UTM senker ytelsen

UTM senker ytelsen

IPS og antivirus-skanning reduserer brannmurytelsen fra gigabit til megabit

Fordi ethvert nettverk trenger forskjellige måter å måle ytelse på og de fleste UTM-produktene tilbyr tusenvis av innstillings- og tilpasningsmåter, er det svært vanskelig å trekke selv de mest generelle konklusjoner om hvordan disse produktene vil oppføre seg i ditt nettverk. Vi kan imidlertid fastslå at de aller fleste virksomheter vil ønske å gå forsiktig frem med hensyn til å legge inn UTM-funksjonalitet, som innbruddsforhindring (IPS) og antivirus-skanning, i brannmurboksene i kanten av nettverket på grunn av uforutsigbarheten av hvilke følger dette vil få for den totale ytelsen til systemet som helhet.

Du kan lese hele testen av UTM-løsninger i papirutgaven av Nettverk & Kommunikasjon nr. 11 2007. Bestill abonnement her.

I den grunnleggende testingen med bare brannmurfunksjonalitet slått på, håndterte åtte av 14 enheter med letthet vårt oppsatte minimumsmål på på 1 gigabit per sekund. Men da vi slo på UTM-funksjonaliteten, begynte systemer som suste forbi 1 Gbps-merket å sakne farten betraktelig. Ut fra 56 testresultater utført med forskjellige UTM-innstillinger, viste hele 36 resultater ytelse på 250 megabit per sekund eller dårligere.

I konfigureringen av IPS kan dine valg av signaturer utgjøre forskjellen mellom en rask brannmur og en snegle. Den desidert raskeste IPS-enheten, IBM ISS Proventia MX5010, viser at du kan få høyhastighet IPS oppå en brannmur. Andre plattformer krever nøyaktig trimming og kvalifisert utvelgelse av hva du ønsker å beskytte før du kan oppnå forutsigbar og akseptabel ytelse.

Antivirus-skanning har en tilsvarende kostnad i de fleste plattformene. Her var Fortinet FortiGate 3600A et unntak. Også antivirus viste seg å være en farlig modul for hastigheten – noen av enhetene gikk ned på kne og gigabit brannmurer ble til megabit-treiginger.

Vi kjørte grunnleggende trafikk gjennom brannmurene ved hjelp av Spirents Avalanche og Reflector for belastningstesting. Vi satte opp en belastning på 1 gigabit per sekund spredt på fire porter hvor Reflector leverte web-sider fra 20 simulerte web-servere på to av portene og Avalanche simulerte 500 web-klienter på de andre to.

LES OGSÅ: Topptrender i UTM-markedet

På alle brannmurene satte vi opp en moderat policy og lot HTTP gå mellom segmenter med NAT (Network Address Translation) slått på. Vi forsøkte ikke å finne ut topphastigheten til hvert av produktene – de fleste hadde kapasitet til mer enn vårt testmiljø på 1 Gbps. Formålet vårt var å finne ut av hvor store fall i ytelse vi ville finne når vi slo på UTM-funksjonalitet.

Sikkerhetsfunksjonene til flere av brannmurene vi testet omfatter en bred skala med muligheter. For eksempel lar Secure Computing deg kjøre Sidewinder med pakkefiltrering eller en generell proxy, og ingen av disse har samme sikkerhetsmodell som når du kjører den som en proxy med full gjenkjenning av applikasjoner. Med pakkefiltrering var Sidewinder den raskeste i vårt testmiljø, som generell proxy var den nær 1 Gbps. Men når en virksomhet betaler 80 000 dollar, rundt en halv million kroner i praksis her til lands, så gjør de det for å få full funksjonalitet. Da vi slo på dette falt den rå ytelsen, men ikke lenger enn til respektable 826 gigabit per sekund.

Les om:

Sikkerhet