1. Сводный отчет лаборатории
тестирования Miercom
Основные результаты и выводы:
Июль 2012 г. Производительность устройств ASA 5515-X и 5525-X по корпоративному
Отчет SR120514 трафику (EMIX) не менее чем на 99% выше, чем у аналогов
Категория продукта:
Производительность по протоколу UDP при использовании усредненного
Корпоративный Интернет-трафика (IMIX) (протоколы IPv4 и IPv6) у устройств серии
межсетевой экран ASA 5500-X была на 57% выше, чем у аналогов
Тестирован
производителем: Производительность по трафику HTTP на устройствах Cisco
была на 60% выше, чем у аналогов
Cisco
Тестированные Устройства серии ASA 5500-X могут обрабатывать на 10% соединений
продукты: в секунду больше при использовании протокола IPv4 и на 24% больше
при использовании протокола IPv6 по сравнению с аналогами
ASA 5515-X
ASA 5525-X
ASA 5555-X
Компания Cisco привлекла компанию Miercom к оценке производительности
недавно запущенных в производство многофункциональных устройств обеспечения
безопасности серии ASA 5500-X в сравнении с их аналогами, выбранными
с учетом целевых рынков и рекомендуемых розничных цен. Были опробованы три
сопоставимых сценария сравнения изделий Check Point и Fortinet с их аналогами
серии ASA 5500-X. Модель ASA 5515‑X сравнивалась с Check Point 4210,
ASA 5525‑X — с FortiGate 310B, а ASA 5555‑X — с устройствами Check Point 4807.
Выбор этих продуктов объясняется их сходством по целевому назначению,
что обеспечивает корректность сравнения.
Для определения реальной производительности устройств по протоколам
TCP и UDP, а также для оценки их возможностей с использованием IP‑протокола
следующего поколения (IPv6) и системы предотвращения вторжений (IPS) был изучен
ряд вариантов использования.
Регистрировался ряд параметров, включая использование ЦП и выделенной
памяти, число соединений в секунду, одновременные соединения, реальная
производительность по протоколам HTTP и TCP EMIX, для определения реальных
возможностей каждого устройства.
2. Рис. 1. Тестирование в условиях реального смешанного трафика с включенными межсетевым экраном и системой IPS
1,400
1,200
1,000
Производительность
Cisco
(EMIX), Мбит/с
800
Check Point
1,230
1,152
600 Fortinet
400
624
200
331
210
91
0
ASA 5515-X ASA 5515-X ASA 5515-X
в сравнении с CP 4210 в сравнении с CP 4210 в сравнении с CP 4210
Устройства
Источник: Miercom, июль 2012 г.
Система предотвращения вторжений (IPS) требует дополнительных ресурсов. В технической документации часто
не указывается производительность устройств при ее включении. Работа всех устройств с включением системы
IPS имитирует условия реальной эксплуатации.
Устройства серии Cisco ASA 5500-X оснащены производительности устройств в двух направлениях.
специальными многоядерными многопотоковыми Все межсетевые экраны использовали простую
процессорами для межсетевого экрана, VPN политику, предусматривающую разрешение всех
и сервисов безопасности IPS. Они также отличаются действий. Кроме того, была включена система
ОЗУ большого объема (от 4 Гбайт в моделях 5512-X предотвращения вторжений (IPS) для моделирования
и до 16 Гбайт в моделях 5555-X) и сочетают в себе реальной работы. Работа этой системы существенно
функции межсетевого экрана, идентификации, системы зависит от настройки профиля сигнатур. Поэтому мы
IPS и VPN. У них предусмотрены режимы межсетевого выбрали сопоставимый профиль сигнатур для устройств
экрана уровней 2 и 3, расширенные средства разных производителей, имитирующий реальные
глубокого анализа пакетов, а также несколько других условия работы. Конечная цель состояла в измерении
функций межсетевого экранирования с возможностью производительности устройств при работе межсетевого
обновления и увеличения числа сервисов в будущем экрана вместе с системой IPS с погрешностью 5%,
учитывающей неудачно выполненные операции.
Производительность в условиях реального
многопротокольного смешанного трафика Производительность устройства ASA 5515
по смешанному трафику составила 1,4 Гбит/с,
Для оценки работы каждого устройства использовался что на 113% выше, чем у Check Point 4210.
трафик с пакетами различного размера и по разным
протоколам с преобладанием приложений на основе Аналогичным образом, производительность
протокола TCP. См. рис 2. Также был рассмотрен у ASA 5525-X была на 99% выше, чем у FortiGate 310B,
профиль усредненного Интернет‑трафика а у ASA 5555-X — на 6% выше, чем у Check Point 4807.
(IMIX) (см. следующий раздел), но мы считаем, Результаты показаны на рис. 1.
что он не соответствует типовому корпоративному
трафику, поскольку в качестве базового протокола Производительность по трафику IMIX
в нем используется только UDP.
Для определения максимальной скорости
250 виртуальных узлов с тремя виртуальными передачи данных без потери пакетов
серверами были размещены с каждой для определенного диапазона фиксированных
стороны межсетевого экрана для измерения размеров пакетов, характерного для Интернет-
2 Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514
3. трафика (IMIХ) использовался эталонный тест Рис. 2. Структура трафика EMIX
производительности RFC 2544. Некоторые
производители межсетевых экранов публикуют
только данные о производительности для пакетов
UDP фиксированного размера, что, по нашему
IMAPv4
мнению, не соответствует реальным условиям.
Производительность по протоколу UDP лучше 16.48%
SMTP
отображается трафиком IMIX с пакетами разных
8.79%
размеров. См. рис. 7. Bit Torrent
FTP 21.98%
Данные в двух направлениях передавались
250 виртуальными узлами, разделенными межсетевым 8.79%
экраном. Также была измерена производительность
для профиля трафика IMIX по 4 точкам с произвольным
распределением пакетов по размерам (у исходного
профиля такое распределение фиксированное). HTTP
См. рис. 3 и рис. 8. 43.96%
Проверка проводилась в течение 60 секунд
с регистрацией результатов при отсутствии разрыва
соединений. При потере данных она запускалась
с начала с более низкими входными характеристиками
и двоичным алгоритмом поиска для определения Источник: Miercom, июль 2012 г.
максимальной производительности каждого
межсетевого экрана, при которой отсутствует
разрыв соединения. Все показанные результаты
характеризуются полным отсутствием потери пакетов Исходный состав трафика EMIX на всех исследованных
и высочайшим уровнем облуживания для каждого устройствах соответствует реальным условиям работы
проверяемого устройства. определенной сети.
Рис. 3. Производительность устройств серии ASA 5500-X по трафику IMIX (протокол IPv4 UDP)
2,500
2,000
Производительность (Мбит/с)
Исходный трафик IMIX, Cisco
Трафик IMIX, 4 точки, Cisco
1,500
Исходный трафик IMIX, Check Point
Трафик IMIX, 4 точки, Check Point
1,000
1,933
1,933
Исходный трафик IMIX, Fortinet
1,810
1,810
1,677
1,649
1,539
1,382
1,366
Трафик IMIX, 4 точки, Fortinet
1,317
1,161
1,104
500
0
ASA5515-X CP4210 ASA5525-X FG310B ASA5555-X CP4807
Межсетевой экран
Источник: Miercom, июль 2012 г.
Устройства серии АSА работают заметно лучше аналогов (кроме FortiGate 310B), обрабатывая большее число
кадров в секунду, что отражает их возможности маршрутизации, а также скорость обработки пакетов.
Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514 3
4. Рис. 4. Производительность устройств серии ASA 5500-X по трафику IMIX (протокол IPv6 UDP)
2,000
1,800
1,600
Производительность (Мбит/с)
Исходный трафик IMIX, Cisco
1,400
Трафик IMIX, 4 точки, Cisco
1,200
Исходный трафик IMIX, Check Point
1,849
1,822
1,000
1,692
1,692
Трафик IMIX, 4 точки, Check Point
1,580
800
1,381
Исходный трафик IMIX, Fortinet
1,266
1,181
600
999
Трафик IMIX, 4 точки, Fortinet
959
948
400
410
200
0
ASA5515-X CP4210 ASA5525-X FG310B ASA5555-X CP4807
Межсетевой экран
Источник: Miercom, июль 2012 г.
Устройства серии АSА работают заметно лучше аналогов, обрабатывая большее число кадров в секунду, что
отражает их возможности маршрутизации, а также скорость обработки пакетов.
Кроме того, при проверке трафика по протоколу распределениях полезной нагрузки. Кроме того,
IPv6 UDP использовалась схема маршрутизации система IPS была включена для всех устройств,
IPv6 — IPv6 (6 — 6). Cм. рис. 4. чтобы снова имитировать реальные условия работы.
Фиксировалась максимальная производительность
Производительность устройств Cisco ASA 5500‑X была каждого устройства без потери пакетов.
одинаковой для протоколов IPv4 и IPv6. Но у устройств
Check Point и Fortinet она была заметно ниже для У ASA 5515-X она оказалась на 87% выше, чем у
протокола IPv6, чем для протокола IPv4. В частности, FortiGate 310B, у ASA5525-X — на 56% выше, чем у
такое снижение у устройства Check Point 4200 Check Point 4210, а у ASA 5555-X — на 37% выше,
составило 41%, а у устройства Fortinet — 48%. чем у Check Point 4807. См. рис. 5.
Результаты проверки числа соединений в секунду (CPS)
по протоколам IPv4 и IPv6 представлены на рис. 3 и 4 При максимальной загрузке процессора во время
соответственно. проверки производительности графический интерфейс
пользователя устройства Fortinet переставал
Максимальная пропускная способность реагировать на команды, а управление устройствами
по протоколу HTTP Check Point и Cisco не нарушалось.
Для определения эффективности обработки Кроме того, во время проверки с увеличенной
межсетевым экраном трафика HTTP был создан полезной нагрузкой по протоколу HTTP наблюдалось
сценарий с использованием web-трафика с пакетами прекращение проверки трафика системой IPS
разного размера. Контрольное оборудование на устройствах Fortinet, когда полезная нагрузка
было настроено для получения постоянной превосходила 200 килобайт. В случае с устройствами
полезной нагрузки 1, 4, 11 и 16 килобайт по Cisco и Check Point этого не происходило.
протоколу HTTP 1.1. Генерировался один запрос Мы считаем, что это попытка оптимизации
GET HTTP, и задержки генерирования отклика производительности за счет снижения уровня
HTTP не происходило. Рассматривая широкое безопасности. К тому же соответствующая настройка
распределение полезной нагрузки, можно точно была доступна только через интерфейс командной
определить производительность всех устройств строки, а не через графический интерфейс
при обработке пакетов всех размеров и при всех пользователя.
4 Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514
5. Рис. 5. Cisco ASA серии 5500-X
Максимальная производительность по протоколу HTTP — множество запросов GET
2,500
2,500
2,000
Производительность (Мбит/с)
2,000
1,500
1,000
500
ASA5515-X FG 310B
0
1 кбайт 4 кбайт 11 кбайт 16 кбайт CP 4210 ASA 555-X
Полезная нагрузка GET, кбайт ASA 5525-X CP 4807
Источник: Miercom, июль 2012 г.
Система предотвращения вторжений (IPS) требует дополнительных ресурсов. В технической документации часто
не указывается производительность устройств при ее включении и предполагается отсутствие полезной нагрузки.
Работа всех устройств с включением системы IPS и разной полезной нагрузкой имитирует условия реальной
эксплуатации.
Рис. 6. Устройства Cisco ASA серии 5500-X, число соединений в секунду
IPv4 IPv6
60
50
Количество соединений в секунду
Соединений в секунду (тысяч)
(CPS) по протоколу IPv4,
устройство Cisco
Количество соединений в секунду
40 по протоколу IPv6, устройство Cisco
Количество соединений в секунду
по протоколу IPv4, устройство
Check Point
30 Количество соединений в секунду
51.00
по протоколу IPv6, устройство
46.65
Check Point
45.02
Количество соединений в секунду
40.00
по протоколу IPv4, устройство
20 Fortinet
Количество соединений в секунду
26.00
26.00
по протоколу IPv6, устройство
21.70
22.63
20.00
Fortinet
17.00
16.00
15.00
10
0
ASA 5515-X ASA 5525-X ASA 5555-X ASA 5515-X ASA 5525-X ASA 5555-X
в сравнении в сравнении в сравнении в сравнении в сравнении в сравнении
с CP4210 IPv4 с FG310B IPv4 с CP4807 IPv4 с CP4210 IPv6 с FG310B IPv6 с CP4807 IPv6
Источник: Miercom, июль 2012 г. Межсетевой экран
Проверка числа соединений в секунду на полной скорости работы канала на всех доступных интерфейсах при
исключении потери пакетов показывает, что устройства ASA 5500-X нового поколения поддерживают более
высокий уровнень обслуживания для протокола IPv6, чем их аналоги.
Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514 5
6. Рис. 7. Исходный профиль трафика IMIX Рис. 8. Профиль трафика IMIX с осреднением по 4 точкам
Структура трафика IMIX по объему Структура трафика IMIX по объему
1518
байтов,
15.67% 58-1518
байтов,
29.50% 56-70 байтов,
594 байта, 58 байтов, 44.20%
23.66% 58.67%
1438-1518
байтов
13.00%
570-646
62 байта, байтов
2.00% 13.30%
Источник: Miercom, июль 2012 г. Источник: Miercom, июль 2012 г.
Состав трафика IMIX на всех проверенных устройствах Долгосрочное усредненное распределение трафика
задавался анализатором/генератором трафика Spirent IMIX при этом примерно соответствует его исходному
TestCenter по смешанному профилю интернета с профилю, но случайное распределение обеспечивает
протоколом UDP. более реалистичный сценарий применения.
В отличие от устройств Cisco и Fortinet, в активном состоянии в течение всего теста
при использовании устройств Check Point путем включения параметра проверки активности
наблюдалось ограничение, состоявшее в том, (Keep‑Alive) HTTP.
что в устройстве можно было использовать
только один профиль защиты. Его нельзя Максимальное достижимое количество соединений
было конфигурировать для каждой политики в секунду измерялось путем итерационного увеличения
межсетевого экрана. Кроме того, «рекомендуемый частоты соединений до достижения состояния
профиль» для системы IPS в устройстве Check отсутствия разрыва соединений. Тест проводился
Point не включает сигнатуры, маркированные с HTTP-трафиком по протоколам IPv4 и IPv6.
«средним — низким» (medium-low) уровнем См. рис. 6.
уверенности или сигнатуры класса «низкий риск»
(low‑risk). Оказалось, что только ASA 5500-X обеспечило
соответствие данным, опубликованным
Также в устройствах Cisco была реализована защита в информационном бюллетене. Возможная
с помощью системы IPS на основе информации причина этого в том, что некоторые производители
о репутации. Аналогичная функция отсутствует используют для такой проверки полезную нагрузку
в устройствах Fortinet и Check Point. TCP 1 байт, при которой число соединений
в секунду получается выше, хотя такая нагрузка
Число соединений в секунду нереальна в условиях практической
эксплуатации.
Цель этого теста состояла в определении
максимального количества соединений в секунду При использовании протокола IPv6 число соединений
(CPS), которое межсетевой экран может обрабатывать в секунду у устройств Cisco, снижалось на 10%,
по протоколу TCP. у устройств Fortinet — на 34%. а у устройств
Check Point — на 20%. Также на устройствах
Каждое соединение моделировалось с использованием Check Point наблюдалось частое прерывание передачи
одного запроса GET HTTP 1.0 с полезной нагрузкой пакета при максимальном числе соединений
64 байта в отклике HTTP без полезной нагрузки в секунду. На устройствах Cisco и Fortinet
на стороне сервера. Соединение поддерживалось это не происходило.
6 Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514
7. Выводы Рис. 9. Схема организации тестирования
BreakingPointStorm BreakingPointStorm
На основе лабораторных тестов многофункциональных
устройств обеспечения безопасности Cisco ASA 5515‑X,
Проверяемое
5525-X и 5555-X компания Miercom подтверждает, что устройство
Регистрирующий сервер
их производительность выше, чем у их аналогов Check
Point 4210, FortiGate 310B и Check Point 4807.
Станция управления
Производительность устройств 5515-X, 5525-X
и 5555-X при одновременном включении межсетевого
экрана и системы IPS с реальным трафиком была
Spirent Spirent
на 113%, 99% и 6% выше (соответственно), чем у их
аналогов. При трафике UDP (протоколы IPv4 и IPv6),
Источник: Miercom, июль 2012 г.
производительность межсетевого экрана на устройствах
ASA 5500‑X была на 57% выше, чем у аналогов. Число
соединений в секунду у устройства ASA 5500-X также Устройство Check Point 4210 было оснащено четырьмя
было выше 10% по протоколу IPv4 и на 24% по протоколу интерфейсами 1GE, Fortinet FortiGate 310B — десятью
IPv6 по сравнению с аналогами. интерфейсами 1GE, а Check Point 4807 — восемью
интерфейсами 1GE. На обоих межсетевых экранах
Устройства Cisco ASA 5515-X, 5525-X и 5555‑X Check Point было установлено ПО версии R75.40,
обеспечивают высокий уровень безопасности, а на устройстве FortiNet использовался выпуск
масштабирования и производительности, 4.0MR3 с исправлением 6. Хотя во всех устройствах
необходимый для корпоративных сетей, центров были предусмотрены дополнительные порты,
обработки данных и приложений Web 2.0. Рабочие и они обеспечивали расширение набора функций,
защитные функции устройств Cisco ASA 5515‑X, 5525‑X а не увеличение производительности. Максимальная
и 5555‑X подтверждены Сертификатом проверки нагрузка была достигнута только с использованием двух
рабочих характеристик, выданным компанией Miercom. интерфейсов 1GE на одном устройстве.
Как мы этого достигли На всех устройствах была выполнена аппаратная
настройка на параметры по умолчанию. К устройствам
Для полной демонстрации производительности наших не подключались дополнительные платы, процессоры
изделий при проведении испытаний использовались или другие дополнительные устройства. Все устройства
продукты BreakingPoint Storm и Spirent TestCenter. размещались в отдельных виртуальных сетях для
Трафик в 2 направлениях создавался с использованием предотвращения случайного взаимодействия друг
решений BreakingPoint версии 2.2.3, strikebuild с другом, и все тесты запускались по отдельности через
версии 78528 и анализатора/генератора трафика значительные промежутки времени, чтобы на результаты
SpirentTestCenter v3.90. Тесты по протоколу HTTP не влияли остаточные пакеты.
в реальных условиях эксплуатации были выполнены
с использованием HTTP 1.1 при передаче объектов Решения BreakingPoint Storm и Spirent TestCenter
разных размеров. Проверки числа соединений использовали двоичный алгоритм поиска
в секунду были проведены с помощью BreakingPoint для определения максимально возможной
Storm для генерирования 64-байтного HTTP‑трафика. производительности для каждого устройства
Большинство эталонных тестов выполнялись без полезной в процессе каждого теста. Каждый тест повторялся
нагрузки, но для получения реалистичных результатов с использованием конечного значения еще два раза для
мы дополнительно предусмотрели 64-байтную полезную получения надежных и воспроизводимых результатов.
нагрузку для операции Syn‑Fin HTTP. При проверках Во время тестирования велся тщательный текущий
производительности UDP использовался анализатор/ контроль памяти и загрузки ЦП, в основном для проверки
генератор трафика Spirent TestCenter для отправки работоспособности коммутаторов.
кадров фиксированного и произвольного размера,
от 64 до 1518 байтов. Тесты, указанные в настоящем отчете, могут быть
воспроизведены желающими на соответствующем
Устройство Cisco ASA 5515-X было оснащено шестью контрольно-измерительном оборудовании. Наши
интерфейсами 1GE, 5525-X — восемью интерфейсами 1GE, заказчики и потенциальные клиенты, заинтересованные
а 5555-X — восемью интерфейсами 1GE. При тестировании в повторении этих результатов, могут обратиться по
использовалось ПО Cisco Adaptive Security Appliance адресу reviews@miercom.com за подробной информацией
(ASA) Software v8.6.1.1 с системой предотвращения о конфигурации проверяемых устройств и контрольных
вторжений (IPS) версии 7.1.4 и обновлением сигнатур S615. систем. Компания Miercom рекомендует клиентам перед
Размер MTU по умолчанию для трафика TCP составлял выбором продуктов выполнить анализ их собственных
1380 байтов для учета служебного трафика. Размер MTU потребностей и провести тестирование конкретно
по умолчанию для трафика UDP составлял 9216 байтов. в условиях ожидаемой среды размещения продуктов.
Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514 7