall

1.2 Nyaraka za Marejeleo
Jedwali 2. Nyaraka za Marejeleo

Rejea Chanzo
Intel® Xeon® Scalable Platform Imeundwa kwa Mizigo Nyeti Zaidi https://www.intc.com/news-events/press-releases/detail/1423/intel-xeon-scalable-platform-built-for-most-sensitive
Koroma https://www.snort.org/
Mkoromo Talos Kanuni https://www.snort.org/downloads#rules
Hyperscan https://www.intel.com/content/www/us/en/developer/articles/technical/introduction-to-hyperscan.html
Ushirikiano wa Hyperscan na Snort https://www.intel.com/content/www/us/en/developer/articles/technical/hyperscan-and-snort-integration.html
Hyperscan: Kilinganishi cha Regex cha Miundo Mingi cha Haraka kwa CPU za Kisasa https://www.usenix.org/conference/nsdi19/presentation/wang-xiang
Teddy: Injini Yenye Ufanisi ya Msingi ya SIMD kwa ajili ya Ukaguzi wa Kifurushi cha Kina https://dl.acm.org/doi/10.1145/3472456.3473512
Miongozo ya Wasanidi Programu wa Intel® 64 na IA-32 ya Usanifu wa Usanifu https://www.intel.com/content/www/us/en/developer/articles/technical/intel-sdm.html
Intel® Intrinsics Guide https://www.intel.com/content/www/us/en/docs/intrinsics-guide/index.html
Kuharakisha Utendaji wa Suricata kwa Kutumia Programu ya Kulinganisha Miundo ya Hyperscan https://www.intel.com/content/dam/www/public/us/en/documents/solution-briefs/hyperscan-scalability-solution-brief.pdf
Suricata https://suricata.io/
Hyperscan katika Suricata: Jimbo la Muungano https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf
Ongeza kasi ya Utendaji wa Koroma ukitumia Vichakata vya Hyperscan na Intel® Xeon® kwenye Mawingu ya Umma https://networkbuilders.intel.com/solutionslibrary/accelerate-snort-performance-with-hyperscan-and-intel-xeon-processors-on-public-clouds
Firewall ya Kizazi Kijacho - Uboreshaji na Kichakataji cha 4 cha Intel® Xeon® Scalable https://networkbuilders.intel.com/solutionslibrary/next-generation-firewall- uboreshaji-suluhisho-kifupi
Boresha Upitishaji na Ufanisi wa Nishati kwa Militamo ya Kizazi Kijacho https://www.intel.com/content/www/us/en/products/docs/processors/xeon-accelerated/network/xeon6-firewall-solution-brief.html
Kifurushi cha Programu cha NetSec https://www.intel.com/content/www/us/en/secure/design/confidential/software-kits/kit-details.html?kitId=853965

Usuli na Motisha

Leo, wachuuzi wengi wa NGFW wamepanua nyayo zao kutoka kwa vifaa vya kawaida vya NGFW hadi suluhisho za NGFW ambazo zinaweza kutumwa kwenye wingu la umma. Usambazaji wa NGFW wa wingu wa umma unaonekana kuongezeka kwa matumizi kwa sababu ya faida zifuatazo:

  • Scalability: kuongeza kwa urahisi au kupunguza rasilimali za kukokotoa za kijiografia ili kukidhi mahitaji ya utendakazi.
  • Ufanisi wa gharama: usajili unaonyumbulika ili kuruhusu malipo kwa kila matumizi. Huondoa matumizi ya mtaji (capex) na kupunguza gharama za uendeshaji zinazohusiana na vifaa vya asili.
  • Ujumuishaji asilia na huduma za wingu: muunganisho usio na mshono na huduma za wingu za umma kama vile mitandao, vidhibiti vya ufikiaji na zana za AI/ML.
  • Ulinzi wa mizigo ya kazi ya wingu: uchujaji wa trafiki wa ndani kwa mzigo wa kazi wa biashara unaopangishwa kwenye wingu la umma.

Gharama iliyopunguzwa ya kuendesha mzigo wa kazi wa NGFW katika wingu la umma ni pendekezo la kuvutia kwa kesi za matumizi ya biashara.
Hata hivyo, kuchagua mfano wenye utendakazi bora zaidi na TCO ya NGFW ni changamoto, kutokana na anuwai ya chaguo za mifano ya wingu zinapatikana na CPU mbalimbali, ukubwa wa kumbukumbu, kipimo data cha IO, na kila moja ina bei tofauti. Tumetengeneza Utekelezaji wa Marejeleo ya NGFW ili kusaidia katika utendaji na uchanganuzi wa TCO wa matukio tofauti ya wingu ya umma kulingana na vichakataji vya Intel. Tutaonyesha utendakazi na utendakazi kwa kila metriki ya dola kama mwongozo wa kuchagua matukio yanayofaa kulingana na Intel kwa suluhu za NGFW kwenye huduma za wingu za umma kama vile AWS na GCP.

Utekelezaji wa Marejeleo ya NGFW

Intel ilitengeneza kifurushi cha Programu ya Marejeleo ya NetSec (toleo la hivi punde la 25.05) ambalo hutoa suluhu zilizoboreshwa za marejeleo zinazotumia ISA na vichapuzi vinavyopatikana katika CPU mpya zaidi za Intel na majukwaa ili kuonyesha utendakazi ulioboreshwa katika miundombinu ya biashara ya awali na kwenye wingu. Programu ya marejeleo inapatikana chini ya Leseni ya Umiliki wa Intel (IPL).
Vivutio kuu vya kifurushi hiki cha programu ni:

  • Inajumuisha kwingineko pana ya ufumbuzi wa marejeleo kwa mitandao na usalama, mifumo ya AI ya vituo vya data vya wingu na biashara na maeneo ya ukingo.
  • Huruhusu muda wa soko na upitishaji wa haraka wa teknolojia za Intel.
  • Nambari ya chanzo inapatikana ambayo inaruhusu kunakili matukio ya utumiaji na mazingira ya majaribio kwenye mifumo ya Intel.

Tafadhali wasiliana na waandishi ili kupata maelezo zaidi kuhusu kupata toleo jipya zaidi la Programu ya Marejeleo ya NetSec.
Kama sehemu muhimu ya kifurushi cha Programu ya Marejeleo ya NetSec, utekelezaji wa marejeleo ya NGFW huendesha sifa za utendaji za NGFW na uchanganuzi wa TCO kwenye mifumo ya Intel. Tunawasilisha ujumuishaji usio na mshono wa teknolojia za Intel kama vile Hyperscan katika utekelezaji wa marejeleo wa NGFW. Inajenga msingi thabiti wa uchanganuzi wa NGFW kwenye majukwaa ya Intel. Kwa kuwa majukwaa tofauti ya vifaa vya Intel hutoa uwezo tofauti kutoka kwa compute hadi IO, utekelezaji wa kumbukumbu wa NGFW unaonyesha wazi zaidi. view ya uwezo wa jukwaa kwa mzigo wa kazi wa NGFW na husaidia kuonyesha ulinganisho wa utendaji kati ya vizazi vya vichakataji vya Intel. Inatoa maarifa kamili juu ya vipimo, ikijumuisha utendakazi wa kukokotoa, kipimo data cha kumbukumbu, kipimo data cha IO, na matumizi ya nishati. Kulingana na matokeo ya majaribio ya utendakazi, tunaweza kufanya uchanganuzi zaidi wa TCO (kwa utendakazi kwa kila dola) kwenye mifumo ya Intel inayotumika kwa NGFW.

Toleo la hivi punde (25.05) la utekelezaji wa marejeleo wa NGFW ni pamoja na vipengele muhimu vifuatavyo:

  • Firewall ya msingi ya serikali
  • Mfumo wa Kuzuia Kuingilia (IPS)
  • Usaidizi wa vichakataji vya kisasa vya Intel ikijumuisha vichakataji vya Intel® Xeon® 6, Intel Xeon 6 SoC, n.k.

Matoleo yajayo yamepangwa kutekeleza vipengele vifuatavyo vya ziada:

  • Ukaguzi wa VPN: Usimbuaji wa IPsec wa trafiki kwa ukaguzi wa yaliyomo
  • Ukaguzi wa TLS: Wakala wa TLS ili kukomesha miunganisho kati ya mteja na seva na kisha kufanya ukaguzi wa maudhui kwenye trafiki ya maandishi wazi.

3.1 Usanifu wa Mfumo

Intel Optimize Firewalls za Kizazi Kijacho - Usanifu wa Mfumo

Kielelezo 1 kinaonyesha usanifu wa jumla wa mfumo. Tunatumia programu huria kama msingi wa kuunda mfumo:

  • VPP hutoa suluhisho la data ya utendakazi wa hali ya juu na vitendaji vya msingi vya ngome, ikijumuisha ACL za hali ya juu. Tunatoa nyuzi nyingi za VPP na mshikamano wa msingi uliosanidiwa. Kila uzi wa mfanyakazi wa VPP umebandikwa kwenye msingi maalum wa CPU au uzi wa utekelezaji.
  • Snort 3 imechaguliwa kama IPS, ambayo inaauni utiaji nyuzi nyingi. Mazungumzo ya wafanyikazi wa koroma hubandikwa kwenye viini maalum vya CPU au nyuzi za utekelezaji.
  • Koroma na VPP zimeunganishwa kwa kutumia programu-jalizi ya Snort hadi VPP. Hii hutumia seti ya jozi za foleni kutuma pakiti kati ya VPP na Snort. Jozi za foleni na pakiti zenyewe zimehifadhiwa kwenye kumbukumbu iliyoshirikiwa. Tulitengeneza kipengele kipya cha Upataji Data (DAQ) cha Snort, ambacho tunakiita VPP Zero Copy (ZC) DAQ. Hii hutekeleza utendakazi wa Snort DAQ API ili kupokea na kusambaza pakiti kwa kusoma na kuandika hadi kwenye foleni husika. Kwa sababu upakiaji uko kwenye kumbukumbu iliyoshirikiwa, tunachukulia huu kuwa utekelezaji wa Nakala Sifuri.

Kwa kuwa Snort 3 ni mzigo mkubwa wa kukokotoa ambao unahitaji rasilimali zaidi za kompyuta kuliko uchakataji wa ndege ya data, tunajaribu kusanidi ugawaji wa msingi wa kichakataji ulioboreshwa na usawa kati ya idadi ya nyuzi za VPP na nyuzi za Snort3 ili kupata utendakazi wa juu zaidi wa kiwango cha mfumo kwenye jukwaa la maunzi linaloendeshwa.
Kielelezo cha 2 (kwenye ukurasa wa 6) kinaonyesha nodi ya grafu ndani ya VPP, ikijumuisha zile ambazo ni sehemu ya ACL na Snort. plugins. Tulitengeneza nodi mbili mpya za grafu za VPP:

  • snort-enq: hufanya uamuzi wa kusawazisha mzigo kuhusu ni uzi upi wa Snort unapaswa kuchakata pakiti na kisha kuingiza pakiti kwenye foleni inayolingana.
  • snort-deq: inatekelezwa kama nodi ya ingizo ambayo hupiga kura kutoka kwa foleni nyingi, moja kwa kila uzi wa mfanyakazi wa Snort.

Intel Optimize Firewalls za Kizazi Kijacho - Nodi za Grafu

3.2 Uboreshaji wa Intel
Utekelezaji wetu wa marejeleo ya NGFW huchukua mapematage ya uboreshaji zifuatazo:

  • Snort huongeza utendaji wa juu wa maktaba ya Hyperscan inayolingana na regex ili kutoa uboreshaji mkubwa wa utendakazi ikilinganishwa na injini ya utafutaji chaguo-msingi katika Snort. Mchoro wa 3 unaonyesha ushirikiano wa Hyperscan na Snort kwa
    ongeza kasi ya utendaji halisi wa machng na regex. Snort 3 hutoa muunganisho wa asili na Hyperscan ambapo watumiaji wanaweza kuwasha Hyperscan ama kupitia usanidi file au chaguzi za mstari wa amri.

Intel Optimize Firewalls za Kizazi Kijacho - Koroma na Hyperscan

  • VPP inachukua mapematage ya Pokea Kuongeza Upande (RSS) katika Adapta za Mtandao za Intel® Ethernet ili kusambaza trafiki kwenye mifuatano mingi ya wafanyakazi wa VPP.
  • Maagizo ya Intel QAT na Intel AVX-512: Matoleo ya baadaye ambayo yanaunga mkono IPsec na TLS yatakuwa yakichukua nafasi ya kwanza.tage ya teknolojia ya kuongeza kasi ya crypto kutoka Intel. Intel QAT huharakisha utendakazi wa crypto, haswa ufunguo wa ufunguo wa umma ambao hutumiwa sana kuanzisha miunganisho ya mtandao. Intel AVX-512 pia huongeza utendakazi wa kriptografia, ikijumuisha VPMADD52 (operesheni za kuzidisha na kukusanya), vekta AES (toleo la vekta la maagizo ya Intel AES-NI), vPCLMUL (kuzidisha kwa vekta-chini, inayotumika kuboresha AES-GCM), na Intel® Secure Hash Algorithm - Maagizo Mpya (Intel®).

Usambazaji wa Wingu wa Utekelezaji wa Marejeleo ya NGFW

4.1 Usanidi wa Mfumo
Jedwali 3. Mipangilio ya mtihani

Kipimo Thamani
Tumia Kesi Ukaguzi wa maandishi wazi (FW + IPS)
Trafiki Profile HTTP 64KB PATA (PATA 1 kwa Muunganisho)
VPP ACLs Ndiyo (ACL 2 za serikali)
Sheria za Kukoroma Lightspd (~ sheria 49k)
Sera ya Kukoroma Usalama (~Sheria za 21k zimewashwa)

Tunaangazia hali za ukaguzi wa maandishi wazi kulingana na kesi za utumiaji na KPIs katika RFC9411. Jenereta ya trafiki inaweza kuunda miamala ya 64KB HTTP kwa ombi 1 la GET kwa kila muunganisho. ACL zimesanidiwa ili kuruhusu IP katika nyati ndogo zilizobainishwa. Tulipitisha kanuni za Snort Lightspd na sera ya usalama kutoka Cisco kwa ulinganishaji. Pia kulikuwa na seva iliyojitolea kutoa maombi kutoka kwa jenereta za trafiki.

Intel Optimize Firewalls za Kizazi Kijacho - Topolojia ya MfumoIntel Optimize Firewalls za Kizazi Kijacho - Topolojia ya Mfumo 2

Kama inavyoonyeshwa katika Kielelezo 4 na Kielelezo 5, topolojia ya mfumo inajumuisha nodi tatu za mifano ya msingi: mteja, seva na proksi ya utumiaji wa wingu kwa umma. Pia kuna nodi ya bastion ya kutumikia miunganisho kutoka kwa mtumiaji. Wateja wote wawili (wanaoendesha WRK) na seva (inayoendesha Nginx) wana kiolesura kimoja maalum cha mtandao wa ndege ya data, na seva mbadala (inayoendesha NGFW) ina miingiliano miwili ya mtandao wa ndege ya data kwa ajili ya majaribio. Miingiliano ya mtandao wa ndege ya data imeambatishwa kwa subnet A (mteja-proksi) na subnet B (seva-seva) ambayo hudumisha kutengwa na trafiki ya usimamizi wa mfano. Masafa maalum ya anwani za IP yanafafanuliwa kwa uelekezaji sambamba na sheria za ACL zilizowekwa kwenye miundombinu ili kuruhusu mtiririko wa trafiki.

4.2 Usambazaji wa Mfumo
MCNAT ni zana ya programu iliyobuniwa na Intel ambayo hutoa otomatiki kwa uwekaji wa mzigo wa mtandao bila imefumwa kwenye wingu la umma na inatoa mapendekezo ya kuchagua mfano bora wa wingu kulingana na utendakazi na gharama.
MCNAT imesanidiwa kupitia mfululizo wa wataalamufiles, kila moja ikifafanua vigezo na mipangilio inayohitajika kwa kila mfano. Kila aina ya mfano ina pro yake mwenyewefile ambayo inaweza kisha kupitishwa kwa zana ya MCNAT CLI kupeleka aina hiyo maalum ya mfano kwenye mtoa huduma fulani wa wingu (CSP). Kwa mfanoamputumiaji wa mstari wa amri umeonyeshwa hapa chini na kwenye Jedwali la 4.

Intel Optimize Firewalls za Kizazi Kijacho - Alama ya 1

Jedwali 4. Matumizi ya Mstari wa Amri ya MCNAT

Chaguo Maelezo
-peleka Huagiza chombo kuunda utumaji mpya
-u Inafafanua kitambulisho cha mtumiaji cha kutumia
-c CSP kuunda usambazaji kwenye (AWS, GCP, nk)
-s Mazingira ya kupeleka
-p Profile kutumia

Zana ya mstari wa amri ya MCNAT inaweza kuunda na kupeleka matukio katika hatua moja. Mara tu mfano unapotumwa, hatua za usanidi wa chapisho huunda usanidi muhimu wa SSH ili kuruhusu mfano kufikiwa.
4.3 Uainishaji wa Mfumo
Pindi tu MCNAT inapotuma matukio, majaribio yote ya utendakazi yanaweza kufanya kazi kwa kutumia zana ya programu ya MCNAT.
Kwanza, tunahitaji kusanidi kesi za majaribio katika tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json kama ilivyo hapo chini:

Intel Optimize Firewalls za Kizazi Kijacho - Alama ya 2

Kisha tunaweza kutumia example amri hapa chini ili kuzindua jaribio. DEPLOYMENT_PATH ndipo hali inayolengwa ya uwekaji mazingira inahifadhiwa, kwa mfano, zana/mcn/infrastructure/infrastructure/ex.amples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.

Intel Optimize Firewalls za Kizazi Kijacho - Alama ya 3

Inaendesha NGFW na seti fulani ya sheria juu ya trafiki ya http inayotolewa na WRK kwa mteja, huku ikibandika aina kadhaa za msingi za CPU, kukusanya seti kamili ya nambari za utendakazi kwa mfano chini ya jaribio. Majaribio yanapokamilika, data yote inaumbizwa kama csv na kurudishwa kwa mtumiaji.

Tathmini ya Utendaji na Gharama

Katika sehemu hii, tunalinganisha uwekaji wa NGFW kwenye matukio tofauti ya wingu kulingana na vichakataji vya Intel Xeon katika AWS na GCP.
Hii inatoa mwongozo wa kupata aina inayofaa zaidi ya mfano wa wingu kwa NGFW kulingana na utendakazi na gharama. Tunachagua hali zilizo na vCPU 4 jinsi zinavyopendekezwa na wachuuzi wengi wa NGFW. Matokeo kwenye AWS na GCP ni pamoja na:

  • Utendaji wa NGFW kwenye aina ndogo za matukio zinazopangisha vCPU 4 na Teknolojia ya Intel® Hyper-Threading (Teknolojia ya Intel® HT) na Hyperscan imewashwa.
  • Manufaa ya utendaji wa kizazi hadi kizazi kutoka kwa vichakataji vya 1 vya Intel Xeon Scalable hadi vichakataji vya 5 vya Intel Xeon Scalable.
  • Utendaji wa kizazi hadi kizazi kwa kila dola faida kutoka kwa vichakataji vya 1st Gen Inte® Xeon Scalable hadi vichakataji vya 5 vya Intel Xeon Scalable.

5.1 Usambazaji wa AWS
5.1.1 Orodha ya Aina ya Matukio
Jedwali 5. Matukio ya AWS na Viwango vya Saa vinavyohitajika

Aina ya Mfano Mfano wa CPU vCPU Kumbukumbu (GB) Utendaji wa mtandao (Gbps) Kwa mahitaji hourlkiwango cha y ($)
c5-kubwa Vichakataji vya 2 vya Intel® Xeon® Scalable 4 8 10 0.17
c5n-xlarge Vichakataji vya Kizazi cha 1 vya Intel® Xeon® Scalable 4 10.5 25 0.216
c6i-kubwa Vichakataji vya Kizazi cha 3 vya Intel® Xeon® Scalable 4 8 12.5 0.17
c6in-xlarge Vichakataji vya 3 vya Intel Xeon Scalable 4 8 30 0.2268
c7i-kubwa Vichakataji vya 4 vya Intel® Xeon® Scalable 4 8 12.5 0.1785

Jedwali la 5 linaonyesha mwishoview ya matukio ya AWS tunayotumia. Tafadhali rejelea Usanidi wa Mfumo kwa maelezo zaidi ya jukwaa. Pia inaorodhesha on-mahitaji hourlkiwango cha y (https://aws.amazon.com/ec2/pricing/on-demand/) kwa matukio yote. Hapo juu ilikuwa kiwango cha mahitaji wakati wa kuchapisha karatasi hii na inaangazia pwani ya magharibi ya Amerika.
Inapohitajika hourly kiwango kinaweza kutofautiana kulingana na eneo, upatikanaji, akaunti za shirika na mambo mengine.

5.1.2 Matokeo

Intel Optimize Kizazi Kijacho Firewalls - Matokeo

Kielelezo cha 6 kinalinganisha utendaji na kiwango cha utendaji kwa kila saa kwenye aina zote za mifano zilizotajwa kufikia sasa:

  • Utendaji umeboreshwa kwa kutumia matukio kulingana na vichakataji vipya vya Intel Xeon. Kuboresha kutoka c5.xlarge (kulingana na kichakataji cha 2 cha Intel Xeon Scalable) hadi c7i.xlarge (kulingana na kichakataji cha 4 cha Intel Xeon Scalable)
    inaonyesha uboreshaji wa utendaji wa 1.97x.
  • Utendaji kwa kila dola uliboreshwa kwa kutumia hali kulingana na vichakataji vipya vya Intel Xeon. Kuboresha kutoka c5n.xlarge (kulingana na kichakataji cha 1 cha Intel Xeon Scalable) hadi c7i.xlarge (kulingana na kichakataji cha 4 cha Intel Xeon Scalable) kinaonyesha uboreshaji wa kiwango cha utendakazi/saa 1.88x.

5.2 Usambazaji wa GCP
5.2.1 Orodha ya Aina ya Matukio
Jedwali 6. Matukio ya GCP na Viwango vya Saa Inapohitajika

Aina ya Mfano Mfano wa CPU vCPU Kumbukumbu (GB) kipimo-msingi cha egress (Gbps) Kwa mahitaji hourlkiwango cha y ($)
n1-std-4 Kizazi cha 1 Intel® Xeon®
Wasindikaji wa kasi		 4 15 10 0.189999
n2-std-4 Kizazi cha 3 Intel® Xeon®
Wasindikaji wa kasi		 4 16 10 0.194236
c3-std-4 Kizazi cha 4 Intel® Xeon®
Wasindikaji wa kasi		 4 16 23 0.201608
n4-std-4 Kizazi cha 5 Intel® Xeon®
Wasindikaji wa kasi		 4 16 10 0.189544
c4-std-4 Kizazi cha 5 Intel® Xeon®
Wasindikaji wa kasi		 4 15 23 0.23761913

Jedwali la 6 linaonyesha mwishoview ya matukio ya GCP tunayotumia. Tafadhali rejelea Usanidi wa Mfumo kwa maelezo zaidi ya jukwaa. Pia inaorodhesha on-mahitaji hourlkiwango cha y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) kwa matukio yote. Hapo juu ilikuwa kiwango cha mahitaji wakati wa kuchapisha karatasi hii na inaangazia pwani ya magharibi ya Amerika. Inapohitajika hourly kiwango kinaweza kutofautiana kulingana na eneo, upatikanaji, akaunti za shirika na mambo mengine.

5.2.2 Matokeo

Intel Optimize Firewalls za Kizazi Kijacho - Matokeo 2

Kielelezo cha 7 kinalinganisha utendaji na kiwango cha utendaji kwa kila saa kwenye aina zote za mifano zilizotajwa kufikia sasa:

  • Utendaji umeboreshwa kwa kutumia matukio kulingana na vichakataji vipya vya Intel Xeon. Kuboresha kutoka n1-std-4 (kulingana na kichakataji cha 1 cha Intel Xeon Scalable) hadi c4-std-4 (kulingana na kichakataji cha 5 cha Intel Xeon Scalable) kinaonyesha uboreshaji wa utendaji wa 2.68x.
  • Utendaji kwa kila dola uliboreshwa kwa kutumia hali kulingana na vichakataji vipya vya Intel Xeon. Uboreshaji kutoka n1-std-4 (kulingana na kichakataji cha 1 cha Intel Xeon Scalable) hadi c4-std-4 (kulingana na kichakataji cha 5 cha Intel Xeon Scalable) huonyesha uboreshaji wa kiwango cha utendakazi/saa 2.15x.

Muhtasari

Pamoja na ongezekoasing adoption of multi- and hybrid-cloud deployment models, delivering NGFW solutions on public cloud provides consistent protection across environments, scalability to meet security requirements, and simplicity with minimal maintenance efforts. Network security vendors offer NGFW solutions with a variety of cloud instance types on public cloud. It’s critical to minimize total cost of ownership (TCO) and maximize return on investment (ROI) with the right cloud instance. The key factors to consider include compute resources, network bandwidth, and price. We used NGFW reference implementation as the representative workload and leveraged MCNAT to automate the deployment and testing on different public cloud instance types. Based on our benchmarking, instances with the latest generation of Intel Xeon Scalable processors on AWS (powered by 4th Intel Xeon Scalable processors) and GCP (powered by 5th Intel Xeon Scalable processors) deliver both performance and TCO improvements. They improve the performance by up to 2.68x and the performance per hour rate by up to 2.15x over prior generations. This evaluation generates solid references on selecting Intel based public cloud instances for NGFW.

Kiambatisho A Usanidi wa Jukwaa

Mipangilio ya Jukwaa
c5-xlarge – “Jaribio na Intel kuanzia 03/17/25. 1-nodi, 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 8GB (1x8GB DDR4 2933 MT/BIOScode, inayojulikana) 1.0x0, 5003801x Elastic Network Adapter (ENA), 1x 1G Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12“
c5n-xlarge – “Jaribio na Intel kuanzia 03/17/25. 1-nodi, 1x Intel(R) Xeon(R) Platinum 8124M CPU @ 3.00GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 10.5GB (1×10.5GB 4GB 2933GB DDR1.0, DDR0) inayojulikana BIOSn. microcode 2007006x1, 1x Elastic Network Adapter (ENA), 32x 22.04.5G Amazon Elastic Block Store, Ubuntu 6.8.0 LTS, 1024-11.4-aws, gcc 24.12, NGFW 5.6.1, Hyperscan XNUMX”
c6i-xlarge – “Jaribio la Intel kuanzia 03/17/25. 1-nodi, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 8GB (1x8GB DDR4 3200 MT inayojulikana [microcode 1.0 MT] inayojulikana 0xd0003f6, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – “Jaribio na Intel kuanzia 03/17/25. 1-nodi, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 8GB (1x8GB DDR4 3200MT inayojulikana 1.0xd0f0003, 6x Elastic Network Adapter (ENA), 1x 1G Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
c7i-xlarge – “Jaribio na Intel kuanzia 03/17/25. 1-nodi, 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 8GB (1x8GB DDR4 4800 MT, inayojulikana kama BIOSscode 1.0 MT. 0x2b000620, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n1-std-4 – “Jaribio la Intel kuanzia 03/17/25. 1-nodi, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, cores 2, HT On, Turbo On, Total Memory 15GB (1x15GB RAM []), BIOS Google, microcode 0xffx Disk 1 kifaa, Ubuntu 1 LTS, 32-22.04.5gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4“
n2-std-4 - Jaribio na Intel kuanzia 03/17/25. 1-nodi, 1x Intel(R) Xeon(R) CPU @ 2.60GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 16GB (1x16GB RAM []), BIOS Google, msimbo mikrosi 0xffffffff, kifaa 1x, 1x 32G PersistentDisk, Ubuntu 22.04.5cg6.8.0 LTS. gcc 1025, NGFW 11.4, Hyperscan 24.12”
c3-std-4 - Jaribio na Intel kutoka 03/14/25. 1-nodi, 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine 1GVIC32 Virtual Engine nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 - Jaribio na Intel kuanzia 03/18/25. 1-nodi, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.10GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine Virtual Ethernet1G, 32xUbuntu kadi Ethernet22.04.5G, 6.8.0GX_GVN, Ubuntu 1025x11.4GB 24.12 LTS, 5.6.1-XNUMX-gcp, gcc XNUMX, NGFW XNUMX, Hyperscan XNUMX”
c4-std-4 - Jaribio na Intel kuanzia 03/18/25. 1-node, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz, cores 2, HT On, Turbo On, Jumla ya Kumbukumbu 15GB (1x15GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine Virtual Ethernet1G, 32xUbuntu kadi Ethernet22.04.5G, 6.8.0GX_GVN_Ubuntu, 1025x11.4GB RAM 24.12 LTS, 5.6.1-XNUMX-gcp, gcc XNUMX, NGFW XNUMX, Hyperscan XNUMX”

Kiambatisho B Usanidi wa Programu ya Marejeleo ya Intel NGFW

Usanidi wa Programu Toleo la Programu
Mwenyeji OS Ubuntu 22.04 LTS
Kernel 6.8.0-1025
Mkusanyaji GCC 11.4.0
WRK 74eb9437
WRK2 44a94c17
VPP 24.02
Koroma 3.1.36.0
DAQ 3.0.9
LuaJIT 2.1.0-beta3
Libpcap 1.10.1
PCRE 8.45
ZLIB 1.2.11
Hyperscan 5.6.1
LZMA 5.2.5
NGINX 1.22.1
DPDK 23.11

Nembo ya Intel

Utendaji hutofautiana kwa matumizi, usanidi na mambo mengine. Jifunze zaidi kwenye www.Intel.com/PerformanceIndex.
Matokeo ya utendakazi yanatokana na majaribio kuanzia tarehe zilizoonyeshwa katika usanidi na huenda yasionyeshe masasisho yote yanayopatikana kwa umma. Tazama nakala rudufu kwa maelezo ya usanidi. Hakuna bidhaa au sehemu inaweza kuwa salama kabisa.
Intel inakanusha dhamana zote zilizo wazi na zilizodokezwa, ikijumuisha bila kikomo, dhamana zilizodokezwa za uuzaji, kufaa kwa madhumuni mahususi, na kutokiuka, pamoja na dhamana yoyote inayotokana na mwendo wa utendaji, shughuli, au matumizi katika biashara.
Teknolojia za Intel zinaweza kuhitaji vifaa, programu au uanzishaji wa huduma.
Intel haidhibiti au kukagua data ya wahusika wengine. Unapaswa kushauriana na vyanzo vingine ili kutathmini usahihi.
Bidhaa zilizoelezewa zinaweza kuwa na kasoro za muundo au hitilafu zinazojulikana kama errata ambayo inaweza kusababisha bidhaa kupotoka kutoka kwa vipimo vilivyochapishwa. Makosa ya sasa yanapatikana kwa ombi.
© Intel Corporation. Intel, nembo ya Intel, na alama zingine za Intel ni chapa za biashara za Intel Corporation au kampuni zake tanzu. Majina na chapa zingine zinaweza kudaiwa kama mali ya wengine.
0425/XW/MK/PDF 365150-001US

Nyaraka / Rasilimali

Intel Boresha Ukuta wa Kizazi Kijacho [pdf] Mwongozo wa Mtumiaji
Boresha Ngome za Kizazi Kijacho, Boresha, Ngome za Kizazi Kijacho, Ngome za Kizazi, Ngome

Marejeleo

Acha maoni

Barua pepe yako haitachapishwa. Sehemu zinazohitajika zimetiwa alama *