Panduan Teknologi
Optimumkan Prestasi NGFW dengan
Pemproses Intel® Xeon® pada Awan Awam
Pengarang
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhiksha Ravisundar
Heqing Zhu
pengenalan
Tembok api generasi akan datang (NGFW) adalah teras penyelesaian keselamatan rangkaian. Firewall tradisional melakukan pemeriksaan trafik stateful, biasanya berdasarkan port dan protokol yang tidak dapat mempertahankan secara berkesan daripada trafik berniat jahat moden. NGFW berkembang dan berkembang pada tembok api tradisional dengan keupayaan pemeriksaan paket dalam lanjutan, termasuk sistem pengesanan/pencegahan pencerobohan (IDS/IPS), pengesanan perisian hasad, pengenalpastian dan kawalan aplikasi, dsb.
NGFW ialah beban kerja intensif pengiraan yang berprestasi, contohnyaample, operasi kriptografi untuk penyulitan dan penyahsulitan trafik rangkaian dan padanan peraturan berat untuk mengesan aktiviti berniat jahat. Intel menyampaikan teknologi teras untuk mengoptimumkan penyelesaian NGFW.
Pemproses Intel dilengkapi dengan pelbagai seni bina set arahan (ISA), termasuk Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) dan Intel® QuickAssist Technology (Intel® QAT) yang mempercepatkan prestasi crypto dengan ketara.
Intel juga melabur dalam pengoptimuman perisian termasuk untuk Hyperscan. Hyperscan ialah pustaka padanan rentetan berprestasi tinggi dan ekspresi biasa (regex). Ia memanfaatkan teknologi data berbilang arahan tunggal (SIMD) pada pemproses Intel untuk meningkatkan prestasi padanan corak. Penyepaduan hiperscan ke dalam sistem NGFW IPS seperti Snort boleh meningkatkan prestasi sehingga 3x pada pemproses Intel.
NGFW selalunya dihantar sebagai perkakas keselamatan yang digunakan di zon demilitarized (DMZ) pusat data perusahaan. Walau bagaimanapun, terdapat permintaan yang kukuh untuk peralatan maya NGFW atau pakej perisian yang boleh digunakan ke awan awam, di pusat data perusahaan atau di lokasi pinggir rangkaian. Model penggunaan perisian ini membebaskan IT perusahaan daripada overhed operasi dan penyelenggaraan yang berkaitan dengan peralatan fizikal. Ia meningkatkan kebolehskalaan sistem dan menyediakan pilihan perolehan dan pembelian yang fleksibel.
Semakin banyak perusahaan menerima penggunaan awan awam bagi penyelesaian NGFW. Sebab utama untuk ini ialah kos advantage menjalankan peralatan maya dalam awan.
Namun, memandangkan CSP menawarkan pelbagai jenis contoh dengan ciri pengiraan dan harga yang berbeza-beza, memilih contoh dengan TCO terbaik untuk NGFW boleh menjadi mencabar.
Kertas kerja ini memperkenalkan pelaksanaan rujukan NGFW daripada Intel, dioptimumkan dengan teknologi Intel, termasuk Hyperscan. Ia menawarkan titik bukti yang boleh dipercayai untuk pencirian prestasi NGFW pada platform Intel. Ia disertakan sebagai sebahagian daripada pakej Perisian Rujukan NetSec Intel. Kami juga menyediakan Alat Automasi Rangkaian Berbilang Awan (MCNAT) dalam pakej yang sama untuk mengautomasikan penggunaan pelaksanaan rujukan NGFW pada pembekal awan awam terpilih. MCNAT memudahkan analisis TCO untuk contoh pengiraan yang berbeza dan membimbing pengguna kepada contoh pengiraan optimum untuk NGFW.
Sila hubungi pengarang untuk mengetahui lebih lanjut mengenai pakej Perisian Rujukan NetSec.
Sejarah Semakan Dokumen
| Semakan | tarikh | Penerangan |
| 001 | Mac 2025 | Keluaran awal. |
1.1 Terminologi
Jadual 1. Terminologi
| Singkatan | Penerangan |
| DFA | Automaton Terhad Deterministik |
| DPI | Pemeriksaan Paket Dalam |
| HTTP | Protokol Pemindahan Hiperteks |
| IDS/IPS | Sistem Pengesanan dan Pencegahan Pencerobohan |
| ISA | Senibina Set Arahan |
| MCNAT | Alat Automasi Rangkaian Berbilang Awan |
| NFA | Automaton Terhad bukan deterministik |
| NGFW | Firewall generasi akan datang |
| PCAP | Tangkapan Paket |
| PCRE | Perpustakaan Ungkapan Biasa Serasi Perl |
| Regex | Ekspresi Biasa |
| SASE | Tepi Perkhidmatan Akses Selamat |
| SIMD | Teknologi Berbilang Data Arahan Tunggal |
| TCP | Protokol Kawalan Transmisi |
| URI | Pengecam Sumber Seragam |
| WAF | Web Firewall Aplikasi |
1.2 Dokumentasi Rujukan
Jadual 2. Dokumen Rujukan
Latar Belakang dan Motivasi
Hari ini, kebanyakan vendor NGFW telah memperluaskan jejak mereka daripada peralatan NGFW fizikal kepada penyelesaian NGFW maya yang boleh digunakan dalam awan awam. Penggunaan NGFW awan awam menyaksikan peningkatan penggunaan disebabkan oleh faedah berikut:
- Kebolehskalaan: dengan mudah meningkatkan atau mengecilkan sumber pengiraan rentas geo untuk memenuhi keperluan prestasi.
- Keberkesanan kos: langganan fleksibel untuk membenarkan bayar setiap penggunaan. Menghapuskan perbelanjaan modal (capex) dan mengurangkan kos operasi yang berkaitan dengan peralatan fizikal.
- Penyepaduan asli dengan perkhidmatan awan: penyepaduan lancar dengan perkhidmatan awan awam seperti rangkaian, kawalan akses dan alatan AI/ML.
- Perlindungan beban kerja awan: penapisan trafik tempatan untuk beban kerja perusahaan yang dihoskan pada awan awam.
Pengurangan kos menjalankan beban kerja NGFW dalam awan awam merupakan cadangan yang menarik untuk kes penggunaan perusahaan.
Walau bagaimanapun, memilih contoh dengan prestasi terbaik dan TCO untuk NGFW adalah mencabar, memandangkan pelbagai pilihan contoh awan tersedia dengan pelbagai CPU, saiz memori, lebar jalur IO dan setiap satu berharga berbeza. Kami telah membangunkan Pelaksanaan Rujukan NGFW untuk membantu dengan prestasi dan analisis TCO bagi kejadian awan awam yang berbeza berdasarkan pemproses Intel. Kami akan menunjukkan prestasi dan prestasi setiap dolar metrik sebagai panduan untuk memilih contoh berasaskan Intel yang betul untuk penyelesaian NGFW pada perkhidmatan awan awam seperti AWS dan GCP.
Pelaksanaan Rujukan NGFW
Intel membangunkan pakej Perisian Rujukan NetSec (keluaran terbaharu 25.05) yang memberikan penyelesaian rujukan yang dioptimumkan dengan memanfaatkan ISA dan pemecut yang tersedia dalam CPU dan platform Intel terbaharu untuk menunjukkan prestasi yang dioptimumkan pada infrastruktur perusahaan atasan dan pada awan. Perisian rujukan tersedia di bawah Intel Proprietary License (IPL).
Sorotan utama pakej perisian ini ialah:
- Termasuk portfolio luas penyelesaian rujukan untuk rangkaian dan keselamatan, rangka kerja AI untuk pusat data awan dan perusahaan serta lokasi tepi.
- Membenarkan masa untuk memasarkan dan penggunaan pantas teknologi Intel.
- Kod sumber tersedia yang membolehkan mereplikasi senario penggunaan dan persekitaran ujian pada platform Intel.
Sila hubungi pengarang untuk mengetahui lebih lanjut tentang mendapatkan keluaran terkini Perisian Rujukan NetSec.
Sebagai bahagian penting dalam pakej Perisian Rujukan NetSec, pelaksanaan rujukan NGFW memacu ciri prestasi NGFW dan analisis TCO pada platform Intel. Kami menyampaikan penyepaduan lancar teknologi Intel seperti Hyperscan dalam pelaksanaan rujukan NGFW. Ia membina asas yang kukuh untuk analisis NGFW pada platform Intel. Memandangkan platform perkakasan Intel yang berbeza menawarkan keupayaan berbeza daripada pengiraan kepada IO, pelaksanaan rujukan NGFW memberikan gambaran yang lebih jelas. view keupayaan platform untuk beban kerja NGFW dan membantu menunjukkan perbandingan prestasi antara generasi pemproses Intel. Ia memberikan cerapan menyeluruh tentang metrik, termasuk prestasi pengiraan, lebar jalur memori, lebar jalur IO dan penggunaan kuasa. Berdasarkan keputusan ujian prestasi, kami boleh menjalankan analisis TCO selanjutnya (dengan prestasi setiap dolar) pada platform Intel yang digunakan untuk NGFW.
Keluaran terkini (25.05) pelaksanaan rujukan NGFW termasuk ciri utama berikut:
- Tembok api stateful asas
- Sistem Pencegahan Pencerobohan (IPS)
- Sokongan pemproses Intel yang canggih termasuk pemproses Intel® Xeon® 6, Intel Xeon 6 SoC, dsb.
Keluaran masa hadapan dirancang untuk melaksanakan ciri tambahan berikut:
- Pemeriksaan VPN: Penyahsulitan IPsec trafik untuk pemeriksaan kandungan
- Pemeriksaan TLS: Proksi TLS untuk menamatkan sambungan antara klien dan pelayan dan kemudian melakukan pemeriksaan kandungan pada trafik plaintext.
3.1 Seni Bina Sistem
Rajah 1 menunjukkan keseluruhan seni bina sistem. Kami memanfaatkan perisian sumber terbuka sebagai asas untuk membina sistem:
- VPP menyediakan penyelesaian satah data berprestasi tinggi dengan fungsi tembok api stateful asas, termasuk ACL stateful. Kami melahirkan berbilang utas VPP dengan pertalian teras yang dikonfigurasikan. Setiap utas pekerja VPP disematkan pada teras CPU khusus atau utas pelaksanaan.
- Snort 3 dipilih sebagai IPS, yang menyokong multi-threading. Benang pekerja snort disematkan pada teras CPU khusus atau utas pelaksanaan.
- Snort dan VPP disepadukan menggunakan pemalam Snort ke VPP. Ini menggunakan set pasangan baris gilir untuk menghantar paket antara VPP dan Snort. Pasangan baris gilir dan paket itu sendiri disimpan dalam memori bersama. Kami membangunkan komponen Pemerolehan Data (DAQ) baharu untuk Snort, yang kami panggil sebagai VPP Zero Copy (ZC) DAQ. Ini melaksanakan fungsi Snort DAQ API untuk menerima dan menghantar paket dengan membaca dari dan menulis ke baris gilir yang berkaitan. Oleh kerana muatan berada dalam memori bersama, kami menganggap ini sebagai pelaksanaan Zero-Copy.
Memandangkan Snort 3 ialah beban kerja intensif pengiraan yang memerlukan lebih banyak sumber pengkomputeran daripada pemprosesan satah data, kami cuba mengkonfigurasi peruntukan teras pemproses yang dioptimumkan dan keseimbangan antara bilangan utas VPP dan utas Snort3 untuk mendapatkan prestasi tahap sistem tertinggi pada platform perkakasan yang sedang berjalan.
Rajah 2 (di halaman 6) menunjukkan nod graf dalam VPP, termasuk yang merupakan sebahagian daripada ACL dan Snort plugins. Kami membangunkan dua nod graf VPP baharu:
- snort-enq: membuat keputusan pengimbangan beban tentang benang Snort yang harus memproses paket dan kemudian memasukkan paket ke baris gilir yang sepadan.
- snort-deq: dilaksanakan sebagai nod input yang mengundi daripada berbilang baris gilir, satu bagi setiap utas pekerja Snort.
3.2 Pengoptimuman Intel
Pelaksanaan rujukan NGFW kami mengambil masa yang lebih lamatage daripada pengoptimuman berikut:
- Snort memanfaatkan perpustakaan padanan berbilang regex berprestasi tinggi Hyperscan untuk memberikan peningkatan prestasi yang ketara berbanding dengan enjin carian lalai dalam Snort. Rajah 3 menyerlahkan integrasi Hyperscan dengan Snort to
mempercepatkan prestasi pemadanan literal machng dan regex. Snort 3 menyediakan integrasi asli dengan Hyperscan di mana pengguna boleh menghidupkan Hyperscan sama ada melalui konfigurasi file atau pilihan baris arahan.
- VPP mengambil advantage Penerimaan Skala Sisi (RSS) dalam Penyesuai Rangkaian Intel® Ethernet untuk mengagihkan trafik merentas berbilang rangkaian pekerja VPP.
- Arahan Intel QAT dan Intel AVX-512: Keluaran masa depan yang menyokong IPsec dan TLS akan menggunakan advantage teknologi pecutan kripto daripada Intel. Intel QAT mempercepatkan prestasi kripto, terutamanya kriptografi kunci awam yang digunakan secara meluas untuk mewujudkan sambungan rangkaian. Intel AVX-512 juga meningkatkan prestasi kriptografi, termasuk VPMADD52 (operasi darab dan pengumpulan), vektor AES (versi vektor arahan Intel AES-NI), vPCLMUL (daraban tanpa bawa bervektor, digunakan untuk mengoptimumkan AES-GCM) dan Intel® Secure Hash Algorithm – Arahan Baharu (Intel® SHA-NI).
Penerapan Awan Pelaksanaan Rujukan NGFW
4.1 Konfigurasi Sistem
Jadual 3. Konfigurasi ujian
| Metrik | Nilai |
| Use Case | Cleartext Inspection (FW + IPS) |
| Trafik Profile | HTTP 64KB GET (1 GET setiap Sambungan) |
| ACL VPP | Ya (2 ACL stateful) |
| Peraturan Snort | Lightspd (~49k peraturan) |
| Dasar Snort | Keselamatan (~21k peraturan didayakan) |
Kami menumpukan pada senario pemeriksaan teks jelas berdasarkan kes penggunaan dan KPI dalam RFC9411. Penjana trafik boleh membuat transaksi HTTP 64KB dengan 1 permintaan GET setiap sambungan. ACL dikonfigurasikan untuk membenarkan IP dalam subnet yang ditentukan. Kami menggunakan set peraturan Snort Lightspd dan dasar keselamatan daripada Cisco untuk penanda aras. Terdapat juga pelayan khusus untuk melayani permintaan daripada penjana trafik.
Seperti yang ditunjukkan dalam Rajah 4 dan Rajah 5, topologi sistem merangkumi tiga nod contoh utama: pelanggan, pelayan dan proksi untuk penggunaan awan awam. Terdapat juga nod benteng untuk menyediakan sambungan daripada pengguna. Kedua-dua pelanggan (menjalankan WRK) dan pelayan (menjalankan Nginx) mempunyai satu antara muka rangkaian satah data khusus, dan proksi (menjalankan NGFW) mempunyai dua antara muka rangkaian satah data untuk ujian. Antara muka rangkaian satah data dilampirkan pada subnet khusus A (proksi klien) dan subnet B (pelayan proksi) yang mengekalkan pengasingan daripada trafik pengurusan contoh. Julat alamat IP khusus ditakrifkan dengan penghalaan yang sepadan dan peraturan ACL yang diprogramkan pada infrastruktur untuk membolehkan aliran trafik.
4.2 Penerapan Sistem
MCNAT ialah alat perisian yang dibangunkan oleh Intel yang menyediakan automasi untuk penempatan beban kerja rangkaian yang lancar pada awan awam dan menawarkan cadangan untuk memilih contoh awan terbaik berdasarkan prestasi dan kos.
MCNAT dikonfigurasikan melalui satu siri profiles, setiap satu mentakrifkan pembolehubah dan tetapan yang diperlukan untuk setiap kejadian. Setiap jenis contoh mempunyai pro sendirifile yang kemudiannya boleh dihantar ke alat MCNAT CLI untuk menggunakan jenis contoh khusus itu pada pembekal perkhidmatan awan (CSP) yang diberikan. Cthamppenggunaan baris arahan ditunjukkan di bawah dan dalam Jadual 4.
Jadual 4. Penggunaan Baris Perintah MCNAT
| Pilihan | Penerangan |
| –mengerahkan | Mengarahkan alat untuk membuat penempatan baharu |
| -u | Mentakrifkan kelayakan pengguna yang hendak digunakan |
| -c | CSP untuk membuat penggunaan pada (AWS, GCP, dll) |
| -s | Senario untuk digunakan |
| -p | Profile untuk digunakan |
Alat baris arahan MCNAT boleh membina dan menggunakan contoh dalam satu langkah. Sebaik sahaja contoh itu digunakan, langkah konfigurasi pos mencipta konfigurasi SSH yang diperlukan untuk membolehkan tika itu diakses.
4.3 Penandaarasan Sistem
Sebaik sahaja MCNAT telah menggunakan kejadian, semua ujian prestasi boleh dijalankan menggunakan kit alat aplikasi MCNAT.
Pertama, kita perlu mengkonfigurasi kes ujian di tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json seperti di bawah:
Kemudian kita boleh menggunakan bekasample arahan di bawah untuk melancarkan ujian. DEPLOYMENT_PATH ialah tempat keadaan penggunaan persekitaran sasaran disimpan, cth, alatan/mcn/infrastruktur/infrastruktur/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.
Ia menjalankan NGFW dengan set peraturan tertentu pada trafik http yang dijana oleh WRK pada klien, sambil menyematkan julat teras CPU, untuk mengumpulkan set penuh nombor prestasi bagi contoh yang sedang diuji. Apabila ujian selesai, semua data diformatkan sebagai csv dan dikembalikan kepada pengguna.
Penilaian Prestasi dan Kos
Dalam bahagian ini, kami membandingkan penggunaan NGFW pada kejadian awan yang berbeza berdasarkan pemproses Intel Xeon di AWS dan GCP.
Ini memberi panduan tentang mencari jenis contoh awan yang paling sesuai untuk NGFW berdasarkan prestasi dan kos. Kami memilih kejadian dengan 4 vCPU kerana ia disyorkan oleh kebanyakan vendor NGFW. Keputusan pada AWS dan GCP termasuk:
- Prestasi NGFW pada jenis contoh kecil yang mengehoskan 4 vCPU dengan Intel® Hyper-Threading Technology (Intel® HT Technology) dan Hyperscan didayakan.
- Keuntungan prestasi generasi ke generasi daripada pemproses Boleh Skala Intel Xeon Generasi Pertama kepada pemproses Boleh Skala Intel Xeon Generasi ke-1.
- Prestasi generasi ke generasi setiap keuntungan dolar daripada pemproses Boleh Skala Inte® Xeon Generasi Pertama kepada pemproses Boleh Skala Intel Xeon Generasi ke-1.
5.1 Penggunaan AWS
5.1.1 Senarai Jenis Contoh
Jadual 5. Kejadian AWS dan Kadar Jam Atas Permintaan
| Jenis Contoh | Model CPU | vCPU | Memori (GB) | Prestasi rangkaian (Gbps) | Atas permintaan hourlkadar y ($) |
| c5-x besar | Pemproses boleh skala Intel® Xeon® Generasi ke-2 | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | Pemproses boleh skala Intel® Xeon® Generasi Pertama | 4 | 10.5 | 25 | 0.216 |
| c6i-besar | Pemproses boleh skala Intel® Xeon® Generasi Ketiga | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | Pemproses boleh skala Intel Xeon Generasi ke-3 | 4 | 8 | 30 | 0.2268 |
| c7i-besar | Pemproses boleh skala Intel® Xeon® Generasi ke-4 | 4 | 8 | 12.5 | 0.1785 |
Jadual 5 menunjukkan tamatview daripada kejadian AWS yang kami gunakan. Sila rujuk Konfigurasi Platform untuk butiran lanjut platform. Ia juga menyenaraikan ho atas permintaanurlkadar y (https://aws.amazon.com/ec2/pricing/on-demand/) untuk semua keadaan. Di atas ialah kadar ondemand pada masa penerbitan kertas ini dan memfokuskan pada pantai barat AS.
Ho atas permintaanurlkadar y mungkin berbeza mengikut rantau, ketersediaan, akaun korporat dan faktor lain.
5.1.2 Keputusan
Rajah 6 membandingkan prestasi dan kadar prestasi setiap jam pada semua jenis contoh yang dinyatakan setakat ini:
- Prestasi dipertingkatkan dengan kejadian berdasarkan generasi baharu pemproses Intel Xeon. Menaik taraf daripada c5.xlarge (berdasarkan pemproses Boleh Skala Intel Xeon Gen Ke-2) kepada c7i.xlarge (berdasarkan pemproses Boleh Skala Intel Xeon Gen Ke-4)
menunjukkan peningkatan prestasi 1.97x. - Prestasi setiap dolar bertambah baik dengan kejadian berdasarkan generasi baharu pemproses Intel Xeon. Peningkatan daripada c5n.xlarge (berdasarkan pemproses Boleh Skala Intel Xeon Gen Pertama) kepada c1i.xlarge (berdasarkan pemproses Boleh Skala Intel Xeon Gen Ke-7) menunjukkan peningkatan kadar prestasi/jam 4x.
5.2 Penggunaan GCP
5.2.1 Senarai Jenis Contoh
Jadual 6. Kejadian GCP dan Kadar Jam Atas Permintaan
| Jenis Contoh | Model CPU | vCPU | Memori (GB) | Jalur lebar jalan keluar lalai (Gbps) | Atas permintaan hourlkadar y ($) |
| n1-std-4 | Intel® Xeon® Gen Pertama Pemproses boleh skala |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | Intel® Xeon® Gen Ke-3 Pemproses boleh skala |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | Intel® Xeon® Gen Ke-4 Pemproses boleh skala |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | Intel® Xeon® Gen Ke-5 Pemproses boleh skala |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | Intel® Xeon® Gen Ke-5 Pemproses boleh skala |
4 | 15 | 23 | 0.23761913 |
Jadual 6 menunjukkan tamatview daripada kejadian GCP yang kami gunakan. Sila rujuk Konfigurasi Platform untuk butiran lanjut platform. Ia juga menyenaraikan ho atas permintaanurlkadar y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) untuk semua keadaan. Di atas ialah kadar atas permintaan pada masa penerbitan kertas ini dan memberi tumpuan kepada pantai barat AS. Ho atas permintaanurlkadar y mungkin berbeza mengikut rantau, ketersediaan, akaun korporat dan faktor lain.
5.2.2 Keputusan
Rajah 7 membandingkan prestasi dan kadar prestasi setiap jam pada semua jenis contoh yang dinyatakan setakat ini:
- Prestasi dipertingkatkan dengan kejadian berdasarkan generasi baharu pemproses Intel Xeon. Peningkatan daripada n1-std-4 (berdasarkan pemproses Boleh Skala Intel Xeon Gen Pertama) kepada c1-std-4 (berdasarkan pemproses Boleh Skala Intel Xeon Gen Ke-4) menunjukkan peningkatan prestasi 5x.
- Prestasi setiap dolar bertambah baik dengan kejadian berdasarkan generasi baharu pemproses Intel Xeon. Peningkatan daripada n1-std-4 (berdasarkan pemproses Boleh Skala Intel Xeon Gen Pertama) kepada c1-std-4 (berdasarkan pemproses Boleh Skala Intel Xeon Gen Ke-4) menunjukkan peningkatan kadar prestasi/jam 5x.
Ringkasan
Dengan penggunaan model penggunaan berbilang dan awan hibrid yang semakin meningkat, penyampaian penyelesaian NGFW pada awan awam menyediakan perlindungan yang konsisten merentas persekitaran, kebolehskalaan untuk memenuhi keperluan keselamatan dan kesederhanaan dengan usaha penyelenggaraan yang minimum. Vendor keselamatan rangkaian menawarkan penyelesaian NGFW dengan pelbagai jenis contoh awan pada awan awam. Adalah penting untuk meminimumkan jumlah kos pemilikan (TCO) dan memaksimumkan pulangan pelaburan (ROI) dengan contoh awan yang betul. Faktor utama yang perlu dipertimbangkan termasuk sumber pengiraan, lebar jalur rangkaian dan harga. Kami menggunakan pelaksanaan rujukan NGFW sebagai beban kerja yang mewakili dan memanfaatkan MCNAT untuk mengautomasikan penggunaan dan ujian pada jenis tika awan awam yang berbeza. Berdasarkan penanda aras kami, kejadian dengan pemproses Intel Xeon Scalable generasi terkini pada AWS (dikuasakan oleh pemproses Intel Xeon Scalable ke-4) dan GCP (dikuasakan oleh pemproses Intel Xeon Scalable ke-5) menyampaikan kedua-dua peningkatan prestasi dan TCO. Mereka meningkatkan prestasi sehingga 2.68x dan kadar prestasi sejam sehingga 2.15x berbanding generasi sebelumnya. Penilaian ini menjana rujukan kukuh tentang memilih kejadian awan awam berasaskan Intel untuk NGFW.
Lampiran A Konfigurasi Platform
Konfigurasi Platform
c5-xlarge – “Ujian oleh Intel pada 03/17/25. 1-nod, 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz, 2 teras, HT Hidup, Turbo Hidup, Jumlah Memori 8GB (1x8GB DDR4 2933 MT/s [Tidak Diketahui], mikrokod 1.0/s [Tidak diketahui] 0x Penyesuai Rangkaian Elastik (ENA), 5003801x Kedai Blok Elastik Amazon 1G, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4“
c5n-xlarge – “Ujian oleh Intel pada 03/17/25. 1-nod, 1x Intel(R) Xeon(R) Platinum 8124M CPU @ 3.00GHz, 2 teras, HT On, Turbo On, Jumlah Memori 10.5GB (1×10.5GB DDR4 2933], mikrokod DDR1.0 0) 2007006x1, 1x Penyesuai Rangkaian Elastik (ENA), 32x 22.04.5G Amazon Elastic Block Store, Ubuntu 6.8.0 LTS, 1024-11.4-aws, gcc 24.12, NGFW 5.6.1, Hyperscan XNUMX”
c6i-xlarge – “Ujian oleh Intel pada 03/17/25. 1-nod, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 teras, HT Hidup, Turbo Hidup, Jumlah Memori 8GB (1x8GB Xeon(R) Platinum 4C CPU @ 3200GHz, 1.0 teras, HT Hidup, Turbo Hidup, Jumlah Memori 0GB (0003x6GB 1GB DDR1 32 MT/s [Tidak Diketahui]), mikrokod 22.04.5 MT/s [Tidak Diketahui] 6.8.0x Penyesuai Rangkaian Elastik (ENA), 1024x Kedai Blok Elastik Amazon 11.4G, Ubuntu 24.12 LTS, 5.6.1-XNUMX-aws, gcc XNUMX, NGFW XNUMX, Hyperscan XNUMX“
c6in-xlarge – “Ujian oleh Intel pada 03/17/25. 1-nod, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 teras, HT On, Turbo On, Jumlah Memori 8GB (1x8GB Xeon(R) Platinum 4C CPU @ 3200GHz, 1.0 teras, HT On, Turbo On, Jumlah Memori 0GB (0003x6GB) DDR1 1 MT/s [Tidak Diketahui], microcode 32 MT/s [Tidak Diketahui] 22.04.5x Penyesuai Rangkaian Elastik (ENA), 6.8.0x Kedai Blok Elastik Amazon 1024G, Ubuntu 11.4 LTS, 24.12-5.6.1-aws, gcc XNUMX, NGFW XNUMX, Hyperscan XNUMX”
c7i-xlarge – “Ujian oleh Intel pada 03/17/25. 1-nod, 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, 2 teras, HT On, Turbo On, Jumlah Memori 8GB (1x8GB) DDR4 4800 MT/s [Tidak Diketahui], BIOS mikro [Tidak Diketahui] 1.0x0b2, 000620x Penyesuai Rangkaian Elastik (ENA), 1x 1G Amazon Elastic Block Store, Ubuntu 32 LTS, 22.04.5-6.8.0-aws, gcc 1024, NGFW 11.4, Hyperscan 24.12”
n1-std-4 – “Ujian oleh Intel pada 03/17/25. 1-nod, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, 2 teras, HT Hidup, Turbo Hidup, Jumlah Memori 15GB (1x15GB RAM []), BIOS Google, mikrokod 0xffffffff, 1Persistenx1 Peranti Ubuntu 32 LTS, 22.04.5-6.8.0gcp, gcc 1025, NGFW 11.4, Hiperscan 24.12“
n2-std-4 – Ujian oleh Intel pada 03/17/25. 1-nod, 1x Intel(R) Xeon(R) CPU @ 2.60GHz, 2 teras, HT Hidup, Turbo Hidup, Jumlah Memori 16GB (1x16GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x peranti, 1x 32G PersistentDisk, Ubuntu 22.04.5c, Ubuntu 6.8.0 1025, NGFW 11.4, Hiperscan 24.12”
c3-std-4 – Ujian oleh Intel pada 03/14/25. 1-nod, 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz, 2 teras, HT Hidup, Turbo Hidup, Jumlah Memori 16GB (1x16GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Compute Engine n Ethernet [gVNIxme1] Enjin Komputasi 32 Virtual 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Ujian oleh Intel pada 03/18/25. 1-nod, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.10GHz, 2 teras, HT Hidup, Turbo Hidup, Jumlah Memori 16GB (1x16GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Compute Engine Enjin Virtual Ethernet [gVNIC_1Gpvme], 32x Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Ujian oleh Intel pada 03/18/25. 1-nod, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz, 2 teras, HT Hidup, Turbo Hidup, Jumlah Memori 15GB (1x15GB RAM []), BIOS Google, mikrokod 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC_1Gpvme], 32x Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
Lampiran B Konfigurasi Perisian Rujukan Intel NGFW
| Konfigurasi Perisian | Versi perisian |
| OS hos | Ubuntu 22.04 LTS |
| Inti | 6.8.0-1025 |
| Penyusun | GCC 11.4.0 |
| WRK | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| Mendengus | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Hiperscan | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Prestasi berbeza mengikut penggunaan, konfigurasi dan faktor lain. Ketahui lebih lanjut di www.Intel.com/PerformanceIndex.
Keputusan prestasi adalah berdasarkan ujian pada tarikh yang ditunjukkan dalam konfigurasi dan mungkin tidak menggambarkan semua kemas kini yang tersedia secara umum. Lihat sandaran untuk butiran konfigurasi. Tiada produk atau komponen boleh benar-benar selamat.
Intel menafikan semua waranti nyata dan tersirat, termasuk tanpa had, waranti tersirat kebolehdagangan, kesesuaian untuk tujuan tertentu dan bukan pelanggaran, serta sebarang waranti yang timbul daripada perjalanan prestasi, perjalanan urusan atau penggunaan dalam perdagangan.
Teknologi Intel mungkin memerlukan pengaktifan perkakasan, perisian atau perkhidmatan yang diaktifkan.
Intel tidak mengawal atau mengaudit data pihak ketiga. Anda harus merujuk sumber lain untuk menilai ketepatan.
Produk yang diterangkan mungkin mengandungi kecacatan reka bentuk atau ralat yang dikenali sebagai errata yang boleh menyebabkan produk menyimpang daripada spesifikasi yang diterbitkan. Kesalahan berciri semasa tersedia atas permintaan.
© Intel Corporation. Intel, logo Intel dan tanda Intel lain ialah tanda dagangan Intel Corporation atau anak syarikatnya. Nama dan jenama lain boleh dituntut sebagai hak milik orang lain.
0425/XW/MK/PDF 365150-001US
Dokumen / Sumber
 |
Intel Optimize Firewall Generasi Seterusnya [pdf] Panduan Pengguna Optimumkan Tembok Api Generasi Seterusnya, Optimumkan, Tembok Api Generasi Seterusnya, Tembok Api Generasi, Tembok Api |