Intel logo

Gid Teknoloji
Optimize pèfòmans NGFW a avèk
Procesè Intel® Xeon® sou Nwaj Piblik la

Otè
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhiksha Ravisundar
Heqing Zhu

Kontni kache
1 Entwodiksyon
2 Kontèks ak Motivasyon
3 Aplikasyon Referans NGFW
4 Deplwaman nan nwaj la pou aplikasyon referans NGFW
5 Evalyasyon Pèfòmans ak Pri
6 Rezime
7 Apendis A Konfigirasyon Platfòm
8 Dokiman / Resous
8.1 Referans

Entwodiksyon

Pare-feu nouvo jenerasyon (NGFW) yo nan kè solisyon sekirite rezo yo. Pare-feu tradisyonèl yo fè enspeksyon trafik eta a, tipikman baze sou pò ak pwotokòl ki pa ka defann efektivman kont trafik move modèn yo. NGFW yo evolye epi elaji sou pare-feu tradisyonèl yo ak kapasite enspeksyon pake pwofon avanse, ki gen ladan sistèm deteksyon/prevansyon entrizyon (IDS/IPS), deteksyon malveyan, idantifikasyon ak kontwòl aplikasyon, elatriye.
NGFW yo se chaj travay ki mande anpil kalkil epi ki fè, pa egzanpampSa vle di, operasyon kriptografik pou chifreman ak dechifreman trafik rezo a ak gwo konparaison règ pou detekte aktivite move. Intel bay teknoloji debaz pou optimize solisyon NGFW yo.
Procesè Intel yo ekipe ak plizyè achitekti ansanm enstriksyon (ISA), tankou Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) ak Intel® QuickAssist Technology (Intel® QAT) ki akselere pèfòmans kriptografik anpil.
Intel envesti tou nan optimizasyon lojisyèl tankou sa yo pou Hyperscan. Hyperscan se yon bibliyotèk pèfòmans segondè pou matche chèn karaktè ak ekspresyon regilye (regex). Li itilize teknoloji done miltip enstriksyon sèl (SIMD) sou processeur Intel yo pou amelyore pèfòmans matche modèl. Entegrasyon Hyperscan nan sistèm IPS NGFW tankou Snort ka amelyore pèfòmans jiska 3 fwa sou processeur Intel yo.
Souvan yo delivre NGFW yo kòm yon aparèy sekirite deplwaye nan zòn demilitarize (DMZ) sant done antrepriz yo. Sepandan, gen yon gwo demann pou aparèy vityèl NGFW oswa pakè lojisyèl ki ka deplwaye nan nwaj piblik la, nan sant done antrepriz yo, oswa nan kote ki nan limit rezo a. Modèl deplwaman lojisyèl sa a libere IT antrepriz la anba operasyon ak antretyen ki asosye ak aparèy fizik yo. Li amelyore évolutivité sistèm nan epi li bay opsyon fleksib pou akizisyon ak achte.
Yon kantite k ap ogmante nan antrepriz ap adopte deplwaman solisyon NGFW nan nwaj piblik la. Yon rezon prensipal pou sa a se avantaj pri a.tage nan kouri aparèy vityèl nan nwaj la.
Men, piske CSP yo ofri yon pakèt kalite enstans ak diferan karakteristik kalkil ak pri, chwazi enstans ki gen pi bon TCO pou NGFW ka difisil.
Atik sa a prezante yon aplikasyon referans NGFW ki soti nan Intel, optimize ak teknoloji Intel yo, tankou Hyperscan. Li ofri yon prèv serye pou karakterizasyon pèfòmans NGFW sou platfòm Intel yo. Li enkli kòm yon pati nan pake lojisyèl referans NetSec Intel la. Nou bay tou Zouti Otomatizasyon Rezo Multi-Cloud (MCNAT) nan menm pake a pou otomatize deplwaman aplikasyon referans NGFW a sou sèten founisè nwaj piblik. MCNAT senplifye analiz TCO pou diferan enstans enfòmatik epi gide itilizatè yo nan enstans enfòmatik optimal pou NGFW.
Tanpri kontakte otè yo pou aprann plis bagay sou pake lojisyèl referans NetSec la.

Istwa revizyon dokiman

Revizyon Dat Deskripsyon
001 Mas 2025 Premye lage.

1.1 Tèminoloji
Tablo 1. Tèminoloji

Abreviyasyon Deskripsyon
DFA Otomat Fini Deterministik
DPI Gwo twou san fon enspeksyon pake
HTTP Pwotokòl transfè ipètèks
IDS/IPS Sistèm Deteksyon ak Prevansyon Entrizyon
ISA Enstriksyon Set Achitekti
MCNAT Zouti Otomatizasyon Rezo Plizyè-Nwaj
NFA Otomat Fini ki pa deterministik
NGFW Pare-feu pwochen jenerasyon an
PCAP Pake Capture
PCRE Bibliyotèk Ekspresyon Regilye Konpatib ak Perl
Regèks Ekspresyon regilye
SASE Sèvis Aksè Sekirize Edge
SIMD Teknoloji Done Miltip Enstriksyon Yon Sèl
TCP Pwotokòl kontwòl transmisyon
URI Idantifikasyon Resous Inifòm
WAF Web Aplikasyon Firewall

1.2 Dokimantasyon referans
Tablo 2. Dokiman Referans

Referans Sous
Platfòm évolutif Intel® Xeon® ki fèt pou pifò chaj travay sansib yo https://www.intc.com/news-events/press-releases/detail/1423/intel-xeon-scalable-platform-built-for-most-sensitive
Ronfle https://www.snort.org/
Règ Snort Talos yo https://www.snort.org/downloads#rules
Ipèskanè https://www.intel.com/content/www/us/en/developer/articles/technical/introduction-to-hyperscan.html
Entegrasyon Hyperscan ak Snort https://www.intel.com/content/www/us/en/developer/articles/technical/hyperscan-and-snort-integration.html
Hyperscan: Yon Matchè Regex Milti-Modèl Rapid pou CPU Modèn yo https://www.usenix.org/conference/nsdi19/presentation/wang-xiang
Teddy: Yon motè matche literal efikas ki baze sou SIMD pou enspeksyon pake pwofon évolutif https://dl.acm.org/doi/10.1145/3472456.3473512
Manyèl Devlopè Lojisyèl Achitekti Intel® 64 ak IA-32 https://www.intel.com/content/www/us/en/developer/articles/technical/intel-sdm.html
Gid Entènsikil Intel® https://www.intel.com/content/www/us/en/docs/intrinsics-guide/index.html
Akselere Pèfòmans Debi Suricata a Lè l sèvi avèk Lojisyèl Konparezon Modèl Hyperscan https://www.intel.com/content/dam/www/public/us/en/documents/solution-briefs/hyperscan-scalability-solution-brief.pdf
Suricata https://suricata.io/
Ipèskan nan Suricata: Eta Inyon an https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf
Akselere pèfòmans Snort ak Hyperscan ak procesè Intel® Xeon® sou nwaj piblik yo https://networkbuilders.intel.com/solutionslibrary/accelerate-snort-performance-with-hyperscan-and-intel-xeon-processors-on-public-clouds
Pare-feu pwochen jenerasyon an – Optimizasyon ak processeur évolutif Intel® Xeon® 4yèm jenerasyon an https://networkbuilders.intel.com/solutionslibrary/next-generation-firewall- optimizasyon-solisyon-brif
Optimize Debi ak Efikasite Enèji pou Pare-feu Pwochen Jenerasyon an https://www.intel.com/content/www/us/en/products/docs/processors/xeon-accelerated/network/xeon6-firewall-solution-brief.html
Pakè lojisyèl NetSec https://www.intel.com/content/www/us/en/secure/design/confidential/software-kits/kit-details.html?kitId=853965

Kontèks ak Motivasyon

Jodi a, pifò vandè NGFW yo te elaji anprint yo soti nan aparèy NGFW fizik rive nan solisyon NGFW vityèl ki ka deplwaye nan nwaj piblik la. Deplwaman NGFW nan nwaj piblik la ap wè yon ogmantasyon nan adopsyon akòz benefis sa yo:

  • Eskalabilite: ogmante oswa diminye resous enfòmatik kwa-jeyografik yo fasilman pou satisfè egzijans pèfòmans yo.
  • Efikasite pri: abònman fleksib pou pèmèt peye pou chak itilizasyon. Elimine depans kapital (capex) epi redwi depans fonksyònman ki asosye ak aparèy fizik yo.
  • Entegrasyon natif natal ak sèvis nwaj yo: entegrasyon san pwoblèm ak sèvis nwaj piblik yo tankou rezo, kontwòl aksè ak zouti IA/ML.
  • Pwoteksyon chaj travay nan nwaj la: filtraj trafik lokal pou chaj travay antrepriz ki òganize sou nwaj piblik la.

Pri ki redwi pou fè travay NGFW a nan nwaj piblik la se yon pwopozisyon atiran pou ka itilizasyon antrepriz yo.
Sepandan, chwazi enstans ki gen pi bon pèfòmans ak TCO pou NGFW a se yon defi, etandone gen yon pakèt opsyon enstans nwaj ki disponib ak divès CPU, gwosè memwa, bandwidth IO, epi chak gen yon pri diferan. Nou te devlope Implementation Referans NGFW pou ede ak analiz pèfòmans ak TCO diferan enstans nwaj piblik ki baze sou processeur Intel yo. Nou pral demontre metrik pèfòmans ak pèfòmans pou chak dola kòm yon gid pou chwazi bon enstans ki baze sou Intel pou solisyon NGFW sou sèvis nwaj piblik tankou AWS ak GCP.

Aplikasyon Referans NGFW

Intel devlope pake lojisyèl referans NetSec la (dènye vèsyon 25.05) ki bay solisyon referans optimize lè l sèvi avèk ISA ak akseleratè ki disponib nan dènye CPU ak platfòm Intel yo pou demontre pèfòmans optimize nan enfrastrikti antrepriz lokal la ak sou nwaj la. Lojisyèl referans lan disponib anba Lisans Pwopriyetè Intel (IPL).
Pwen enpòtan nan pake lojisyèl sa a se:

  • Gen ladan yon gwo pòtfolyo solisyon referans pou rezo ak sekirite, kad entèlijans atifisyèl pou sant done nwaj ak antrepriz ak kote ki nan limit rezo yo.
  • Pèmèt tan pou mache a ak adopsyon rapid teknoloji Intel yo.
  • Kòd sous disponib ki pèmèt replike senaryo deplwaman ak anviwònman tès sou platfòm Intel yo.

Tanpri kontakte otè yo pou aprann plis sou kijan pou jwenn dènye vèsyon lojisyèl referans NetSec la.
Kòm yon pati enpòtan nan pake lojisyèl referans NetSec la, aplikasyon referans NGFW a kondwi karakteristik pèfòmans NGFW yo ak analiz TCO sou platfòm Intel yo. Nou bay yon entegrasyon san pwoblèm nan teknoloji Intel tankou Hyperscan nan aplikasyon referans NGFW la. Li bati yon fondasyon solid pou analiz NGFW sou platfòm Intel yo. Piske diferan platfòm pyès ki nan konpitè Intel yo ofri diferan kapasite soti nan kalkil rive nan IO, aplikasyon referans NGFW la prezante yon pi klè. view kapasite platfòm pou chaj travay NGFW yo epi li ede montre konparezon pèfòmans ant jenerasyon processeur Intel yo. Li bay enfòmasyon detaye sou metrik yo, tankou pèfòmans kalkil, Pleasant memwa, Pleasant IO, ak konsomasyon enèji. Baze sou rezilta tès pèfòmans yo, nou ka plis fè analiz TCO (ak pèfòmans pou chak dola) sou platfòm Intel yo itilize pou NGFW.

Dènye vèsyon (25.05) aplikasyon referans NGFW a gen ladan karakteristik kle sa yo:

  • Pare-feu debaz ki gen eta
  • Sistèm Prevansyon Entrizyon (IPS)
  • Sipò pou processeur Intel dènye kri ki gen ladan processeur Intel® Xeon® 6, Intel Xeon 6 SoC, elatriye.

Yo prevwa pou vèsyon kap vini yo aplike karakteristik adisyonèl sa yo:

  • Enspeksyon VPN: Dekriptaj trafik IPsec pou enspeksyon kontni
  • Enspeksyon TLS: yon proksi TLS pou mete fen nan koneksyon ant yon kliyan ak yon sèvè epi answit fè enspeksyon kontni sou trafik tèks klè a.

3.1 Sistèm Achitekti

Achitekti Sistèm pou Firewall Intel Optimize Next Generation

Figi 1 montre achitekti sistèm nan an jeneral. Nou itilize lojisyèl sous ouvè kòm fondasyon pou konstwi sistèm nan:

  • VPP bay yon solisyon plan done pèfòmans wo ak fonksyon pare-feu debaz ak eta, ki gen ladan ACL ak eta. Nou kreye plizyè fil VPP ak afinite nwayo configuré. Chak fil travayè VPP tache ak yon nwayo CPU dedye oswa yon fil ekzekisyon.
  • Yo chwazi Snort 3 kòm IPS, ki sipòte milti-threading. Fil travayè Snort yo tache ak nwayo CPU dedye oswa fil ekzekisyon.
  • Snort ak VPP entegre lè l sèvi avèk plugin Snort la pou VPP. Sa a itilize yon seri pè fil pou voye pakè ant VPP ak Snort. Pè fil yo ak pakè yo menm yo estoke nan memwa pataje. Nou devlope yon nouvo konpozan Akizisyon Done (DAQ) pou Snort, ke nou rele VPP Zero Copy (ZC) DAQ. Sa a aplike fonksyon API Snort DAQ yo pou resevwa ak transmèt pakè lè yo li epi ekri nan fil ki enpòtan yo. Piske chaj itil la nan memwa pataje, nou konsidere sa a kòm yon aplikasyon Zero-Copy.

Piske Snort 3 se yon chaj travay ki mande plis resous enfòmatik pase pwosesis plan done a, n ap eseye konfigire yon alokasyon nwayo processeur optimize ak yon balans ant kantite fil VPP yo ak fil Snort3 yo pou jwenn pi bon pèfòmans sistèm sou platfòm pyès ki nan konpitè a.
Figi 2 (nan paj 6) montre nœud graf la nan VPP, ki gen ladan sa yo ki fè pati ACL la ak Snort. pluginsNou devlope de nouvo nœd graf VPP:

  • snort-enq: pran yon desizyon balans chaj sou ki fil Snort ki ta dwe trete pake a epi answit mete pake a nan keu ki koresponn lan.
  • snort-deq: aplike kòm yon ne opinyon ki fè sondaj nan plizyè fil, youn pou chak fil travayè Snort.

Intel Optimize Firewall Pwochen Jenerasyon - Nœuds Graf

3.2 Optimizasyon Intel yo
Aplikasyon referans NGFW nou an pran anpil avantaj.tage nan optimizasyon sa yo:

  • Snort itilize bibliyotèk matche regex miltip Hyperscan ki gen gwo pèfòmans pou bay yon ogmantasyon siyifikatif nan pèfòmans konpare ak motè rechèch default nan Snort. Figi 3 mete aksan sou entegrasyon Hyperscan ak Snort pou
    akselere pèfòmans matche literal machng ak regex. Snort 3 bay entegrasyon natif natal ak Hyperscan kote itilizatè yo ka aktive Hyperscan swa atravè konfigirasyon file oubyen opsyon liy kòmand.

Intel Optimize Firewall Pwochen Jenerasyon an - Snort ak Hyperscan

  • VPP pran avantajtage nan Receive Side Scaling (RSS) nan adaptè rezo Ethernet Intel® pou distribye trafik atravè plizyè fil travayè VPP.
  • Enstriksyon Intel QAT ak Intel AVX-512: Vèsyon kap vini yo ki sipòte IPsec ak TLS pral pran avantaj sou...tagyon seri teknoloji akselerasyon kriptografik Intel yo. Intel QAT akselere pèfòmans kriptografik, sitou kriptografi kle piblik ki lajman itilize pou etabli koneksyon rezo. Intel AVX-512 amelyore pèfòmans kriptografik tou, tankou VPMADD52 (operasyon miltiplikasyon ak akimilasyon), vektè AES (vèsyon vektè enstriksyon Intel AES-NI yo), vPCLMUL (miltiplikasyon vektè san pote, itilize pou optimize AES-GCM), ak Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).

Deplwaman nan nwaj la pou aplikasyon referans NGFW

4.1 Konfigirasyon Sistèm
Tablo 3. Konfigirasyon tès yo

Metrik Valè
Sèvi ak ka Enspeksyon tèks klè (FW + IPS)
Pwofesyonèl Trafikfile HTTP 64KB GET (1 GET pou chak koneksyon)
ACL VPP yo Wi (2 ACL ki gen eta)
Règ Snort yo Lightspd (~49k règ)
Règleman Snort Sekirite (~21k règ aktive)

Nou konsantre sou senaryo enspeksyon tèks klè ki baze sou ka itilizasyon ak KPI nan RFC9411. Jeneratè trafik la te kapab kreye tranzaksyon HTTP 64KB ak 1 demann GET pa koneksyon. ACL yo configuré pou pèmèt IP nan sou-rezo espesifye yo. Nou te adopte règ Snort Lightspd ak règleman sekirite Cisco pou evalyasyon referans. Te genyen tou yon sèvè dedye pou sèvi demann ki soti nan jeneratè trafik yo.

Intel Optimize Firewall Pwochen Jenerasyon - Topoloji SistèmIntel Optimize Firewall Pwochen Jenerasyon - Topoloji Sistèm 2

Jan yo montre nan Figi 4 ak Figi 5, topoloji sistèm lan gen ladan twa nœuds prensipal: yon kliyan, yon sèvè ak yon proxy pou deplwaman nwaj piblik la. Genyen tou yon nœud bastion pou sèvi koneksyon ki soti nan itilizatè a. Tou de kliyan an (k ap kouri WRK) ak sèvè a (k ap kouri Nginx) gen yon sèl koòdone rezo dedye pou plan done a, epi proxy a (k ap kouri NGFW) gen de koòdone rezo pou plan done pou fè tès. Koòdone rezo plan done yo tache ak sou-rezo A dedye (kliyan-proxy) ak sou-rezo B (proxy-sèvè) ki kenbe izolasyon ak trafik jesyon ensan an. Yo defini seri adrès IP dedye ak règ routage ak ACL ki koresponn yo pwograme sou enfrastrikti a pou pèmèt sikilasyon trafik la.

4.2 Deplwaman Sistèm
MCNAT se yon zouti lojisyèl Intel devlope ki bay automatisation pou deplwaman san pwoblèm travay rezo sou nwaj piblik la epi ki ofri sijesyon sou seleksyon pi bon enstans nwaj la ki baze sou pèfòmans ak pri.
Yo konfigire MCNAT atravè yon seri pwogramfiles, chak defini varyab ak paramèt ki nesesè pou chak egzanp. Chak kalite egzanp gen pwòp pwogram li.file ki ka pase bay zouti MCNAT CLI a pou deplwaye kalite egzanp espesifik sa a sou yon founisè sèvis nwaj (CSP) bay. Pa egzanpampItilizasyon liy kòmand lan montre anba a ak nan Tablo 4.

Pare-feu Intel Optimize Pwochen Jenerasyon - Senbòl 1

Tablo 4. Itilizasyon Liy Kòmand MCNAT

Opsyon Deskripsyon
–deplwaye Bay zouti a enstriksyon pou kreye yon nouvo deplwaman
-u Defini ki kalifikasyon itilizatè pou itilize
-c CSP pou kreye deplwaman sou (AWS, GCP, elatriye)
-s Senaryo pou deplwaye
-p Profile pou itilize

Zouti liy kòmand MCNAT la ka konstwi epi deplwaye enstans nan yon sèl etap. Yon fwa enstans lan deplwaye, etap apre konfigirasyon yo kreye konfigirasyon SSH ki nesesè pou pèmèt aksè nan enstans lan.
4.3 Evalyasyon Sistèm
Yon fwa MCNAT fin deplwaye enstans yo, tout tès pèfòmans yo ka fèt lè l sèvi avèk twous zouti aplikasyon MCNAT la.
Premyèman, nou bezwen konfigire ka tès yo nan tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json jan sa a:

Pare-feu Intel Optimize Pwochen Jenerasyon - Senbòl 2

Lè sa a, nou ka itilize ansyen anampkòmand ki anba a pou lanse tès la. DEPLOYMENT_PATH la se kote eta deplwaman anviwònman sib la estoke, pa egzanp, tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.

Pare-feu Intel Optimize Pwochen Jenerasyon - Senbòl 3

Li egzekite NGFW avèk yon seri règ bay sou trafik http ki WRK pwodui sou kliyan an, pandan l ap fikse yon seri nwayo CPU, pou kolekte yon seri konplè chif pèfòmans pou egzanp ki anba tès la. Lè tès yo fini, tout done yo fòmate kòm yon csv epi yo retounen bay itilizatè a.

Evalyasyon Pèfòmans ak Pri

Nan seksyon sa a, nou konpare deplwaman NGFW sou diferan enstans nwaj ki baze sou processeur Intel Xeon nan AWS ak GCP.
Sa a bay gidans sou kijan pou jwenn kalite enstans nwaj ki pi apwopriye pou NGFW ki baze sou pèfòmans ak pri. Nou chwazi enstans ki gen 4 vCPU paske pifò vandè NGFW yo rekòmande yo. Rezilta yo sou AWS ak GCP yo enkli:

  • Pèfòmans NGFW sou ti kalite enstans ki òganize 4 vCPU ak teknoloji Intel® Hyper-Threading (Intel® HT Technology) ak Hyperscan aktive.
  • Pwogrè pèfòmans de jenerasyon an jenerasyon soti nan processeur Intel Xeon Scalable 1ye jenerasyon rive nan processeur Intel Xeon Scalable 5yèm jenerasyon an.
  • Pèfòmans jenerasyon apre jenerasyon pou chak dola benefis soti nan processeur Inte® Xeon Scalable 1ye jenerasyon pou rive nan processeur Intel Xeon Scalable 5yèm jenerasyon an.

5.1 Deplwaman AWS
5.1.1 Lis Kalite Enstans
Tablo 5. Enstans AWS ak Tarif Lè Sou Demann

Kalite Enstans Modèl CPU vCPU memwa (GB) Pèfòmans rezo (Gbps) Sou demannurlpousantaj y ($)
c5-gwo 2yèm jenerasyon procesè Intel® Xeon® évolutif 4 8 10 0.17
c5n-xlarge Premye jenerasyon procesè Intel® Xeon® évolutif 4 10.5 25 0.216
c6i-gwo 3yèm jenerasyon procesè Intel® Xeon® évolutif 4 8 12.5 0.17
c6 pous-twò gwo 3yèm jenerasyon procesè Intel Xeon évolutif 4 8 30 0.2268
c7i-gwo 4yèm jenerasyon procesè Intel® Xeon® évolutif 4 8 12.5 0.1785

Tablo 5 montre plis paseview nan enstans AWS nou itilize yo. Tanpri gade Konfigirasyon Platfòm pou plis detay sou platfòm nan. Li bay lis tou sèvis sou demann yo.urlpousantaj y (https://aws.amazon.com/ec2/pricing/on-demand/) pou tout ka yo. Sa ki anwo a se te to a demann nan moman piblikasyon dokiman sa a epi li konsantre sou kòt lwès Etazini an.
Ho a sou demannurlTo a ka varye selon rejyon an, disponiblite, kont antrepriz yo, ak lòt faktè.

5.1.2 Rezilta yo

Rezilta yo pou Firewall Intel Optimize Next Generation

Figi 6 konpare pèfòmans ak pèfòmans pa èdtan sou tout kalite enstans yo mansyone jiskaprezan:

  • Pèfòmans amelyore ak enstans ki baze sou nouvo jenerasyon processeur Intel Xeon yo. Mizajou soti nan c5.xlarge (ki baze sou processeur Intel Xeon Scalable 2yèm jenerasyon an) rive nan c7i.xlarge (ki baze sou processeur Intel Xeon Scalable 4yèm jenerasyon an).
    montre yon amelyorasyon pèfòmans 1.97 fwa.
  • Pèfòmans pou chak dola amelyore ak enstans ki baze sou nouvo jenerasyon processeur Intel Xeon yo. Mizajou soti nan c5n.xlarge (ki baze sou processeur Intel Xeon Scalable 1ye jenerasyon an) pou rive nan c7i.xlarge (ki baze sou processeur Intel Xeon Scalable 4yèm jenerasyon an) montre yon amelyorasyon pèfòmans/èdtan 1.88 fwa.

5.2 Deplwaman GCP
5.2.1 Lis Kalite Enstans
Tablo 6. Enstans GCP ak Tarif Lè Sou Demann

Kalite Enstans Modèl CPU vCPU memwa (GB) Pleasant sòti pa defo (Gbps) Sou demannurlpousantaj y ($)
n1-std-4 1ye Jenerasyon Intel® Xeon®
Processeurs évolutive		 4 15 10 0.189999
n2-std-4 3yèm jenerasyon Intel® Xeon®
Processeurs évolutive		 4 16 10 0.194236
c3-std-4 4yèm Jenerasyon Intel® Xeon®
Processeurs évolutive		 4 16 23 0.201608
n4-std-4 5yèm Jenerasyon Intel® Xeon®
Processeurs évolutive		 4 16 10 0.189544
c4-std-4 5yèm Jenerasyon Intel® Xeon®
Processeurs évolutive		 4 15 23 0.23761913

Tablo 6 montre plis paseview nan enstans GCP nou itilize yo. Tanpri gade Konfigirasyon Platfòm pou plis detay platfòm. Li bay lis tou sèvis sou demann yo.urlpousantaj y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) pou tout ka yo. Sa ki anwo a se te to a demann nan moman piblikasyon dokiman sa a epi li konsantre sou kòt lwès Etazini an. To a demannurlTo a ka varye selon rejyon an, disponiblite, kont antrepriz yo, ak lòt faktè.

5.2.2 Rezilta yo

Rezilta 2 pou Firewall Intel Optimize Next Generation

Figi 7 konpare pèfòmans ak pèfòmans pa èdtan sou tout kalite enstans yo mansyone jiskaprezan:

  • Pèfòmans lan amelyore ak enstans ki baze sou nouvo jenerasyon processeur Intel Xeon yo. Mizajou soti nan n1-std-4 (ki baze sou processeur Intel Xeon Scalable 1ye jenerasyon an) pou rive nan c4-std-4 (ki baze sou processeur Intel Xeon Scalable 5yèm jenerasyon an) montre yon amelyorasyon pèfòmans 2.68 fwa.
  • Pèfòmans pou chak dola amelyore ak enstans ki baze sou nouvo jenerasyon processeur Intel Xeon yo. Mizajou soti nan n1-std-4 (ki baze sou processeur Intel Xeon Scalable 1ye jenerasyon an) pou rive nan c4-std-4 (ki baze sou processeur Intel Xeon Scalable 5yèm jenerasyon an) montre yon amelyorasyon pèfòmans/èdtan 2.15 fwa.

Rezime

Avèk adopsyon modèl deplwaman milti- ak ibrid-nyaj k ap ogmante a, livrezon solisyon NGFW sou nwaj piblik la bay pwoteksyon konsistan nan tout anviwònman yo, évolutivité pou satisfè egzijans sekirite yo, ak senplisite ak efò antretyen minim. Founisè sekirite rezo yo ofri solisyon NGFW ak yon varyete kalite enstans nwaj sou nwaj piblik la. Li enpòtan pou minimize pri total de detansyon (TCO) epi maksimize retou sou envestisman (ROI) ak bon enstans nwaj la. Faktè kle pou konsidere yo enkli resous enfòmatik, Pleasant rezo a, ak pri. Nou te itilize aplikasyon referans NGFW kòm chaj travay reprezantatif la epi nou te itilize MCNAT pou otomatize deplwaman ak tès sou diferan kalite enstans nwaj piblik yo. Baze sou evalyasyon referans nou an, enstans ak dènye jenerasyon processeur Intel Xeon Scalable sou AWS (patwone pa 4yèm processeur Intel Xeon Scalable) ak GCP (patwone pa 5yèm processeur Intel Xeon Scalable) bay amelyorasyon pèfòmans ak TCO. Yo amelyore pèfòmans lan jiska 2.68 fwa ak pèfòmans pa èdtan jiska 2.15 fwa sou jenerasyon anvan yo. Evalyasyon sa a jenere referans solid sou seleksyon enstans nwaj piblik ki baze sou Intel pou NGFW.

Apendis A Konfigirasyon Platfòm

Konfigirasyon platfòm
c5-xlarge – “Tès Intel te fè nan dat 03/17/25. 1-nœd, 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 8GB (1x8GB DDR4 2933 MT/s [Enkoni]), BIOS 1.0, mikrokòd 0x5003801, 1x Adaptè Rezo Elastic (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c5n-xlarge – “Tès Intel te fè nan dat 03/17/25. 1-nœd, 1x Intel(R) Xeon(R) Platinum 8124M CPU @ 3.00GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 10.5GB (1×10.5GB DDR4 2933 MT/s [Enkoni]), BIOS 1.0, mikrokòd 0x2007006, 1x Adaptè Rezo Elastic (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c6i-xlarge – “Tès Intel te fè nan dat 03/17/25. 1-nœd, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 8GB (1x8GB DDR4 3200 MT/s [Enkoni]), BIOS 1.0, mikrokòd 0xd0003f6, 1x Adaptè Rezo Elastic (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – “Tès Intel te fè nan dat 03/17/25. 1-nœd, 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 8GB (1x8GB DDR4 3200 MT/s [Enkoni]), BIOS 1.0, mikrokòd 0xd0003f6, 1x Adaptè Rezo Elastic (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c7i-xlarge – “Tès Intel te fè nan dat 03/17/25. 1-nœd, 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 8GB (1x8GB DDR4 4800 MT/s [Enkoni]), BIOS 1.0, mikrokòd 0x2b000620, 1x Adaptè Rezo Elastic (ENA), 1x 32G Amazon Elastic Block Store, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n1-std-4 – “Tès Intel te fè nan dat 03/17/25. 1-nœd, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 15GB (1x15GB RAM []), BIOS Google, mikrokòd 0xffffffff, 1x aparèy, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n2-std-4 – Tès Intel te fè nan dat 03/17/25. 1-nœd, 1x Intel(R) Xeon(R) CPU @ 2.60GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 16GB (1x16GB RAM []), BIOS Google, mikrokòd 0xffffffff, 1x aparèy, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Tès Intel te fè nan dat 03/14/25. 1-nœd, 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 16GB (1x16GB RAM []), BIOS Google, mikrokòd 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Tès Intel te fè nan dat 03/18/25. 1-nœd, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.10GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 16GB (1x16GB RAM []), BIOS Google, mikrokòd 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Tès Intel te fè nan dat 03/18/25. 1-nœd, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz, 2 nwayo, HT Aktive, Turbo Aktive, Memwa Total 15GB (1x15GB RAM []), BIOS Google, mikrokòd 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”

Apendis B Konfigirasyon Lojisyèl Referans Intel NGFW

Konfigirasyon lojisyèl Software Version
Lame OS Ubuntu 22.04 LTS
Kernel 6.8.0-1025
Konpilateur GCC 11.4.0
WRK 74eb9437
WRK2 44a94c17
VPP 24.02
Ronfle 3.1.36.0
DAQ 3.0.9
LuaJIT 2.1.0-beta3
Libpcap 1.10.1
PCRE 8.45
ZLIB 1.2.11
Ipèskanè 5.6.1
LZMA 5.2.5
NGINX 1.22.1
DPDK 23.11

Intel logo

Pèfòmans varye selon itilizasyon, konfigirasyon ak lòt faktè. Aprann plis nan www.Intel.com/PerformanceIndex.
Rezilta pèfòmans yo baze sou tès yo apati dat yo montre nan konfigirasyon yo epi yo ka pa reflete tout mizajou ki disponib piblikman. Gade backup pou detay konfigirasyon. Pa gen okenn pwodwi oswa eleman ki ka absoliman an sekirite.
Intel rejte tout garanti eksprime ak implicite, ki gen ladan san limitasyon, garanti implicite nan komèsan, kondisyon fizik pou yon objektif patikilye, ak ki pa vyolasyon, osi byen ke nenpòt garanti ki soti nan kou nan pèfòmans, kou nan komès, oswa itilizasyon nan komès.
Intel teknoloji ka mande pou pèmèt pyès ki nan konpitè, lojisyèl oswa sèvis deklanchman.
Intel pa kontwole oswa odit done twazyèm pati yo. Ou ta dwe konsilte lòt sous pou evalye presizyon.
Pwodwi yo dekri yo ka genyen defo konsepsyon oswa erè ke yo rekonèt kòm errata ki ka lakòz pwodwi a devye ak espesifikasyon pibliye. Aktyèl karakterize errata yo disponib sou demann.
© Intel Corporation. Intel, logo Intel ak lòt mak Intel yo se mak komèsyal Intel Corporation oswa filiales li yo. Lòt non ak mak yo ka reklame kòm pwopriyete lòt moun.
0425/XW/MK/PDF 365150-001US

Dokiman / Resous

Intel Optimize Firewall Pwochen Jenerasyon an [pdfGid Itilizatè
Optimize Firewall Pwochen Jenerasyon an, Optimize, Firewall Pwochen Jenerasyon an, Firewall Jenerasyon an, Firewall

Referans

Kite yon kòmantè

Adrès imel ou p ap pibliye. Jaden obligatwa yo make *