प्रौद्योगिकी गाइड
NGFW प्रदर्शन को अनुकूलित करें
सार्वजनिक क्लाउड पर Intel® Xeon® प्रोसेसर
लेखक
जियांग वांग
जयप्रकाश पाटीदार
डेक्लन डोहर्टी
एरिक जोन्स
सुभिक्षा रविसुंदर
हेकिंग झू
परिचय
अगली पीढ़ी के फ़ायरवॉल (NGFW) नेटवर्क सुरक्षा समाधानों के मूल में हैं। पारंपरिक फ़ायरवॉल स्टेटफुल ट्रैफ़िक निरीक्षण करते हैं, जो आमतौर पर पोर्ट और प्रोटोकॉल पर आधारित होता है, जो आधुनिक दुर्भावनापूर्ण ट्रैफ़िक से प्रभावी रूप से बचाव नहीं कर सकता। एनजीएफडब्ल्यू उन्नत डीप पैकेट निरीक्षण क्षमताओं के साथ पारंपरिक फ़ायरवॉल का विकास और विस्तार करते हैं, जिनमें घुसपैठ का पता लगाने/रोकथाम प्रणाली (आईडीएस/आईपीएस), मैलवेयर का पता लगाना, एप्लिकेशन पहचान और नियंत्रण आदि शामिल हैं।
एनजीएफडब्ल्यू कंप्यूट-गहन कार्यभार हैं, उदाहरण के लिएampनेटवर्क ट्रैफ़िक एन्क्रिप्शन और डिक्रिप्शन के लिए क्रिप्टोग्राफ़िक ऑपरेशन और दुर्भावनापूर्ण गतिविधियों का पता लगाने के लिए हेवी रूल मैचिंग। इंटेल एनजीएफडब्ल्यू समाधानों को अनुकूलित करने के लिए कोर तकनीकें प्रदान करता है।
इंटेल प्रोसेसर विभिन्न इंस्ट्रक्शन सेट आर्किटेक्चर (आईएसए) से लैस हैं, जिनमें इंटेल® एडवांस्ड एन्क्रिप्शन स्टैंडर्ड न्यू इंस्ट्रक्शन्स (इंटेल® एईएस-एनआई) और इंटेल® क्विकअसिस्ट टेक्नोलॉजी (इंटेल® क्यूएटी) शामिल हैं, जो क्रिप्टो प्रदर्शन को काफी तेज करते हैं।
इंटेल हाइपरस्कैन सहित सॉफ़्टवेयर अनुकूलन में भी निवेश करता है। हाइपरस्कैन एक उच्च-प्रदर्शन स्ट्रिंग और रेगुलर एक्सप्रेशन (रेगेक्स) मिलान लाइब्रेरी है। यह पैटर्न-मिलान प्रदर्शन को बेहतर बनाने के लिए इंटेल प्रोसेसर पर सिंगल इंस्ट्रक्शन मल्टीपल डेटा (SIMD) तकनीक का लाभ उठाता है। स्नॉर्ट जैसे NGFW IPS सिस्टम में हाइपरस्कैन एकीकरण इंटेल प्रोसेसर पर प्रदर्शन को 3 गुना तक बेहतर बना सकता है।
एनजीएफडब्ल्यू को अक्सर एंटरप्राइज़ डेटा सेंटर के विसैन्यीकृत क्षेत्र (डीएमजेड) में तैनात एक सुरक्षा उपकरण के रूप में वितरित किया जाता है। हालाँकि, एनजीएफडब्ल्यू वर्चुअल उपकरणों या सॉफ़्टवेयर पैकेजों की भारी माँग है जिन्हें सार्वजनिक क्लाउड, एंटरप्राइज़ डेटा सेंटर या नेटवर्क एज लोकेशन पर तैनात किया जा सकता है। यह सॉफ़्टवेयर परिनियोजन मॉडल एंटरप्राइज़ आईटी को भौतिक उपकरणों से जुड़े संचालन और रखरखाव के अतिरिक्त खर्च से मुक्त करता है। यह सिस्टम स्केलेबिलिटी में सुधार करता है और लचीले खरीद और क्रय विकल्प प्रदान करता है।
बढ़ती संख्या में उद्यम एनजीएफडब्ल्यू समाधानों के सार्वजनिक क्लाउड परिनियोजन को अपना रहे हैं। इसका एक प्रमुख कारण लागत लाभ है।tagक्लाउड में वर्चुअल उपकरण चलाने की क्षमता।
फिर भी, चूंकि CSPs अलग-अलग कंप्यूट विशेषताओं और मूल्य निर्धारण के साथ कई प्रकार के इंस्टेंस प्रदान करते हैं, इसलिए NGFW के लिए सर्वोत्तम TCO वाले इंस्टेंस का चयन करना चुनौतीपूर्ण हो सकता है।
यह आलेख इंटेल के एक NGFW संदर्भ कार्यान्वयन का परिचय देता है, जिसे हाइपरस्कैन सहित इंटेल तकनीकों के साथ अनुकूलित किया गया है। यह इंटेल प्लेटफ़ॉर्म पर NGFW प्रदर्शन के लक्षण-निर्धारण के लिए एक विश्वसनीय प्रमाण-बिंदु प्रदान करता है। यह इंटेल के नेटसेक संदर्भ सॉफ़्टवेयर पैकेज के भाग के रूप में शामिल है। हम चुनिंदा सार्वजनिक क्लाउड प्रदाताओं पर NGFW संदर्भ कार्यान्वयन के परिनियोजन को स्वचालित करने के लिए इसी पैकेज में मल्टी-क्लाउड नेटवर्किंग ऑटोमेशन टूल (MCNAT) भी प्रदान करते हैं। MCNAT विभिन्न कंप्यूट इंस्टेंस के लिए TCO विश्लेषण को सरल बनाता है और उपयोगकर्ताओं को NGFW के लिए इष्टतम कंप्यूट इंस्टेंस तक पहुँचने में मार्गदर्शन करता है।
नेटसेक संदर्भ सॉफ्टवेयर पैकेज के बारे में अधिक जानने के लिए कृपया लेखकों से संपर्क करें।
दस्तावेज़ संशोधन इतिहास
| दोहराव | तारीख | विवरण |
| 001 | मार्च 2025 | प्रारंभिक रिहाई। |
1.1 शब्दावली
तालिका 1. शब्दावली
| संक्षेपाक्षर | विवरण |
| डीएफए | नियतात्मक परिमित ऑटोमेटन |
| डीपीआई | गहन पैकेट निरीक्षण |
| एचटीटीपी | हाइपरटेक्स्ट परहस्त शिष्टाचार |
| आईडीएस/आईपीएस | घुसपैठ का पता लगाने और रोकथाम प्रणाली |
| एक है | निर्देश सेट आर्किटेक्चर |
| एमसीएनएटी | मल्टी-क्लाउड नेटवर्किंग ऑटोमेशन टूल |
| एनएफए | गैर-नियतात्मक परिमित ऑटोमेटन |
| एनजीएफडब्ल्यू | अगली पीढ़ी का फ़ायरवॉल |
| पीसीएपी | पैकेट कैप्चर |
| पीसीआरई | पर्ल संगत नियमित अभिव्यक्ति लाइब्रेरी |
| regex | नियमित अभिव्यक्ति |
| सासे | सुरक्षित पहुँच सेवा एज |
| एसआईएमडी | एकल निर्देश बहु डेटा प्रौद्योगिकी |
| टीसीपी | ट्रांसमिशन कंट्रोल प्रोटोकॉल |
| यूआरआई | यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर |
| डब्ल्यूएएफ | Web अनुप्रयोग फ़ायरवॉल |
1.2 संदर्भ दस्तावेज़ीकरण
तालिका 2. संदर्भ दस्तावेज़
पृष्ठभूमि और प्रेरणा
आज, अधिकांश एनजीएफडब्ल्यू विक्रेताओं ने भौतिक एनजीएफडब्ल्यू उपकरणों से वर्चुअल एनजीएफडब्ल्यू समाधानों तक अपना दायरा बढ़ा लिया है जिन्हें सार्वजनिक क्लाउड में तैनात किया जा सकता है। निम्नलिखित लाभों के कारण सार्वजनिक क्लाउड एनजीएफडब्ल्यू परिनियोजनों को अपनाने में वृद्धि देखी जा रही है:
- मापनीयता: प्रदर्शन आवश्यकताओं को पूरा करने के लिए क्रॉस-जियो कंप्यूट संसाधनों को आसानी से बढ़ाना या घटाना।
- लागत प्रभावशीलता: प्रति उपयोग भुगतान की सुविधा के लिए लचीली सदस्यता। पूंजीगत व्यय (कैपेक्स) को समाप्त करता है और भौतिक उपकरणों से जुड़ी परिचालन लागत को कम करता है।
- क्लाउड सेवाओं के साथ मूल एकीकरण: नेटवर्किंग, एक्सेस नियंत्रण और एआई/एमएल टूल जैसी सार्वजनिक क्लाउड सेवाओं के साथ सहज एकीकरण।
- क्लाउड वर्कलोड सुरक्षा: सार्वजनिक क्लाउड पर होस्ट किए गए एंटरप्राइज़ वर्कलोड के लिए स्थानीय ट्रैफ़िक फ़िल्टरिंग।
सार्वजनिक क्लाउड में एनजीएफडब्ल्यू कार्यभार चलाने की कम लागत उद्यम उपयोग मामलों के लिए एक आकर्षक प्रस्ताव है।
हालाँकि, NGFW के लिए सर्वोत्तम प्रदर्शन और TCO वाले इंस्टेंस का चयन करना चुनौतीपूर्ण है, क्योंकि विभिन्न CPU, मेमोरी साइज़, IO बैंडविड्थ वाले क्लाउड इंस्टेंस विकल्पों की एक विस्तृत श्रृंखला उपलब्ध है, और प्रत्येक की कीमत अलग-अलग है। हमने Intel प्रोसेसर पर आधारित विभिन्न पब्लिक क्लाउड इंस्टेंस के प्रदर्शन और TCO विश्लेषण में सहायता के लिए NGFW संदर्भ कार्यान्वयन विकसित किया है। हम AWS और GCP जैसी पब्लिक क्लाउड सेवाओं पर NGFW समाधानों के लिए सही Intel-आधारित इंस्टेंस चुनने हेतु एक मार्गदर्शिका के रूप में प्रदर्शन और प्रति डॉलर प्रदर्शन मीट्रिक प्रदर्शित करेंगे।
एनजीएफडब्ल्यू संदर्भ कार्यान्वयन
इंटेल ने नेटसेक रेफरेंस सॉफ्टवेयर पैकेज (नवीनतम रिलीज़ 25.05) विकसित किया है, जो नवीनतम इंटेल सीपीयू और प्लेटफॉर्म में उपलब्ध आईएसए और एक्सेलरेटर का लाभ उठाते हुए अनुकूलित रेफरेंस समाधान प्रदान करता है ताकि ऑन-प्रिमाइसेस एंटरप्राइज़ इंफ्रास्ट्रक्चर और क्लाउड पर अनुकूलित प्रदर्शन प्रदर्शित किया जा सके। यह रेफरेंस सॉफ्टवेयर इंटेल प्रोप्राइटरी लाइसेंस (आईपीएल) के अंतर्गत उपलब्ध है।
इस सॉफ्टवेयर पैकेज की मुख्य विशेषताएं हैं:
- इसमें नेटवर्किंग और सुरक्षा के लिए संदर्भ समाधानों का एक व्यापक पोर्टफोलियो, क्लाउड और एंटरप्राइज़ डेटा केंद्रों और एज स्थानों के लिए एआई फ्रेमवर्क शामिल हैं।
- इससे इंटेल प्रौद्योगिकियों को बाजार में लाने और तेजी से अपनाने का समय मिलता है।
- स्रोत कोड उपलब्ध है जो इंटेल प्लेटफॉर्म पर परिनियोजन परिदृश्यों और परीक्षण वातावरणों की प्रतिकृति बनाने की अनुमति देता है।
नेटसेक संदर्भ सॉफ्टवेयर की नवीनतम रिलीज प्राप्त करने के बारे में अधिक जानने के लिए कृपया लेखकों से संपर्क करें।
नेटसेक रेफरेंस सॉफ्टवेयर पैकेज के एक महत्वपूर्ण भाग के रूप में, एनजीएफडब्ल्यू रेफरेंस कार्यान्वयन इंटेल प्लेटफॉर्म पर एनजीएफडब्ल्यू प्रदर्शन विशेषताओं और टीसीओ विश्लेषण को संचालित करता है। हम एनजीएफडब्ल्यू रेफरेंस कार्यान्वयन में हाइपरस्कैन जैसी इंटेल तकनीकों का निर्बाध एकीकरण प्रदान करते हैं। यह इंटेल प्लेटफॉर्म पर एनजीएफडब्ल्यू विश्लेषण के लिए एक ठोस आधार तैयार करता है। चूँकि विभिन्न इंटेल हार्डवेयर प्लेटफॉर्म कंप्यूट से लेकर आईओ तक अलग-अलग क्षमताएँ प्रदान करते हैं, इसलिए एनजीएफडब्ल्यू रेफरेंस कार्यान्वयन एक स्पष्ट प्रस्तुति देता है। view NGFW वर्कलोड के लिए प्लेटफ़ॉर्म क्षमताओं का विश्लेषण और इंटेल प्रोसेसर की विभिन्न पीढ़ियों के बीच प्रदर्शन की तुलना दिखाने में मदद करता है। यह कंप्यूट प्रदर्शन, मेमोरी बैंडविड्थ, IO बैंडविड्थ और बिजली की खपत सहित मेट्रिक्स पर विस्तृत जानकारी प्रदान करता है। प्रदर्शन परीक्षण के परिणामों के आधार पर, हम NGFW के लिए उपयोग किए जाने वाले इंटेल प्लेटफ़ॉर्म पर आगे TCO विश्लेषण (प्रति डॉलर प्रदर्शन के साथ) कर सकते हैं।
एनजीएफडब्ल्यू संदर्भ कार्यान्वयन के नवीनतम रिलीज (25.05) में निम्नलिखित प्रमुख विशेषताएं शामिल हैं:
- बेसिक स्टेटफुल फ़ायरवॉल
- घुसपैठ रोकथाम प्रणाली (आईपीएस)
- Intel® Xeon® 6 प्रोसेसर, Intel Xeon 6 SoC आदि सहित अत्याधुनिक Intel प्रोसेसर का समर्थन।
भविष्य के रिलीज में निम्नलिखित अतिरिक्त सुविधाओं को लागू करने की योजना है:
- वीपीएन निरीक्षण: सामग्री निरीक्षण के लिए ट्रैफ़िक का आईपीएसईसी डिक्रिप्शन
- टीएलएस निरीक्षण: एक टीएलएस प्रॉक्सी जो क्लाइंट और सर्वर के बीच कनेक्शन को समाप्त करता है और फिर प्लेनटेक्स्ट ट्रैफ़िक पर सामग्री निरीक्षण करता है।
3.1 सिस्टम आर्किटेक्चर
चित्र 1 समग्र सिस्टम आर्किटेक्चर को दर्शाता है। हम सिस्टम के निर्माण के लिए आधार के रूप में ओपन-सोर्स सॉफ़्टवेयर का उपयोग करते हैं:
- VPP, स्टेटफुल ACL सहित बुनियादी स्टेटफुल फ़ायरवॉल फ़ंक्शन के साथ एक उच्च-प्रदर्शन डेटा प्लेन समाधान प्रदान करता है। हम कॉन्फ़िगर किए गए कोर एफ़िनिटी के साथ कई VPP थ्रेड्स उत्पन्न करते हैं। प्रत्येक VPP वर्कर थ्रेड एक समर्पित CPU कोर या एक निष्पादन थ्रेड से जुड़ा होता है।
- स्नॉर्ट 3 को IPS के रूप में चुना गया है, जो मल्टी-थ्रेडिंग को सपोर्ट करता है। स्नॉर्ट वर्कर थ्रेड्स को समर्पित CPU कोर या एक्ज़ीक्यूशन थ्रेड्स से पिन किया जाता है।
- स्नॉर्ट और वीपीपी को स्नॉर्ट प्लगइन का उपयोग करके वीपीपी में एकीकृत किया गया है। यह वीपीपी और स्नॉर्ट के बीच पैकेट भेजने के लिए कतार युग्मों के एक सेट का उपयोग करता है। कतार युग्म और पैकेट स्वयं साझा मेमोरी में संग्रहीत होते हैं। हमने स्नॉर्ट के लिए एक नया डेटा अधिग्रहण (DAQ) घटक विकसित किया है, जिसे हम VPP ज़ीरो कॉपी (ZC) DAQ कहते हैं। यह स्नॉर्ट DAQ API फ़ंक्शन को लागू करता है ताकि संबंधित कतारों से पढ़कर और उनमें लिखकर पैकेट प्राप्त और प्रेषित किए जा सकें। चूँकि पेलोड साझा मेमोरी में है, इसलिए हम इसे एक ज़ीरो-कॉपी कार्यान्वयन मानते हैं।
चूंकि स्नॉर्ट 3 एक कंप्यूट-इंटेंसिव कार्यभार है, जिसके लिए डेटा प्लेन प्रोसेसिंग की तुलना में अधिक कंप्यूटिंग संसाधनों की आवश्यकता होती है, इसलिए हम एक अनुकूलित प्रोसेसर कोर आवंटन को कॉन्फ़िगर करने और चल रहे हार्डवेयर प्लेटफॉर्म पर उच्चतम सिस्टम स्तर का प्रदर्शन प्राप्त करने के लिए VPP थ्रेड्स और स्नॉर्ट 3 थ्रेड्स की संख्या के बीच संतुलन बनाने का प्रयास कर रहे हैं।
चित्र 2 (पृष्ठ 6 पर) VPP के भीतर ग्राफ नोड को दर्शाता है, जिसमें वे भी शामिल हैं जो ACL और स्नॉर्ट का हिस्सा हैं pluginsहमने दो नए वीपीपी ग्राफ नोड्स विकसित किए हैं:
- स्नॉर्ट-एनक्यू: लोड-बैलेंसिंग निर्णय लेता है कि किस स्नॉर्ट थ्रेड को पैकेट को संसाधित करना चाहिए और फिर पैकेट को संबंधित कतार में जोड़ता है।
- स्नॉर्ट-डेक: एक इनपुट नोड के रूप में कार्यान्वित किया जाता है जो एकाधिक कतारों से मतदान करता है, प्रत्येक स्नॉर्ट कार्यकर्ता थ्रेड से एक।
3.2 इंटेल अनुकूलन
हमारा NGFW संदर्भ कार्यान्वयन लाभ उठाता हैtagनिम्नलिखित अनुकूलनों में से:
- स्नॉर्ट, हाइपरस्कैन की उच्च-प्रदर्शन बहु-रेगुलर एक्सप्रेशन मिलान लाइब्रेरी का लाभ उठाकर, स्नॉर्ट के डिफ़ॉल्ट सर्च इंजन की तुलना में प्रदर्शन में उल्लेखनीय वृद्धि प्रदान करता है। चित्र 3, स्नॉर्ट के साथ हाइपरस्कैन एकीकरण को दर्शाता है।
शाब्दिक मशीनिंग और रेगुलर एक्सप्रेशन (regex) मिलान प्रदर्शन, दोनों को तेज़ करता है। स्नॉर्ट 3 हाइपरस्कैन के साथ मूल एकीकरण प्रदान करता है जहाँ उपयोगकर्ता कॉन्फ़िगरेशन के माध्यम से हाइपरस्कैन चालू कर सकते हैं file या कमांड लाइन विकल्प.
- वीपीपी को फायदाtagइंटेल® ईथरनेट नेटवर्क एडाप्टर में रिसीव साइड स्केलिंग (आरएसएस) का उपयोग, एकाधिक वीपीपी वर्कर थ्रेड्स में ट्रैफ़िक वितरित करने के लिए।
- इंटेल QAT और इंटेल AVX-512 निर्देश: IPsec और TLS का समर्थन करने वाले भविष्य के रिलीज़ लाभ उठाएंगेtagइंटेल की क्रिप्टो एक्सेलेरेशन तकनीकों का एक अनूठा संग्रह। इंटेल QAT क्रिप्टो प्रदर्शन को तेज़ करता है, खासकर पब्लिक की क्रिप्टोग्राफ़ी को, जिसका व्यापक रूप से नेटवर्क कनेक्शन स्थापित करने के लिए उपयोग किया जाता है। इंटेल AVX-512 क्रिप्टोग्राफ़िक प्रदर्शन को भी बढ़ाता है, जिसमें VPMADD52 (गुणन और संचयन संचालन), वेक्टर AES (इंटेल AES-NI निर्देशों का वेक्टर संस्करण), vPCLMUL (वेक्टराइज़्ड कैरी-लेस गुणन, जिसका उपयोग AES-GCM को अनुकूलित करने के लिए किया जाता है), और इंटेल® सिक्योर हैश एल्गोरिथम - नए निर्देश (इंटेल® SHA-NI) शामिल हैं।
एनजीएफडब्ल्यू संदर्भ कार्यान्वयन का क्लाउड परिनियोजन
4.1 सिस्टम कॉन्फ़िगरेशन
तालिका 3. परीक्षण कॉन्फ़िगरेशन
| मीट्रिक | कीमत |
| उदाहरण | क्लियरटेक्स्ट निरीक्षण (FW + IPS) |
| ट्रैफ़िक प्रोfile | HTTP 64KB GET (प्रति कनेक्शन 1 GET) |
| वीपीपी एसीएल | हाँ (2 स्टेटफुल ACL) |
| सूंघने के नियम | लाइटस्पीड (~49k नियम) |
| स्नॉर्ट नीति | सुरक्षा (~21k नियम सक्षम) |
हम RFC9411 में उपयोग के मामलों और KPI के आधार पर क्लियरटेक्स्ट निरीक्षण परिदृश्यों पर ध्यान केंद्रित करते हैं। ट्रैफ़िक जनरेटर प्रति कनेक्शन 64 GET अनुरोध के साथ 1KB HTTP लेनदेन बना सकता है। ACL को निर्दिष्ट सबनेट में IP को अनुमति देने के लिए कॉन्फ़िगर किया गया है। हमने बेंचमार्किंग के लिए Snort Lightspd नियम और सिस्को की सुरक्षा नीति को अपनाया। ट्रैफ़िक जनरेटर से अनुरोधों को पूरा करने के लिए एक समर्पित सर्वर भी था।
जैसा कि चित्र 4 और चित्र 5 में दिखाया गया है, सिस्टम टोपोलॉजी में तीन प्राथमिक इंस्टेंस नोड शामिल हैं: एक क्लाइंट, एक सर्वर और पब्लिक क्लाउड परिनियोजन के लिए एक प्रॉक्सी। उपयोगकर्ता से कनेक्शन प्रदान करने के लिए एक बैस्टियन नोड भी है। क्लाइंट (WRK चला रहा है) और सर्वर (Nginx चला रहा है) दोनों में एक ही समर्पित डेटा-प्लेन नेटवर्क इंटरफ़ेस है, और प्रॉक्सी (NGFW चला रहा है) में परीक्षण के लिए दो डेटा-प्लेन नेटवर्क इंटरफ़ेस हैं। डेटा-प्लेन नेटवर्क इंटरफ़ेस समर्पित सबनेट A (क्लाइंट-प्रॉक्सी) और सबनेट B (प्रॉक्सी-सर्वर) से जुड़े होते हैं जो इंस्टेंस प्रबंधन ट्रैफ़िक से अलगाव बनाए रखते हैं। ट्रैफ़िक के प्रवाह को अनुमति देने के लिए, समर्पित IP पता श्रेणियों को संबंधित रूटिंग और ACL नियमों के साथ परिभाषित किया जाता है जो बुनियादी ढाँचे पर प्रोग्राम किए जाते हैं।
4.2 सिस्टम परिनियोजन
एमसीएनएटी इंटेल द्वारा विकसित एक सॉफ्टवेयर टूल है जो सार्वजनिक क्लाउड पर निर्बाध नेटवर्किंग कार्यभार परिनियोजन के लिए स्वचालन प्रदान करता है और प्रदर्शन और लागत के आधार पर सर्वोत्तम क्लाउड इंस्टेंस का चयन करने के लिए सुझाव देता है।
MCNAT को प्रो की एक श्रृंखला के माध्यम से कॉन्फ़िगर किया गया हैfileप्रत्येक इंस्टेंस के लिए आवश्यक चर और सेटिंग्स को परिभाषित करते हुए, प्रत्येक इंस्टेंस प्रकार का अपना प्रो होता है।file जिसे फिर किसी दिए गए क्लाउड सेवा प्रदाता (CSP) पर उस विशिष्ट इंस्टेंस प्रकार को तैनात करने के लिए MCNAT CLI टूल को पास किया जा सकता है।ampकमांड लाइन उपयोग नीचे और तालिका 4 में दिखाया गया है।
तालिका 4. MCNAT कमांड लाइन उपयोग
| विकल्प | विवरण |
| -तैनात करना | टूल को नया परिनियोजन बनाने का निर्देश देता है |
| -u | परिभाषित करता है कि कौन से उपयोगकर्ता क्रेडेंशियल का उपयोग करना है |
| -c | CSP जिस पर परिनियोजन बनाना है (AWS, GCP, आदि) |
| -s | तैनाती का परिदृश्य |
| -p | प्रोfile उपयोग करने के लिए |
MCNAT कमांड लाइन टूल एक ही चरण में इंस्टेंस का निर्माण और परिनियोजन कर सकता है। इंस्टेंस परिनियोजन के बाद, पोस्ट कॉन्फ़िगरेशन चरण इंस्टेंस तक पहुँचने की अनुमति देने के लिए आवश्यक SSH कॉन्फ़िगरेशन बनाते हैं।
4.3 सिस्टम बेंचमार्किंग
एक बार MCNAT द्वारा इंस्टैंस तैनात कर दिए जाने के बाद, सभी प्रदर्शन परीक्षण MCNAT एप्लिकेशन टूलकिट का उपयोग करके चलाए जा सकते हैं।
सबसे पहले, हमें tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json पर नीचे दिए अनुसार परीक्षण मामलों को कॉन्फ़िगर करना होगा:
तब हम पूर्व का उपयोग कर सकते हैंampपरीक्षण शुरू करने के लिए नीचे दिए गए कमांड का उपयोग करें। DEPLOYMENT_PATH वह जगह है जहाँ लक्ष्य परिवेश परिनियोजन स्थिति संग्रहीत होती है, उदाहरण के लिए, tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.
यह क्लाइंट पर WRK द्वारा उत्पन्न http ट्रैफ़िक पर नियमों के एक निश्चित सेट के साथ NGFW चलाता है, और परीक्षणाधीन इंस्टेंस के लिए प्रदर्शन संख्याओं का एक पूरा सेट एकत्र करने के लिए CPU कोर की एक श्रृंखला को पिन करता है। परीक्षण पूरा होने पर, सभी डेटा को csv के रूप में स्वरूपित किया जाता है और उपयोगकर्ता को वापस कर दिया जाता है।
प्रदर्शन और लागत मूल्यांकन
इस अनुभाग में, हम AWS और GCP पर Intel Xeon प्रोसेसर पर आधारित विभिन्न क्लाउड इंस्टेंस पर NGFW परिनियोजन की तुलना करते हैं।
यह प्रदर्शन और लागत के आधार पर NGFW के लिए सबसे उपयुक्त क्लाउड इंस्टेंस प्रकार खोजने के बारे में मार्गदर्शन प्रदान करता है। हम 4 vCPU वाले इंस्टेंस चुनते हैं क्योंकि अधिकांश NGFW विक्रेता इनकी अनुशंसा करते हैं। AWS और GCP पर परिणाम इस प्रकार हैं:
- छोटे इंस्टेंस प्रकारों पर NGFW प्रदर्शन जो Intel® हाइपर-थ्रेडिंग टेक्नोलॉजी (Intel® HT टेक्नोलॉजी) और हाइपरस्कैन सक्षम के साथ 4 vCPUs होस्ट करते हैं।
- पहली पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर से लेकर पांचवीं पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर तक पीढ़ी-दर-पीढ़ी प्रदर्शन में वृद्धि।
- पहली पीढ़ी के इंटेल® झियोन स्केलेबल प्रोसेसर से पांचवीं पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर तक प्रति डॉलर पीढ़ी-दर-पीढ़ी प्रदर्शन में वृद्धि।
5.1 AWS परिनियोजन
5.1.1 इंस्टेंस प्रकार सूची
तालिका 5. AWS इंस्टेंस और ऑन-डिमांड घंटे दरें
| इंस्टेंस प्रकार | सीपीयू मॉडल | वीसीपीयू | मेमोरी (जीबी) | नेटवर्क प्रदर्शन (Gbps) | ऑन-डिमांड होurly दर ($) |
| सी5-एक्सलार्ज | दूसरी पीढ़ी के इंटेल® ज़ीऑन® स्केलेबल प्रोसेसर | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | पहली पीढ़ी के इंटेल® ज़ीऑन® स्केलेबल प्रोसेसर | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | तीसरी पीढ़ी के इंटेल® ज़ीऑन® स्केलेबल प्रोसेसर | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | तीसरी पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | चौथी पीढ़ी के इंटेल® ज़ीऑन® स्केलेबल प्रोसेसर | 4 | 8 | 12.5 | 0.1785 |
तालिका 5 में कुल योग दर्शाया गया हैview हमारे द्वारा उपयोग किए जाने वाले AWS इंस्टेंस की सूची। अधिक प्लेटफ़ॉर्म विवरण के लिए कृपया प्लेटफ़ॉर्म कॉन्फ़िगरेशन देखें। इसमें ऑन-डिमांड होम पेज भी सूचीबद्ध हैं।urly दर (https://aws.amazon.com/ec2/pricing/on-demand/) सभी मामलों के लिए। उपरोक्त दरें इस शोध पत्र के प्रकाशन के समय की ऑनडिमांड दरें थीं और यह अमेरिका के पश्चिमी तट पर केंद्रित है।
ऑन-डिमांड होurly दर क्षेत्र, उपलब्धता, कॉर्पोरेट खातों और अन्य कारकों के आधार पर भिन्न हो सकती है।
5.1.2 परिणाम
चित्र 6 में अब तक उल्लिखित सभी इंस्टेंस प्रकारों पर प्रदर्शन और प्रति घंटा प्रदर्शन दर की तुलना की गई है:
- इंटेल ज़ीऑन प्रोसेसर की नई पीढ़ियों पर आधारित इंस्टेंस के साथ प्रदर्शन में सुधार हुआ है। c5.xlarge (दूसरी पीढ़ी के इंटेल ज़ीऑन स्केलेबल प्रोसेसर पर आधारित) से c2i.xlarge (चौथी पीढ़ी के इंटेल ज़ीऑन स्केलेबल प्रोसेसर पर आधारित) में अपग्रेड किया जा रहा है।
1.97x प्रदर्शन सुधार दर्शाता है। - इंटेल झियोन प्रोसेसर की नई पीढ़ियों पर आधारित इंस्टेंस के साथ प्रति डॉलर प्रदर्शन में सुधार हुआ है। c5n.xlarge (पहली पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर पर आधारित) से c1i.xlarge (चौथी पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर पर आधारित) में अपग्रेड करने पर 7 गुना प्रदर्शन/घंटा की दर से सुधार दिखाई देता है।
5.2 GCP परिनियोजन
5.2.1 इंस्टेंस प्रकार सूची
तालिका 6. GCP इंस्टेंस और ऑन-डिमांड घंटे दरें
| इंस्टेंस प्रकार | सीपीयू मॉडल | वीसीपीयू | मेमोरी (जीबी) | डिफ़ॉल्ट निकास बैंडविड्थ (Gbps) | ऑन-डिमांड होurly दर ($) |
| n1-मानक-4 | पहली पीढ़ी का इंटेल® ज़ीऑन® स्केलेबल प्रोसेसर |
4 | 15 | 10 | 0.189999 |
| n2-मानक-4 | तीसरी पीढ़ी का इंटेल® ज़ियोन® स्केलेबल प्रोसेसर |
4 | 16 | 10 | 0.194236 |
| सी3-एसटीडी-4 | चौथी पीढ़ी का इंटेल® ज़ियोन® स्केलेबल प्रोसेसर |
4 | 16 | 23 | 0.201608 |
| n4-मानक-4 | चौथी पीढ़ी का इंटेल® ज़ियोन® स्केलेबल प्रोसेसर |
4 | 16 | 10 | 0.189544 |
| सी4-एसटीडी-4 | चौथी पीढ़ी का इंटेल® ज़ियोन® स्केलेबल प्रोसेसर |
4 | 15 | 23 | 0.23761913 |
तालिका 6 में कुल योग दर्शाया गया हैview हमारे द्वारा उपयोग किए जाने वाले GCP इंस्टेंस की सूची। अधिक प्लेटफ़ॉर्म विवरण के लिए कृपया प्लेटफ़ॉर्म कॉन्फ़िगरेशन देखें। इसमें ऑन-डिमांड होम पेज भी सूचीबद्ध हैं।urly दर (https://cloud.google.com/compute/vm-instance-pricing?hl=en) सभी मामलों के लिए। उपरोक्त दरें इस शोध पत्र के प्रकाशन के समय की ऑन-डिमांड दरें थीं और यह अमेरिका के पश्चिमी तट पर केंद्रित है। ऑन-डिमांड दरेंurly दर क्षेत्र, उपलब्धता, कॉर्पोरेट खातों और अन्य कारकों के आधार पर भिन्न हो सकती है।
5.2.2 परिणाम
चित्र 7 में अब तक उल्लिखित सभी इंस्टेंस प्रकारों पर प्रदर्शन और प्रति घंटा प्रदर्शन दर की तुलना की गई है:
- इंटेल झियोन प्रोसेसर की नई पीढ़ियों पर आधारित इंस्टेंस के साथ प्रदर्शन में सुधार हुआ है। n1-std-4 (पहली पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर पर आधारित) से c1-std-4 (पाँचवीं पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर पर आधारित) में अपग्रेड करने से प्रदर्शन में 4 गुना सुधार हुआ है।
- इंटेल झियोन प्रोसेसर की नई पीढ़ियों पर आधारित इंस्टेंस के साथ प्रति डॉलर प्रदर्शन में सुधार हुआ है। n1-std-4 (पहली पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर पर आधारित) से c1-std-4 (पाँचवीं पीढ़ी के इंटेल झियोन स्केलेबल प्रोसेसर पर आधारित) में अपग्रेड करने पर 4 गुना प्रदर्शन/घंटा की दर से सुधार दिखाई देता है।
सारांश
बहु- और हाइब्रिड-क्लाउड परिनियोजन मॉडल के बढ़ते उपयोग के साथ, सार्वजनिक क्लाउड पर NGFW समाधान प्रदान करने से विभिन्न परिवेशों में एकसमान सुरक्षा, सुरक्षा आवश्यकताओं को पूरा करने हेतु मापनीयता और न्यूनतम रखरखाव प्रयासों के साथ सरलता मिलती है। नेटवर्क सुरक्षा विक्रेता सार्वजनिक क्लाउड पर विभिन्न प्रकार के क्लाउड इंस्टेंस के साथ NGFW समाधान प्रदान करते हैं। सही क्लाउड इंस्टेंस के साथ स्वामित्व की कुल लागत (TCO) को न्यूनतम करना और निवेश पर लाभ (ROI) को अधिकतम करना महत्वपूर्ण है। विचार करने योग्य प्रमुख कारकों में कंप्यूट संसाधन, नेटवर्क बैंडविड्थ और कीमत शामिल हैं। हमने प्रतिनिधि कार्यभार के रूप में NGFW संदर्भ कार्यान्वयन का उपयोग किया और विभिन्न सार्वजनिक क्लाउड इंस्टेंस प्रकारों पर परिनियोजन और परीक्षण को स्वचालित करने के लिए MCNAT का लाभ उठाया। हमारे बेंचमार्किंग के आधार पर, AWS पर नवीनतम पीढ़ी के Intel Xeon स्केलेबल प्रोसेसर (चौथे Intel Xeon स्केलेबल प्रोसेसर द्वारा संचालित) और GCP (पाँचवें Intel Xeon स्केलेबल प्रोसेसर द्वारा संचालित) वाले इंस्टेंस प्रदर्शन और TCO दोनों में सुधार प्रदान करते हैं। ये पिछली पीढ़ियों की तुलना में प्रदर्शन में 4 गुना तक और प्रति घंटा प्रदर्शन दर में 5 गुना तक सुधार करते हैं। यह मूल्यांकन NGFW के लिए इंटेल आधारित सार्वजनिक क्लाउड इंस्टेंसेस के चयन पर ठोस संदर्भ उत्पन्न करता है।
परिशिष्ट A प्लेटफ़ॉर्म कॉन्फ़िगरेशन
प्लेटफार्म विन्यास
c5-xlarge – “03/17/25 तक Intel द्वारा परीक्षण किया गया। 1-नोड, 1x Intel(R) Xeon(R) प्लैटिनम 8275CL CPU @ 3.00GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 8GB (1x8GB DDR4 2933 MT/s [अज्ञात]), BIOS 1.0, माइक्रोकोड 0x5003801, 1x इलास्टिक नेटवर्क एडाप्टर (ENA), 1x 32G अमेज़न इलास्टिक ब्लॉक स्टोर, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हाइपरस्कैन 5.6.1“
c5n-xlarge – “03/17/25 तक Intel द्वारा परीक्षण। 1-नोड, 1x Intel(R) Xeon(R) प्लैटिनम 8124M CPU @ 3.00GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 10.5GB (1×10.5GB DDR4 2933 MT/s [अज्ञात]), BIOS 1.0, माइक्रोकोड 0x2007006, 1x इलास्टिक नेटवर्क एडाप्टर (ENA), 1x 32G अमेज़न इलास्टिक ब्लॉक स्टोर, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हाइपरस्कैन 5.6.1”
c6i-xlarge – “03/17/25 तक Intel द्वारा परीक्षण। 1-नोड, 1x Intel(R) Xeon(R) प्लैटिनम 8375C CPU @ 2.90GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 8GB (1x8GB DDR4 3200 MT/s [अज्ञात]), BIOS 1.0, माइक्रोकोड 0xd0003f6, 1x इलास्टिक नेटवर्क एडाप्टर (ENA), 1x 32G अमेज़न इलास्टिक ब्लॉक स्टोर, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हाइपरस्कैन 5.6.1“
c6in-xlarge – “03/17/25 तक Intel द्वारा परीक्षण। 1-नोड, 1x Intel(R) Xeon(R) प्लैटिनम 8375C CPU @ 2.90GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 8GB (1x8GB DDR4 3200 MT/s [अज्ञात]), BIOS 1.0, माइक्रोकोड 0xd0003f6, 1x इलास्टिक नेटवर्क एडाप्टर (ENA), 1x 32G अमेज़न इलास्टिक ब्लॉक स्टोर, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हाइपरस्कैन 5.6.1”
c7i-xlarge – “03/17/25 तक Intel द्वारा परीक्षण। 1-नोड, 1x Intel(R) Xeon(R) प्लैटिनम 8488C CPU @ 2.40GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 8GB (1x8GB DDR4 4800 MT/s [अज्ञात]), BIOS 1.0, माइक्रोकोड 0x2b000620, 1x इलास्टिक नेटवर्क एडाप्टर (ENA), 1x 32G अमेज़न इलास्टिक ब्लॉक स्टोर, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, हाइपरस्कैन 5.6.1”
n1-std-4 – “03/17/25 तक Intel द्वारा परीक्षण। 1-नोड, 1x Intel(R) Xeon(R) CPU @ 2.00GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 15GB (1x15GB RAM []), BIOS Google, माइक्रोकोड 0xffffffff, 1x डिवाइस, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n2-std-4 – Intel द्वारा 03/17/25 तक परीक्षण। 1-नोड, 1x Intel(R) Xeon(R) CPU @ 2.60GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 16GB (1x16GB RAM []), BIOS Google, माइक्रोकोड 0xffffffff, 1x डिवाइस, 1x 32G PersistentDisk, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Intel द्वारा 03/14/25 तक परीक्षण किया गया। 1-नोड, 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 16GB (1x16GB RAM []), BIOS Google, माइक्रोकोड 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Intel द्वारा 03/18/25 तक परीक्षण किया गया। 1-नोड, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.10GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 16GB (1x16GB RAM []), BIOS Google, माइक्रोकोड 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Intel द्वारा 03/18/25 तक परीक्षण किया गया। 1-नोड, 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz, 2 कोर, HT चालू, टर्बो चालू, कुल मेमोरी 15GB (1x15GB RAM []), BIOS Google, माइक्रोकोड 0xffffffff, 1x Compute Engine Virtual Ethernet [gVNIC], 1x 32G nvme_card-pd, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
परिशिष्ट B इंटेल NGFW संदर्भ सॉफ़्टवेयर कॉन्फ़िगरेशन
| सॉफ्टवेयर कॉन्फ़िगरेशन | सॉफ्टवेयर संस्करण |
| होस्ट ओएस | उबंटू 22.04 एलटीएस |
| गुठली | 6.8.0-1025 |
| संकलक | जीसीसी 11.4.0 |
| WRK | 74eb9437 |
| डब्ल्यूआरके2 | 44a94c17 |
| वीपीपी | 24.02 |
| फक-फक करना | 3.1.36.0 |
| डीएक्यू | 3.0.9 |
| लुआजेआईटी | 2.1.0-बीटा3 |
| लिबकैप | 1.10.1 |
| पीसीआरई | 8.45 |
| ज़ेडएलआईबी | 1.2.11 |
| हाइपरस्कैन | 5.6.1 |
| एलजेडएमए | 5.2.5 |
| nginx | 1.22.1 |
| डीपीडीके | 23.11 |
प्रदर्शन उपयोग, कॉन्फ़िगरेशन और अन्य कारकों से भिन्न होता है। अधिक जानें www.Intel.com/PerformanceIndex.
प्रदर्शन परिणाम कॉन्फ़िगरेशन में दर्शाई गई तिथियों के अनुसार परीक्षण पर आधारित हैं और हो सकता है कि वे सभी सार्वजनिक रूप से उपलब्ध अपडेट को प्रतिबिंबित न करें। कॉन्फ़िगरेशन विवरण के लिए बैकअप देखें। कोई भी उत्पाद या घटक पूरी तरह से सुरक्षित नहीं हो सकता।
इंटेल बिना किसी सीमा के, व्यापारिक योग्यता की निहित वारंटी, किसी विशेष उद्देश्य के लिए उपयुक्तता, और गैर-उल्लंघन, साथ ही प्रदर्शन के दौरान उत्पन्न होने वाली किसी भी वारंटी, व्यवहार के पाठ्यक्रम, या व्यापार में उपयोग सहित सभी व्यक्त और निहित वारंटी को अस्वीकार करता है।
इंटेल प्रौद्योगिकियों को सक्षम हार्डवेयर, सॉफ़्टवेयर या सेवा सक्रियण की आवश्यकता हो सकती है।
इंटेल तीसरे पक्ष के डेटा को नियंत्रित या ऑडिट नहीं करता है। सटीकता का मूल्यांकन करने के लिए आपको अन्य स्रोतों से परामर्श करना चाहिए।
वर्णित उत्पादों में डिज़ाइन दोष या त्रुटियाँ हो सकती हैं जिन्हें इरेटा के रूप में जाना जाता है, जिसके कारण उत्पाद प्रकाशित विनिर्देशों से अलग हो सकता है। वर्तमान में वर्णित इरेटा अनुरोध पर उपलब्ध हैं।
© इंटेल कॉर्पोरेशन। Intel, Intel लोगो और अन्य Intel चिह्न Intel Corporation या उसकी सहायक कंपनियों के ट्रेडमार्क हैं। अन्य नामों और ब्रांडों पर दूसरों की संपत्ति के रूप में दावा किया जा सकता है।
0425/XW/MK/PDF 365150-001US
दस्तावेज़ / संसाधन
 |
इंटेल ऑप्टिमाइज़ नेक्स्ट जेनरेशन फ़ायरवॉल [पीडीएफ] उपयोगकर्ता गाइड अगली पीढ़ी के फ़ायरवॉल को अनुकूलित करें, अगली पीढ़ी के फ़ायरवॉल को अनुकूलित करें, फ़ायरवॉल की पीढ़ी, फ़ायरवॉल |