دليل التكنولوجيا
تحسين أداء NGFW باستخدام
معالجات Intel® Xeon® على السحابة العامة
المؤلفون
شيانغ وانغ
جاي براكاش باتيدار
ديكلان دوهيرتي
إريك جونز
سوبهيكشا رافيسوندار
هيكينج تشو
مقدمة
تُعدّ جدران الحماية من الجيل التالي (NGFWs) جوهر حلول أمن الشبكات. تُجري جدران الحماية التقليدية فحصًا لحركة البيانات بناءً على حالة الشبكة، ويعتمد ذلك عادةً على المنفذ والبروتوكول اللذين لا يُوفّران حماية فعّالة ضدّ حركة البيانات الضارة الحديثة. تتطور جدران الحماية من الجيل التالي (NGFWs) وتتوسّع على جدران الحماية التقليدية مع قدرات فحص حزم البيانات العميقة المتقدمة، بما في ذلك أنظمة كشف ومنع التطفل (IDS/IPS)، وكشف البرامج الضارة، وتحديد التطبيقات والتحكم فيها، وغيرها.
إن أجهزة الجيل التالي من الجدران هي أحمال عمل كثيفة الحوسبة تؤدي، على سبيل المثالampعمليات تشفير لتشفير وفك تشفير حركة مرور الشبكة، ومطابقة قواعد دقيقة للكشف عن الأنشطة الضارة. تقدم إنتل تقنيات أساسية لتحسين حلول الجيل التالي من جدار الحماية (NGFW).
تم تجهيز معالجات Intel بمجموعة متنوعة من بنيات التعليمات (ISAs)، بما في ذلك تعليمات Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) وتقنية Intel® QuickAssist (Intel® QAT) التي تعمل على تسريع أداء التشفير بشكل كبير.
تستثمر إنتل أيضًا في تحسينات البرامج، بما في ذلك تحسينات Hyperscan. Hyperscan هي مكتبة مطابقة عالية الأداء للسلاسل والتعبيرات النمطية. تستفيد من تقنية بيانات متعددة بتعليمات مفردة (SIMD) في معالجات إنتل لتعزيز أداء مطابقة الأنماط. يمكن لدمج Hyperscan في أنظمة NGFW IPS مثل Snort تحسين الأداء بما يصل إلى ثلاثة أضعاف في معالجات إنتل.
NGFWs are often delivered as a security appliance deployed in the demilitarized zone (DMZ) of enterprise data centers. However, there is a strong demand for NGFW virtual appliances or software packages that can be deployed to the public cloud, in enterprise data centers, or at network edge locations. This software deployment model frees up enterprise IT from the operations and maintenance overhead associated with physical appliances. It improves system scalability and provides flexible procurement and purchasing options.
An increasing number of enterprises are embracing public cloud deployments of NGFW solutions. A key reason for this is the cost advantagكيفية تشغيل الأجهزة الافتراضية في السحابة.
ومع ذلك، نظرًا لأن مقدمي خدمات الحوسبة يقدمون مجموعة كبيرة من أنواع المثيلات ذات خصائص الحوسبة والأسعار المتنوعة، فإن اختيار المثيل ذو إجمالي تكلفة الملكية الأفضل لجدار الحماية من الجيل التالي قد يكون أمرًا صعبًا.
تُقدّم هذه الورقة البحثية تطبيقًا مرجعيًا لجدار الحماية من الجيل الجديد (NGFW) من إنتل، مُحسّنًا بتقنياتها، بما في ذلك Hyperscan. يُقدّم هذا التطبيق دليلًا موثوقًا لتوصيف أداء جدار الحماية من الجيل الجديد (NGFW) على منصات إنتل. وهو مُضمّن ضمن حزمة برامج NetSec المرجعية من إنتل. كما نوفر أداة أتمتة الشبكات متعددة السحابات (MCNAT) في الحزمة نفسها لأتمتة نشر تطبيق جدار الحماية من الجيل الجديد (NGFW) المرجعي على مُزوّدي خدمات سحابية عامة مُختارين. تُبسّط أداة MCNAT تحليل إجمالي تكلفة الملكية (TCO) لحالات الحوسبة المُختلفة، وتُرشد المستخدمين إلى حالة الحوسبة المُثلى لجدار الحماية من الجيل الجديد (NGFW).
يرجى الاتصال بالمؤلفين لمعرفة المزيد حول حزمة برامج NetSec Reference Software.
سجل مراجعة الوثيقة
| المراجعة | تاريخ | وصف |
| 001 | مارس 2025 | الإصدار الأولي. |
1.1 المصطلحات
الجدول 1. المصطلحات
| اختصار | وصف |
| وزارة الخارجية | الأتمتة المحدودة الحتمية |
| نقطة لكل بوصة | فحص الحزمة العميقة |
| HTTP | بروتوكول نقل النص التشعبي |
| أنظمة الكشف عن الهوية/أنظمة منع الاختراق | نظام كشف ومنع التطفل |
| عيسى | هندسة مجموعة التعليمات |
| ماكنات | أداة أتمتة الشبكات متعددة السحابة |
| إن إف إيه | الأتمتة المحدودة غير الحتمية |
| الجيل القادم من الجداريات | جدار الحماية من الجيل التالي |
| بي سي أيه بي | التقاط الحزمة |
| بحوث الـ PCRE | مكتبة التعبيرات العادية المتوافقة مع Perl |
| التعبيرات العادية | تعبير منتظم |
| ساس | خدمة الوصول الآمن |
| سي ام دي | تكنولوجيا البيانات المتعددة ذات التعليمة الواحدة |
| بروتوكول التحكم في الإرسال | بروتوكول التحكم بالإرسال |
| عنوان URL | معرف الموارد الموحد |
| تطبيق WAF | Web جدار حماية التطبيق |
1.2 التوثيق المرجعي
الجدول 2. الوثائق المرجعية
الخلفية والدافع
اليوم، وسّع معظم موردي جدران الحماية من الجيل التالي نطاق أعمالهم من أجهزة جدران الحماية المادية إلى حلول جدران حماية افتراضية قابلة للنشر في السحابة العامة. ويشهد نشر جدران الحماية من الجيل التالي في السحابة العامة زيادة في الاعتماد عليه بفضل المزايا التالية:
- إمكانية التوسع: يمكنك بسهولة توسيع نطاق موارد الحوسبة عبر المناطق الجغرافية أو تقليصها لتلبية متطلبات الأداء.
- فعالية التكلفة: اشتراك مرن يسمح بالدفع مقابل الاستخدام. يُلغي النفقات الرأسمالية ويُقلل التكاليف التشغيلية المرتبطة بالأجهزة المادية.
- التكامل الأصلي مع الخدمات السحابية: التكامل السلس مع الخدمات السحابية العامة مثل الشبكات وضوابط الوصول وأدوات الذكاء الاصطناعي والتعلم الآلي.
- حماية أحمال العمل السحابية: تصفية حركة المرور المحلية لأحمال العمل المؤسسية المستضافة على سحابة عامة.
إن التكلفة المنخفضة لتشغيل عبء عمل NGFW في السحابة العامة تشكل اقتراحًا جذابًا لحالات استخدام المؤسسات.
مع ذلك، يُعد اختيار النسخة ذات الأداء الأفضل وتكلفة الملكية الإجمالية لـ NGFW أمرًا صعبًا، نظرًا لتوفر مجموعة واسعة من خيارات نسخ السحابة بوحدات معالجة مركزية وأحجام ذاكرة ونطاق ترددي للإدخال والإخراج متنوعة، ولكل منها سعر مختلف. لقد طورنا تطبيقًا مرجعيًا لـ NGFW للمساعدة في تحليل الأداء وتكلفة الملكية الإجمالية لمختلف نسخ السحابة العامة القائمة على معالجات Intel. سنستعرض مقاييس الأداء وتكلفة الملكية الإجمالية كدليل لاختيار النسخ المناسبة القائمة على Intel لحلول NGFW على خدمات السحابة العامة مثل AWS وGCP.
تنفيذ مرجعي لـ NGFW
طورت إنتل حزمة برامج NetSec المرجعية (الإصدار الأخير 25.05) التي توفر حلولاً مرجعية مُحسّنة تستفيد من تكاملات ISA والمسرّعات المتوفرة في أحدث معالجات ومنصات إنتل، وذلك لعرض أداء مُحسّن في البنية التحتية المؤسسية المحلية وعلى السحابة. يتوفر البرنامج المرجعي بموجب ترخيص إنتل الخاص (IPL).
أهم النقاط البارزة في حزمة البرامج هذه هي:
- تتضمن مجموعة واسعة من حلول المرجع للشبكات والأمان، وأطر الذكاء الاصطناعي لمراكز البيانات السحابية والمؤسسية والمواقع الطرفية.
- يتيح الوقت لتسويق تقنيات Intel والتبني السريع لها.
- يتوفر كود المصدر الذي يسمح بتكرار سيناريوهات النشر وبيئات الاختبار على منصات Intel.
يرجى الاتصال بالمؤلفين لمعرفة المزيد حول كيفية الحصول على أحدث إصدار من برنامج NetSec Reference Software.
كجزء أساسي من حزمة برامج NetSec المرجعية، يُعزز تطبيق NGFW المرجعي خصائص أداء NGFW وتحليل إجمالي تكلفة الملكية على منصات Intel. نوفر تكاملاً سلسًا لتقنيات Intel، مثل Hyperscan، في تطبيق NGFW المرجعي. يُرسي هذا أساسًا متينًا لتحليل NGFW على منصات Intel. ونظرًا لأن منصات أجهزة Intel المختلفة تُقدم قدرات مختلفة من الحوسبة إلى عمليات الإدخال والإخراج، فإن تطبيق NGFW المرجعي يُقدم فهمًا أوضح. view لقدرات المنصة لأحمال عمل NGFW، وتساعد في عرض مقارنات الأداء بين أجيال معالجات Intel. كما تقدم رؤى شاملة حول المقاييس، بما في ذلك أداء الحوسبة، وعرض نطاق الذاكرة، وعرض نطاق الإدخال/الإخراج، واستهلاك الطاقة. بناءً على نتائج اختبارات الأداء، يمكننا إجراء تحليل إضافي لتكلفة الملكية (مع حساب الأداء لكل دولار) على منصات Intel المستخدمة في NGFW.
يتضمن الإصدار الأحدث (25.05) من تنفيذ NGFW المرجعي الميزات الرئيسية التالية:
- جدار الحماية الأساسي
- نظام منع التطفل (IPS)
- دعم معالجات Intel المتطورة بما في ذلك معالجات Intel® Xeon® 6، وIntel Xeon 6 SoC، وما إلى ذلك.
ومن المقرر أن تتضمن الإصدارات المستقبلية الميزات الإضافية التالية:
- فحص VPN: فك تشفير IPsec لحركة المرور لفحص المحتوى
- فحص TLS: وكيل TLS لإنهاء الاتصالات بين العميل والخادم ثم إجراء فحص المحتوى على حركة مرور النص العادي.
3.1 هندسة النظام
يوضح الشكل 1 البنية العامة للنظام. نعتمد على برمجيات مفتوحة المصدر كأساس لبناء النظام.
- يوفر VPP حلاً عالي الأداء لمستوى البيانات مع وظائف جدار حماية أساسية مع الحفاظ على الحالة، بما في ذلك قوائم التحكم في الوصول مع الحفاظ على الحالة. ننشئ خيوط VPP متعددة مع تقارب أساسي مُهيأ. كل خيط عامل في VPP مُثبّت على نواة وحدة معالجة مركزية مخصصة أو خيط تنفيذ.
- تم اختيار Snort 3 كـ IPS، وهو يدعم تعدد الخيوط. خيوط Snort العاملة مُثبّتة على أنوية وحدة المعالجة المركزية المُخصصة أو خيوط التنفيذ.
- تم دمج Snort وVPP باستخدام ملحق Snort لـ VPP. يستخدم هذا مجموعة من أزواج قوائم الانتظار لإرسال الحزم بين VPP وSnort. تُخزَّن أزواج قوائم الانتظار والحزم نفسها في ذاكرة مشتركة. طوّرنا مُكوِّنًا جديدًا لاكتساب البيانات (DAQ) لـ Snort، والذي نُسمِّيه VPP Zero Copy (ZC) DAQ. يُطبِّق هذا المُكوِّن وظائف واجهة برمجة تطبيقات Snort DAQ لاستقبال وإرسال الحزم عن طريق القراءة والكتابة إلى قوائم الانتظار ذات الصلة. ولأن الحمولة موجودة في ذاكرة مشتركة، فإننا نعتبر هذا تطبيقًا للنسخ الصفري.
نظرًا لأن Snort 3 عبارة عن عبء عمل كثيف الحوسبة يتطلب موارد حوسبة أكثر من معالجة مستوى البيانات، فنحن نحاول تكوين تخصيص أساسي للمعالج الأمثل والتوازن بين عدد خيوط VPP وخيوط Snort3 للحصول على أعلى أداء على مستوى النظام على منصة الأجهزة قيد التشغيل.
يوضح الشكل 2 (في الصفحة 6) عقدة الرسم البياني داخل VPP، بما في ذلك تلك التي تعد جزءًا من ACL وSnort pluginsلقد قمنا بتطوير عقدتين جديدتين لرسم بياني VPP:
- snort-enq: يتخذ قرارًا لموازنة التحميل حول أي مؤشر ترابط Snort يجب أن يعالج الحزمة ثم يقوم بإدخال الحزمة في قائمة الانتظار المقابلة.
- snort-deq: تم تنفيذه كعقدة إدخال تقوم بالاستطلاع من قوائم انتظار متعددة، واحدة لكل خيط عامل Snort.
3.2 تحسينات Intel
يأخذ تنفيذنا المرجعي لـ NGFW بعين الاعتبارtagهـ من التحسينات التالية:
- يستفيد Snort من مكتبة Hyperscan عالية الأداء لمطابقة التعبيرات العادية المتعددة لتحسين الأداء بشكل ملحوظ مقارنةً بمحرك البحث الافتراضي في Snort. يوضح الشكل 3 تكامل Hyperscan مع Snort.
تسريع أداء مطابقة الخوارزميات الحرفية والتعبيرات العادية. يوفر Snort 3 تكاملاً أصليًا مع Hyperscan، حيث يمكن للمستخدمين تفعيل Hyperscan إما عبر التكوين file أو خيارات سطر الأوامر.
- VPP يأخذ advancedtagاستخدام تقنية Receive Side Scaling (RSS) في محولات شبكة Intel® Ethernet لتوزيع حركة المرور عبر خيوط عاملة VPP متعددة.
- تعليمات Intel QAT وIntel AVX-512: ستستفيد الإصدارات المستقبلية التي تدعم IPsec وTLStagمجموعة من تقنيات تسريع التشفير من إنتل. تُسرّع تقنية Intel QAT أداء التشفير، وخاصةً تشفير المفتاح العام المُستخدم على نطاق واسع لإنشاء اتصالات الشبكة. كما يُحسّن Intel AVX-512 أداء التشفير، بما في ذلك VPMADD52 (عمليات الضرب والتراكم)، وAES المتجهية (النسخة المتجهية من تعليمات Intel AES-NI)، وvPCLMUL (الضرب المتجهي بدون حمل، المُستخدم لتحسين AES-GCM)، وخوارزمية التجزئة الآمنة من إنتل® - تعليمات جديدة (Intel® SHA-NI).
نشر السحابة لتطبيق مرجعي لجدار الحماية الجيل التالي
4.1 تكوين النظام
الجدول 3. تكوينات الاختبار
| متري | قيمة |
| حالة الاستخدام | فحص النص الواضح (FW + IPS) |
| ترافيك بروfile | HTTP 64KB GET (1 GET لكل اتصال) |
| قوائم التحكم في الوصول إلى VPP | نعم (2 قوائم تحكم بالوصول بحالة) |
| قواعد الشخير | سرعة الضوء (~49 ألف قاعدة) |
| سياسة الشخير | الأمان (تم تمكين حوالي 21 ألف قاعدة) |
نركز على سيناريوهات فحص النص العادي بناءً على حالات الاستخدام ومؤشرات الأداء الرئيسية في RFC9411. يستطيع مُولِّد حركة المرور إنشاء معاملات HTTP بحجم 64 كيلوبايت مع طلب GET واحد لكل اتصال. تم تكوين قوائم التحكم في الوصول (ACLs) للسماح بعناوين IP في الشبكات الفرعية المحددة. اعتمدنا مجموعة قواعد Snort Lightspd وسياسة الأمان من Cisco للمقارنة المعيارية. كما خصصنا خادمًا مخصصًا لتلبية طلبات مُولِّدي حركة المرور.
كما هو موضح في الشكلين 4 و5، تتضمن طوبولوجيا النظام ثلاث عقد رئيسية للمثيلات: عميل، وخادم، ووكيل لنشر السحابة العامة. كما توجد عقدة أساسية لخدمة اتصالات المستخدم. يمتلك كلٌّ من العميل (الذي يعمل بنظام WRK) والخادم (الذي يعمل بنظام Nginx) واجهة شبكة واحدة مخصصة لمستوى البيانات، بينما يمتلك الوكيل (الذي يعمل بنظام NGFW) واجهتي شبكة لمستوى البيانات للاختبار. تتصل واجهات شبكة مستوى البيانات بشبكتين فرعيتين مخصصتين A (عميل-وكيل) وB (خادم-وكيل) للحفاظ على عزل حركة مرور إدارة المثيلات. تُعرّف نطاقات عناوين IP المخصصة بقواعد التوجيه وقوائم التحكم في الوصول (ACL) المقابلة والمبرمجة على البنية التحتية للسماح بتدفق حركة المرور.
4.2 نشر النظام
MCNAT هي أداة برمجية طورتها شركة Intel توفر الأتمتة لنشر أحمال الشبكات بسلاسة على السحابة العامة وتقدم اقتراحات بشأن اختيار أفضل مثيل سحابي بناءً على الأداء والتكلفة.
يتم تكوين MCNAT من خلال سلسلة من البرامجfiles، كل منها يُحدد المتغيرات والإعدادات المطلوبة لكل حالة. لكل نوع حالة خصائصه الخاصة.file والتي يمكن بعد ذلك تمريرها إلى أداة MCNAT CLI لنشر نوع المثيل المحدد هذا على مزود خدمة سحابية (CSP) معين. على سبيل المثالampيظهر استخدام سطر الأوامر أدناه وفي الجدول 4.
الجدول 4. استخدام سطر أوامر MCNAT
| خيار | وصف |
| -نشر | يُعلم الأداة بإنشاء نشر جديد |
| -u | يحدد بيانات اعتماد المستخدم التي سيتم استخدامها |
| -c | CSP لإنشاء النشر على (AWS، GCP، وما إلى ذلك) |
| -s | سيناريو للنشر |
| -p | محترفfile للإستخدام |
يمكن لأداة سطر أوامر MCNAT إنشاء ونشر المثيلات في خطوة واحدة. بعد نشر المثيل، تُنشئ خطوات ما بعد التهيئة تكوين SSH اللازم للسماح بالوصول إليه.
4.3 معايرة النظام
بمجرد قيام MCNAT بنشر المثيلات، يمكن تشغيل كافة اختبارات الأداء باستخدام مجموعة أدوات تطبيق MCNAT.
أولاً، نحتاج إلى تكوين حالات الاختبار في tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json على النحو التالي:
ثم يمكننا استخدام exampاستخدم الأمر أدناه لبدء الاختبار. مسار النشر (DEPLOYMENT_PATH) هو المكان الذي تُخزَّن فيه حالة نشر البيئة المستهدفة، على سبيل المثال: tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate.d/tfws_default.
يُشغّل البرنامج NGFW بمجموعة قواعد مُحددة على حركة مرور http المُولّدة من WRK على العميل، مع تثبيت نطاق من أنوية وحدة المعالجة المركزية، لجمع مجموعة كاملة من أرقام الأداء للنسخة المُختَبَرة. عند اكتمال الاختبارات، تُنسّق جميع البيانات كملف csv وتُعاد إلى المستخدم.
تقييم الأداء والتكلفة
في هذا القسم، نقوم بمقارنة عمليات نشر NGFW على مثيلات سحابية مختلفة تعتمد على معالجات Intel Xeon في AWS وGCP.
يُقدم هذا إرشادات حول اختيار نوع المثيل السحابي الأنسب لجدار الحماية من الجيل التالي (NGFW) بناءً على الأداء والتكلفة. نختار المثيلات المزودة بأربع وحدات معالجة مركزية افتراضية (vCPU) كما يوصي بها معظم موردي جدار الحماية من الجيل التالي (NGFW). تتضمن النتائج على AWS وGCP ما يلي:
- أداء NGFW على أنواع المثيلات الصغيرة التي تستضيف 4 وحدات معالجة مركزية افتراضية مزودة بتقنية Intel® Hyper-Threading Technology (تقنية Intel® HT Technology) وتقنية Hyperscan الممكّنة.
- تحسن الأداء من جيل إلى جيل من معالجات Intel Xeon Scalable من الجيل الأول إلى معالجات Intel Xeon Scalable من الجيل الخامس.
- أداء من جيل إلى جيل لكل دولار مكسب من معالجات Inte® Xeon Scalable من الجيل الأول إلى معالجات Intel Xeon Scalable من الجيل الخامس.
5.1 نشر AWS
5.1.1 قائمة أنواع المثيلات
الجدول 5. مثيلات AWS وأسعار ساعات الطلب حسب الطلب
| نوع المثيل | نموذج وحدة المعالجة المركزية | وحدة المعالجة المركزية الافتراضية | الذاكرة (جيجابايت) | أداء الشبكة (جيجابت في الثانية) | عند الطلبurlمعدل y ($) |
| c5-xlarge | معالجات Intel® Xeon® القابلة للتطوير من الجيل الثاني | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | معالجات Intel® Xeon® القابلة للتطوير من الجيل الأول | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | معالجات Intel® Xeon® القابلة للتطوير من الجيل الثالث | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | معالجات Intel Xeon القابلة للتطوير من الجيل الثالث | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | معالجات Intel® Xeon® القابلة للتطوير من الجيل الرابع | 4 | 8 | 12.5 | 0.1785 |
يوضح الجدول 5 إجماليview من مثيلات AWS التي نستخدمها. يُرجى مراجعة "تكوين المنصة" لمزيد من تفاصيل المنصة. كما يُدرج الموقع الوظائف المتاحة عند الطلب.urlمعدل y (https://aws.amazon.com/ec2/pricing/on-demand/) لجميع الحالات. كان ما سبق هو معدل الطلب وقت نشر هذه الورقة، ويركز على الساحل الغربي للولايات المتحدة.
المنزل حسب الطلبurlقد يختلف السعر حسب المنطقة والتوافر والحسابات المؤسسية وعوامل أخرى.
5.1.2 النتائج
يقارن الشكل 6 الأداء ومعدل الأداء لكل ساعة لجميع أنواع الحالات المذكورة حتى الآن:
- تم تحسين الأداء مع النسخ المبنية على معالجات Intel Xeon من الأجيال الأحدث. تمت الترقية من c5.xlarge (المبنية على معالج Intel Xeon Scalable من الجيل الثاني) إلى c2i.xlarge (المبنية على معالج Intel Xeon Scalable من الجيل الرابع).
يظهر تحسنًا في الأداء بمقدار 1.97x. - تحسّن الأداء لكل دولار مع الحواسيب المبنية على أجيال أحدث من معالجات Intel Xeon. تُظهر الترقية من c5n.xlarge (المبنية على معالج Intel Xeon Scalable من الجيل الأول) إلى c1i.xlarge (المبنية على معالج Intel Xeon Scalable من الجيل الرابع) تحسنًا في معدل الأداء في الساعة بمقدار 7x.
5.2 نشر GCP
5.2.1 قائمة أنواع المثيلات
الجدول 6. مثيلات GCP ومعدلات ساعات الطلب حسب الطلب
| نوع المثيل | نموذج وحدة المعالجة المركزية | وحدة المعالجة المركزية الافتراضية | الذاكرة (جيجابايت) | عرض النطاق الترددي الافتراضي للخروج (جيجابت في الثانية) | عند الطلبurlمعدل y ($) |
| ن1-انحراف معياري-4 | الجيل الأول من Intel® Xeon® المعالجات القابلة للتطوير |
4 | 15 | 10 | 0.189999 |
| ن2-انحراف معياري-4 | الجيل الثالث من Intel® Xeon® المعالجات القابلة للتطوير |
4 | 16 | 10 | 0.194236 |
| ج3-انحراف معياري-4 | الجيل الرابع من Intel® Xeon® المعالجات القابلة للتطوير |
4 | 16 | 23 | 0.201608 |
| ن4-انحراف معياري-4 | الجيل الرابع من Intel® Xeon® المعالجات القابلة للتطوير |
4 | 16 | 10 | 0.189544 |
| ج4-انحراف معياري-4 | الجيل الرابع من Intel® Xeon® المعالجات القابلة للتطوير |
4 | 15 | 23 | 0.23761913 |
يوضح الجدول 6 إجماليview من مثيلات GCP التي نستخدمها. يُرجى مراجعة "تكوين المنصة" لمزيد من تفاصيل المنصة. كما يُدرج أيضًا خيارات "حسب الطلب".urlمعدل y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) لجميع الحالات. كان ما سبق هو معدل الطلب وقت نشر هذه الورقة، ويركز على الساحل الغربي للولايات المتحدة.urlقد يختلف السعر حسب المنطقة والتوافر والحسابات المؤسسية وعوامل أخرى.
5.2.2 النتائج
يقارن الشكل 7 الأداء ومعدل الأداء لكل ساعة لجميع أنواع الحالات المذكورة حتى الآن:
- تحسّن الأداء مع النسخ المبنية على أجيال أحدث من معالجات Intel Xeon. تُظهر الترقية من n1-std-4 (المبنية على معالج Intel Xeon Scalable من الجيل الأول) إلى c1-std-4 (المبنية على معالج Intel Xeon Scalable من الجيل الخامس) تحسنًا في الأداء بمقدار 4 ضعفًا.
- تحسّن الأداء لكل دولار مع الحواسيب المبنية على أجيال أحدث من معالجات Intel Xeon. تُظهر الترقية من n1-std-4 (المبنية على معالج Intel Xeon Scalable من الجيل الأول) إلى c1-std-4 (المبنية على معالج Intel Xeon Scalable من الجيل الخامس) تحسنًا في معدل الأداء في الساعة بمقدار 4 ضعف.
ملخص
With the increasing adoption of multi- and hybrid-cloud deployment models, delivering NGFW solutions on public cloud provides consistent protection across environments, scalability to meet security requirements, and simplicity with minimal maintenance efforts. Network security vendors offer NGFW solutions with a variety of cloud instance types on public cloud. It’s critical to minimize total cost of ownership (TCO) and maximize return on investment (ROI) with the right cloud instance. The key factors to consider include compute resources, network bandwidth, and price. We used NGFW reference implementation as the representative workload and leveraged MCNAT to automate the deployment and testing on different public cloud instance types. Based on our benchmarking, instances with the latest generation of Intel Xeon Scalable processors on AWS (powered by 4th Intel Xeon Scalable processors) and GCP (powered by 5th Intel Xeon Scalable processors) deliver both performance and TCO improvements. They improve the performance by up to 2.68x and the performance per hour rate by up to 2.15x over prior generations. This evaluation generates solid references on selecting Intel based public cloud instances for NGFW.
الملحق أ تكوين المنصة
تكوينات النظام الأساسي
c5-xlarge – "اختبار من إنتل بتاريخ ١٧/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® Platinum 03CL واحد بتردد ٣.٠٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ٨ جيجابايت (ذاكرة DDR17 واحدة بسعة ٨ جيجابايت بسرعة ٢٩٣٣ ميجابايت/ثانية [غير معروف])، BIOS 25، رمز ميكروي ٠x٥٠٠٣٨٠١، محول شبكة مرن (ENA)، متجر Amazon Elastic Block واحد بسعة ٣٢ جيجابايت، Ubuntu 1 LTS، 1-8275-aws، gcc 3.00، NGFW 2، Hyperscan 8"
c5n-xlarge – "اختبار من إنتل بتاريخ ١٧/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® Platinum 03M واحد بتردد ٣.٠٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ١٠.٥ جيجابايت (ذاكرة DDR17 واحدة بسرعة ٢٩٣٣ ميجابايت/ثانية [غير معروف])، BIOS الإصدار ١.٠، الرمز الصغير ٠x٢٠٠٧٠٠٦، محول شبكة مرن (ENA)، متجر Amazon Elastic Block واحد بسعة ٣٢ جيجابايت، Ubuntu ٢٢.٠٤.٥ LTS، ٦.٨.٠-١٠٢٤-aws، gcc الإصدار ١١.٤، NGFW الإصدار ٢٤.١٢، Hyperscan الإصدار ٥.٦.١"
c6i-xlarge – "اختبار من إنتل بتاريخ ١٧/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® Platinum 03C واحد بتردد ٢.٩٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ٨ جيجابايت (ذاكرة DDR17 واحدة بسعة ٨ جيجابايت بسرعة ٣٢٠٠ ميجابايت/ثانية [غير معروف])، BIOS 25، رمز ميكروي ٠xd1f1، محول شبكة مرن (ENA)، متجر Amazon Elastic Block واحد بسعة ٣٢ جيجابايت، Ubuntu 8375 LTS، 2.90-2-aws، gcc 8، NGFW 1، Hyperscan 8"
c6in-xlarge – "اختبار من إنتل بتاريخ ١٧/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® Platinum 03C واحد بتردد ٢.٩٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ٨ جيجابايت (ذاكرة DDR17 واحدة بسعة ٨ جيجابايت بسرعة ٣٢٠٠ ميجابايت/ثانية [غير معروف])، BIOS 25، رمز 1xd1f8375، محول شبكة مرن (ENA)، متجر Amazon Elastic Block واحد بسعة ٣٢ جيجابايت، Ubuntu 2.90 LTS، 2-8-aws، gcc 1، NGFW 8، Hyperscan 4"
c7i-xlarge – "اختبار من إنتل بتاريخ ١٧/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® Platinum 03C واحد بتردد ٢.٤٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ٨ جيجابايت (ذاكرة DDR17 واحدة بسعة ٨ جيجابايت بسرعة ٤٨٠٠ ميجابت في الثانية [غير معروف])، BIOS 25، الرمز الصغير ٠x1b1، محول شبكة مرن (ENA)، متجر Amazon Elastic Block واحد بسعة ٣٢ جيجابايت، Ubuntu 8488 LTS، 2.40-2-aws، gcc 8، NGFW 1، Hyperscan 8"
n1-std-4 – "اختبار من إنتل بتاريخ ١٧/٠٣/٢٥. عقدة واحدة، معالج Intel® Xeon® واحد بسرعة ٢.٠٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ١٥ جيجابايت (ذاكرة وصول عشوائي (RAM) سعة ١٥ جيجابايت) واحدة)، BIOS Google، رمز ميكروي ٠xffffffff، جهاز واحد، قرص ثابت سعة ٣٢ جيجابايت، Ubuntu ٢٢.٠٤.٥ LTS، ٦.٨.٠-١٠٢٥gcp، gcc ١١.٤، NGFW ٢٤.١٢، Hyperscan ٥.٦.١"
n2-std-4 - اختبار من إنتل بتاريخ ١٧/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® واحد بسرعة ٢.٦٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ١٦ جيجابايت (ذاكرة وصول عشوائي (RAM) سعة ١٦ جيجابايت [])، BIOS Google، رمز ميكروي ٠xffffffff، جهاز واحد، قرص ثابت سعة ٣٢ جيجابايت، Ubuntu ٢٢.٠٤.٥ LTS، ٦.٨.٠-١٠٢٥gcp، gcc ١١.٤، NGFW ٢٤.١٢، Hyperscan ٥.٦.١ بوصة
c3-std-4 - اختبار من إنتل بتاريخ ١٤/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® Platinum 03C واحد بتردد ٢.٧٠ جيجاهرتز و٢.٦٠ جيجاهرتز، نواتان، وضع التشغيل عالي السرعة، وضع التشغيل السريع، ذاكرة إجمالية ١٦ جيجابايت (ذاكرة وصول عشوائي (RAM) سعة ١٦ جيجابايت [])، BIOS Google، رمز 14xffffffff، إيثرنت افتراضي لمحرك الحوسبة [gVNIC] واحد، بطاقة nvme_card-pd واحدة سعة ٣٢ جيجابايت، Ubuntu 25 LTS، 1-1-gcp، gcc 8481، NGFW 2.70، Hyperscan 2.60”
n4-std-4 - اختبار من إنتل بتاريخ ١٨/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® PLATINUM 03C واحد بتردد ٢.١٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ١٦ جيجابايت (ذاكرة وصول عشوائي (RAM) سعة ١٦ جيجابايت [])، BIOS Google، رمز ميكروي ٠xffffffff، إيثرنت افتراضي لمحرك الحوسبة [gVNIC] واحد، بطاقة nvme_card-pd واحدة سعة ٣٢ جيجابايت، Ubuntu 18 LTS، 25-1-gcp، gcc 1، NGFW 8581، Hyperscan 2.10”
c4-std-4 - اختبار من إنتل بتاريخ ١٨/٠٣/٢٠٢٥. عقدة واحدة، معالج Intel® Xeon® PLATINUM 03C واحد بتردد ٢.٣٠ جيجاهرتز، نواتان، تشغيل HT، تشغيل Turbo، ذاكرة إجمالية ١٥ جيجابايت (ذاكرة وصول عشوائي (RAM) سعة ١٥ جيجابايت) واحدة، BIOS Google، رمز 18xffffffff، إيثرنت افتراضي لمحرك الحوسبة [gVNIC] واحد، بطاقة nvme_card-pd واحدة سعة ٣٢ جيجابايت، Ubuntu 25 LTS، 1-1-gcp، gcc 8581، NGFW 2.30، Hyperscan 2”
الملحق ب - تكوين برنامج Intel NGFW المرجعي
| تكوين البرنامج | إصدار البرنامج |
| نظام التشغيل المضيف | أوبونتو 22.04 LTS |
| النواة | 6.8.0-1025 |
| المُجمِّع | GCC 11.4.0 |
| WRK | 74eb9437 |
| دبليو ار كيه 2 | 44a94c17 |
| برنامج الشراكة بين القطاعين العام والخاص | 24.02 |
| شخير | 3.1.36.0 |
| دق | 3.0.9 |
| لواجيت | 2.1.0-بيتا3 |
| ليبكاب | 1.10.1 |
| بحوث الـ PCRE | 8.45 |
| زليب | 1.2.11 |
| هايبر سكان | 5.6.1 |
| إل زد إم إيه | 5.2.5 |
| انجينكس | 1.22.1 |
| دي بي دي كيه | 23.11 |
يختلف الأداء حسب الاستخدام والتكوين وعوامل أخرى. تعلم اكثر من خلال www.Intel.com/PerformanceIndex.
تعتمد نتائج الأداء على الاختبار اعتبارًا من التواريخ الموضحة في التكوينات وقد لا تعكس جميع التحديثات المتاحة للعامة. راجع النسخ الاحتياطي للحصول على تفاصيل التكوين. لا يمكن لأي منتج أو مكون أن يكون آمنًا تمامًا.
تتنصل Intel من جميع الضمانات الصريحة والضمنية ، بما في ذلك على سبيل المثال لا الحصر ، الضمانات الضمنية الخاصة بالتسويق ، والملاءمة لغرض معين ، وعدم الانتهاك ، بالإضافة إلى أي ضمان ينشأ عن مسار الأداء ، أو مسار التعامل ، أو الاستخدام في التجارة.
قد تتطلب تقنيات Intel تفعيل الأجهزة أو البرامج أو تفعيل الخدمة.
لا تتحكم شركة Intel في بيانات الطرف الثالث ولا تقوم بمراجعتها. يجب عليك استشارة مصادر أخرى لتقييم الدقة.
قد تحتوي المنتجات الموصوفة على عيوب في التصميم أو أخطاء معروفة باسم الأخطاء المطبعية والتي قد تتسبب في انحراف المنتج عن المواصفات المنشورة. تتوفر الأخطاء المطبعية الحالية عند الطلب.
© شركة إنتل. تعد Intel وشعار Intel وعلامات Intel الأخرى علامات تجارية لشركة Intel Corporation أو الشركات التابعة لها. قد تكون الأسماء والعلامات التجارية الأخرى مملوكة لآخرين.
0425/XW/MK/PDF 365150-001US
المستندات / الموارد
 |
إنتل تُحسّن جدران الحماية من الجيل التالي [بي دي اف] دليل المستخدم تحسين جدران الحماية من الجيل التالي، تحسين، جدران الحماية من الجيل التالي، جدران الحماية من الجيل التالي، جدران الحماية |