Udhëzues Teknologjie
Optimizoni Performancën e NGFW me
Procesorët Intel® Xeon® në Cloud Publik
Autorët
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhiksha Ravisundar
Heqing Zhu
Hyrje
Firewall-et e gjeneratës së ardhshme (NGFW) janë në thelb të zgjidhjeve të sigurisë së rrjetit. Firewall-et tradicionale kryejnë inspektim të trafikut sipas gjendjes, zakonisht bazuar në port dhe protokoll të cilat nuk mund të mbrohen në mënyrë efektive kundër trafikut modern keqdashës. NGFW-të evoluojnë dhe zgjerohen mbi firewall-et tradicionale me aftësi të avancuara të inspektimit të thellë të paketave, duke përfshirë sistemet e zbulimit/parandalimit të ndërhyrjeve (IDS/IPS), zbulimin e malware-ve, identifikimin dhe kontrollin e aplikacioneve, etj.
NGFW-të janë ngarkesa pune intensive kompjuterike që kryejnë, për shembull,ample, operacione kriptografike për enkriptimin dhe dekriptimin e trafikut të rrjetit dhe përputhje të rregullave të rënda për zbulimin e aktiviteteve dashakeqe. Intel ofron teknologji thelbësore për të optimizuar zgjidhjet NGFW.
Procesorët Intel janë të pajisur me arkitektura të ndryshme të seteve të udhëzimeve (ISA), duke përfshirë Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) dhe Intel® QuickAssist Technology (Intel® QAT) të cilat përshpejtojnë ndjeshëm performancën e kriptoskopisë.
Intel gjithashtu investon në optimizime të softuerëve, duke përfshirë ato për Hyperscan. Hyperscan është një bibliotekë përputhjeje vargjesh dhe shprehjesh të rregullta (regex) me performancë të lartë. Ai shfrytëzon teknologjinë e të dhënave të shumëfishta me udhëzime të vetme (SIMD) në procesorët Intel për të rritur performancën e përputhjes së modeleve. Integrimi i Hyperscan në sistemet NGFW IPS si Snort mund të përmirësojë performancën deri në 3 herë në procesorët Intel.
NGFW-të shpesh ofrohen si një pajisje sigurie e vendosur në zonën e demilitarizuar (DMZ) të qendrave të të dhënave të ndërmarrjeve. Megjithatë, ekziston një kërkesë e fortë për pajisje virtuale NGFW ose paketa softuerësh që mund të vendosen në cloud-in publik, në qendrat e të dhënave të ndërmarrjeve ose në vendet në skajet e rrjetit. Ky model vendosjeje softuerësh e çliron IT-në e ndërmarrjes nga shpenzimet e operacioneve dhe mirëmbajtjes që lidhen me pajisjet fizike. Ai përmirëson shkallëzueshmërinë e sistemit dhe ofron mundësi fleksibile prokurimi dhe blerjeje.
Një numër gjithnjë e në rritje ndërmarrjesh po përqafojnë vendosjen e zgjidhjeve NGFW në cloud publik. Një arsye kryesore për këtë është rritja e kostos.tage drejtimit të pajisjeve virtuale në cloud.
Megjithatë, meqenëse CSP-të ofrojnë një mori llojesh instancash me karakteristika dhe çmime të ndryshme llogaritëse, zgjedhja e instancës me TCO-në më të mirë për NGFW mund të jetë sfiduese.
Ky punim prezanton një implementim reference NGFW nga Intel, i optimizuar me teknologjitë Intel, duke përfshirë Hyperscan. Ai ofron një pikë prove të besueshme për karakterizimin e performancës së NGFW në platformat Intel. Është përfshirë si pjesë e paketës së Softuerit Referues NetSec të Intel. Ne gjithashtu ofrojmë Mjetin e Automatizimit të Rrjeteve Multi-Cloud (MCNAT) në të njëjtën paketë për të automatizuar vendosjen e implementimit reference NGFW në ofrues të zgjedhur të cloud-it publik. MCNAT thjeshton analizën TCO për instanca të ndryshme llogaritëse dhe i udhëzon përdoruesit drejt instancës optimale llogaritëse për NGFW.
Ju lutemi të kontaktoni autorët për të mësuar më shumë rreth paketës së softuerit NetSec Reference Software.
Historia e rishikimit të dokumentit
| Rishikim | Data | Përshkrimi |
| 001 | Mars 2025 | Lëshimi fillestar. |
1.1 Terminologjia
Tabela 1. Terminologjia
| Shkurtesa | Përshkrimi |
| DFA | Automat i Fundëm Deterministik |
| DPI | Inspektimi i thellë i paketave |
| HTTP | Protokolli i Transferimit të Hipertekstit |
| IDS/IPS | Sistemi i Zbulimit dhe Parandalimit të Ndërhyrjeve |
| ISA | Arkitektura e grupit të udhëzimeve |
| MCNAT | Mjet Automatizimi i Rrjeteve Multi-Cloud |
| AKU | Automat i Fundëm Jo-determinist |
| NGFW | Firewall i gjeneratës së ardhshme |
| PCAP | Kapja e paketave |
| PCRE | Biblioteka e Shprehjeve të Rregullta të Përputhshme me Perl |
| Regex | Shprehje e rregullt |
| SASE | Secure Access Service Edge |
| SIMD | Teknologjia e të Dhënave të Shumëfishta me Udhëzim të Vetëm |
| TCP | Protokolli i Kontrollit të Transmetimit |
| URI | Identifikues Uniform i Burimeve |
| WAF | Web Firewall i aplikacionit |
1.2 Dokumentacioni referues
Tabela 2. Dokumentet Referuese
Sfondi dhe Motivimi
Sot, shumica e shitësve të NGFW kanë zgjeruar gjurmët e tyre nga pajisjet fizike të NGFW në zgjidhje virtuale të NGFW që mund të vendosen në cloud-in publik. Vendosjet e NGFW në cloud-in publik po shohin një përdorim në rritje për shkak të përfitimeve të mëposhtme:
- Shkallueshmëria: rritni ose zvogëloni lehtësisht burimet llogaritëse ndër-gjeografike për të përmbushur kërkesat e performancës.
- Efektiviteti i kostos: abonim fleksibël për të lejuar pagesën për përdorim. Eliminon shpenzimet kapitale (capex) dhe zvogëlon kostot operative që lidhen me pajisjet fizike.
- Integrim nativ me shërbimet cloud: integrim i përsosur me shërbimet publike cloud, siç janë rrjetëzimi, kontrollet e aksesit dhe mjetet AI/ML.
- Mbrojtja e ngarkesave të punës në cloud: filtrimi i trafikut lokal për ngarkesat e punës së ndërmarrjeve të vendosura në cloud publik.
Kostoja e reduktuar e drejtimit të ngarkesës së punës së NGFW në cloud publik është një propozim tërheqës për rastet e përdorimit të ndërmarrjeve.
Megjithatë, zgjedhja e instancës me performancën dhe TCO-në më të mirë për NGFW është sfiduese, duke pasur parasysh se një gamë e gjerë opsionesh instancash cloud janë në dispozicion me CPU, madhësi memorieje, bandwidth IO të ndryshme, dhe secila ka çmim të ndryshëm. Ne kemi zhvilluar Implementimin Referues të NGFW për të ndihmuar me analizën e performancës dhe TCO-së së instancave të ndryshme të cloud-it publik bazuar në procesorët Intel. Ne do të demonstrojmë performancën dhe metrikat e performancës për dollar si një udhëzues për zgjedhjen e instancave të duhura të bazuara në Intel për zgjidhjet NGFW në shërbimet e cloud-it publik si AWS dhe GCP.
Implementimi i Referencës së NGFW
Intel zhvilloi paketën e Softuerit Referues NetSec (versioni më i fundit 25.05) i cili ofron zgjidhje të optimizuara referimi duke përdorur ISA-të dhe përshpejtuesit e disponueshëm në CPU-të dhe platformat më të reja të Intel për të demonstruar performancë të optimizuar në infrastrukturën e ndërmarrjeve lokale dhe në cloud. Softueri referues është i disponueshëm sipas Licencës Pronare të Intel (IPL).
Pikat kryesore të këtij pakete softuerësh janë:
- Përfshin një portofol të gjerë zgjidhjesh referuese për rrjetëzimin dhe sigurinë, korniza të inteligjencës artificiale për qendrat e të dhënave në cloud dhe të ndërmarrjeve, si dhe lokacionet periferike.
- Lejon kohë për treg dhe adaptim të shpejtë të teknologjive Intel.
- Kodi burimor është i disponueshëm që lejon replikimin e skenarëve të vendosjes dhe mjediseve të testimit në platformat Intel.
Ju lutemi të kontaktoni autorët për të mësuar më shumë rreth marrjes së versionit më të fundit të Softuerit Referues NetSec.
Si një pjesë kritike e paketës së Softuerit Referues NetSec, implementimi i referencës NGFW drejton karakteristikat e performancës së NGFW dhe analizën TCO në platformat Intel. Ne ofrojmë integrim të përsosur të teknologjive Intel si Hyperscan në implementimin e referencës NGFW. Kjo ndërton një bazë të fortë për analizën e NGFW në platformat Intel. Meqenëse platforma të ndryshme harduerike Intel ofrojnë aftësi të ndryshme nga llogaritja deri te IO, implementimi i referencës NGFW paraqet një mënyrë më të qartë. view të aftësive të platformës për ngarkesat e punës NGFW dhe ndihmon në shfaqjen e krahasimeve të performancës midis brezave të procesorëve Intel. Ofron njohuri të hollësishme mbi metrikat, duke përfshirë performancën llogaritëse, gjerësinë e brezit të memories, gjerësinë e brezit IO dhe konsumin e energjisë. Bazuar në rezultatet e testeve të performancës, ne mund të kryejmë më tej analizën TCO (me performancë për dollar) në platformat Intel të përdorura për NGFW.
Versioni më i fundit (25.05) i implementimit referues të NGFW përfshin karakteristikat kryesore të mëposhtme:
- Firewall bazë me gjendje
- Sistemi i Parandalimit të Ndërhyrjeve (IPS)
- Mbështetje për procesorët Intel të teknologjisë së fundit, duke përfshirë procesorët Intel® Xeon® 6, Intel Xeon 6 SoC, etj.
Versionet e ardhshme janë planifikuar të zbatojnë veçoritë shtesë të mëposhtme:
- Inspektimi i VPN-së: Dekriptimi i trafikut IPsec për inspektimin e përmbajtjes
- Inspektimi TLS: një Proxy TLS për të ndërprerë lidhjet midis një klienti dhe një serveri dhe më pas për të kryer inspektimin e përmbajtjes në trafikun e tekstit të thjeshtë.
3.1 Arkitektura e Sistemit
Figura 1 tregon arkitekturën e përgjithshme të sistemit. Ne përdorim softuerin me burim të hapur si themel për të ndërtuar sistemin:
- VPP ofron një zgjidhje të nivelit të të dhënave me performancë të lartë me funksione bazë të firewall-it me gjendje, duke përfshirë ACL me gjendje. Ne krijojmë fije të shumëfishta VPP me afinitet të konfiguruar të bërthamës. Çdo fije punëtore VPP është e fiksuar në një bërthamë të dedikuar CPU-je ose në një fije ekzekutimi.
- Snort 3 është zgjedhur si IPS, i cili mbështet shumë-threading. Thread-et e punës të Snort janë të fiksuara në bërthama të dedikuara të CPU-së ose thread-e ekzekutimi.
- Snort dhe VPP janë të integruara duke përdorur plugin-in Snort për VPP. Kjo përdor një grup çiftesh radhësh për dërgimin e paketave midis VPP dhe Snort. Çiftet e radhëve dhe vetë paketat ruhen në memorien e përbashkët. Ne kemi zhvilluar një komponent të ri të Blerjes së të Dhënave (DAQ) për Snort, të cilin e quajmë VPP Zero Copy (ZC) DAQ. Kjo zbaton funksionet API të Snort DAQ për të marrë dhe transmetuar paketa duke lexuar nga dhe duke shkruar në radhët përkatëse. Meqenëse ngarkesa është në memorien e përbashkët, ne e konsiderojmë këtë një zbatim Zero-Copy.
Meqenëse Snort 3 është një ngarkesë pune intensive në llogaritje që kërkon më shumë burime llogaritëse sesa përpunimi i planit të të dhënave, ne po përpiqemi të konfigurojmë një shpërndarje të optimizuar të bërthamës së procesorit dhe një ekuilibër midis numrit të fijeve VPP dhe fijeve Snort3 për të marrë performancën më të lartë të nivelit të sistemit në platformën harduerike në funksionim.
Figura 2 (në faqen 6) tregon nyjen e grafikut brenda VPP, duke përfshirë ato që janë pjesë e ACL dhe Snort. pluginsNe zhvilluam dy nyje të reja grafike VPP:
- snort-enq: merr një vendim për balancimin e ngarkesës në lidhje me atë se cila fije Snort duhet të përpunojë paketën dhe më pas e vendos paketën në radhën përkatëse.
- snort-deq: i implementuar si një nyje hyrëse që pyet nga radhë të shumta, një për çdo fije pune Snort.
3.2 Optimizime të Intel
Implementimi ynë i referencës NGFW përparontagnjë nga optimizimet e mëposhtme:
- Snort shfrytëzon bibliotekën e përputhjes së shumëfishtë të regex me performancë të lartë Hyperscan për të ofruar një rritje të ndjeshme të performancës krahasuar me motorin e kërkimit parazgjedhur në Snort. Figura 3 nxjerr në pah integrimin e Hyperscan me Snort për të
përshpejton performancën e përputhjes si të machng-ut literal ashtu edhe të regex. Snort 3 ofron integrim nativ me Hyperscan ku përdoruesit mund ta aktivizojnë Hyperscan nëpërmjet konfigurimit. file ose opsionet e vijës së komandës.
- VPP merr përparësitage Shkallëzimit të Anës së Marrjes (RSS) në Adaptorët e Rrjetit Ethernet Intel® për të shpërndarë trafikun nëpër fije të shumta punonjësish VPP.
- Udhëzimet Intel QAT dhe Intel AVX-512: Versionet e ardhshme që mbështesin IPsec dhe TLS do të përfitojnë.tage teknologjive të përshpejtimit të kriptovalutave nga Intel. Intel QAT përshpejton performancën e kriptovalutave, veçanërisht kriptografinë me çelës publik e cila përdoret gjerësisht për krijimin e lidhjeve të rrjetit. Intel AVX-512 gjithashtu rrit performancën kriptografike, duke përfshirë VPMADD52 (operacionet e shumëzimit dhe akumulimit), vektorin AES (versioni vektorial i udhëzimeve Intel AES-NI), vPCLMUL (shumëzim i vektorizuar pa mbartje, i përdorur për të optimizuar AES-GCM) dhe Intel® Secure Hash Algorithm – Udhëzime të Reja (Intel® SHA-NI).
Vendosja në renë kompjuterike e implementimit të referencës NGFW
4.1 Konfigurimi i sistemit
Tabela 3. Konfigurimet e testimit
| Metrikë | Vlera |
| Rasti i përdorimit | Inspektimi i tekstit të qartë (FW + IPS) |
| Trafiku Profesionalfile | HTTP 64KB GET (1 GET për lidhje) |
| ACL-të VPP | Po (2 ACL me gjendje statement) |
| Rregullat e Snort | Lightspd (~49k rregulla) |
| Politika e Snort | Siguria (~21 mijë rregulla të aktivizuara) |
Ne përqendrohemi në skenarët e inspektimit të tekstit të qartë bazuar në rastet e përdorimit dhe KPI-të në RFC9411. Gjeneratori i trafikut mund të krijojë transaksione HTTP prej 64KB me 1 kërkesë GET për lidhje. ACL-të janë konfiguruar për të lejuar IP-të në nënrrjetet e specifikuara. Ne kemi miratuar rregullat Snort Lightspd dhe politikën e sigurisë nga Cisco për krahasim. Kishte gjithashtu një server të dedikuar për të shërbyer kërkesat nga gjeneruesit e trafikut.
Siç tregohet në Figurën 4 dhe Figurën 5, topologjia e sistemit përfshin tre nyje kryesore instance: një klient, një server dhe një proxy për vendosjen e cloud-it publik. Ekziston gjithashtu një nyje bastion për të shërbyer lidhjet nga përdoruesi. Si klienti (që ekzekuton WRK) ashtu edhe serveri (që ekzekuton Nginx) kanë një ndërfaqe të vetme rrjeti të dedikuar në planin e të dhënave, dhe proxy (që ekzekuton NGFW) ka dy ndërfaqe rrjeti të planit të të dhënave për testim. Ndërfaqet e rrjetit të planit të të dhënave janë të lidhura me nënrrjetin e dedikuar A (klient-proxy) dhe nënrrjetin B (proxy-server) të cilat ruajnë izolimin nga trafiku i menaxhimit të instancës. Diapazonet e adresave IP të dedikuara përcaktohen me rregullat përkatëse të rrugëzimit dhe ACL të programuara në infrastrukturë për të lejuar rrjedhën e trafikut.
4.2 Vendosja e Sistemit
MCNAT është një mjet softuerik i zhvilluar nga Intel që ofron automatizim për vendosjen e ngarkesës së punës në rrjet pa probleme në cloud-in publik dhe ofron sugjerime për zgjedhjen e instancës më të mirë të cloud-it bazuar në performancë dhe kosto.
MCNAT është konfiguruar përmes një serie profesionistësh.files, secila duke përcaktuar variablat dhe cilësimet e kërkuara për secilën instancë. Çdo lloj instance ka pro-në e vetfile të cilat më pas mund t'i kalohen mjetit MCNAT CLI për të vendosur atë lloj specifik instance në një ofrues të caktuar të shërbimit cloud (CSP). P.sh.ampPërdorimi i rreshtit të komandës tregohet më poshtë dhe në Tabelën 4.
Tabela 4. Përdorimi i Linjës së Komandës MCNAT
| Opsioni | Përshkrimi |
| –vendos | Udhëzon mjetin për të krijuar një vendosje të re |
| -u | Përcakton cilat kredenciale përdoruesi duhen përdorur |
| -c | CSP për të krijuar vendosje në (AWS, GCP, etj.) |
| -s | Skenari për t'u vendosur |
| -p | Profile për të përdorur |
Mjeti i linjës së komandës MCNAT mund të ndërtojë dhe të vendosë instanca në një hap të vetëm. Pasi të vendoset instanca, hapat e pas-konfigurimit krijojnë konfigurimin e nevojshëm SSH për të lejuar aksesin në instancë.
4.3 Krahasimi i Sistemit
Pasi MCNAT të ketë vendosur instancat, të gjitha testet e performancës mund të ekzekutohen duke përdorur mjetet e aplikacionit MCNAT.
Së pari, duhet të konfigurojmë rastet e testimit në tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json si më poshtë:
Pastaj mund të përdorim ish-inampkomandën më poshtë për të nisur testin. DEPLOYMENT_PATH është vendi ku ruhet gjendja e vendosjes së mjedisit të synuar, p.sh., tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.
Ai ekzekuton NGFW me një grup të caktuar rregullash mbi trafikun http të gjeneruar nga WRK në klient, ndërsa fikson një gamë bërthamash CPU, për të mbledhur një grup të plotë numrash të performancës për instancën nën test. Kur testet përfundojnë, të gjitha të dhënat formatohen si csv dhe i kthehen përdoruesit.
Vlerësimi i Performancës dhe Kostos
Në këtë seksion, ne krahasojmë vendosjet e NGFW në instanca të ndryshme të cloud-it bazuar në procesorët Intel Xeon në AWS dhe GCP.
Kjo jep udhëzime për gjetjen e llojit më të përshtatshëm të instancës së cloud-it për NGFW bazuar në performancë dhe kosto. Ne zgjedhim instanca me 4 vCPU pasi ato rekomandohen nga shumica e shitësve të NGFW. Rezultatet në AWS dhe GCP përfshijnë:
- Performanca e NGFW në lloje të vogla instancash që strehojnë 4 vCPU me Teknologjinë Intel® Hyper-Threading (Intel® HT Technology) dhe Hyperscan të aktivizuara.
- Përmirësime të performancës nga brezi në brez nga procesorët Intel Xeon Scalable të gjeneratës së parë në procesorët Intel Xeon Scalable të gjeneratës së 5-të.
- Fitim në performancë nga brezi në brez për dollar nga procesorët e shkallëzueshëm Inte® Xeon të gjeneratës së parë në procesorët e shkallëzueshëm Intel Xeon të gjeneratës së 5-të.
5.1 Vendosja e AWS
5.1.1 Lista e Llojeve të Instancës
Tabela 5. Instancat e AWS dhe Tarifat e Orëve sipas Kërkesës
| Lloji i Instancës | Modeli i CPU-së | vCPU | Kujtesa (GB) | Performanca e rrjetit (Gbps) | Ho sipas kërkesësurlnorma y ($) |
| c5-xlarge | Procesorë të shkallëzueshëm Intel® Xeon® të gjeneratës së dytë | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | Procesorë të shkallëzueshëm Intel® Xeon® të gjeneratës së parë | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | Procesorë të shkallëzueshëm Intel® Xeon® të gjeneratës së 3-të | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | Procesorë të shkallëzueshëm Intel Xeon të gjeneratës së 3-të | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | Procesorë të shkallëzueshëm Intel® Xeon® të gjeneratës së 4-të | 4 | 8 | 12.5 | 0.1785 |
Tabela 5 tregon mbiview të instancave AWS që përdorim. Ju lutemi referojuni Konfigurimit të Platformës për më shumë detaje të platformës. Ai gjithashtu rendit ho-në sipas kërkesësurlshkalla y (https://aws.amazon.com/ec2/pricing/on-demand/) për të gjitha rastet. Sa më sipër ishte norma sipas kërkesës në kohën e publikimit të këtij dokumenti dhe përqendrohet në bregdetin perëndimor të SHBA-së.
Shtëpia sipas kërkesësurlTarifa y mund të ndryshojë në varësi të rajonit, disponueshmërisë, llogarive të korporatave dhe faktorëve të tjerë.
5.1.2 Rezultatet
Figura 6 krahason performancën dhe normën e performancës në orë në të gjitha llojet e instancave të përmendura deri më tani:
- Performanca u përmirësua me instanca të bazuara në gjeneratat më të reja të procesorëve Intel Xeon. Përmirësimi nga c5.xlarge (bazuar në procesorin Intel Xeon Scalable të gjeneratës së dytë) në c7i.xlarge (bazuar në procesorin Intel Xeon Scalable të gjeneratës së katërt)
tregon një përmirësim të performancës prej 1.97x. - Performanca për dollar është përmirësuar me instancat e bazuara në gjeneratat më të reja të procesorëve Intel Xeon. Përmirësimi nga c5n.xlarge (bazuar në procesorin Intel Xeon Scalable të gjeneratës së parë) në c7i.xlarge (bazuar në procesorin Intel Xeon Scalable të gjeneratës së 4-t) tregon një përmirësim të performancës/orë prej 1.88x.
5.2 Vendosja e GCP-së
5.2.1 Lista e Llojeve të Instancës
Tabela 6. Instancat GCP dhe Tarifat e Orëve sipas Kërkesës
| Lloji i Instancës | Modeli i CPU-së | vCPU | Kujtesa (GB) | Gjerësia e brezit të daljes së parazgjedhur (Gbps) | Ho sipas kërkesësurlnorma y ($) |
| n1-std-4 | Intel® Xeon® i Gjeneratës së 1-rë Procesorë të shkallëzuar |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | Intel® Xeon® i gjeneratës së 3-të Procesorë të shkallëzuar |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | Intel® Xeon® i gjeneratës së 4-të Procesorë të shkallëzuar |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | Intel® Xeon® i gjeneratës së 5-të Procesorë të shkallëzuar |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | Intel® Xeon® i gjeneratës së 5-të Procesorë të shkallëzuar |
4 | 15 | 23 | 0.23761913 |
Tabela 6 tregon mbiview të instancave GCP që përdorim. Ju lutemi referojuni Konfigurimit të Platformës për më shumë detaje të platformës. Ai gjithashtu rendit ho-në sipas kërkesësurlshkalla y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) për të gjitha rastet. Sa më sipër ishte tarifa sipas kërkesës në kohën e publikimit të këtij dokumenti dhe përqendrohet në bregdetin perëndimor të SHBA-së. Ho sipas kërkesësurlTarifa y mund të ndryshojë në varësi të rajonit, disponueshmërisë, llogarive të korporatave dhe faktorëve të tjerë.
5.2.2 Rezultatet
Figura 7 krahason performancën dhe normën e performancës në orë në të gjitha llojet e instancave të përmendura deri më tani:
- Performanca është përmirësuar me instanca të bazuara në gjeneratat më të reja të procesorëve Intel Xeon. Përmirësimi nga n1-std-4 (bazuar në procesorin Intel Xeon Scalable të gjeneratës së parë) në c4-std-4 (bazuar në procesorin Intel Xeon Scalable të gjeneratës së 5-të) tregon një përmirësim të performancës prej 2.68 herë.
- Performanca për dollar është përmirësuar me instancat e bazuara në gjeneratat më të reja të procesorëve Intel Xeon. Përmirësimi nga n1-std-4 (bazuar në procesorin Intel Xeon Scalable të gjeneratës së parë) në c4-std-4 (bazuar në procesorin Intel Xeon Scalable të gjeneratës së 5-të) tregon një përmirësim të performancës/orë prej 2.15x.
Përmbledhje
Me rritjen e përdorimit të modeleve të vendosjes në cloud me shumë dhe hibride, ofrimi i zgjidhjeve NGFW në cloud publik ofron mbrojtje të qëndrueshme në të gjitha mjediset, shkallëzueshmëri për të përmbushur kërkesat e sigurisë dhe thjeshtësi me përpjekje minimale mirëmbajtjeje. Shitësit e sigurisë së rrjetit ofrojnë zgjidhje NGFW me një shumëllojshmëri llojesh instancash cloud në cloud publik. Është thelbësore të minimizohet kostoja totale e pronësisë (TCO) dhe të maksimizohet kthimi i investimit (ROI) me instancën e duhur të cloud. Faktorët kryesorë që duhen marrë në konsideratë përfshijnë burimet llogaritëse, gjerësinë e brezit të rrjetit dhe çmimin. Ne përdorëm zbatimin e referencës NGFW si ngarkesë pune përfaqësuese dhe përdorëm MCNAT për të automatizuar vendosjen dhe testimin në lloje të ndryshme instancash të cloud publik. Bazuar në krahasimin tonë, instancat me gjeneratën e fundit të procesorëve Intel Xeon Scalable në AWS (të mundësuar nga procesorët e 4-t Intel Xeon Scalable) dhe GCP (të mundësuar nga procesorët e 5-t Intel Xeon Scalable) ofrojnë përmirësime si të performancës ashtu edhe të TCO-së. Ato përmirësojnë performancën deri në 2.68 herë dhe normën e performancës në orë deri në 2.15 herë krahasuar me gjeneratat e mëparshme. Ky vlerësim gjeneron referenca të forta mbi përzgjedhjen e instancave të cloud-it publik të bazuara në Intel për NGFW.
Shtojca A Konfigurimi i Platformës
Konfigurimet e platformës
c5-xlarge – “Testuar nga Intel që nga 17/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) Platinum 8275CL @ 3.00GHz, 2 bërthama, HT i ndezur, Turbo i ndezur, Memorie totale 8GB (1x8GB DDR4 2933 MT/s [I panjohur]), BIOS 1.0, mikrokod 0x5003801, 1x Përshtatës Rrjeti Elastik (ENA), 1x Dyqan Blloku Elastik Amazon 32G, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c5n-xlarge – “Testuar nga Intel që nga 17/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) Platinum 8124M @ 3.00GHz, 2 bërthama, HT e ndezur, Turbo e ndezur, Memorie totale 10.5GB (1×10.5GB DDR4 2933 MT/s [E panjohur]), BIOS 1.0, mikrokod 0x2007006, 1x Përshtatës Rrjeti Elastik (ENA), 1x Dyqan Blloku Elastik Amazon 32G, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c6i-xlarge – “Testuar nga Intel që nga 17/03/25. 1 nyje, 1 procesor Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 bërthama, HT i ndezur, Turbo i ndezur, Memorie totale 8GB (1x8GB DDR4 3200 MT/s [I panjohur]), BIOS 1.0, mikrokod 0xd0003f6, 1 adaptor rrjeti elastik (ENA), 1 dyqan blloku elastik Amazon 32G, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c6in-xlarge – “Testuar nga Intel që nga 17/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) Platinum 8375C @ 2.90GHz, 2 bërthama, HT e ndezur, Turbo e ndezur, Memorie totale 8GB (1x8GB DDR4 3200 MT/s [e panjohur]), BIOS 1.0, mikrokod 0xd0003f6, 1x Përshtatës Rrjeti Elastik (ENA), 1x Dyqan Blloku Elastik Amazon 32G, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c7i-xlarge – “Testuar nga Intel që nga 17/03/25. 1 nyje, 1 procesor Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, 2 bërthama, HT i ndezur, Turbo i ndezur, Memorie totale 8GB (1x8GB DDR4 4800 MT/s [I panjohur]), BIOS 1.0, mikrokod 0x2b000620, 1 adaptor rrjeti elastik (ENA), 1x dyqan blloku elastik Amazon 32G, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n1-std-4 – “Testuar nga Intel që nga 17/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) @ 2.00GHz, 2 bërthama, HT e ndezur, Turbo e ndezur, Memorie totale 15GB (1x15GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x pajisje, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n2-std-4 – Testuar nga Intel që nga 17/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) @ 2.60GHz, 2 bërthama, HT On, Turbo On, Memorie Totale 16GB (1x16GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x pajisje, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Testuar nga Intel që nga 14/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) Platinum 8481C @ 2.70GHz @ 2.60GHz, 2 bërthama, HT On, Turbo On, Memorie Totale 16GB (1x16GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Testuar nga Intel që nga 18/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) PLATINUM 8581C @ 2.10GHz, 2 bërthama, HT i ndezur, Turbo i ndezur, Memorie totale 16GB (1x16GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Ethernet Virtual i Motorrit Llogaritës [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Testuar nga Intel që nga 18/03/25. 1 nyje, 1x CPU Intel(R) Xeon(R) PLATINUM 8581C @ 2.30GHz, 2 bërthama, HT i ndezur, Turbo i ndezur, Memorie totale 15GB (1x15GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Ethernet Virtual i Motorrit Llogaritës [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
Shtojca B Konfigurimi i Softuerit Referues Intel NGFW
| Konfigurimi i softuerit | Software Version |
| Sistemi operativ pritës | Ubuntu 22.04 LTS |
| Kernel | 6.8.0-1025 |
| Përpilues | GCC 11.4.0 |
| Wrk | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| Snort | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Hiperskanim | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Performanca ndryshon nga përdorimi, konfigurimi dhe faktorë të tjerë. Mësoni më shumë në www.Intel.com/PerformanceIndex.
Rezultatet e performancës bazohen në testimin e datave të shfaqura në konfigurime dhe mund të mos pasqyrojnë të gjitha përditësimet e disponueshme publikisht. Shikoni kopjen rezervë për detajet e konfigurimit. Asnjë produkt apo komponent nuk mund të jetë absolutisht i sigurt.
Intel heq dorë nga të gjitha garancitë e shprehura dhe të nënkuptuara, duke përfshirë, pa kufizim, garancitë e nënkuptuara të tregtueshmërisë, përshtatshmërisë për një qëllim të caktuar dhe mos-shkeljes, si dhe çdo garanci që rrjedh nga rrjedha e performancës, kursi i marrëveshjes ose përdorimi në tregti.
Teknologjitë Intel mund të kërkojnë aktivizimin e harduerit, softuerëve ose shërbimeve.
Intel nuk kontrollon apo auditon të dhënat e palëve të treta. Ju duhet të konsultoheni me burime të tjera për të vlerësuar saktësinë.
Produktet e përshkruara mund të përmbajnë defekte të dizajnit ose gabime të njohura si gabime të cilat mund të bëjnë që produkti të devijojë nga specifikimet e publikuara. Gabimet aktuale të karakterizuara janë në dispozicion sipas kërkesës.
© Intel Corporation. Intel, logoja e Intel dhe markat e tjera Intel janë marka tregtare të Intel Corporation ose filialeve të saj. Emra dhe marka të tjera mund të pretendohen si pronë e të tjerëve.
0425/XW/MK/PDF 365150-001US
Dokumentet / Burimet
 |
Intel Optimize Firewall-et e Gjeneratës së Ardhshme [pdfUdhëzuesi i përdoruesit Optimizo Firewall-et e Gjeneratës së Ardhshme, Optimizo, Firewall-et e Gjeneratës së Ardhshme, Firewall-et e Gjeneratës, Firewall-et |