Guida tecnologica
Ottimizza le prestazioni NGFW con
Processori Intel® Xeon® su cloud pubblico
Autori
Xiang Wang
Jayprakash Patidar
Declan Doherty
Eric Jones
Subhiksha Ravisundar
Heqing Zhu
Introduzione
I firewall di nuova generazione (NGFW) sono al centro delle soluzioni di sicurezza di rete. I firewall tradizionali eseguono ispezioni del traffico stateful, in genere basate su porte e protocolli, che non sono in grado di proteggere efficacemente dal traffico dannoso moderno. Gli NGFW evolvono e ampliano i firewall tradizionali con funzionalità avanzate di ispezione approfondita dei pacchetti, inclusi sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS), rilevamento di malware, identificazione e controllo delle applicazioni, ecc.
Gli NGFW sono carichi di lavoro ad alta intensità di calcolo che eseguono, ad esempioample, operazioni crittografiche per la crittografia e la decrittografia del traffico di rete e il matching di regole complesse per il rilevamento di attività dannose. Intel fornisce tecnologie di base per ottimizzare le soluzioni NGFW.
I processori Intel sono dotati di varie architetture di set di istruzioni (ISA), tra cui Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) e Intel® QuickAssist Technology (Intel® QAT), che accelerano notevolmente le prestazioni di crittografia.
Intel investe anche in ottimizzazioni software, comprese quelle per Hyperscan. Hyperscan è una libreria ad alte prestazioni per il matching di stringhe ed espressioni regolari (regex). Sfrutta la tecnologia SIMD (Single Instruction Multiple Data) sui processori Intel per migliorare le prestazioni di pattern-matching. L'integrazione di Hyperscan nei sistemi IPS NGFW come Snort può migliorare le prestazioni fino a 3 volte sui processori Intel.
Gli NGFW vengono spesso forniti come appliance di sicurezza distribuite nella zona demilitarizzata (DMZ) dei data center aziendali. Tuttavia, esiste una forte domanda di appliance virtuali o pacchetti software NGFW che possono essere distribuiti nel cloud pubblico, nei data center aziendali o nelle sedi periferiche della rete. Questo modello di distribuzione software libera l'IT aziendale dai costi operativi e di manutenzione associati alle appliance fisiche. Migliora la scalabilità del sistema e offre opzioni flessibili di approvvigionamento e acquisto.
Un numero crescente di aziende sta adottando distribuzioni di soluzioni NGFW su cloud pubblico. Uno dei motivi principali è il vantaggio in termini di costi.tage di esecuzione di appliance virtuali nel cloud.
Tuttavia, poiché i CSP offrono una moltitudine di tipi di istanze con caratteristiche di elaborazione e prezzi variabili, selezionare l'istanza con il miglior TCO per NGFW può essere difficile.
Questo documento presenta un'implementazione di riferimento NGFW di Intel, ottimizzata con tecnologie Intel, tra cui Hyperscan. Offre un punto di prova affidabile per la caratterizzazione delle prestazioni NGFW sulle piattaforme Intel. È incluso nel pacchetto software di riferimento NetSec di Intel. Forniamo anche il Multi-Cloud Networking Automation Tool (MCNAT) nello stesso pacchetto per automatizzare l'implementazione di riferimento NGFW su provider di cloud pubblico selezionati. MCNAT semplifica l'analisi del TCO per diverse istanze di elaborazione e guida gli utenti verso l'istanza di elaborazione ottimale per NGFW.
Per ulteriori informazioni sul pacchetto software di riferimento NetSec, contattare gli autori.
Cronologia delle revisioni del documento
| Revisione | Data | Descrizione |
| 001 | Marzo 2025 | Versione iniziale. |
1.1 Terminologia
Tabella 1. Terminologia
| Abbreviazione | Descrizione |
| DFA | Automa finito deterministico |
| DPI | Ispezione approfondita dei pacchetti |
| HTTP | Protocollo di trasferimento ipertestuale |
| IDS/IPS | Sistema di rilevamento e prevenzione delle intrusioni |
| L'ISA | Architettura del set di istruzioni |
| MCNAT | Strumento di automazione della rete multi-cloud |
| Non-Fattore | Automa finito non deterministico |
| Nuovo GFF | Firewall di nuova generazione |
| PCAP | Acquisizione di pacchetti |
| PCRE | Libreria di espressioni regolari compatibili con Perl |
| Espressione regolare | Espressione regolare |
| SASE | Edge del servizio di accesso sicuro |
| SIMD | Tecnologia di dati multipli a istruzione singola |
| TCP | Transmission Control Protocol |
| Nome dell'utente | Identificatore uniforme delle risorse |
| WAF | Web Firewall dell'applicazione |
1.2 Documentazione di riferimento
Tabella 2. Documenti di riferimento
Contesto e motivazione
Oggi, la maggior parte dei fornitori di NGFW ha esteso la propria presenza dalle appliance NGFW fisiche a soluzioni NGFW virtuali, implementabili nel cloud pubblico. Le implementazioni NGFW nel cloud pubblico stanno riscontrando una crescente adozione grazie ai seguenti vantaggi:
- Scalabilità: è possibile aumentare o ridurre facilmente le risorse di elaborazione tra diverse aree geografiche per soddisfare i requisiti di prestazioni.
- Efficienza economica: abbonamento flessibile che consente di pagare in base all'utilizzo. Elimina le spese in conto capitale (capex) e riduce i costi operativi associati agli elettrodomestici.
- Integrazione nativa con i servizi cloud: integrazione perfetta con servizi cloud pubblici quali networking, controlli di accesso e strumenti AI/ML.
- Protezione dei carichi di lavoro nel cloud: filtraggio del traffico locale per carichi di lavoro aziendali ospitati sul cloud pubblico.
La riduzione dei costi di esecuzione del carico di lavoro NGFW nel cloud pubblico rappresenta una proposta interessante per i casi d'uso aziendali.
Tuttavia, selezionare l'istanza con le migliori prestazioni e il miglior TCO per NGFW è difficile, data l'ampia gamma di opzioni di istanze cloud disponibili con diverse CPU, dimensioni di memoria, larghezza di banda I/O e prezzi diversi per ciascuna. Abbiamo sviluppato un'implementazione di riferimento NGFW per facilitare l'analisi delle prestazioni e del TCO di diverse istanze di cloud pubblico basate su processori Intel. Illustreremo le metriche relative alle prestazioni e al rapporto costo-beneficio (P/D) come guida per la scelta delle istanze basate su Intel più adatte alle soluzioni NGFW su servizi di cloud pubblico come AWS e GCP.
Implementazione di riferimento NGFW
Intel ha sviluppato il pacchetto software di riferimento NetSec (ultima versione 25.05) che offre soluzioni di riferimento ottimizzate che sfruttano ISA e acceleratori disponibili nelle più recenti CPU e piattaforme Intel per dimostrare prestazioni ottimizzate nell'infrastruttura aziendale on-premise e sul cloud. Il software di riferimento è disponibile con licenza proprietaria Intel (IPL).
I punti salienti di questo pacchetto software sono:
- Include un ampio portafoglio di soluzioni di riferimento per reti e sicurezza, framework di intelligenza artificiale per data center cloud e aziendali e sedi edge.
- Consente tempi di commercializzazione rapidi e un'adozione rapida delle tecnologie Intel.
- È disponibile il codice sorgente che consente di replicare scenari di distribuzione e ambienti di test sulle piattaforme Intel.
Per ulteriori informazioni su come ottenere l'ultima versione del software di riferimento NetSec, contattare gli autori.
Come parte fondamentale del pacchetto software di riferimento NetSec, l'implementazione di riferimento NGFW guida le caratteristiche prestazionali NGFW e l'analisi del TCO sulle piattaforme Intel. Offriamo un'integrazione perfetta di tecnologie Intel come Hyperscan nell'implementazione di riferimento NGFW. Ciò costituisce una solida base per l'analisi NGFW sulle piattaforme Intel. Poiché diverse piattaforme hardware Intel offrono funzionalità diverse, dall'elaborazione all'IO, l'implementazione di riferimento NGFW presenta un'analisi più chiara. view delle funzionalità della piattaforma per carichi di lavoro NGFW e aiuta a confrontare le prestazioni tra generazioni di processori Intel. Fornisce approfondimenti approfonditi su parametri quali prestazioni di elaborazione, larghezza di banda della memoria, larghezza di banda I/O e consumo energetico. Sulla base dei risultati dei test sulle prestazioni, possiamo condurre un'ulteriore analisi del TCO (con prestazioni per dollaro) sulle piattaforme Intel utilizzate per NGFW.
L'ultima versione (25.05) dell'implementazione di riferimento NGFW include le seguenti funzionalità chiave:
- Firewall con stato di base
- Sistema di prevenzione delle intrusioni (IPS)
- Supporto dei processori Intel all'avanguardia, tra cui processori Intel® Xeon® 6, Intel Xeon 6 SoC, ecc.
Si prevede che le versioni future implementino le seguenti funzionalità aggiuntive:
- Ispezione VPN: decrittazione IPsec del traffico per l'ispezione dei contenuti
- Ispezione TLS: un proxy TLS per terminare le connessioni tra un client e un server e quindi eseguire l'ispezione del contenuto sul traffico in chiaro.
3.1 Architettura del sistema
La Figura 1 mostra l'architettura complessiva del sistema. Utilizziamo software open source come base per la realizzazione del sistema:
- VPP fornisce una soluzione di data plane ad alte prestazioni con funzioni firewall stateful di base, inclusi ACL stateful. Generiamo più thread VPP con affinità di core configurata. Ogni thread worker VPP è associato a un core CPU dedicato o a un thread di esecuzione.
- Snort 3 è stato scelto come IPS, che supporta il multi-threading. I thread worker di Snort sono assegnati a core CPU dedicati o thread di esecuzione.
- Snort e VPP sono integrati tramite il plugin Snort per VPP. Questo plugin utilizza un set di coppie di code per l'invio di pacchetti tra VPP e Snort. Le coppie di code e i pacchetti stessi sono memorizzati nella memoria condivisa. Abbiamo sviluppato un nuovo componente di acquisizione dati (DAQ) per Snort, che chiamiamo VPP Zero Copy (ZC) DAQ. Questo implementa le funzioni API Snort DAQ per ricevere e trasmettere pacchetti leggendo e scrivendo nelle code appropriate. Poiché il payload si trova nella memoria condivisa, consideriamo questa un'implementazione Zero-Copy.
Poiché Snort 3 è un carico di lavoro ad alta intensità di elaborazione che richiede più risorse di elaborazione rispetto all'elaborazione del piano dati, stiamo cercando di configurare un'allocazione ottimizzata dei core del processore e un equilibrio tra il numero di thread VPP e i thread Snort3 per ottenere le massime prestazioni a livello di sistema sulla piattaforma hardware in esecuzione.
La figura 2 (a pagina 6) mostra il nodo grafico all'interno di VPP, compresi quelli che fanno parte dell'ACL e di Snort pluginsAbbiamo sviluppato due nuovi nodi del grafico VPP:
- snort-enq: prende una decisione di bilanciamento del carico su quale thread Snort debba elaborare il pacchetto e quindi lo inserisce nella coda corrispondente.
- snort-deq: implementato come nodo di input che esegue il polling da più code, una per thread worker di Snort.
3.2 Ottimizzazioni Intel
La nostra implementazione di riferimento NGFW sfrutta i vantaggitage delle seguenti ottimizzazioni:
- Snort sfrutta la libreria di corrispondenza di espressioni regolari multiple ad alte prestazioni Hyperscan per fornire un significativo aumento delle prestazioni rispetto al motore di ricerca predefinito in Snort. La Figura 3 evidenzia l'integrazione di Hyperscan con Snort per
accelerare sia l'elaborazione letterale che le prestazioni di corrispondenza delle espressioni regolari. Snort 3 fornisce l'integrazione nativa con Hyperscan, dove gli utenti possono attivare Hyperscan tramite configurazione file o opzioni della riga di comando.
- VPP prende vantaggiotage di Receive Side Scaling (RSS) nelle schede di rete Ethernet Intel® per distribuire il traffico su più thread worker VPP.
- Istruzioni Intel QAT e Intel AVX-512: le versioni future che supportano IPsec e TLS saranno avanzatetage delle tecnologie di accelerazione crittografica di Intel. Intel QAT accelera le prestazioni crittografiche, in particolare la crittografia a chiave pubblica, ampiamente utilizzata per stabilire connessioni di rete. Intel AVX-512 migliora anche le prestazioni crittografiche, tra cui VPMADD52 (operazioni di moltiplicazione e accumulo), Vector AES (versione vettoriale delle istruzioni Intel AES-NI), vPCLMUL (moltiplicazione vettorizzata senza riporto, utilizzata per ottimizzare AES-GCM) e Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).
Distribuzione cloud dell'implementazione di riferimento NGFW
4.1 Configurazione del sistema
Tabella 3. Configurazioni di prova
| Metrico | Valore |
| Caso d'uso | Ispezione del testo in chiaro (FW + IPS) |
| Professionista del trafficofile | HTTP 64 KB GET (1 GET per connessione) |
| ACL VPP | Sì (2 ACL con stato) |
| Regole di Snort | Lightspd (~49k regole) |
| Politica di Snort | Sicurezza (~21k regole abilitate) |
Ci concentriamo su scenari di ispezione del testo in chiaro basati su casi d'uso e KPI in RFC9411. Il generatore di traffico poteva creare transazioni HTTP da 64 KB con 1 richiesta GET per connessione. Le ACL sono configurate per consentire IP nelle subnet specificate. Abbiamo adottato il set di regole Snort Lightspd e la policy di sicurezza di Cisco per il benchmarking. Era inoltre presente un server dedicato per gestire le richieste provenienti dai generatori di traffico.
Come mostrato nelle Figure 4 e 5, la topologia del sistema include tre nodi di istanza primari: un client, un server e un proxy per l'implementazione nel cloud pubblico. È presente anche un nodo bastion per gestire le connessioni degli utenti. Sia il client (che esegue WRK) che il server (che esegue Nginx) dispongono di un'unica interfaccia di rete dedicata al piano dati, mentre il proxy (che esegue NGFW) dispone di due interfacce di rete dedicate al piano dati per i test. Le interfacce di rete del piano dati sono collegate alla subnet A (client-proxy) e alla subnet B (proxy-server) dedicate, che mantengono l'isolamento dal traffico di gestione delle istanze. Sono definiti intervalli di indirizzi IP dedicati con le relative regole di routing e ACL programmate sull'infrastruttura per consentire il flusso del traffico.
4.2 Distribuzione del sistema
MCNAT è uno strumento software sviluppato da Intel che fornisce l'automazione per distribuzioni fluide di carichi di lavoro di rete sul cloud pubblico e offre suggerimenti sulla selezione della migliore istanza cloud in base a prestazioni e costi.
MCNAT è configurato tramite una serie di profiles, ognuno dei quali definisce le variabili e le impostazioni richieste per ogni istanza. Ogni tipo di istanza ha il proprio profile che può quindi essere passato allo strumento CLI MCNAT per distribuire quel tipo di istanza specifico su un dato fornitore di servizi cloud (CSP). EsempioampL'utilizzo della riga di comando è illustrato di seguito e nella Tabella 4.
Tabella 4. Utilizzo della riga di comando MCNAT
| Opzione | Descrizione |
| –distribuire | Indica allo strumento di creare una nuova distribuzione |
| -u | Definisce quali credenziali utente utilizzare |
| -c | CSP per creare la distribuzione su (AWS, GCP, ecc.) |
| -s | Scenario da implementare |
| -p | Professionistafile usare |
Lo strumento da riga di comando MCNAT può creare e distribuire istanze in un unico passaggio. Una volta distribuita l'istanza, i passaggi di post-configurazione creano la configurazione SSH necessaria per consentirne l'accesso.
4.3 Benchmarking del sistema
Una volta che MCNAT ha distribuito le istanze, tutti i test delle prestazioni possono essere eseguiti utilizzando il toolkit applicativo MCNAT.
Per prima cosa, dobbiamo configurare i casi di test in tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json come di seguito:
Quindi possiamo usare l'exampEseguire il comando le qui sotto per avviare il test. DEPLOYMENT_PATH è il percorso in cui viene memorizzato lo stato di distribuzione dell'ambiente di destinazione, ad esempio tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate. d/tfws_default.
Esegue NGFW con un set di regole definito sul traffico http generato da WRK sul client, mentre blocca un intervallo di core della CPU, per raccogliere un set completo di dati sulle prestazioni dell'istanza in test. Al termine dei test, tutti i dati vengono formattati in formato CSV e restituiti all'utente.
Valutazione delle prestazioni e dei costi
In questa sezione confrontiamo le distribuzioni NGFW su diverse istanze cloud basate su processori Intel Xeon su AWS e GCP.
Questo articolo fornisce indicazioni su come trovare il tipo di istanza cloud più adatto per NGFW in base a prestazioni e costi. Scegliamo istanze con 4 vCPU, poiché sono consigliate dalla maggior parte dei fornitori di NGFW. I risultati su AWS e GCP includono:
- Prestazioni NGFW su tipi di istanze di piccole dimensioni che ospitano 4 vCPU con tecnologia Intel® Hyper-Threading (tecnologia Intel® HT) e Hyperscan abilitati.
- Miglioramenti delle prestazioni di generazione in generazione dai processori Intel Xeon Scalable di prima generazione a quelli di quinta generazione.
- Aumento delle prestazioni per dollaro da una generazione all'altra, dai processori scalabili Intel® Xeon di prima generazione ai processori scalabili Intel Xeon di quinta generazione.
5.1 Distribuzione AWS
5.1.1 Elenco dei tipi di istanza
Tabella 5. Istanze AWS e tariffe orarie on demand
| Tipo di istanza | Modello CPU | CPU virtuale | Memoria (GB) | Prestazioni di rete (Gbps) | Ho su richiestaurltasso y ($) |
| c5-xlarge | Processori scalabili Intel® Xeon® di seconda generazione | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | Processori scalabili Intel® Xeon® di prima generazione | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | Processori scalabili Intel® Xeon® di terza generazione | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | Processori Intel Xeon Scalable di terza generazione | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | Processori scalabili Intel® Xeon® di quarta generazione | 4 | 8 | 12.5 | 0.1785 |
La tabella 5 mostra il totaleview delle istanze AWS che utilizziamo. Per maggiori dettagli sulla piattaforma, consultare la sezione Configurazione della piattaforma. Elenca anche le istanze on-demandurltasso y (https://aws.amazon.com/ec2/pricing/on-demand/) per tutti i casi. Il tasso sopra indicato si riferisce alla tariffa on demand al momento della pubblicazione del presente documento e si concentra sulla costa occidentale degli Stati Uniti.
L'ho on-demandurlLa tariffa potrebbe variare in base alla regione, alla disponibilità, agli account aziendali e ad altri fattori.
5.1.2 Risultati
La Figura 6 confronta le prestazioni e la tariffa oraria delle prestazioni su tutti i tipi di istanza menzionati finora:
- Prestazioni migliorate con istanze basate su processori Intel Xeon di nuova generazione. Aggiornamento da c5.xlarge (basata su processore Intel Xeon Scalable di seconda generazione) a c2i.xlarge (basata su processore Intel Xeon Scalable di quarta generazione).
mostra un miglioramento delle prestazioni pari a 1.97 volte. - Prestazioni per dollaro migliorate con istanze basate su processori Intel Xeon di nuova generazione. L'aggiornamento da c5n.xlarge (basato su processore Intel Xeon Scalable di prima generazione) a c1i.xlarge (basato su processore Intel Xeon Scalable di quarta generazione) mostra un miglioramento del rapporto prestazioni/ora di 7 volte.
5.2 Distribuzione GCP
5.2.1 Elenco dei tipi di istanza
Tabella 6. Istanze GCP e tariffe orarie on-demand
| Tipo di istanza | Modello CPU | CPU virtuale | Memoria (GB) | Larghezza di banda in uscita predefinita (Gbps) | Ho su richiestaurltasso y ($) |
| n1-std-4 | Intel® Xeon® di prima generazione Processori scalabili |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | Intel® Xeon® di terza generazione Processori scalabili |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | Intel® Xeon® di quarta generazione Processori scalabili |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | Intel® Xeon® di quarta generazione Processori scalabili |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | Intel® Xeon® di quarta generazione Processori scalabili |
4 | 15 | 23 | 0.23761913 |
La tabella 6 mostra il totaleview delle istanze GCP che utilizziamo. Per maggiori dettagli sulla piattaforma, fare riferimento alla Configurazione della piattaforma. Elenca anche le istanze on-demandurltasso y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) per tutti i casi. Quanto sopra era la tariffa on-demand al momento della pubblicazione di questo documento e si concentra sulla costa occidentale degli Stati Uniti. La tariffa on-demandurlLa tariffa potrebbe variare in base alla regione, alla disponibilità, agli account aziendali e ad altri fattori.
5.2.2 Risultati
La Figura 7 confronta le prestazioni e la tariffa oraria delle prestazioni su tutti i tipi di istanza menzionati finora:
- Prestazioni migliorate con istanze basate su processori Intel Xeon di nuova generazione. L'aggiornamento da n1-std-4 (basato su processore Intel Xeon Scalable di prima generazione) a c1-std-4 (basato su processore Intel Xeon Scalable di quinta generazione) mostra un miglioramento delle prestazioni di 4 volte.
- Le prestazioni per dollaro sono migliorate con le istanze basate sulle nuove generazioni di processori Intel Xeon. L'aggiornamento da n1-std-4 (basato su processore Intel Xeon Scalable di prima generazione) a c1-std-4 (basato su processore Intel Xeon Scalable di quinta generazione) mostra un miglioramento del rapporto prestazioni/ora di 4 volte.
Riepilogo
Con la crescente adozione di modelli di implementazione multi-cloud e cloud ibrido, l'implementazione di soluzioni NGFW sul cloud pubblico offre una protezione coerente in tutti gli ambienti, scalabilità per soddisfare i requisiti di sicurezza e semplicità con interventi di manutenzione minimi. I fornitori di sicurezza di rete offrono soluzioni NGFW con una varietà di tipi di istanze cloud sul cloud pubblico. È fondamentale ridurre al minimo il costo totale di proprietà (TCO) e massimizzare il ritorno sull'investimento (ROI) con l'istanza cloud giusta. I fattori chiave da considerare includono risorse di elaborazione, larghezza di banda di rete e prezzo. Abbiamo utilizzato l'implementazione di riferimento NGFW come carico di lavoro rappresentativo e sfruttato MCNAT per automatizzare l'implementazione e i test su diversi tipi di istanze di cloud pubblico. In base ai nostri benchmark, le istanze con l'ultima generazione di processori Intel Xeon Scalable su AWS (basate su processori Intel Xeon Scalable di quarta generazione) e GCP (basate su processori Intel Xeon Scalable di quinta generazione) offrono miglioramenti sia in termini di prestazioni che di TCO. Migliorano le prestazioni fino a 4 volte e il tasso di prestazioni orarie fino a 5 volte rispetto alle generazioni precedenti. Questa valutazione fornisce solidi riferimenti per la selezione di istanze di cloud pubblico basate su Intel per NGFW.
Appendice A Configurazione della piattaforma
Configurazioni della piattaforma
c5-xlarge – “Test eseguito da Intel il 03/17/25. 1 nodo, 1 CPU Intel(R) Xeon(R) Platinum 8275CL a 3.00 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 8 GB (1 DDR8 da 4 GB 2933 MT/s [Sconosciuto]), BIOS 1.0, microcodice 0x5003801, 1 scheda di rete elastica (ENA), 1 Amazon Elastic Block Store da 32 GB, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c5n-xlarge – “Test eseguito da Intel il 03/17/25. 1 nodo, 1 CPU Intel(R) Xeon(R) Platinum 8124M a 3.00 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 10.5 GB (1×10.5 GB DDR4 2933 MT/s [Sconosciuto]), BIOS 1.0, microcodice 0x2007006, 1 scheda di rete elastica (ENA), 1 Amazon Elastic Block Store da 32 GB, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c6i-xlarge – “Test eseguito da Intel il 03/17/25. 1 nodo, 1 CPU Intel(R) Xeon(R) Platinum 8375C a 2.90 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 8 GB (1 DDR8 da 4 GB a 3200 MT/s [Sconosciuto]), BIOS 1.0, microcodice 0xd0003f6, 1 scheda di rete elastica (ENA), 1 Amazon Elastic Block Store da 32 GB, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
c6in-xlarge – “Test eseguito da Intel il 03/17/25. 1 nodo, 1 CPU Intel(R) Xeon(R) Platinum 8375C a 2.90 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 8 GB (1 DDR8 da 4 GB a 3200 MT/s [Sconosciuto]), BIOS 1.0, microcodice 0xd0003f6, 1 scheda di rete elastica (ENA), 1 Amazon Elastic Block Store da 32 GB, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c7i-xlarge – “Test eseguito da Intel il 03/17/25. 1 nodo, 1 CPU Intel(R) Xeon(R) Platinum 8488C a 2.40 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 8 GB (1 DDR8 da 4 GB a 4800 MT/s [Sconosciuto]), BIOS 1.0, microcodice 0x2b000620, 1 scheda di rete elastica (ENA), 1 Amazon Elastic Block Store da 32 GB, Ubuntu 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n1-std-4 – “Test eseguito da Intel il 03/17/25. 1 nodo, 1 CPU Intel(R) Xeon(R) a 2.00 GHz, 2 core, HT attivato, Turbo attivato, memoria totale 15 GB (1x15 GB RAM []), BIOS Google, microcodice 0xffffffff, 1 dispositivo, 1 PersistentDisk da 32 GB, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1“
n2-std-4 – Test eseguito da Intel il 03/17/25. 1 nodo, 1 CPU Intel(R) Xeon(R) a 2.60 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 16 GB (1x16 GB RAM []), BIOS Google, microcodice 0xffffffff, 1 dispositivo, 1 PersistentDisk da 32 G, Ubuntu 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c3-std-4 – Test eseguito da Intel il 03/14/25. 1 nodo, 1 CPU Intel(R) Xeon(R) Platinum 8481C a 2.70 GHz a 2.60 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 16 GB (1 RAM da 16 GB []), BIOS Google, microcodice 0xffffffff, 1 Compute Engine Virtual Ethernet [gVNIC], 1 nvme_card-pd da 32 G, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
n4-std-4 – Test eseguito da Intel il 03/18/25. 1 nodo, 1 CPU Intel(R) Xeon(R) PLATINUM 8581C a 2.10 GHz, 2 core, HT attivo, Turbo attivo, memoria totale 16 GB (1x16 GB RAM []), BIOS Google, microcodice 0xffffffff, 1 Compute Engine Virtual Ethernet [gVNIC], 1 nvme_card-pd da 32 G, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
c4-std-4 – Test eseguito da Intel il 03/18/25. 1 nodo, 1 CPU Intel(R) Xeon(R) PLATINUM 8581C a 2.30 GHz, 2 core, HT attivato, Turbo attivato, memoria totale 15 GB (1 RAM da 15 GB []), BIOS Google, microcodice 0xffffffff, 1 Compute Engine Virtual Ethernet [gVNIC], 1 nvme_card-pd da 32 GB, Ubuntu 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, Hyperscan 5.6.1”
Appendice B Configurazione del software di riferimento Intel NGFW
| Configurazione del software | Software Version |
| Sistema operativo host | Ubuntu 22.04 LTS |
| Nocciolo | 6.8.0-1025 |
| Compilatore | GCC 11.4.0 |
| WRK | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| Sbuffare | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Iperscansione | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
Le prestazioni variano in base all'uso, alla configurazione e ad altri fattori. Ulteriori informazioni su www.Intel.com/PerformanceIndex.
I risultati delle prestazioni si basano sui test eseguiti nelle date indicate nelle configurazioni e potrebbero non riflettere tutti gli aggiornamenti disponibili pubblicamente. Vedere backup per i dettagli di configurazione. Nessun prodotto o componente può essere assolutamente sicuro.
Intel declina tutte le garanzie esplicite e implicite, incluse, a titolo esemplificativo, le garanzie implicite di commerciabilità, idoneità per uno scopo particolare e non violazione, nonché qualsiasi garanzia derivante dal corso delle prestazioni, dal modo di trattare o dall'uso commerciale.
Le tecnologie Intel potrebbero richiedere l'attivazione di hardware, software o servizi abilitati.
Intel non controlla né controlla i dati di terze parti. Dovresti consultare altre fonti per valutare l'accuratezza.
I prodotti descritti possono contenere difetti di progettazione o errori noti come errata che possono causare la deviazione del prodotto dalle specifiche pubblicate. Le errata caratterizzate correnti sono disponibili su richiesta.
© Intel Corporation. Intel, il logo Intel e altri marchi Intel sono marchi di Intel Corporation o delle sue consociate. Altri nomi e marchi possono essere rivendicati come proprietà di altri.
0425/XW/MK/PDF 365150-001US
Documenti / Risorse
 |
Intel ottimizza i firewall di nuova generazione [pdf] Guida utente Ottimizzazione dei firewall di nuova generazione, Ottimizzazione, Firewall di nuova generazione, Firewall di nuova generazione, Firewall |