Logo ng Intel

Gabay sa Teknolohiya
I-optimize ang Pagganap ng NGFW gamit ang
Mga Proseso ng Intel® Xeon® sa Public Cloud

Mga may-akda
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhiksha Ravisundar
Heqing Zhu

Mga nilalaman magtago
1 Panimula
2 Background at Pagganyak
3 Pagpapatupad ng Sanggunian ng NGFW
4 Cloud Deployment ng NGFW Reference Implementation
5 Pagganap at Pagsusuri sa Gastos
6 Buod
7 Appendix A Platform Configuration
8 Mga Dokumento / Mga Mapagkukunan
8.1 Mga sanggunian

Panimula

Ang mga susunod na henerasyong firewall (NGFWs) ay nasa ubod ng mga solusyon sa seguridad ng network. Ang mga tradisyunal na firewall ay nagsasagawa ng stateful na inspeksyon sa trapiko, karaniwang nakabatay sa port at protocol na hindi epektibong makapagtatanggol laban sa modernong nakakahamak na trapiko. Ang mga NGFW ay nagbabago at lumalawak sa mga tradisyonal na firewall na may advanced na malalim na packet inspection na mga kakayahan, kabilang ang intrusion detection/prevention system (IDS/IPS), malware detection, application identification at control, atbp.
Ang mga NGFW ay compute-intensive workload na gumaganap, halimbawaample, cryptographic operations para sa network traffic encryption at decryption at heavy rule matching para sa pag-detect ng mga malisyosong aktibidad. Naghahatid ang Intel ng mga pangunahing teknolohiya para ma-optimize ang mga solusyon sa NGFW.
Nilagyan ang mga Intel processor ng iba't ibang instruction set architecture (ISA), kabilang ang Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) at Intel® QuickAssist Technology (Intel® QAT) na makabuluhang nagpapabilis sa pagganap ng crypto.
Namumuhunan din ang Intel sa mga pag-optimize ng software kabilang ang para sa Hyperscan. Ang Hyperscan ay isang high-performance string at regular na expression (regex) na tumutugma sa library. Ginagamit nito ang teknolohiyang single instruction multiple data (SIMD) sa mga processor ng Intel upang palakasin ang pagganap ng pagtutugma ng pattern. Ang hyperscan integration sa NGFW IPS system gaya ng Snort ay maaaring mapabuti ang performance ng hanggang 3x sa mga Intel processor.
Ang mga NGFW ay kadalasang inihahatid bilang isang security appliance na naka-deploy sa demilitarized zone (DMZ) ng mga enterprise data center. Gayunpaman, mayroong isang malakas na pangangailangan para sa NGFW virtual appliances o software packages na maaaring i-deploy sa pampublikong cloud, sa mga enterprise data center, o sa mga lokasyon sa gilid ng network. Ang modelo ng pag-deploy ng software na ito ay nagpapalaya sa enterprise IT mula sa mga overhead ng pagpapatakbo at pagpapanatili na nauugnay sa mga pisikal na appliances. Pinapabuti nito ang scalability ng system at nagbibigay ng flexible na mga opsyon sa pagkuha at pagbili.
Ang dumaraming bilang ng mga negosyo ay tinatanggap ang mga pampublikong cloud deployment ng mga solusyon sa NGFW. Ang isang pangunahing dahilan para dito ay ang cost advantage ng pagpapatakbo ng mga virtual appliances sa cloud.
Gayunpaman, dahil nag-aalok ang mga CSP ng maraming uri ng instance na may iba't ibang katangian ng pag-compute at pagpepresyo, maaaring maging mahirap ang pagpili ng instance na may pinakamahusay na TCO para sa NGFW.
Ipinakilala ng papel na ito ang isang pagpapatupad ng sanggunian ng NGFW mula sa Intel, na na-optimize gamit ang mga teknolohiya ng Intel, kabilang ang Hyperscan. Nag-aalok ito ng maaasahang proof-point para sa NGFW performance characterization sa mga Intel platform. Ito ay kasama bilang bahagi ng NetSec Reference Software package ng Intel. Nagbibigay din kami ng Multi-Cloud Networking Automation Tool (MCNAT) sa parehong package para i-automate ang pag-deploy ng NGFW reference na pagpapatupad sa mga piling pampublikong cloud provider. Pinapasimple ng MCNAT ang pagsusuri sa TCO para sa iba't ibang mga instance ng compute at ginagabayan ang mga user sa pinakamainam na instance ng compute para sa NGFW.
Mangyaring makipag-ugnayan sa mga may-akda upang matuto nang higit pa tungkol sa pakete ng NetSec Reference Software.

Kasaysayan ng Pagbabago ng Dokumento

Rebisyon Petsa Paglalarawan
001 Marso 2025 Paunang paglabas.

1.1 Mga Terminolohiya
Talahanayan 1. Mga Terminolohiya

Pagpapaikli Paglalarawan
DFA Deterministic Finite Automaton
DPI Deep Packet Inspection
HTTP Hypertext Transfer Protocol
IDS/IPS Intrusion Detection at Prevention System
ISA Instruction Set Architecture
MCNAT Multi-Cloud Networking Automation Tool
NFA Non-deterministic Finite Automaton
NGFW Susunod na henerasyong Firewall
PCAP Packet Capture
PCRE Perl Compatible Regular Expressions Library
Regex Regular na Pagpapahayag
SASE Secure Access Service Edge
SIMD Iisang Pagtuturo Multiple Data Technology
TCP Protocol ng Pagkontrol sa Transmission
URI Uniform Resource Identifier
WAF Web Firewall ng Application

1.2 Dokumentasyon ng Sanggunian
Talahanayan 2. Mga Sangguniang Dokumento

Sanggunian Pinagmulan
Intel® Xeon® Scalable Platform na Binuo para sa Karamihan sa Mga Sensitibong Workload https://www.intc.com/news-events/press-releases/detail/1423/intel-xeon-scalable-platform-built-for-most-sensitive
Ngumuso https://www.snort.org/
Mga Panuntunan ng Snort Talos https://www.snort.org/downloads#rules
Hyperscan https://www.intel.com/content/www/us/en/developer/articles/technical/introduction-to-hyperscan.html
Pagsasama ng Hyperscan at Snort https://www.intel.com/content/www/us/en/developer/articles/technical/hyperscan-and-snort-integration.html
Hyperscan: Isang Mabilis na Multi-Pattern Regex Matcher para sa Mga Makabagong CPU https://www.usenix.org/conference/nsdi19/presentation/wang-xiang
Teddy: Isang Mahusay na SIMD-based Literal Matching Engine para sa Scalable Deep Packet Inspection https://dl.acm.org/doi/10.1145/3472456.3473512
Intel® 64 at IA-32 Architectures Software Developer Manuals https://www.intel.com/content/www/us/en/developer/articles/technical/intel-sdm.html
Intel® Intrinsics Guide https://www.intel.com/content/www/us/en/docs/intrinsics-guide/index.html
Pinapabilis ang Pagganap ng Suricata Throughput Gamit ang Hyperscan Pattern-Matching Software https://www.intel.com/content/dam/www/public/us/en/documents/solution-briefs/hyperscan-scalability-solution-brief.pdf
Suricata https://suricata.io/
Hyperscan sa Suricata: Estado ng Unyon https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf
Pabilisin ang Snort Performance gamit ang Hyperscan at Intel® Xeon® Processor sa Public Clouds https://networkbuilders.intel.com/solutionslibrary/accelerate-snort-performance-with-hyperscan-and-intel-xeon-processors-on-public-clouds
Next Generation Firewall – Mga Optimization na may 4th Gen Intel® Xeon® Scalable Processor https://networkbuilders.intel.com/solutionslibrary/next-generation-firewall- optimizations-solusyon-maikli
I-optimize ang Throughput at Power Efficiency para sa Mga Next-Generation na Firewall https://www.intel.com/content/www/us/en/products/docs/processors/xeon-accelerated/network/xeon6-firewall-solution-brief.html
NetSec Software Package https://www.intel.com/content/www/us/en/secure/design/confidential/software-kits/kit-details.html?kitId=853965

Background at Pagganyak

Ngayon, karamihan sa mga vendor ng NGFW ay nagpalawak ng kanilang mga footprint mula sa mga pisikal na NGFW appliances hanggang sa mga virtual na solusyon ng NGFW na maaaring i-deploy sa pampublikong ulap. Ang pampublikong cloud NGFW deployment ay nakakakita ng mas mataas na pag-aampon dahil sa mga sumusunod na benepisyo:

  • Scalability: madaling palakihin o bawasan ang mga cross-geo compute na mapagkukunan upang matugunan ang mga kinakailangan sa pagganap.
  • Pagiging epektibo sa gastos: flexible na subscription upang payagan ang pay per use. Tinatanggal ang capital expenditure (capex) at binabawasan ang mga gastos sa pagpapatakbo na nauugnay sa mga pisikal na appliances.
  • Native integration sa cloud services: seamless integration sa public cloud services gaya ng networking, access controls at AI/ML tools.
  • Proteksyon sa cloud workloads: lokal na pag-filter ng trapiko para sa mga workload ng enterprise na naka-host sa pampublikong cloud.

Ang pinababang gastos sa pagpapatakbo ng NGFW na workload sa pampublikong cloud ay isang kaakit-akit na panukala para sa mga kaso ng paggamit ng enterprise.
Gayunpaman, ang pagpili ng instance na may pinakamahusay na performance at ang TCO para sa NGFW ay mahirap, dahil ang malawak na hanay ng mga opsyon sa cloud instance ay available sa iba't ibang CPU, laki ng memory, IO bandwidth, at bawat isa ay may iba't ibang presyo. Bumuo kami ng NGFW Reference Implementation para tumulong sa performance at TCO analysis ng iba't ibang public cloud instance batay sa mga Intel processor. Ipapakita namin ang performance at performance per dollar metrics bilang gabay sa pagpili ng tamang Intel-based na mga instance para sa NGFW solutions sa mga pampublikong serbisyo sa cloud gaya ng AWS at GCP.

Pagpapatupad ng Sanggunian ng NGFW

Binuo ng Intel ang NetSec Reference Software package (pinakabagong release 25.05) na naghahatid ng mga na-optimize na reference na solusyon na gumagamit ng mga ISA at accelerator na available sa mga pinakabagong Intel CPU at platform upang ipakita ang na-optimize na performance sa on-prem enterprise infrastructure at sa cloud. Ang reference na software ay makukuha sa ilalim ng Intel Proprietary License (IPL).
Ang mga pangunahing highlight ng software package na ito ay:

  • May kasamang malawak na portfolio ng mga reference na solusyon para sa networking at seguridad, AI frameworks para sa cloud at enterprise data centers at edge locations.
  • Nagbibigay-daan sa oras sa merkado at mabilis na paggamit ng mga teknolohiya ng Intel.
  • Available ang source code na nagbibigay-daan sa pagkopya ng mga deployment scenario at testing environment sa mga Intel platform.

Mangyaring makipag-ugnayan sa mga may-akda upang matuto nang higit pa tungkol sa pagkuha ng pinakabagong release ng NetSec Reference Software.
Bilang isang kritikal na bahagi ng pakete ng NetSec Reference Software, ang pagpapatupad ng reference ng NGFW ay nagtutulak sa mga katangian ng pagganap ng NGFW at pagsusuri ng TCO sa mga platform ng Intel. Naghahatid kami ng tuluy-tuloy na pagsasama ng mga teknolohiya ng Intel tulad ng Hyperscan sa pagpapatupad ng sanggunian ng NGFW. Bumubuo ito ng matatag na pundasyon para sa pagsusuri ng NGFW sa mga platform ng Intel. Dahil ang iba't ibang Intel hardware platform ay nag-aalok ng iba't ibang kakayahan mula sa compute hanggang IO, ang NGFW reference na pagpapatupad ay nagpapakita ng mas malinaw view ng mga kakayahan sa platform para sa mga workload ng NGFW at tumutulong na ipakita ang mga paghahambing ng pagganap sa pagitan ng mga henerasyon ng mga processor ng Intel. Naghahatid ito ng masusing insight sa mga sukatan, kabilang ang compute performance, memory bandwidth, IO bandwidth, at power consumption. Batay sa mga resulta ng pagsubok sa pagganap, maaari pa tayong magsagawa ng pagsusuri sa TCO (na may pagganap kada dolyar) sa mga platform ng Intel na ginagamit para sa NGFW.

Kasama sa pinakabagong release (25.05) ng pagpapatupad ng sanggunian ng NGFW ang mga sumusunod na pangunahing tampok:

  • Basic stateful firewall
  • Intrusion Prevention System (IPS)
  • Suporta ng mga cutting-edge na Intel processor kabilang ang Intel® Xeon® 6 processors, Intel Xeon 6 SoC, atbp.

Ang mga paglabas sa hinaharap ay binalak na ipatupad ang mga sumusunod na karagdagang feature:

  • VPN inspeksyon: IPsec decryption ng trapiko para sa inspeksyon ng nilalaman
  • Pag-inspeksyon ng TLS: isang TLS Proxy upang wakasan ang mga koneksyon sa pagitan ng isang kliyente at isang server at pagkatapos ay magsagawa ng inspeksyon ng nilalaman sa trapiko ng plaintext.

3.1 Arkitektura ng Sistema

Intel Optimize Next Generation Firewalls - Arkitektura ng System

Ipinapakita ng Figure 1 ang pangkalahatang arkitektura ng system. Ginagamit namin ang open-source na software bilang pundasyon sa pagbuo ng system:

  • Nagbibigay ang VPP ng high-performance data plane solution na may mga pangunahing stateful na function ng firewall, kabilang ang mga stateful na ACL. Nag-spawn kami ng maraming VPP thread na may naka-configure na core affinity. Ang bawat thread ng manggagawa ng VPP ay naka-pin sa isang nakalaang CPU core o isang execution thread.
  • Ang Snort 3 ay pinili bilang IPS, na sumusuporta sa multi-threading. Ang mga snort worker thread ay naka-pin sa mga nakalaang CPU core o execution thread.
  • Ang Snort at VPP ay isinama gamit ang Snort plugin sa VPP. Gumagamit ito ng isang hanay ng mga pares ng pila para sa pagpapadala ng mga packet sa pagitan ng VPP at Snort. Ang mga pares ng pila at ang mga packet mismo ay naka-imbak sa shared memory. Gumawa kami ng bagong bahagi ng Data Acquisition (DAQ) para sa Snort, na tinatawag naming VPP Zero Copy (ZC) DAQ. Ipinapatupad nito ang mga function ng Snort DAQ API upang tumanggap at magpadala ng mga packet sa pamamagitan ng pagbabasa mula at pagsulat sa mga nauugnay na pila. Dahil nasa shared memory ang payload, itinuturing namin itong Zero-Copy na pagpapatupad.

Dahil ang Snort 3 ay isang compute-intensive na workload na nangangailangan ng mas maraming computing resources kaysa sa pagpoproseso ng data plane, sinusubukan naming i-configure ang isang naka-optimize na processor core allocation at balanse sa pagitan ng bilang ng mga VPP thread at Snort3 thread para makuha ang pinakamataas na performance sa antas ng system sa tumatakbong hardware platform.
Ipinapakita ng Figure 2 (sa pahina 6) ang graph node sa loob ng VPP, kabilang ang mga bahagi ng ACL at Snort plugins. Gumawa kami ng dalawang bagong VPP graph node:

  • snort-enq: gumagawa ng desisyon sa pag-load-balancing tungkol sa kung aling Snort thread ang dapat magproseso ng packet at pagkatapos ay i-enqueu ang packet sa kaukulang pila.
  • snort-deq: ipinatupad bilang isang input node na nagbobotohan mula sa maraming pila, isa sa bawat Snort worker thread.

Intel Optimize Next Generation Firewalls - Mga Graph Node

3.2 Intel Optimizations
Ang aming pagpapatupad ng sanggunian ng NGFW ay tumatagal ng advantage ng mga sumusunod na pag-optimize:

  • Ginagamit ng Snort ang Hyperscan high-performance na maramihang regex na tumutugmang library upang magbigay ng makabuluhang pagpapalakas sa pagganap kumpara sa default na search engine sa Snort. Ang Figure 3 ay nagha-highlight ng Hyperscan integration sa Snort to
    mapabilis ang parehong pagganap ng pagtutugma ng literal na machng at regex. Nagbibigay ang Snort 3 ng katutubong pagsasama sa Hyperscan kung saan maaaring i-on ng mga user ang Hyperscan alinman sa pamamagitan ng config file o mga pagpipilian sa command line.

Intel Optimize Next Generation Firewalls - Snort gamit ang Hyperscan

  • Ang VPP ay tumatagal ng advantage ng Receive Side Scaling (RSS) sa Intel® Ethernet Network Adapters upang ipamahagi ang trapiko sa maraming thread ng manggagawa sa VPP.
  • Mga tagubilin ng Intel QAT at Intel AVX-512: Ang mga release sa hinaharap na sumusuporta sa IPsec at TLS ay kukuha ng advantage ng crypto acceleration technologies mula sa Intel. Pinapabilis ng Intel QAT ang pagganap ng crypto, lalo na ang pampublikong key cryptography na malawakang ginagamit para sa pagtatatag ng mga koneksyon sa network. Ang Intel AVX-512 ay nagpapalakas din ng cryptographic na pagganap, kabilang ang VPMADD52 (multiply at accumulation operations), vector AES (vector na bersyon ng Intel AES-NI na mga tagubilin), vPCLMUL (vectorized carry-less multiply, na ginagamit upang i-optimize ang AES-GCM), at Intel® Secure Hash Algorithm – Bagong SHA-NI).

Cloud Deployment ng NGFW Reference Implementation

4.1 System Configuration
Talahanayan 3. Mga pagsasaayos ng pagsubok

Sukatan Halaga
Use Case Cleartext Inspection (FW + IPS)
Traffic Profile HTTP 64KB GET (1 GET bawat Koneksyon)
Mga VPP ACL Oo (2 stateful ACLs)
Mga Panuntunan ng Snort Lightspd (~49k na panuntunan)
Patakaran sa Snort Seguridad (~21k panuntunan ang pinagana)

Nakatuon kami sa mga sitwasyong inspeksyon ng malinaw na teksto batay sa mga kaso ng paggamit at mga KPI sa RFC9411. Ang traffic generator ay maaaring gumawa ng 64KB HTTP na mga transaksyon na may 1 GET na kahilingan sa bawat koneksyon. Ang mga ACL ay na-configure upang payagan ang mga IP sa tinukoy na mga subnet. Pinagtibay namin ang Snort Lightspd ruleset at ang patakaran sa seguridad mula sa Cisco para sa benchmarking. Nagkaroon din ng dedikadong server upang maghatid ng mga kahilingan mula sa mga generator ng trapiko.

Intel Optimize Next Generation Firewalls - Topology ng SystemIntel Optimize Next Generation Firewalls - System Topology 2

Gaya ng ipinapakita sa Figure 4 at Figure 5, ang topology ng system ay may kasamang tatlong pangunahing instance node: isang client, isang server at isang proxy para sa pampublikong cloud deployment. Mayroon ding balwarte node upang maghatid ng mga koneksyon mula sa gumagamit. Parehong client (tumatakbo ang WRK) at server (gumana ng Nginx) ay may iisang dedikadong data-plane network interface, at ang proxy (running NGFW) ay may dalawang data-plane network interface para sa pagsubok. Ang mga interface ng network ng data-plane ay naka-attach sa nakalaang subnet A (client-proxy) at subnet B (proxy-server) na nagpapanatili ng paghihiwalay mula sa trapiko ng pamamahala ng instance. Ang mga nakalaang hanay ng IP address ay tinukoy na may kaukulang pagruruta at mga panuntunan ng ACL na naka-program sa imprastraktura upang payagan ang daloy ng trapiko.

4.2 Pag-deploy ng System
Ang MCNAT ay isang software tool na binuo ng Intel na nagbibigay ng automation para sa tuluy-tuloy na networking workload deployment sa pampublikong cloud at nag-aalok ng mga mungkahi sa pagpili ng pinakamahusay na cloud instance batay sa performance at gastos.
Ang MCNAT ay na-configure sa pamamagitan ng isang serye ng profiles, bawat isa ay tumutukoy sa mga variable at setting na kinakailangan para sa bawat pagkakataon. Ang bawat uri ng instance ay may sariling profile na maaaring ipasa sa MCNAT CLI tool para i-deploy ang partikular na uri ng instance sa isang ibinigay na cloud service provider (CSP). HalampAng paggamit ng command line ay ipinapakita sa ibaba at sa Talahanayan 4.

Intel Optimize Next Generation Firewalls - Simbolo 1

Talahanayan 4. Paggamit ng Command Line ng MCNAT

Pagpipilian Paglalarawan
-deploy Nagtuturo sa tool na gumawa ng bagong deployment
-u Tinutukoy kung aling mga kredensyal ng user ang gagamitin
-c CSP para gumawa ng deployment sa (AWS, GCP, atbp)
-s Sitwasyon upang i-deploy
-p Profile gamitin

Ang tool ng command line ng MCNAT ay maaaring bumuo at mag-deploy ng mga instance sa isang hakbang. Kapag na-deploy na ang instance, ang mga hakbang sa pagsasaayos ng post ay gagawa ng kinakailangang configuration ng SSH para payagan ang instance na ma-access.
4.3 System Benchmarking
Kapag na-deploy na ng MCNAT ang mga pagkakataon, maaaring tumakbo ang lahat ng mga pagsubok sa pagganap gamit ang toolkit ng application ng MCNAT.
Una, kailangan naming i-configure ang mga kaso ng pagsubok sa mga tool/mcn/applications/configuration/ngfw-intel/ngfw-intel.json tulad ng nasa ibaba:

Intel Optimize Next Generation Firewalls - Simbolo 2

Pagkatapos ay maaari naming gamitin ang example command sa ibaba upang ilunsad ang pagsubok. Ang DEPLOYMENT_PATH ay kung saan naka-imbak ang target na environment deployment state, hal, mga tool/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.

Intel Optimize Next Generation Firewalls - Simbolo 3

Ito ay nagpapatakbo ng NGFW na may ibinigay na hanay ng mga panuntunan sa http na trapiko na nabuo ng WRK sa kliyente, habang pini-pin ang isang hanay ng mga core ng CPU, upang mangalap ng isang buong hanay ng mga numero ng pagganap para sa halimbawang nasa ilalim ng pagsubok. Kapag nakumpleto na ang mga pagsubok, ang lahat ng data ay na-format bilang isang csv at ibabalik sa user.

Pagganap at Pagsusuri sa Gastos

Sa seksyong ito, pinaghahambing namin ang mga pag-deploy ng NGFW sa iba't ibang mga instance ng cloud batay sa mga processor ng Intel Xeon sa AWS at GCP.
Nagbibigay ito ng gabay sa paghahanap ng pinakaangkop na uri ng instance ng cloud para sa NGFW batay sa performance at gastos. Pinipili namin ang mga instance na may 4 na vCPU dahil inirerekomenda sila ng karamihan sa mga vendor ng NGFW. Kasama sa mga resulta sa AWS at GCP ang:

  • Pagganap ng NGFW sa maliliit na uri ng instance na nagho-host ng 4 na vCPU na may Intel® Hyper-Threading Technology (Intel® HT Technology) at naka-enable ang Hyperscan.
  • Generation-to-generation performance gains mula sa 1st Gen Intel Xeon Scalable processors hanggang 5th Gen Intel Xeon Scalable processors.
  • Generation-to-generation performance per dollar gain mula sa 1st Gen Inte® Xeon Scalable processors hanggang 5th Gen Intel Xeon Scalable processors.

5.1 AWS Deployment
5.1.1 Listahan ng Uri ng Instance
Talahanayan 5. Mga AWS Instances at On-demand na Rate ng Oras

Uri ng Instance Modelo ng CPU vCPU Memorya (GB) Pagganap ng network (Gbps) On-demand hourly rate ($)
c5-xmalaki 2nd Gen Intel® Xeon® Scalable na mga processor 4 8 10 0.17
c5n-xlarge Mga processor ng 1st Gen Intel® Xeon® Scalable 4 10.5 25 0.216
c6i-malaki Mga 3rd Gen Intel® Xeon® Scalable processors 4 8 12.5 0.17
c6in-xlarge Mga processor ng 3rd Gen Intel Xeon Scalable 4 8 30 0.2268
c7i-malaki Mga processor ng 4th Gen Intel® Xeon® Scalable 4 8 12.5 0.1785

Ipinapakita sa talahanayan 5 ang taposview ng AWS instance na ginagamit namin. Mangyaring sumangguni sa Configuration ng Platform para sa higit pang mga detalye ng platform. Inililista din nito ang on-demand na hourly rate (https://aws.amazon.com/ec2/pricing/on-demand/) para sa lahat ng pagkakataon. Ang nasa itaas ay ang rate ng ondemand sa oras ng pag-publish ng papel na ito at nakatutok sa kanlurang baybayin ng US.
Ang on-demand hourly rate ay maaaring mag-iba ayon sa rehiyon, availability, corporate account, at iba pang mga salik.

5.1.2 Mga Resulta

Intel Optimize Next Generation Firewalls - Mga Resulta

Inihahambing ng Figure 6 ang performance at performance per hour rate sa lahat ng uri ng instance na binanggit hanggang ngayon:

  • Napabuti ang pagganap sa mga pagkakataong batay sa mga mas bagong henerasyon ng mga processor ng Intel Xeon. Pag-upgrade mula sa c5.xlarge (batay sa 2nd Gen Intel Xeon Scalable processor) patungo sa c7i.xlarge (batay sa 4th Gen Intel Xeon Scalable processor)
    nagpapakita ng 1.97x na pagpapabuti sa pagganap.
  • Ang pagganap sa bawat dolyar ay napabuti sa mga pagkakataon batay sa mga mas bagong henerasyon ng mga processor ng Intel Xeon. Ang pag-upgrade mula sa c5n.xlarge (batay sa 1st Gen Intel Xeon Scalable processor) sa c7i.xlarge (batay sa 4th Gen Intel Xeon Scalable processor) ay nagpapakita ng 1.88x na performance/hour rate improvement.

5.2 Pag-deploy ng GCP
5.2.1 Listahan ng Uri ng Instance
Talahanayan 6. Mga Instance ng GCP at On-demand na Mga Rate ng Oras

Uri ng Instance Modelo ng CPU vCPU Memorya (GB) Default na egress bandwidth (Gbps) On-demand hourly rate ($)
n1-std-4 1st Gen Intel® Xeon®
Mga nasusukat na processor		 4 15 10 0.189999
n2-std-4 3rd Gen Intel® Xeon®
Mga nasusukat na processor		 4 16 10 0.194236
c3-std-4 4th Gen Intel® Xeon®
Mga nasusukat na processor		 4 16 23 0.201608
n4-std-4 5th Gen Intel® Xeon®
Mga nasusukat na processor		 4 16 10 0.189544
c4-std-4 5th Gen Intel® Xeon®
Mga nasusukat na processor		 4 15 23 0.23761913

Ipinapakita sa talahanayan 6 ang taposview ng mga instance ng GCP na ginagamit namin. Mangyaring sumangguni sa Configuration ng Platform para sa higit pang mga detalye ng platform. Inililista din nito ang on-demand na hourly rate (https://cloud.google.com/compute/vm-instance-pricing?hl=en) para sa lahat ng pagkakataon. Ang nasa itaas ay ang on-demand na rate sa oras ng pag-publish ng papel na ito at nakatutok sa kanlurang baybayin ng US. Ang on-demand hourly rate ay maaaring mag-iba ayon sa rehiyon, availability, corporate account, at iba pang mga salik.

5.2.2 Mga Resulta

Intel Optimize Next Generation Firewalls - Mga Resulta 2

Inihahambing ng Figure 7 ang performance at performance per hour rate sa lahat ng uri ng instance na binanggit hanggang ngayon:

  • Napabuti ang pagganap sa mga pagkakataong batay sa mga mas bagong henerasyon ng mga processor ng Intel Xeon. Ang pag-upgrade mula sa n1-std-4 (batay sa 1st Gen Intel Xeon Scalable processor) patungo sa c4-std-4 (batay sa 5th Gen Intel Xeon Scalable processor) ay nagpapakita ng 2.68x na pagpapahusay sa performance.
  • Ang pagganap sa bawat dolyar ay napabuti sa mga pagkakataon batay sa mga mas bagong henerasyon ng mga processor ng Intel Xeon. Ang pag-upgrade mula sa n1-std-4 (batay sa 1st Gen Intel Xeon Scalable processor) patungo sa c4-std-4 (batay sa 5th Gen Intel Xeon Scalable processor) ay nagpapakita ng 2.15x na performance/hour rate improvement.

Buod

Sa dumaraming pag-aampon ng mga multi- at ​​hybrid-cloud na modelo ng deployment, ang paghahatid ng mga solusyon ng NGFW sa pampublikong cloud ay nagbibigay ng pare-parehong proteksyon sa mga kapaligiran, scalability upang matugunan ang mga kinakailangan sa seguridad, at pagiging simple na may kaunting pagsusumikap sa pagpapanatili. Nag-aalok ang mga network security vendor ng NGFW solution na may iba't ibang uri ng cloud instance sa pampublikong cloud. Mahalagang bawasan ang kabuuang halaga ng pagmamay-ari (TCO) at i-maximize ang return on investment (ROI) gamit ang tamang instance ng cloud. Kasama sa mga pangunahing salik na dapat isaalang-alang ang mga mapagkukunan ng pagkalkula, bandwidth ng network, at presyo. Ginamit namin ang pagpapatupad ng reference ng NGFW bilang kinatawan ng workload at ginamit namin ang MCNAT para i-automate ang deployment at pagsubok sa iba't ibang uri ng public cloud instance. Batay sa aming benchmarking, ang mga instance na may pinakabagong henerasyon ng mga Intel Xeon Scalable processor sa AWS (pinapagana ng 4th Intel Xeon Scalable processors) at GCP (powered ng 5th Intel Xeon Scalable processors) ay naghahatid ng parehong performance at TCO improvements. Pinapabuti nila ang performance nang hanggang 2.68x at ang performance kada oras na rate ng hanggang 2.15x sa mga naunang henerasyon. Ang pagsusuring ito ay bumubuo ng mga solidong sanggunian sa pagpili ng Intel based public cloud instance para sa NGFW.

Appendix A Platform Configuration

Mga Configurasyon ng Platform
c5-xlarge – “Pagsubok sa pamamagitan ng Intel noong 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz, 2 core, HT On, Turbo On, Total Memory 8GB (1x8GB DDR4 2933 MT/s 1.0, microcode 0 MT/s [Hindi Kilala]), microcode 5003801x Elastic Network Adapter (ENA), 1x 1G Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12“
c5n-xlarge – “Pagsubok sa pamamagitan ng Intel noong 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8124M CPU @ 3.00GHz, 2 core, HT On, Turbo On, Total Memory 10.5GB (1×10.5GB DDR4 2933], microcode 1.0GB) MT 0x2007006, 1x Elastic Network Adapter (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c6i-xlarge – “Pagsubok ng Intel noong 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 core, HT On, Turbo On, Total Memory 8GB (1x8GB) Xeon(R) Platinum 4C CPU @ 3200GHz, 1.0 cores, HT On, Turbo On, Total Memory 0GB (0003x6GB 1 MT/s [Hindi Alam]), BIOS 1x Elastic Network Adapter (ENA), 32x 22.04.5G Amazon Elastic Block Store, Ubuntu 6.8.0 LTS, 1024-11.4-aws, gcc 24.12, NGFW 5.6.1, Hyperscan XNUMX“
c6in-xlarge – “Pagsubok ng Intel noong 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 core, HT On, Turbo On, Total Memory 8GB (1x8GB) Xeon(R) Platinum 4C CPU @ 3200GHz, 1.0 cores, HT On, Turbo On, Total Memory 0GB (0003x6GB 1 MT/s [Hindi Kilala]), microcode 1 MT/s [Hindi Alam] 32x Elastic Network Adapter (ENA), 22.04.5x 6.8.0G Amazon Elastic Block Store, Ubuntu 1024 LTS, 11.4-24.12-aws, gcc 5.6.1, NGFW XNUMX, Hyperscan XNUMX”
c7i-xlarge – “Pagsubok ng Intel noong 03/17/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, 2 core, HT On, Turbo On, Total Memory 8GB (1x8GB) DDR4 4800 MT/s [Hindi Alam], BIOS 1.0x0b2, 000620x Elastic Network Adapter (ENA), 1x 1G Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
n1-std-4 – “Pagsubok ng Intel noong 03/17/25. 1-node, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, 2 core, HT On, Turbo On, Total Memory 15GB (1x15GB RAM []), BIOS Google, microcode 0xffffffff, 1Persistenx1 device 32 LTS, 22.04.5-6.8.0gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12“
n2-std-4 – Pagsubok ng Intel noong 03/17/25. 1-node, 1x Intel(R) Xeon(R) CPU @ 2.60GHz, 2 core, HT On, Turbo On, Total Memory 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x device, 1x 32G PersistentDisk, Ubuntu 22.04.5 6.8.0, NGFW 1025, Hyperscan 11.4”
c3-std-4 – Pagsubok ng Intel noong 03/14/25. 1-node, 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz, 2 core, HT On, Turbo On, Total Memory 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine-n Virtual Card Ethernet [gVNIxme1] 32 LTS, 22.04.5-6.8.0-gcp, gcc 1025, NGFW 11.4, Hyperscan 24.12”
n4-std-4 – Pagsubok ng Intel noong 03/18/25. 1-node, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.10GHz, 2 core, HT On, Turbo On, Total Memory 16GB (1x16GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC_1Gpdv], 32x 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Pagsubok ng Intel noong 03/18/25. 1-node, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz, 2 core, HT On, Turbo On, Total Memory 15GB (1x15GB RAM []), BIOS Google, microcode 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC_1Gpv, 32x Compute Engine Virtual Ethernet], 22.04.5x 6.8.0 LTS, 1025-11.4-gcp, gcc 24.12, NGFW 5.6.1, Hyperscan XNUMX”

Appendix B Intel NGFW Reference Software Configuration

Pag-configure ng Software Bersyon ng Software
Host OS Ubuntu 22.04 LTS
Kernel 6.8.0-1025
Compiler GCC 11.4.0
PULOK 74eb9437
WRK2 44a94c17
VPP 24.02
Ngumuso 3.1.36.0
DAQ 3.0.9
LuaJIT 2.1.0-beta3
Libpcap 1.10.1
PCRE 8.45
ZLIB 1.2.11
Hyperscan 5.6.1
LZMA 5.2.5
NGINX 1.22.1
DPDK 23.11

Logo ng Intel

Nag-iiba ang pagganap ayon sa paggamit, pagsasaayos at iba pang mga salik. Matuto pa sa www.Intel.com/PerformanceIndex.
Ang mga resulta ng performance ay batay sa pagsubok sa mga petsang ipinapakita sa mga configuration at maaaring hindi ipakita ang lahat ng available na update sa publiko. Tingnan ang backup para sa mga detalye ng configuration. Walang produkto o sangkap ang maaaring ganap na ligtas.
Tinatanggihan ng Intel ang lahat ng ipinahayag at ipinahiwatig na mga warranty, kabilang ang walang limitasyon, ang mga ipinahiwatig na warranty ng kakayahang maikalakal, pagiging angkop para sa isang partikular na layunin, at hindi paglabag, pati na rin ang anumang warranty na nagmumula sa kurso ng pagganap, kurso ng pakikitungo, o paggamit sa kalakalan.
Ang mga teknolohiyang Intel ay maaaring mangailangan ng pag-activate ng hardware, software o serbisyo.
Hindi kinokontrol o ino-audit ng Intel ang data ng third-party. Dapat kang kumunsulta sa iba pang mga mapagkukunan upang suriin ang katumpakan.
Ang mga produktong inilarawan ay maaaring naglalaman ng mga depekto sa disenyo o mga error na kilala bilang errata na maaaring maging sanhi ng paglihis ng produkto mula sa mga nai-publish na mga detalye. Available ang kasalukuyang characterized errata kapag hiniling.
© Intel Corporation. Ang Intel, ang logo ng Intel, at iba pang mga marka ng Intel ay mga trademark ng Intel Corporation o mga subsidiary nito. Maaaring i-claim ang ibang mga pangalan at brand bilang pag-aari ng iba.
0425/XW/MK/PDF 365150-001US

Mga Dokumento / Mga Mapagkukunan

Intel Optimize Next Generation Firewalls [pdf] Gabay sa Gumagamit
I-optimize ang Next Generation Firewalls, Optimize, Next Generation Firewalls, Generation Firewalls, Firewalls

Mga sanggunian

Mag-iwan ng komento

Ang iyong email address ay hindi maipa-publish. Ang mga kinakailangang field ay minarkahan *