Tehnoloģiju ceļvedis
Optimizējiet NGFW veiktspēju ar
Intel® Xeon® procesori publiskajā mākonī
Autori
Sjans Vans
Džaiprakašs Patidars
Deklans Dohertijs
Ēriks Džounss
Subhikša Ravisundars
Heqing Zhu
Ievads
Nākamās paaudzes ugunsmūri (NGFW) ir tīkla drošības risinājumu pamatā. Tradicionālie ugunsmūri veic stāvokļa datu plūsmas pārbaudi, parasti pamatojoties uz portu un protokolu, kas nevar efektīvi aizsargāties pret mūsdienu ļaunprātīgu datplūsmu. NGFW attīstās un paplašina tradicionālos ugunsmūrus ar uzlabotām dziļās pakešu pārbaudes iespējām, tostarp ielaušanās atklāšanas/novēršanas sistēmām (IDS/IPS), ļaunprogrammatūras noteikšanu, lietojumprogrammu identificēšanu un kontroli utt.
NGFW ir skaitļošanas ziņā ietilpīgas darba slodzes, kas veic, piemēram,ample, kriptogrāfiskas operācijas tīkla datplūsmas šifrēšanai un atšifrēšanai, kā arī sarežģīta noteikumu saskaņošana ļaunprātīgu darbību atklāšanai. Intel nodrošina pamattehnoloģijas NGFW risinājumu optimizēšanai.
Intel procesori ir aprīkoti ar dažādām instrukciju kopu arhitektūrām (ISA), tostarp Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) un Intel® QuickAssist Technology (Intel® QAT), kas ievērojami paātrina šifrēšanas veiktspēju.
Intel arī iegulda programmatūras optimizācijā, tostarp Hyperscan optimizācijā. Hyperscan ir augstas veiktspējas virkņu un regulāro izteiksmju (regex) saskaņošanas bibliotēka. Tā izmanto vienas instrukcijas vairāku datu (SIMD) tehnoloģiju Intel procesoros, lai uzlabotu modeļu saskaņošanas veiktspēju. Hyperscan integrācija NGFW IPS sistēmās, piemēram, Snort, var uzlabot veiktspēju Intel procesoros līdz pat 3 reizēm.
NGFW bieži tiek piegādātas kā drošības ierīces, kas izvietotas uzņēmumu datu centru demilitarizētajā zonā (DMZ). Tomēr pastāv liels pieprasījums pēc NGFW virtuālajām ierīcēm vai programmatūras pakotnēm, kuras var izvietot publiskajā mākonī, uzņēmumu datu centros vai tīkla perifērijas vietās. Šis programmatūras izvietošanas modelis atbrīvo uzņēmuma IT no darbības un uzturēšanas izmaksām, kas saistītas ar fiziskām ierīcēm. Tas uzlabo sistēmas mērogojamību un nodrošina elastīgas iepirkuma un iegādes iespējas.
Arvien vairāk uzņēmumu izmanto NGFW risinājumu ieviešanu publiskajā mākonī. Galvenais iemesls tam ir izmaksu priekšrocības.tagvirtuālo ierīču darbināšana mākonī.
Tomēr, tā kā CSP piedāvā daudz dažādu instanču veidu ar atšķirīgām skaitļošanas īpašībām un cenām, instances izvēle ar vislabākajām kopējām izmaksām NGFW var būt sarežģīta.
Šajā rakstā ir iepazīstināts ar Intel NGFW atsauces ieviešanu, kas ir optimizēta ar Intel tehnoloģijām, tostarp Hyperscan. Tā piedāvā uzticamu pierādījumu NGFW veiktspējas raksturošanai Intel platformās. Tā ir iekļauta kā daļa no Intel NetSec atsauces programmatūras pakotnes. Tajā pašā pakotnē mēs piedāvājam arī vairāku mākoņu tīklošanas automatizācijas rīku (MCNAT), lai automatizētu NGFW atsauces ieviešanas izvietošanu atsevišķos publisko mākoņpakalpojumu sniedzējos. MCNAT vienkāršo kopējās uzturēšanas izmaksu (TCO) analīzi dažādām skaitļošanas instancēm un palīdz lietotājiem atrast optimālo skaitļošanas instanci NGFW.
Lūdzu, sazinieties ar autoriem, lai uzzinātu vairāk par NetSec uzziņu programmatūras pakotni.
Dokumentu pārskatīšanas vēsture
| Pārskatīšana | Datums | Apraksts |
| 001 | 2025. gada marts | Sākotnējā izlaišana. |
1.1. Terminoloģija
1. tabula. Terminoloģija
| Saīsinājums | Apraksts |
| DFA | Deterministisks galīgs automāts |
| DPI | Dziļā pakešu pārbaude |
| HTTP | Hiperteksta pārsūtīšanas protokols |
| IDS/IPS | Ielaušanās atklāšanas un novēršanas sistēma |
| ISA | Instrukciju kopas arhitektūra |
| MCNAT | Vairāku mākoņu tīklošanas automatizācijas rīks |
| NFA | Nedeterministisks galīgs automāts |
| NGFW | Nākamās paaudzes ugunsmūris |
| PCAP | Pakešu uztveršana |
| PCRE | Perl saderīgu regulāro izteiksmju bibliotēka |
| Regulārā izteiksme | Regulārā izteiksme |
| SASE | Secure Access Service Edge |
| SIMD | Vienas instrukcijas vairāku datu tehnoloģija |
| TCP | Pārraides vadības protokols |
| URI | Vienotais resursa identifikators |
| WAF | Web Lietojumprogrammu ugunsmūris |
1.2 Atsauces dokumentācija
2. tabula. Atsauces dokumenti
Pamatinformācija un motivācija
Mūsdienās lielākā daļa NGFW pārdevēju ir paplašinājuši savu darbības jomu no fiziskām NGFW ierīcēm līdz virtuāliem NGFW risinājumiem, kurus var izvietot publiskajā mākonī. Publiskā mākoņa NGFW izvietošana piedzīvo arvien lielāku pievilcību šādu priekšrocību dēļ:
- Mērogojamība: viegli palieliniet vai samaziniet starpģeogrāfiskos skaitļošanas resursus, lai atbilstu veiktspējas prasībām.
- Izmaksu efektivitāte: elastīgs abonements, kas ļauj maksāt par lietošanas reizi. Novērš kapitālieguldījumus (CAPEX) un samazina ar fiziskajām ierīcēm saistītās ekspluatācijas izmaksas.
- Dzimtā integrācija ar mākoņpakalpojumiem: nemanāma integrācija ar publiskajiem mākoņpakalpojumiem, piemēram, tīklošanu, piekļuves kontroli un mākslīgā intelekta/mašīnmācīšanās rīkiem.
- Mākoņa darba slodžu aizsardzība: lokālā datplūsmas filtrēšana uzņēmuma darba slodzēm, kas tiek mitinātas publiskajā mākonī.
NGFW darba slodzes uzturēšanas izmaksu samazināšana publiskajā mākonī ir pievilcīgs piedāvājums uzņēmumu lietošanas gadījumiem.
Tomēr izvēlēties instanci ar vislabāko veiktspēju un kopējām izmaksām (TCO) NGFW ir sarežģīti, ņemot vērā plašo mākoņa instanču opciju klāstu ar dažādiem centrālajiem procesoriem, atmiņas izmēriem, IO joslas platumu un katrai no tām ir atšķirīga cena. Esam izstrādājuši NGFW Reference Implementation, lai palīdzētu veikt dažādu publisko mākoņa instanču, kuru pamatā ir Intel procesori, veiktspējas un TCO analīzi. Mēs demonstrēsim veiktspējas un veiktspējas uz dolāru rādītājus kā vadlīnijas pareizo Intel bāzes instanču izvēlei NGFW risinājumiem publiskos mākoņpakalpojumos, piemēram, AWS un GCP.
NGFW atsauces ieviešana
Intel izstrādāja NetSec atsauces programmatūras pakotni (jaunākā versija 25.05), kas nodrošina optimizētus atsauces risinājumus, izmantojot jaunākajos Intel procesoros un platformās pieejamos ISA un paātrinātājus, lai demonstrētu optimizētu veiktspēju gan uzņēmuma infrastruktūrā uz vietas, gan mākonī. Atsauces programmatūra ir pieejama saskaņā ar Intel patentēto licenci (IPL).
Šīs programmatūras pakotnes galvenās iezīmes ir:
- Ietver plašu atsauces risinājumu portfeli tīklošanai un drošībai, mākslīgā intelekta ietvarus mākoņdatošanas un uzņēmumu datu centriem un perifērijas atrašanās vietām.
- Nodrošina laiku Intel tehnoloģiju laišanai tirgū un ātru ieviešanu.
- Ir pieejams pirmkods, kas ļauj replicēt izvietošanas scenārijus un testēšanas vides Intel platformās.
Lūdzu, sazinieties ar autoriem, lai uzzinātu vairāk par jaunākās NetSec uzziņu programmatūras versijas iegūšanu.
Kā būtiska NetSec atsauces programmatūras pakotnes sastāvdaļa, NGFW atsauces ieviešana nodrošina NGFW veiktspējas raksturlielumus un kopējās izmaksas (TCO) analīzi Intel platformās. Mēs nodrošinām nemanāmu Intel tehnoloģiju, piemēram, Hyperscan, integrāciju NGFW atsauces ieviešanā. Tā veido stabilu pamatu NGFW analīzei Intel platformās. Tā kā dažādas Intel aparatūras platformas piedāvā dažādas iespējas no skaitļošanas līdz IO, NGFW atsauces ieviešana sniedz skaidrāku priekšstatu. view platformas iespējas NGFW darba slodzēm un palīdz parādīt veiktspējas salīdzinājumus starp Intel procesoru paaudzēm. Tas sniedz padziļinātu ieskatu par rādītājiem, tostarp skaitļošanas veiktspēju, atmiņas joslas platumu, IO joslas platumu un enerģijas patēriņu. Pamatojoties uz veiktspējas testu rezultātiem, mēs varam veikt tālāku TCO analīzi (ar veiktspēju uz dolāru) Intel platformām, kas tiek izmantotas NGFW.
Jaunākajā NGFW atsauces ieviešanas laidienā (25.05) ir iekļautas šādas galvenās funkcijas:
- Pamata stāvokļa ugunsmūris
- Ielaušanās novēršanas sistēma (IPS)
- Atbalsts modernākajiem Intel procesoriem, tostarp Intel® Xeon® 6 procesoriem, Intel Xeon 6 SoC u.c.
Nākamajos laidienos ir plānots ieviest šādas papildu funkcijas:
- VPN pārbaude: datplūsmas IPsec atšifrēšana satura pārbaudei
- TLS pārbaude: TLS starpniekserveris, lai pārtrauktu savienojumus starp klientu un serveri un pēc tam veiktu satura pārbaudi vienkāršā teksta datplūsmā.
3.1 Sistēmas arhitektūra
1. attēlā redzama kopējā sistēmas arhitektūra. Sistēmas izveidei mēs izmantojam atvērtā pirmkoda programmatūru:
- VPP nodrošina augstas veiktspējas datu plaknes risinājumu ar pamata stāvokļa kontrolētām ugunsmūra funkcijām, tostarp stāvokļa kontrolētiem piekļuves sarakstu (ACL). Mēs izveidojam vairākus VPP pavedienus ar konfigurētu kodola afinitāti. Katrs VPP darba pavediens ir piesprausts īpašam centrālā procesora kodolam vai izpildes pavedienam.
- Kā IPS ir izvēlēts Snort 3, kas atbalsta vairāku pavedienu apstrādi. Snort darba pavedieni ir piesprausti pie īpašiem CPU kodoliem vai izpildes pavedieniem.
- Snort un VPP ir integrēti, izmantojot Snort spraudni VPP. Tas izmanto rindu pāru kopu pakešu sūtīšanai starp VPP un Snort. Rindu pāri un paši paketes tiek glabāti koplietojamā atmiņā. Mēs izstrādājām jaunu datu iegūšanas (DAQ) komponentu Snort, ko mēs saucam par VPP nulles kopijas (ZC) DAQ. Tas ievieš Snort DAQ API funkcijas, lai saņemtu un pārsūtītu paketes, lasot no un rakstot attiecīgajās rindās. Tā kā vērtums atrodas koplietojamā atmiņā, mēs to uzskatām par nulles kopijas ieviešanu.
Tā kā Snort 3 ir skaitļošanas ziņā ietilpīga darba slodze, kurai nepieciešami vairāk skaitļošanas resursu nekā datu plaknes apstrādei, mēs cenšamies konfigurēt optimizētu procesora kodolu sadalījumu un līdzsvaru starp VPP pavedienu un Snort3 pavedienu skaitu, lai iegūtu visaugstāko sistēmas līmeņa veiktspēju darbojošajā aparatūras platformā.
2. attēlā (6. lappusē) ir parādīts grafika mezgls VPP ietvaros, ieskaitot tos, kas ir daļa no ACL un Snort. pluginsMēs izstrādājām divus jaunus VPP grafika mezglus:
- snort-enq: pieņem slodzes līdzsvarošanas lēmumu par to, kuram Snort pavedienam jāapstrādā pakete, un pēc tam ievieto paketi atbilstošajā rindā.
- snort-deq: ieviests kā ievades mezgls, kas aptaujā no vairākām rindām, pa vienai katrā Snort darbinieka pavedienā.
3.2 Intel optimizācijas
Mūsu NGFW atsauces ieviešana izmanto priekšrocībastagno šādām optimizācijām:
- Snort izmanto Hyperscan augstas veiktspējas vairāku regulāro izteiksmju salīdzināšanas bibliotēku, lai nodrošinātu ievērojamu veiktspējas uzlabojumu salīdzinājumā ar Snort noklusējuma meklētājprogrammu. 3. attēlā ir parādīta Hyperscan integrācija ar Snort, lai
paātrināt gan literāļu apstrādi, gan regulāro izteiksmju saskaņošanas veiktspēju. Snort 3 nodrošina iebūvētu integrāciju ar Hyperscan, kur lietotāji var ieslēgt Hyperscan, izmantojot konfigurācijas rīku. file vai komandrindas opcijas.
- VPP gūst priekšrocībastagIntel® Ethernet tīkla adapteru saņemšanas puses mērogošanas (RSS) izmantošana, lai sadalītu datplūsmu vairākos VPP darba pavedienos.
- Intel QAT un Intel AVX-512 instrukcijas: Nākotnes laidienos, kas atbalsta IPsec un TLS, tiks izmantotas priekšrocības.tagIntel kriptopaātrināšanas tehnoloģiju klāsts. Intel QAT paātrina kriptovalūtu veiktspēju, īpaši publiskās atslēgas kriptogrāfiju, ko plaši izmanto tīkla savienojumu izveidei. Arī Intel AVX-512 uzlabo kriptogrāfisko veiktspēju, tostarp VPMADD52 (reizināšanas un uzkrāšanas operācijas), vektoru AES (Intel AES-NI instrukciju vektoru versija), vPCLMUL (vektorizēta bezpārneses reizināšana, ko izmanto AES-GCM optimizēšanai) un Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).
NGFW atsauces ieviešanas mākoņpakalpojumos izvietošana
4.1 Sistēmas konfigurācija
3. tabula. Testa konfigurācijas
| Metrika | Vērtība |
| Lietošanas gadījums | Skaidra teksta pārbaude (programmatūra + IPS) |
| Satiksmes profesionālisfile | HTTP 64KB GET (1 GET katram savienojumam) |
| VPP ACL | Jā (2 stāvokli saglabājoši ACL) |
| Snort noteikumi | Lightspd (~49k noteikumi) |
| Snorta politika | Drošība (iespējoti ~21 XNUMX noteikumi) |
Mēs koncentrējamies uz skaidra teksta pārbaudes scenārijiem, pamatojoties uz RFC9411 norādītajiem lietošanas gadījumiem un KPI. Trafika ģenerators varēja izveidot 64 KB HTTP transakcijas ar 1 GET pieprasījumu katram savienojumam. ACL ir konfigurēti tā, lai atļautu IP adreses norādītajos apakštīklos. Salīdzinošajai novērtēšanai mēs pieņēmām Snort Lightspd noteikumu kopu un Cisco drošības politiku. Bija arī atsevišķs serveris, lai apkalpotu pieprasījumus no trafika ģeneratoriem.
Kā parādīts 4. un 5. attēlā, sistēmas topoloģijā ir iekļauti trīs primārie instanču mezgli: klients, serveris un starpniekserveris publiskā mākoņa izvietošanai. Ir arī bastiona mezgls, kas apkalpo savienojumus no lietotāja. Gan klientam (ar WRK), gan serverim (ar Nginx) ir viena īpaša datu plaknes tīkla saskarne, un starpniekserverim (ar NGFW) ir divas datu plaknes tīkla saskarnes testēšanai. Datu plaknes tīkla saskarnes ir pievienotas īpašam apakštīklam A (klients-starpniekserveris) un apakštīklam B (starpniekserveris), kas uztur izolāciju no instanču pārvaldības datplūsmas. Īpaši IP adrešu diapazoni ir definēti ar atbilstošiem maršrutēšanas un ACL noteikumiem, kas ieprogrammēti infrastruktūrā, lai nodrošinātu datplūsmas plūsmu.
4.2 Sistēmas izvietošana
MCNAT ir Intel izstrādāts programmatūras rīks, kas nodrošina automatizāciju netraucētai tīkla darba slodzes izvietošanai publiskajā mākonī un piedāvā ieteikumus labākās mākoņa instances izvēlei, pamatojoties uz veiktspēju un izmaksām.
MCNAT tiek konfigurēts, izmantojot virkni profiles, katrs definējot mainīgos un iestatījumus, kas nepieciešami katram gadījumam. Katram gadījuma tipam ir sava funkcijafile ko pēc tam var nodot MCNAT CLI rīkam, lai izvietotu šo konkrēto instances veidu noteiktā mākoņpakalpojumu sniedzējā (CSP). Piemēram,ampkomandrindas lietojums ir parādīts zemāk un 4. tabulā.
4. tabula. MCNAT komandrindas lietojums
| Opcija | Apraksts |
| –izvietot | Norāda rīkam izveidot jaunu izvietojumu |
| -u | Definē, kurus lietotāja akreditācijas datus izmantot |
| -c | CSP, lai izveidotu izvietošanu (AWS, GCP utt.) |
| -s | Izvietošanas scenārijs |
| -p | Profile izmantot |
MCNAT komandrindas rīks var izveidot un izvietot instances vienā darbībā. Kad instance ir izvietota, pēckonfigurācijas darbības izveido nepieciešamo SSH konfigurāciju, lai instancei varētu piekļūt.
4.3 Sistēmas salīdzinošā novērtēšana
Kad MCNAT ir izvietojis instances, visus veiktspējas testus var palaist, izmantojot MCNAT lietojumprogrammu rīkkopu.
Vispirms mums ir jākonfigurē testa gadījumi vietnē tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json, kā norādīts tālāk:
Tad mēs varam izmantot exampLai palaistu testu, izmantojiet tālāk norādīto komandu le. DEPLOYMENT_PATH ir vieta, kur tiek glabāts mērķa vides izvietošanas stāvoklis, piemēram, tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate.d/tfws_default.
Tas palaiž NGFW ar noteiktu noteikumu kopumu attiecībā uz WRK ģenerēto http trafiku klienta pusē, vienlaikus piespraužot CPU kodolu diapazonu, lai apkopotu pilnu veiktspējas skaitļu kopu testējamajai instancei. Kad testi ir pabeigti, visi dati tiek formatēti kā CSV fails un atgriezti lietotājam.
Veiktspējas un izmaksu novērtējums
Šajā sadaļā mēs salīdzinām NGFW izvietojumus dažādās mākoņinstancēs, kuru pamatā ir Intel Xeon procesori AWS un GCP.
Tas sniedz norādījumus par piemērotākā mākoņa instances veida atrašanu NGFW, pamatojoties uz veiktspēju un izmaksām. Mēs izvēlamies instances ar 4 vCPU, jo tās iesaka lielākā daļa NGFW pārdevēju. Rezultāti AWS un GCP ietver:
- NGFW veiktspēja mazos instanču tipos, kuros ir 4 vCPU ar Intel® Hyper-Threading tehnoloģiju (Intel® HT tehnoloģija) un iespējotu Hyperscan.
- Veiktspējas uzlabojumi no paaudzes paaudzē, pārejot no 1. paaudzes Intel Xeon Scalable procesoriem uz 5. paaudzes Intel Xeon Scalable procesoriem.
- Paaudžu paaudzē veiktspējas pieaugums uz katru dolāru, salīdzinot ar 1. paaudzes Inte® Xeon mērogojamiem procesoriem ar 5. paaudzes Intel Xeon mērogojamiem procesoriem.
5.1 AWS izvietošana
5.1.1 Instanču tipu saraksts
5. tabula. AWS instances un stundu likmes pēc pieprasījuma
| Instances tips | CPU modelis | vCPU | Atmiņa (GB) | Tīkla veiktspēja (Gb/s) | Pēc pieprasījuma hourly likme ($) |
| c5-xlarge | 2. paaudzes Intel® Xeon® mērogojamie procesori | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | 1. paaudzes Intel® Xeon® mērogojamie procesori | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | 3. paaudzes Intel® Xeon® mērogojamie procesori | 4 | 8 | 12.5 | 0.17 |
| c6in-exlarge | 3. paaudzes Intel Xeon mērogojamie procesori | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | 4. paaudzes Intel® Xeon® mērogojamie procesori | 4 | 8 | 12.5 | 0.1785 |
5. tabulā ir parādīts virsview no AWS instancēm, ko mēs izmantojam. Plašāku informāciju par platformu skatiet sadaļā Platformas konfigurācija. Tajā ir uzskaitītas arī pēc pieprasījuma pieejamās iespējas.urly likme (https://aws.amazon.com/ec2/pricing/on-demand/) visos gadījumos. Iepriekš minētā bija pieprasījuma likme šī raksta publicēšanas laikā, un tā koncentrējas uz ASV rietumu krastu.
Pēc pieprasījuma hourly likme var atšķirties atkarībā no reģiona, pieejamības, korporatīvajiem kontiem un citiem faktoriem.
5.1.2 Rezultāti
6. attēlā ir salīdzināta visu līdz šim minēto instanču veidu veiktspēja un veiktspējas rādītājs stundā:
- Veiktspēja uzlabota ar instancēm, kuru pamatā ir jaunākās paaudzes Intel Xeon procesori. Jaunināšana no c5.xlarge (pamatojoties uz 2. paaudzes Intel Xeon Scalable procesoru) uz c7i.xlarge (pamatojoties uz 4. paaudzes Intel Xeon Scalable procesoru).
uzrāda 1.97 reizes lielāku veiktspējas uzlabojumu. - Veiktspēja uz vienu dolāru ir uzlabota, izmantojot instances, kuru pamatā ir jaunākās paaudzes Intel Xeon procesori. Jaunināšana no c5n.xlarge (pamatojoties uz 1. paaudzes Intel Xeon Scalable procesoru) uz c7i.xlarge (pamatojoties uz 4. paaudzes Intel Xeon Scalable procesoru) uzrāda 1.88x veiktspējas/stundas ātruma uzlabojumu.
5.2 GCP izvietošana
5.2.1 Instanču tipu saraksts
6. tabula. GCP instances un stundu likmes pēc pieprasījuma
| Instances tips | CPU modelis | vCPU | Atmiņa (GB) | Noklusējuma izejošā joslas platums (Gb/s) | Pēc pieprasījuma hourly likme ($) |
| n1-std-4 | 1. paaudzes Intel® Xeon® Mērogojami procesori |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | 3. paaudzes Intel® Xeon® Mērogojami procesori |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | 4. paaudzes Intel® Xeon® Mērogojami procesori |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | 5. paaudzes Intel® Xeon® Mērogojami procesori |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | 5. paaudzes Intel® Xeon® Mērogojami procesori |
4 | 15 | 23 | 0.23761913 |
6. tabulā ir parādīts virsview no GCP instancēm, ko mēs izmantojam. Plašāku informāciju par platformu skatiet sadaļā Platformas konfigurācija. Tajā ir uzskaitītas arī pēc pieprasījuma pieejamās hourly likme (https://cloud.google.com/compute/vm-instance-pricing?hl=en) visos gadījumos. Iepriekš minētā bija pieprasījuma likme šī raksta publicēšanas laikā un koncentrējas uz ASV rietumu krastu. Pēc pieprasījuma hourly likme var atšķirties atkarībā no reģiona, pieejamības, korporatīvajiem kontiem un citiem faktoriem.
5.2.2 Rezultāti
7. attēlā ir salīdzināta visu līdz šim minēto instanču veidu veiktspēja un veiktspējas rādītājs stundā:
- Veiktspēja ir uzlabota ar instancēm, kuru pamatā ir jaunākās paaudzes Intel Xeon procesori. Jaunināšana no n1-std-4 (pamatojoties uz 1. paaudzes Intel Xeon Scalable procesoru) uz c4-std-4 (pamatojoties uz 5. paaudzes Intel Xeon Scalable procesoru) nodrošina 2.68x veiktspējas uzlabojumu.
- Veiktspēja uz dolāru ir uzlabota, izmantojot instances, kuru pamatā ir jaunākās paaudzes Intel Xeon procesori. Jaunināšana no n1-std-4 (pamatojoties uz 1. paaudzes Intel Xeon Scalable procesoru) uz c4-std-4 (pamatojoties uz 5. paaudzes Intel Xeon Scalable procesoru) uzrāda 2.15 reizes veiktspējas/stundas ātruma uzlabojumu.
Kopsavilkums
Pieaugot vairāku un hibrīdmākoņu izvietošanas modeļu ieviešanai, NGFW risinājumu piegāde publiskajā mākonī nodrošina konsekventu aizsardzību dažādās vidēs, mērogojamību, lai atbilstu drošības prasībām, un vienkāršību ar minimālām uzturēšanas pūlēm. Tīkla drošības pārdevēji piedāvā NGFW risinājumus ar dažādiem mākoņa instanču veidiem publiskajā mākonī. Ir ļoti svarīgi samazināt kopējās īpašumtiesību izmaksas (TCO) un palielināt ieguldījumu atdevi (ROI), izmantojot pareizo mākoņa instanci. Galvenie faktori, kas jāņem vērā, ir skaitļošanas resursi, tīkla joslas platums un cena. Mēs izmantojām NGFW atsauces ieviešanu kā reprezentatīvu darba slodzi un izmantojām MCNAT, lai automatizētu izvietošanu un testēšanu dažādos publiskā mākoņa instanču veidos. Pamatojoties uz mūsu salīdzinošo analīzi, instances ar jaunākās paaudzes Intel Xeon Scalable procesoriem AWS (ko darbina 4. Intel Xeon Scalable procesori) un GCP (ko darbina 5. Intel Xeon Scalable procesori) nodrošina gan veiktspējas, gan TCO uzlabojumus. Tās uzlabo veiktspēju līdz pat 2.68 reizēm un veiktspējas ātrumu stundā līdz pat 2.15 reizēm salīdzinājumā ar iepriekšējām paaudzēm. Šis novērtējums sniedz stabilas atsauces uz Intel balstītu publiskā mākoņa instanču izvēli NGFW.
A pielikums Platformas konfigurācija
Platformas konfigurācijas
c5-xlarge – “Intel tests uz 03. gada 17. martu. 25 mezgls, 1x Intel(R) Xeon(R) Platinum 1CL centrālais procesors ar frekvenci 8275 GHz, 3.00 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (8x1 GB DDR8 4 MT/s [nav zināms]), BIOS 2933, mikrokods 1.0x0, 5003801x Elastic Network Adapter (ENA), 1x 1 GB Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12“
c5n-xlarge – “Intel tests uz 03. gada 17. martu. 25 mezgls, 1x Intel(R) Xeon(R) Platinum 1M centrālais procesors ar frekvenci 8124 GHz, 3.00 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (10.5 × 1 GB DDR10.5 4 MT/s [nav zināms]), BIOS 2933, mikrokods 1.0x0, 2007006x elastīgais tīkla adapteris (ENA), 1x 1 GB Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
c6i-xlarge – “Intel tests uz 2025. gada 17. martu. 1 mezgls, 1x Intel(R) Xeon(R) Platinum 8375C centrālais procesors ar frekvenci 2.90 GHz, 2 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 8 GB (1x8 GB DDR4 3200 MT/s [nav zināms]), BIOS 1.0, mikrokods 0xd0003f6, 1x Elastic Network Adapter (ENA), 1x 32 GB Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – “Intel tests uz 03. gada 17. martu. 25 mezgls, 1x Intel(R) Xeon(R) Platinum 1C centrālais procesors ar frekvenci 8375 GHz, 2.90 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (8x1 GB DDR8 4 MT/s [nav zināms]), BIOS 3200, mikrokods 1.0xd0f0003, 6x Elastic Network Adapter (ENA), 1x 1 GB Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
c7i-xlarge – “Intel tests uz 03. gada 17. martu. 25 mezgls, 1x Intel(R) Xeon(R) Platinum 1C centrālais procesors ar frekvenci 8488 GHz, 2.40 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (8x1 GB DDR8 4 MT/s [nav zināms]), BIOS 4800, mikrokods 1.0x0b2, 000620x Elastic Network Adapter (ENA), 1x 1 GB Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
n1-std-4 – “Intel tests uz 03. gada 17. martu. 25 mezgls, 1x Intel(R) Xeon(R) centrālais procesors ar frekvenci 1 GHz, 2.00 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (15x1 GB RAM []), BIOS Google, mikrokods 15xffffffff, 0x ierīce, 1x 1 GB PersistentDisk, Ubuntu 32 LTS, 22.04.5-6.8.0gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12“
n2-std-4 – Intel tests, sākot ar 03. gada 17. martu. 25 mezgls, 1 x Intel(R) Xeon(R) centrālais procesors ar frekvenci 1 GHz, 2.60 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (16 x 1 GB RAM []), BIOS Google, mikrokods 16xffffffff, 0 x ierīce, 1 x 1 G PersistentDisk, Ubuntu 32 LTS, 22.04.5–6.8.0gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
c3-std-4 – Intel tests, sākot ar 03. gada 14. martu. 25 mezgls, 1 x Intel(R) Xeon(R) Platinum 1C centrālais procesors ar frekvenci 8481 GHz un frekvenci 2.70 GHz, 2.60 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (16 x 1 GB RAM []), BIOS Google, mikrokods 16xffffffff, 0 x Compute Engine Virtual Ethernet [gVNIC], 1 x 1G nvme_card-pd, Ubuntu 32 LTS, 22.04.5-6.8.0-gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
n4-std-4 – Intel tests, sākot ar 03. gada 18. martu. 25 mezgls, 1 x Intel(R) Xeon(R) PLATINUM 1C centrālais procesors ar frekvenci 8581 GHz, 2.10 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (16 x 1 GB RAM []), BIOS Google, mikrokods 16xffffffff, 0 x Compute Engine Virtual Ethernet [gVNIC], 1 x 1G nvme_card-pd, Ubuntu 32 LTS, 22.04.5-6.8.0-gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
c4-std-4 – Intel tests, sākot ar 03. gada 18. martu. 25 mezgls, 1 x Intel(R) Xeon(R) PLATINUM 1C centrālais procesors ar frekvenci 8581 GHz, 2.30 kodoli, HT ieslēgts, Turbo ieslēgts, kopējā atmiņa 2 GB (15 x 1 GB RAM []), BIOS Google, mikrokods 15xffffffff, 0 x Compute Engine Virtual Ethernet [gVNIC], 1 x 1G nvme_card-pd, Ubuntu 32 LTS, 22.04.5-6.8.0-gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
B pielikums Intel NGFW uzziņu programmatūras konfigurācija
| Programmatūras konfigurācija | Programmatūras versija |
| Resursdatora OS | Ubuntu 22.04 LTS |
| Kodols | 6.8.0-1025 |
| Kompilators | GCC 11.4.0 |
| WRK | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| Šņaukt | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Hiperskenēšana | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Veiktspēja atšķiras atkarībā no lietojuma, konfigurācijas un citiem faktoriem. Uzziniet vairāk vietnē www.Intel.com/PerformanceIndex.
Veiktspējas rezultāti ir balstīti uz testēšanu datumos, kas norādīti konfigurācijās, un tie var neatspoguļot visus publiski pieejamos atjauninājumus. Detalizētu informāciju par konfigurāciju skatiet dublējumkopijā. Neviens produkts vai sastāvdaļa nevar būt pilnīgi drošs.
Intel atsakās no visām tiešajām un netiešajām garantijām, tostarp bez ierobežojuma netiešajām garantijām par piemērotību tirdzniecībai, piemērotību noteiktam mērķim un nepārkāpšanu, kā arī no jebkādām garantijām, kas izriet no darbības gaitas, darījumu gaitas vai izmantošanas tirdzniecībā.
Intel tehnoloģijām var būt nepieciešama aktivizēta aparatūras, programmatūras vai pakalpojumu aktivizēšana.
Intel nekontrolē un nerevidē trešo pušu datus. Lai novērtētu precizitāti, jums jākonsultējas ar citiem avotiem.
Aprakstītajos produktos var būt dizaina defekti vai kļūdas, kas pazīstamas kā kļūdas, kuru dēļ produkts var atšķirties no publicētajām specifikācijām. Pašreizējās raksturotās kļūdas ir pieejamas pēc pieprasījuma.
© Intel Corporation. Intel, Intel logotips un citas Intel preču zīmes ir Intel Corporation vai tās meitasuzņēmumu preču zīmes. Citi nosaukumi un zīmoli var tikt uzskatīti par citu personu īpašumu.
0425/XW/MK/PDF 365150-001US
Dokumenti / Resursi
 |
Intel Optimize nākamās paaudzes ugunsmūri [pdfLietotāja rokasgrāmata Optimizējiet nākamās paaudzes ugunsmūrus, Optimizējiet, Nākamās paaudzes ugunsmūri, Paaudzes ugunsmūri, Ugunsmūri |