तंत्रज्ञान मार्गदर्शक
NGFW कामगिरी ऑप्टिमाइझ करा
सार्वजनिक क्लाउडवरील इंटेल® झीऑन® प्रोसेसर
लेखक
झियांग वांग
जयप्रकाश पाटीदार
डेक्लन डोहर्टी
एरिक जोन्स
सुभिक्षा रविसुंदर
हेकिंग झू
परिचय
नेटवर्क सुरक्षा उपायांच्या केंद्रस्थानी पुढील पिढीचे फायरवॉल (NGFWs) आहेत. पारंपारिक फायरवॉल स्टेटफुल ट्रॅफिक तपासणी करतात, सामान्यत: पोर्ट आणि प्रोटोकॉलवर आधारित जे आधुनिक दुर्भावनापूर्ण रहदारीपासून प्रभावीपणे बचाव करू शकत नाहीत. NGFWs पारंपारिक फायरवॉलवर विकसित होतात आणि विस्तारतात ज्यात प्रगत डीप पॅकेट तपासणी क्षमता असतात, ज्यामध्ये घुसखोरी शोधणे/प्रतिबंध प्रणाली (IDS/IPS), मालवेअर शोधणे, अनुप्रयोग ओळख आणि नियंत्रण इत्यादींचा समावेश असतो.
NGFW हे संगणकीय-केंद्रित वर्कलोड आहेत, उदा.ample, नेटवर्क ट्रॅफिक एन्क्रिप्शन आणि डिक्रिप्शनसाठी क्रिप्टोग्राफिक ऑपरेशन्स आणि दुर्भावनापूर्ण क्रियाकलाप शोधण्यासाठी हेवी रूल मॅचिंग. इंटेल NGFW सोल्यूशन्स ऑप्टिमाइझ करण्यासाठी कोर तंत्रज्ञान प्रदान करते.
इंटेल प्रोसेसर विविध इंस्ट्रक्शन सेट आर्किटेक्चर्स (ISAs) ने सुसज्ज आहेत, ज्यात इंटेल® अॅडव्हान्स्ड एन्क्रिप्शन स्टँडर्ड न्यू इंस्ट्रक्शन्स (Intel® AES-NI) आणि इंटेल® क्विकअसिस्ट टेक्नॉलॉजी (Intel® QAT) यांचा समावेश आहे जे क्रिप्टो कामगिरीला लक्षणीयरीत्या गती देतात.
इंटेल हायपरस्कॅनसह सॉफ्टवेअर ऑप्टिमायझेशनमध्ये देखील गुंतवणूक करते. हायपरस्कॅन ही एक उच्च-कार्यक्षमता स्ट्रिंग आणि रेग्युलर एक्सप्रेशन (रेजेक्स) मॅचिंग लायब्ररी आहे. ते पॅटर्न-मॅचिंग कामगिरी वाढवण्यासाठी इंटेल प्रोसेसरवर सिंगल इंस्ट्रक्शन मल्टिपल डेटा (SIMD) तंत्रज्ञानाचा वापर करते. स्नॉर्ट सारख्या NGFW IPS सिस्टीममध्ये हायपरस्कॅन इंटिग्रेशन इंटिग्रेशन इंटेल प्रोसेसरवर 3x पर्यंत कामगिरी सुधारू शकते.
NGFWs बहुतेकदा एंटरप्राइझ डेटा सेंटर्सच्या डिमिलिटराइज्ड झोन (DMZ) मध्ये तैनात केलेल्या सुरक्षा उपकरणाच्या रूपात वितरित केले जातात. तथापि, सार्वजनिक क्लाउडवर, एंटरप्राइझ डेटा सेंटरमध्ये किंवा नेटवर्क एज लोकेशन्सवर तैनात केल्या जाऊ शकणाऱ्या NGFW व्हर्च्युअल उपकरणे किंवा सॉफ्टवेअर पॅकेजेसची जोरदार मागणी आहे. हे सॉफ्टवेअर डिप्लॉयमेंट मॉडेल एंटरप्राइझ आयटीला भौतिक उपकरणांशी संबंधित ऑपरेशन्स आणि देखभाल ओव्हरहेडपासून मुक्त करते. हे सिस्टम स्केलेबिलिटी सुधारते आणि लवचिक खरेदी आणि खरेदी पर्याय प्रदान करते.
वाढत्या संख्येने उद्योग NGFW सोल्यूशन्सच्या सार्वजनिक क्लाउड तैनाती स्वीकारत आहेत. याचे एक प्रमुख कारण म्हणजे खर्चात वाढtagक्लाउडमध्ये व्हर्च्युअल उपकरणे चालवणे.
तरीही, CSPs वेगवेगळ्या संगणकीय वैशिष्ट्यांसह आणि किंमतींसह अनेक प्रकारचे उदाहरण देतात, त्यामुळे NGFW साठी सर्वोत्तम TCO असलेले उदाहरण निवडणे आव्हानात्मक असू शकते.
हा पेपर इंटेलकडून NGFW संदर्भ अंमलबजावणी सादर करतो, जो हायपरस्कॅनसह इंटेल तंत्रज्ञानासह ऑप्टिमाइझ केला जातो. हे इंटेल प्लॅटफॉर्मवर NGFW कामगिरी वैशिष्ट्यीकरणासाठी एक विश्वासार्ह पुरावा-बिंदू देते. ते इंटेलच्या नेटसेक संदर्भ सॉफ्टवेअर पॅकेजचा भाग म्हणून समाविष्ट केले आहे. निवडक सार्वजनिक क्लाउड प्रदात्यांवर NGFW संदर्भ अंमलबजावणीची तैनाती स्वयंचलित करण्यासाठी आम्ही त्याच पॅकेजमध्ये मल्टी-क्लाउड नेटवर्किंग ऑटोमेशन टूल (MCNAT) देखील प्रदान करतो. MCNAT वेगवेगळ्या संगणकीय घटनांसाठी TCO विश्लेषण सुलभ करते आणि वापरकर्त्यांना NGFW साठी इष्टतम संगणकीय उदाहरणाकडे मार्गदर्शन करते.
नेटसेक रेफरन्स सॉफ्टवेअर पॅकेजबद्दल अधिक जाणून घेण्यासाठी कृपया लेखकांशी संपर्क साधा.
दस्तऐवज पुनरावृत्ती इतिहास
| उजळणी | तारीख | वर्णन |
| 001 | मार्च २०२३ | प्रारंभिक प्रकाशन. |
1.1 शब्दावली
तक्ता 1. शब्दावली
| संक्षेप | वर्णन |
| DFA | निर्धारक मर्यादित ऑटोमॅटन |
| डीपीआय | खोल पॅकेट तपासणी |
| HTTP | हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल |
| आयडीएस/आयपीएस | घुसखोरी शोध आणि प्रतिबंध प्रणाली |
| ISA | सूचना संच आर्किटेक्चर |
| एमसीएनएटी | मल्टी-क्लाउड नेटवर्किंग ऑटोमेशन टूल |
| एनएफए | नॉन-डिटरमिनिस्टिक फिनिट ऑटोमॅटन |
| NGFW | पुढील पिढीतील फायरवॉल |
| PCAP | पॅकेट कॅप्चर |
| पीसीआरई | पर्ल सुसंगत रेग्युलर एक्सप्रेशन लायब्ररी |
| रेजेक्स | नियमित अभिव्यक्ती |
| SASE | सुरक्षित प्रवेश सेवा काठ |
| SIMD | एकल सूचना बहुविध डेटा तंत्रज्ञान |
| TCP | ट्रान्समिशन कंट्रोल प्रोटोकॉल |
| URI | एकसमान संसाधन ओळखकर्ता |
| WAF | Web अनुप्रयोग फायरवॉल |
1.2 संदर्भ दस्तऐवजीकरण
तक्ता २. संदर्भ दस्तऐवज
पार्श्वभूमी आणि प्रेरणा
आज, बहुतेक NGFW विक्रेत्यांनी त्यांचे पाऊल भौतिक NGFW उपकरणांपासून ते आभासी NGFW सोल्यूशन्सपर्यंत वाढवले आहे जे सार्वजनिक क्लाउडमध्ये तैनात केले जाऊ शकतात. खालील फायद्यांमुळे सार्वजनिक क्लाउड NGFW तैनातींचा स्वीकार वाढत आहे:
- स्केलेबिलिटी: कामगिरीच्या आवश्यकता पूर्ण करण्यासाठी क्रॉस-जिओ कंप्यूट संसाधने सहजपणे वाढवा किंवा कमी करा.
- खर्च प्रभावीपणा: प्रति वापर पैसे देण्याची सुविधा देणारी लवचिक सबस्क्रिप्शन. भांडवली खर्च (कॅपेक्स) कमी करते आणि भौतिक उपकरणांशी संबंधित ऑपरेशनल खर्च कमी करते.
- क्लाउड सेवांसह स्थानिक एकत्रीकरण: नेटवर्किंग, अॅक्सेस कंट्रोल्स आणि एआय/एमएल टूल्ससारख्या सार्वजनिक क्लाउड सेवांसह अखंड एकत्रीकरण.
- क्लाउड वर्कलोड संरक्षण: सार्वजनिक क्लाउडवर होस्ट केलेल्या एंटरप्राइझ वर्कलोडसाठी स्थानिक ट्रॅफिक फिल्टरिंग.
सार्वजनिक क्लाउडमध्ये NGFW वर्कलोड चालवण्याचा कमी खर्च हा एंटरप्राइझ वापराच्या बाबतीत एक आकर्षक प्रस्ताव आहे.
तथापि, NGFW साठी सर्वोत्तम कामगिरी आणि TCO असलेले उदाहरण निवडणे आव्हानात्मक आहे, कारण विविध CPU, मेमरी आकार, IO बँडविड्थसह क्लाउड उदाहरण पर्यायांची विस्तृत श्रेणी उपलब्ध आहे आणि प्रत्येकाची किंमत वेगळी आहे. इंटेल प्रोसेसरवर आधारित वेगवेगळ्या सार्वजनिक क्लाउड उदाहरणांच्या कामगिरी आणि TCO विश्लेषणात मदत करण्यासाठी आम्ही NGFW संदर्भ अंमलबजावणी विकसित केली आहे. AWS आणि GCP सारख्या सार्वजनिक क्लाउड सेवांवर NGFW सोल्यूशन्ससाठी योग्य इंटेल-आधारित उदाहरणे निवडण्यासाठी मार्गदर्शक म्हणून आम्ही कामगिरी आणि प्रति डॉलर मेट्रिक्सचे प्रदर्शन करू.
NGFW संदर्भ अंमलबजावणी
इंटेलने नेटसेक रेफरन्स सॉफ्टवेअर पॅकेज (नवीनतम रिलीज २५.०५) विकसित केले आहे जे ऑन-प्रीम एंटरप्राइझ इन्फ्रास्ट्रक्चर आणि क्लाउडवर ऑप्टिमाइझ्ड कामगिरी प्रदर्शित करण्यासाठी नवीनतम इंटेल सीपीयू आणि प्लॅटफॉर्ममध्ये उपलब्ध असलेल्या आयएसए आणि एक्सीलरेटर्सचा वापर करून ऑप्टिमाइझ्ड रेफरन्स सोल्यूशन्स प्रदान करते. हे रेफरन्स सॉफ्टवेअर इंटेल प्रोप्रायटरी लायसन्स (आयपीएल) अंतर्गत उपलब्ध आहे.
या सॉफ्टवेअर पॅकेजचे प्रमुख मुद्दे असे आहेत:
- नेटवर्किंग आणि सुरक्षिततेसाठी संदर्भ उपायांचा विस्तृत पोर्टफोलिओ, क्लाउड आणि एंटरप्राइझ डेटा सेंटर्स आणि एज लोकेशन्ससाठी एआय फ्रेमवर्क समाविष्ट आहेत.
- बाजारपेठेसाठी वेळ आणि इंटेल तंत्रज्ञानाचा जलद अवलंब करण्याची परवानगी देते.
- सोर्स कोड उपलब्ध आहे जो इंटेल प्लॅटफॉर्मवर तैनाती परिस्थिती आणि चाचणी वातावरणाची प्रतिकृती तयार करण्यास अनुमती देतो.
नेटसेक रेफरन्स सॉफ्टवेअरच्या नवीनतम आवृत्तीबद्दल अधिक जाणून घेण्यासाठी कृपया लेखकांशी संपर्क साधा.
नेटसेक रेफरन्स सॉफ्टवेअर पॅकेजचा एक महत्त्वाचा भाग म्हणून, NGFW रेफरन्स इम्प्लीमेंटेशन इंटेल प्लॅटफॉर्मवर NGFW परफॉर्मन्स वैशिष्ट्ये आणि TCO विश्लेषण चालवते. आम्ही NGFW रेफरन्स इम्प्लीमेंटेशनमध्ये हायपरस्कॅन सारख्या इंटेल तंत्रज्ञानाचे निर्बाध एकत्रीकरण प्रदान करतो. हे इंटेल प्लॅटफॉर्मवर NGFW विश्लेषणासाठी एक मजबूत पाया तयार करते. वेगवेगळे इंटेल हार्डवेअर प्लॅटफॉर्म कॉम्प्युटपासून IO पर्यंत वेगवेगळ्या क्षमता देतात, NGFW रेफरन्स इम्प्लीमेंटेशन एक स्पष्टता सादर करते view NGFW वर्कलोड्ससाठी प्लॅटफॉर्म क्षमतांचे विश्लेषण करते आणि इंटेल प्रोसेसरच्या पिढ्यांमधील कामगिरीची तुलना दर्शविण्यास मदत करते. हे संगणकीय कामगिरी, मेमरी बँडविड्थ, IO बँडविड्थ आणि वीज वापर यासह मेट्रिक्सवर सखोल अंतर्दृष्टी प्रदान करते. कामगिरी चाचणी निकालांवर आधारित, आम्ही NGFW साठी वापरल्या जाणाऱ्या इंटेल प्लॅटफॉर्मवर TCO विश्लेषण (प्रति डॉलर कामगिरीसह) पुढे करू शकतो.
NGFW संदर्भ अंमलबजावणीच्या नवीनतम प्रकाशन (25.05) मध्ये खालील प्रमुख वैशिष्ट्ये समाविष्ट आहेत:
- बेसिक स्टेटफुल फायरवॉल
- घुसखोरी प्रतिबंधक प्रणाली (IPS)
- Intel® Xeon® 6 प्रोसेसर, Intel Xeon 6 SoC इत्यादींसह अत्याधुनिक इंटेल प्रोसेसरना समर्थन.
भविष्यातील प्रकाशनांमध्ये खालील अतिरिक्त वैशिष्ट्ये लागू करण्याची योजना आहे:
- VPN तपासणी: सामग्री तपासणीसाठी ट्रॅफिकचे IPsec डिक्रिप्शन
- TLS तपासणी: क्लायंट आणि सर्व्हरमधील कनेक्शन समाप्त करण्यासाठी आणि नंतर प्लेनटेक्स्ट ट्रॅफिकवर सामग्री तपासणी करण्यासाठी TLS प्रॉक्सी.
3.1 सिस्टम आर्किटेक्चर
आकृती १ मध्ये एकूण सिस्टम आर्किटेक्चर दाखवले आहे. सिस्टम तयार करण्यासाठी आम्ही ओपन-सोर्स सॉफ्टवेअरचा पाया वापरतो:
- VPP हे स्टेटफुल ACL सह मूलभूत स्टेटफुल फायरवॉल फंक्शन्ससह उच्च-कार्यक्षमता डेटा प्लेन सोल्यूशन प्रदान करते. आम्ही कॉन्फिगर केलेल्या कोर अॅफिनिटीसह अनेक VPP थ्रेड्स तयार करतो. प्रत्येक VPP वर्कर थ्रेड एका समर्पित CPU कोर किंवा एक्झिक्युशन थ्रेडशी पिन केलेला असतो.
- स्नॉर्ट ३ हा आयपीएस म्हणून निवडला गेला आहे, जो मल्टी-थ्रेडिंगला समर्थन देतो. स्नॉर्ट वर्कर थ्रेड्स समर्पित सीपीयू कोर किंवा एक्झिक्युशन थ्रेड्सशी पिन केलेले आहेत.
- स्नॉर्ट आणि व्हीपीपी हे स्नॉर्ट प्लगइन वापरून व्हीपीपीमध्ये एकत्रित केले जातात. हे व्हीपीपी आणि स्नॉर्ट दरम्यान पॅकेट्स पाठवण्यासाठी क्यू पेअर्सचा संच वापरते. क्यू पेअर्स आणि पॅकेट्स स्वतः शेअर्ड मेमरीमध्ये साठवले जातात. आम्ही स्नॉर्टसाठी एक नवीन डेटा अॅक्विझिशन (डीएक्यू) घटक विकसित केला आहे, ज्याला आम्ही व्हीपीपी झिरो कॉपी (झेडसी) डीएक्यू म्हणतो. हे संबंधित क्यूजमधून वाचून आणि लिहून पॅकेट्स प्राप्त करण्यासाठी आणि प्रसारित करण्यासाठी स्नॉर्ट डीएक्यू एपीआय फंक्शन्स लागू करते. पेलोड शेअर्ड मेमरीमध्ये असल्याने, आम्ही याला झिरो-कॉपी अंमलबजावणी मानतो.
स्नॉर्ट ३ हा एक संगणकीय-केंद्रित वर्कलोड असल्याने ज्यासाठी डेटा प्लेन प्रोसेसिंगपेक्षा जास्त संगणकीय संसाधनांची आवश्यकता असते, आम्ही चालू हार्डवेअर प्लॅटफॉर्मवर सर्वोच्च सिस्टम लेव्हल परफॉर्मन्स मिळविण्यासाठी ऑप्टिमाइझ्ड प्रोसेसर कोर वाटप आणि VPP थ्रेड्स आणि स्नॉर्ट३ थ्रेड्सच्या संख्येमधील संतुलन कॉन्फिगर करण्याचा प्रयत्न करत आहोत.
आकृती २ (पृष्ठ ६ वर) VPP मधील ग्राफ नोड दर्शविते, ज्यामध्ये ACL आणि Snort चा भाग असलेले नोड समाविष्ट आहेत. pluginsआम्ही दोन नवीन VPP ग्राफ नोड्स विकसित केले आहेत:
- snort-enq: कोणत्या Snort थ्रेडने पॅकेटवर प्रक्रिया करावी याबद्दल लोड-बॅलेंसिंग निर्णय घेते आणि नंतर पॅकेटला संबंधित रांगेत जोडते.
- snort-deq: एक इनपुट नोड म्हणून अंमलात आणला जातो जो अनेक रांगांमधून मतदान करतो, प्रत्येक Snort वर्कर थ्रेडसाठी एक.
३.२ इंटेल ऑप्टिमायझेशन
आमच्या NGFW संदर्भ अंमलबजावणीला मदत हवी आहेtagखालील ऑप्टिमायझेशनपैकी ई:
- स्नॉर्टमधील डीफॉल्ट सर्च इंजिनच्या तुलनेत कामगिरीत लक्षणीय वाढ प्रदान करण्यासाठी स्नॉर्ट हायपरस्कॅन हाय-परफॉर्मन्स मल्टिपल रेजेक्स मॅचिंग लायब्ररीचा वापर करते. आकृती ३ स्नॉर्टसह हायपरस्कॅन इंटिग्रेशन हायलाइट करते
शब्दशः मॅचिंग आणि रेजेक्स जुळणारे कार्यप्रदर्शन दोन्ही वाढवा. स्नॉर्ट ३ हायपरस्कॅनसह मूळ एकत्रीकरण प्रदान करते जिथे वापरकर्ते कॉन्फिगरेशनद्वारे हायपरस्कॅन चालू करू शकतात. file किंवा कमांड लाइन पर्याय.
- व्हीपीपीने अॅडव्हान्स घेतलाtagअनेक VPP वर्कर थ्रेड्समध्ये ट्रॅफिक वितरित करण्यासाठी इंटेल® इथरनेट नेटवर्क अडॅप्टर्समध्ये रिसीव्ह साइड स्केलिंग (RSS) चे e.
- इंटेल क्यूएटी आणि इंटेल एव्हीएक्स-५१२ सूचना: आयपीसेक आणि टीएलएसला समर्थन देणारे भविष्यातील रिलीझ अॅडव्हान्स घेतीलtagइंटेलकडून क्रिप्टो अॅक्सिलरेशन तंत्रज्ञानाचा वापर. इंटेल QAT क्रिप्टो कामगिरीला गती देते, विशेषतः पब्लिक की क्रिप्टोग्राफी जी नेटवर्क कनेक्शन स्थापित करण्यासाठी मोठ्या प्रमाणावर वापरली जाते. इंटेल AVX-512 क्रिप्टोग्राफिक कामगिरीला देखील चालना देते, ज्यामध्ये VPMADD52 (गुणाकार आणि संचय ऑपरेशन्स), वेक्टर AES (इंटेल AES-NI सूचनांचे वेक्टर आवृत्ती), vPCLMUL (व्हेक्टराइज्ड कॅरी-लेस गुणाकार, AES-GCM ऑप्टिमाइझ करण्यासाठी वापरले जाते), आणि इंटेल® सिक्योर हॅश अल्गोरिथम - नवीन सूचना (इंटेल® SHA-NI) यांचा समावेश आहे.
NGFW संदर्भ अंमलबजावणीचे क्लाउड डिप्लॉयमेंट
4.1 सिस्टम कॉन्फिगरेशन
तक्ता ३. चाचणी कॉन्फिगरेशन
| मेट्रिक | मूल्य |
| केस वापरा | क्लिअरटेक्स्ट इन्स्पेक्शन (एफडब्ल्यू + आयपीएस) |
| ट्रॅफिक प्रोfile | HTTP 64KB GET (प्रति कनेक्शन 1 GET) |
| व्हीपीपी एसीएल | हो (२ स्टेटफुल एसीएल) |
| स्नॉर्ट नियम | लाइट्सपीडी (~४९ हजार नियम) |
| स्नॉर्ट पॉलिसी | सुरक्षा (~२१ हजार नियम सक्षम) |
आम्ही RFC9411 मधील वापर प्रकरणे आणि KPIs वर आधारित स्पष्ट मजकूर तपासणी परिस्थितींवर लक्ष केंद्रित करतो. ट्रॅफिक जनरेटर प्रति कनेक्शन 1 GET विनंतीसह 64KB HTTP व्यवहार तयार करू शकतो. निर्दिष्ट सबनेटमध्ये IP ला परवानगी देण्यासाठी ACL कॉन्फिगर केले जातात. आम्ही बेंचमार्किंगसाठी Snort Lightspd नियम आणि Cisco कडून सुरक्षा धोरण स्वीकारले. ट्रॅफिक जनरेटरकडून विनंत्या पूर्ण करण्यासाठी एक समर्पित सर्व्हर देखील होता.
आकृती ४ आणि आकृती ५ मध्ये दाखवल्याप्रमाणे, सिस्टम टोपोलॉजीमध्ये तीन प्राथमिक इन्स्टन्स नोड्स समाविष्ट आहेत: क्लायंट, सर्व्हर आणि पब्लिक क्लाउड डिप्लॉयमेंटसाठी प्रॉक्सी. वापरकर्त्याकडून कनेक्शन देण्यासाठी एक बेस्टन नोड देखील आहे. क्लायंट (WRK चालवणारा) आणि सर्व्हर (Nginx चालवणारा) दोन्हीमध्ये एकच समर्पित डेटा-प्लेन नेटवर्क इंटरफेस आहे आणि प्रॉक्सी (NGFW चालवणारा) मध्ये चाचणीसाठी दोन डेटा-प्लेन नेटवर्क इंटरफेस आहेत. डेटा-प्लेन नेटवर्क इंटरफेस समर्पित सबनेट A (क्लायंट-प्रॉक्सी) आणि सबनेट B (प्रॉक्सी-सर्व्हर) शी जोडलेले आहेत जे इन्स्टन्स मॅनेजमेंट ट्रॅफिकपासून वेगळेपणा राखतात. समर्पित IP अॅड्रेस रेंज ट्रॅफिकचा प्रवाह चालू ठेवण्यासाठी पायाभूत सुविधांवर प्रोग्राम केलेल्या संबंधित राउटिंग आणि ACL नियमांसह परिभाषित केल्या आहेत.
४.२ सिस्टम डिप्लॉयमेंट
MCNAT हे इंटेलने विकसित केलेले एक सॉफ्टवेअर टूल आहे जे सार्वजनिक क्लाउडवर अखंड नेटवर्किंग वर्कलोड तैनातीसाठी ऑटोमेशन प्रदान करते आणि कामगिरी आणि खर्चाच्या आधारावर सर्वोत्तम क्लाउड इंस्टन्स निवडण्यासाठी सूचना देते.
MCNAT हे प्रो च्या मालिकेद्वारे कॉन्फिगर केले आहेfiles, प्रत्येक घटकासाठी आवश्यक असलेले चल आणि सेटिंग्ज परिभाषित करणारे. प्रत्येक घटक प्रकाराचे स्वतःचे प्रो असतेfile जे नंतर दिलेल्या क्लाउड सर्व्हिस प्रोव्हायडर (CSP) वर त्या विशिष्ट इन्स्टन्स प्रकाराची तैनाती करण्यासाठी MCNAT CLI टूलकडे पाठवले जाऊ शकते. उदा.ampकमांड लाइन वापर खाली आणि तक्ता ४ मध्ये दर्शविला आहे.
तक्ता ४. MCNAT कमांड लाइन वापर
| पर्याय | वर्णन |
| - तैनात करा | नवीन तैनाती तयार करण्यासाठी टूलला सूचना देते. |
| -u | कोणते वापरकर्ता क्रेडेन्शियल वापरायचे ते परिभाषित करते |
| -c | (AWS, GCP, इ.) वर तैनाती तयार करण्यासाठी CSP |
| -s | तैनात करण्यासाठी परिस्थिती |
| -p | प्रोfile वापरण्यासाठी |
MCNAT कमांड लाइन टूल एकाच चरणात इंस्टन्स तयार आणि तैनात करू शकते. एकदा इन्स्टन्स तैनात झाल्यानंतर, पोस्ट कॉन्फिगरेशन चरण आवश्यक SSH कॉन्फिगरेशन तयार करतात जेणेकरून इन्स्टन्समध्ये प्रवेश करता येईल.
४.३ सिस्टम बेंचमार्किंग
एकदा MCNAT ने इंस्टन्स तैनात केले की, सर्व कामगिरी चाचण्या MCNAT अॅप्लिकेशन टूलकिट वापरून चालवता येतात.
प्रथम, आपल्याला tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json येथे खालीलप्रमाणे चाचणी केसेस कॉन्फिगर करावे लागतील:
मग आपण माजी वापरू शकतोampचाचणी सुरू करण्यासाठी खालील कमांड दाबा. DEPLOYMENT_PATH हे असे ठिकाण आहे जिथे लक्ष्य पर्यावरण उपयोजन स्थिती संग्रहित केली जाते, उदा., tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate.d/tfws_default.
ते क्लायंटवर WRK द्वारे व्युत्पन्न केलेल्या http ट्रॅफिकवर दिलेल्या नियमांच्या संचासह NGFW चालवते, तर चाचणी अंतर्गत असलेल्या उदाहरणासाठी कार्यप्रदर्शन क्रमांकांचा संपूर्ण संच गोळा करण्यासाठी CPU कोरची श्रेणी पिन करते. चाचण्या पूर्ण झाल्यावर, सर्व डेटा csv म्हणून स्वरूपित केला जातो आणि वापरकर्त्याला परत केला जातो.
कामगिरी आणि खर्च मूल्यांकन
या विभागात, आम्ही AWS आणि GCP वरील Intel Xeon प्रोसेसरवर आधारित वेगवेगळ्या क्लाउड इंस्टन्सवर NGFW तैनातींची तुलना करतो.
हे कामगिरी आणि खर्चाच्या आधारावर NGFW साठी सर्वात योग्य क्लाउड इंस्टन्स प्रकार शोधण्यासाठी मार्गदर्शन देते. आम्ही 4 vCPUs असलेले इंस्टन्स निवडतो कारण बहुतेक NGFW विक्रेत्यांनी त्यांची शिफारस केली आहे. AWS आणि GCP वरील निकालांमध्ये हे समाविष्ट आहे:
- Intel® हायपर-थ्रेडिंग तंत्रज्ञान (Intel® HT तंत्रज्ञान) आणि हायपरस्कॅन सक्षम असलेल्या ४ vCPU होस्ट करणाऱ्या छोट्या इंस्टन्स प्रकारांवर NGFW कामगिरी.
- पहिल्या पिढीतील इंटेल झीऑन स्केलेबल प्रोसेसरपासून पाचव्या पिढीतील इंटेल झीऑन स्केलेबल प्रोसेसरपर्यंत पिढ्यानपिढ्या कामगिरीत वाढ होत आहे.
- पहिल्या पिढीतील इंटे® झीयॉन स्केलेबल प्रोसेसरपासून पाचव्या पिढीतील इंटेल झीयॉन स्केलेबल प्रोसेसरपर्यंत प्रति डॉलर पिढी कामगिरीत वाढ.
५.१ AWS तैनाती
५.१.१ उदाहरण प्रकार यादी
तक्ता ५. AWS उदाहरणे आणि मागणीनुसार तासांचे दर
| उदाहरण प्रकार | CPU मॉडेल | व्हीसीपीयू | मेमरी (GB) | नेटवर्क कामगिरी (Gbps) | मागणीनुसार होurly दर ($) |
| c5-xlarge | दुसऱ्या पिढीतील इंटेल® झीऑन® स्केलेबल प्रोसेसर | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | पहिल्या पिढीतील इंटेल® झीऑन® स्केलेबल प्रोसेसर | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | तिसऱ्या पिढीतील इंटेल® झीऑन® स्केलेबल प्रोसेसर | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | तिसऱ्या पिढीचे इंटेल झीऑन स्केलेबल प्रोसेसर | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | चौथ्या पिढीतील इंटेल® झीऑन® स्केलेबल प्रोसेसर | 4 | 8 | 12.5 | 0.1785 |
तक्ता ५ मध्ये ओव्हर दाखवले आहेview आम्ही वापरत असलेल्या AWS उदाहरणांची. अधिक प्लॅटफॉर्म तपशीलांसाठी कृपया प्लॅटफॉर्म कॉन्फिगरेशन पहा. ते ऑन-डिमांड हो देखील सूचीबद्ध करतेurly दर (https://aws.amazon.com/ec2/pricing/on-demand/) सर्व उदाहरणांसाठी. वरील हा पेपर प्रकाशित करताना मागणीचा दर होता आणि तो अमेरिकेच्या पश्चिम किनाऱ्यावर केंद्रित आहे.
मागणीनुसार होurlप्रदेश, उपलब्धता, कॉर्पोरेट खाती आणि इतर घटकांनुसार y दर बदलू शकतो.
5.1.2 परिणाम
आकृती ६ मध्ये आतापर्यंत नमूद केलेल्या सर्व उदाहरण प्रकारांवरील कामगिरी आणि प्रति तास कामगिरी दराची तुलना केली आहे:
- नवीन पिढीच्या इंटेल झीऑन प्रोसेसरवर आधारित इंस्टन्ससह कामगिरी सुधारली. c5.xlarge (दुसऱ्या पिढीच्या इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) वरून c7i.xlarge (चौथ्या पिढीच्या इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) वर अपग्रेड करणे.
१.९७x कामगिरी सुधारणा दर्शवते. - नवीन पिढीच्या इंटेल झीऑन प्रोसेसरवर आधारित इंस्टन्ससह प्रति डॉलर कामगिरी सुधारली. c5n.xlarge (फर्स्ट जनरेशन इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) वरून c7i.xlarge (फोर्थ जनरेशन इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) मध्ये अपग्रेड केल्याने कामगिरी/तास दरात 1.88x सुधारणा दिसून येते.
५.२ जीसीपी तैनाती
५.१.१ उदाहरण प्रकार यादी
तक्ता ६. जीसीपी उदाहरणे आणि मागणीनुसार तासांचे दर
| उदाहरण प्रकार | CPU मॉडेल | व्हीसीपीयू | मेमरी (GB) | डीफॉल्ट एग्रेस बँडविड्थ (Gbps) | मागणीनुसार होurly दर ($) |
| पहिली-इयत्ता-४ | पहिली पिढी इंटेल® झीऑन® स्केलेबल प्रोसेसर |
4 | 15 | 10 | 0.189999 |
| पहिली-इयत्ता-४ | तिसरी पिढी इंटेल® झीऑन® स्केलेबल प्रोसेसर |
4 | 16 | 10 | 0.194236 |
| सी३-इयत्ता-४ | चौथी पिढी इंटेल® झीऑन® स्केलेबल प्रोसेसर |
4 | 16 | 23 | 0.201608 |
| पहिली-इयत्ता-४ | चौथी पिढी इंटेल® झीऑन® स्केलेबल प्रोसेसर |
4 | 16 | 10 | 0.189544 |
| सी३-इयत्ता-४ | चौथी पिढी इंटेल® झीऑन® स्केलेबल प्रोसेसर |
4 | 15 | 23 | 0.23761913 |
तक्ता ५ मध्ये ओव्हर दाखवले आहेview आम्ही वापरत असलेल्या GCP उदाहरणांचे. अधिक प्लॅटफॉर्म तपशीलांसाठी कृपया प्लॅटफॉर्म कॉन्फिगरेशन पहा. ते ऑन-डिमांड हो देखील सूचीबद्ध करतेurly दर (https://cloud.google.com/compute/vm-instance-pricing?hl=en) सर्व उदाहरणांसाठी. वरील हा पेपर प्रकाशित करताना मागणीनुसार दर होता आणि अमेरिकेच्या पश्चिम किनाऱ्यावर लक्ष केंद्रित करतो. मागणीनुसार दरurlप्रदेश, उपलब्धता, कॉर्पोरेट खाती आणि इतर घटकांनुसार y दर बदलू शकतो.
5.2.2 परिणाम
आकृती ६ मध्ये आतापर्यंत नमूद केलेल्या सर्व उदाहरण प्रकारांवरील कामगिरी आणि प्रति तास कामगिरी दराची तुलना केली आहे:
- नवीन पिढीच्या इंटेल झीऑन प्रोसेसरवर आधारित इंस्टन्ससह कामगिरी सुधारली. n1-std-4 (फर्स्ट जनरेशन इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) वरून c4-std-4 (5th जनरेशन इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) मध्ये अपग्रेड केल्याने कामगिरीत 2.68x सुधारणा दिसून येते.
- नवीन पिढीच्या इंटेल झीऑन प्रोसेसरवर आधारित इंस्टन्ससह प्रति डॉलर कामगिरी सुधारली. n1-std-4 (फर्स्ट जनरेशन इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) वरून c4-std-4 (5th जनरेशन इंटेल झीऑन स्केलेबल प्रोसेसरवर आधारित) मध्ये अपग्रेड केल्याने कामगिरी/तास दरात 2.15x सुधारणा दिसून येते.
सारांश
मल्टी- आणि हायब्रिड-क्लाउड डिप्लॉयमेंट मॉडेल्सच्या वाढत्या अवलंबनासह, सार्वजनिक क्लाउडवर NGFW सोल्यूशन्स वितरित केल्याने वातावरणात सातत्यपूर्ण संरक्षण, सुरक्षा आवश्यकता पूर्ण करण्यासाठी स्केलेबिलिटी आणि किमान देखभाल प्रयत्नांसह साधेपणा मिळतो. नेटवर्क सुरक्षा विक्रेते सार्वजनिक क्लाउडवर विविध क्लाउड इंस्टन्स प्रकारांसह NGFW सोल्यूशन्स देतात. योग्य क्लाउड इंस्टन्ससह मालकीचा एकूण खर्च (TCO) कमी करणे आणि गुंतवणूकीवर परतावा (ROI) वाढवणे महत्वाचे आहे. विचारात घेण्यासारख्या प्रमुख घटकांमध्ये संगणकीय संसाधने, नेटवर्क बँडविड्थ आणि किंमत यांचा समावेश आहे. आम्ही प्रतिनिधी वर्कलोड म्हणून NGFW संदर्भ अंमलबजावणीचा वापर केला आणि वेगवेगळ्या सार्वजनिक क्लाउड इंस्टन्स प्रकारांवर तैनाती आणि चाचणी स्वयंचलित करण्यासाठी MCNAT चा वापर केला. आमच्या बेंचमार्किंगवर आधारित, AWS (चौथ्या इंटेल झीऑन स्केलेबल प्रोसेसरद्वारे समर्थित) आणि GCP (पाचव्या इंटेल झीऑन स्केलेबल प्रोसेसरद्वारे समर्थित) वरील नवीनतम पिढीतील इंटेल झीऑन स्केलेबल प्रोसेसरसह उदाहरणे कामगिरी आणि TCO दोन्ही सुधारणा देतात. ते मागील पिढ्यांपेक्षा 2.68x पर्यंत कामगिरी आणि प्रति तास दराने 2.15x पर्यंत कामगिरी सुधारतात. हे मूल्यांकन NGFW साठी इंटेल आधारित सार्वजनिक क्लाउड उदाहरणे निवडण्याबाबत ठोस संदर्भ निर्माण करते.
परिशिष्ट अ प्लॅटफॉर्म कॉन्फिगरेशन
प्लॅटफॉर्म कॉन्फिगरेशन
c5-xlarge – “03/17/25 रोजी इंटेल द्वारे चाचणी. 1-नोड, 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz, 2 कोर, HT ऑन, टर्बो ऑन, एकूण मेमरी 8GB (1x8GB DDR4 2933 MT/s [अज्ञात]), BIOS 1.0, मायक्रोकोड 0x5003801, 1x इलास्टिक नेटवर्क अॅडॉप्टर (ENA), 1x 32G Amazon इलास्टिक ब्लॉक स्टोअर, उबंटू 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हायपरस्कॅन 5.6.1“
c5n-xlarge – “इंटेलने ०३/१७/२५ रोजी चाचणी केली. १-नोड, १x इंटेल(आर) झीऑन(आर) प्लॅटिनम ८१२४M सीपीयू @ ३.००GHz, २ कोर, एचटी ऑन, टर्बो ऑन, एकूण मेमरी १०.५ जीबी (१×१०.५ जीबी डीडीआर४ २९३३ एमटी/सेकंद [अज्ञात]), बायोस १.०, मायक्रोकोड ०x२००७००६, १ एक्स इलास्टिक नेटवर्क अॅडॉप्टर (ईएनए), १ एक्स ३२ जी अमेझॉन इलास्टिक ब्लॉक स्टोअर, उबंटू २२.०४.५ एलटीएस, ६.८.०-१०२४-एडब्ल्यूएस, जीसीसी ११.४, एनजीएफडब्ल्यू २४.१२, हायपरस्कॅन ५.६.१”
c6i-xlarge – “03/17/25 रोजी इंटेलने चाचणी केली. 1-नोड, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 कोर, HT ऑन, टर्बो ऑन, एकूण मेमरी 8GB (1x8GB DDR4 3200 MT/s [अज्ञात]), BIOS 1.0, मायक्रोकोड 0xd0003f6, 1x इलास्टिक नेटवर्क अॅडॉप्टर (ENA), 1x 32G Amazon इलास्टिक ब्लॉक स्टोअर, उबंटू 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हायपरस्कॅन 5.6.1“
c6in-xlarge – “03/17/25 रोजी इंटेलने चाचणी केली. 1-नोड, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 कोर, HT ऑन, टर्बो ऑन, एकूण मेमरी 8GB (1x8GB DDR4 3200 MT/s [अज्ञात]), BIOS 1.0, मायक्रोकोड 0xd0003f6, 1x इलास्टिक नेटवर्क अॅडॉप्टर (ENA), 1x 32G Amazon इलास्टिक ब्लॉक स्टोअर, उबंटू 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हायपरस्कॅन 5.6.1”
c7i-xlarge – “03/17/25 रोजी इंटेलने चाचणी केली. 1-नोड, 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, 2 कोर, HT ऑन, टर्बो ऑन, एकूण मेमरी 8GB (1x8GB DDR4 4800 MT/s [अज्ञात]), BIOS 1.0, मायक्रोकोड 0x2b000620, 1x इलास्टिक नेटवर्क अॅडॉप्टर (ENA), 1x 32G Amazon इलास्टिक ब्लॉक स्टोअर, उबंटू 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हायपरस्कॅन 5.6.1”
n1-std-4 – “03/17/25 पासून इंटेल द्वारे चाचणी. 1-नोड, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, 2 कोर, HT ऑन, टर्बो ऑन, एकूण मेमरी 15GB (1x15GB RAM []), BIOS Google, मायक्रोकोड 0xffffffff, 1x डिव्हाइस, 1x 32G पर्सिस्टंटडिस्क, उबंटू 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, हायपरस्कॅन 5.6.1“
n2-std-4 – ०३/१७/२५ रोजी इंटेल द्वारे चाचणी. १-नोड, १x इंटेल(आर) झिओन(आर) सीपीयू @ २.६०GHz, २ कोर, एचटी ऑन, टर्बो ऑन, एकूण मेमरी १६ जीबी (१x१६ जीबी रॅम []), गुगल बायोस, मायक्रोकोड ०xffffffff, १ एक्स डिव्हाइस, १x ३२ जी पर्सिस्टंटडिस्क, उबंटू २२.०४.५ एलटीएस, ६.८.०-१०२५जीसीपी, जीसीसी ११.४, एनजीएफडब्ल्यू २४.१२, हायपरस्कॅन ५.६.१”
c3-std-4 – ०३/१४/२५ रोजी इंटेल द्वारे चाचणी. १-नोड, १x इंटेल(आर) झीऑन(आर) प्लॅटिनम ८४८१सी सीपीयू @ २.७०GHz @ २.६०GHz, २ कोर, एचटी ऑन, टर्बो ऑन, एकूण मेमरी १६ जीबी (१x१६ जीबी रॅम []), गुगल बायोस, मायक्रोकोड ०xffffffff, १x कॉम्प्युट इंजिन व्हर्च्युअल इथरनेट [gVNIC], १x ३२G nvme_card-pd, उबंटू २२.०४.५ एलटीएस, ६.८.०-१०२५-जीसीपी, जीसीसी ११.४, एनजीएफडब्ल्यू २४.१२, हायपरस्कॅन ५.६.१”
n4-std-4 – ०३/१८/२५ रोजी इंटेल द्वारे चाचणी. १-नोड, १x इंटेल(आर) झिओन(आर) प्लॅटिनम ८५८१सी सीपीयू @ २.१०GHz, २ कोर, एचटी ऑन, टर्बो ऑन, एकूण मेमरी १६ जीबी (१x१६ जीबी रॅम []), गुगल बायोस, मायक्रोकोड ०xffffffff, १x कॉम्प्युट इंजिन व्हर्च्युअल इथरनेट [gVNIC], १x ३२G nvme_card-pd, उबंटू २२.०४.५ एलटीएस, ६.८.०-१०२५-जीसीपी, जीसीसी ११.४, एनजीएफडब्ल्यू २४.१२, हायपरस्कॅन ५.६.१”
c4-std-4 – ०३/१८/२५ रोजी इंटेल द्वारे चाचणी. १-नोड, १x इंटेल(आर) झिओन(आर) प्लॅटिनम ८५८१सी सीपीयू @ २.३०GHz, २ कोर, एचटी ऑन, टर्बो ऑन, एकूण मेमरी १५ जीबी (१x१५ जीबी रॅम []), गुगल बायोस, मायक्रोकोड ०xffffffff, १x कॉम्प्युट इंजिन व्हर्च्युअल इथरनेट [gVNIC], १x ३२G nvme_card-pd, उबंटू २२.०४.५ एलटीएस, ६.८.०-१०२५-जीसीपी, जीसीसी ११.४, एनजीएफडब्ल्यू २४.१२, हायपरस्कॅन ५.६.१”
परिशिष्ट ब इंटेल एनजीएफडब्ल्यू संदर्भ सॉफ्टवेअर कॉन्फिगरेशन
| सॉफ्टवेअर कॉन्फिगरेशन | सॉफ्टवेअर आवृत्ती |
| होस्ट OS | उबंटू 22.04 LTS |
| कर्नल | 6.8.0-1025 |
| कंपायलर | जीसीसी ११.४.० |
| WRK | ७४eb९४३७ |
| WRK2 | ४४ए९४सी१७ |
| VPP | 24.02 |
| स्नोर्ट | 3.1.36.0 |
| DAQ | 3.0.9 |
| लुआजिट | २.१.०-बीटा३ |
| लिबपकॅप | 1.10.1 |
| पीसीआरई | 8.45 |
| झेडएलआयबी | 1.2.11 |
| हायपरस्कॅन | 5.6.1 |
| एलझेडएमए | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
कार्यप्रदर्शन वापर, कॉन्फिगरेशन आणि इतर घटकांनुसार बदलते. येथे अधिक जाणून घ्या www.Intel.com/PerformanceIndex.
कार्यप्रदर्शन परिणाम कॉन्फिगरेशनमध्ये दर्शविलेल्या तारखांच्या चाचणीवर आधारित आहेत आणि सर्व सार्वजनिकरित्या उपलब्ध अद्यतने दर्शवू शकत नाहीत. कॉन्फिगरेशन तपशीलांसाठी बॅकअप पहा. कोणतेही उत्पादन किंवा घटक पूर्णपणे सुरक्षित असू शकत नाही.
इंटेल मर्यादेशिवाय, व्यापारक्षमतेची गर्भित हमी, विशिष्ट हेतूसाठी फिटनेस आणि गैर-उल्लंघन, तसेच कार्यप्रदर्शन, व्यवहाराचा मार्ग किंवा व्यापारातील वापरामुळे उद्भवणारी कोणतीही हमी यासह सर्व व्यक्त आणि निहित वॉरंटी नाकारते.
इंटेल तंत्रज्ञानास सक्षम हार्डवेअर, सॉफ्टवेअर किंवा सेवा सक्रियण आवश्यक असू शकते.
इंटेल तृतीय-पक्ष डेटा नियंत्रित किंवा ऑडिट करत नाही. अचूकतेचे मूल्यांकन करण्यासाठी तुम्ही इतर स्त्रोतांचा सल्ला घ्यावा.
वर्णन केलेल्या उत्पादनांमध्ये डिझाइन दोष किंवा त्रुटी असू शकतात ज्यांना इरेटा म्हणून ओळखले जाते ज्यामुळे उत्पादन प्रकाशित वैशिष्ट्यांपासून विचलित होऊ शकते. वर्तमान वैशिष्ट्यीकृत इरेटा विनंतीवर उपलब्ध आहे.
© इंटेल कॉर्पोरेशन. इंटेल, इंटेल लोगो आणि इतर इंटेल चिन्ह हे इंटेल कॉर्पोरेशन किंवा त्याच्या उपकंपन्यांचे ट्रेडमार्क आहेत. इतर नावे आणि ब्रँडवर इतरांची मालमत्ता म्हणून दावा केला जाऊ शकतो.
०४२५/एक्सडब्ल्यू/एमके/पीडीएफ ३६५१५०-००१यूएस
कागदपत्रे / संसाधने
 |
इंटेल नेक्स्ट जनरेशन फायरवॉल्स ऑप्टिमाइझ करते [pdf] वापरकर्ता मार्गदर्शक नेक्स्ट जनरेशन फायरवॉल्स ऑप्टिमाइझ करा, ऑप्टिमाइझ करा, नेक्स्ट जनरेशन फायरवॉल्स, जनरेशन फायरवॉल्स, फायरवॉल्स |