Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X, ASA 5555-X

21,139 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X, ASA 5555-X

  1. 1. Сводный отчет лаборатории тестирования Miercom Основные результаты и выводы:Июль 2012 г. Производительность устройств ASA 5515-X и 5525-X по корпоративномуОтчет SR120514 трафику (EMIX) не менее чем на 99% выше, чем у аналоговКатегория продукта: Производительность по протоколу UDP при использовании усредненногоКорпоративный Интернет-трафика (IMIX) (протоколы IPv4 и IPv6) у устройств сериимежсетевой экран ASA 5500-X была на 57% выше, чем у аналоговТестированпроизводителем: Производительность по трафику HTTP на устройствах Cisco была на 60% выше, чем у аналоговCiscoТестированные Устройства серии ASA 5500-X могут обрабатывать на 10% соединенийпродукты: в секунду больше при использовании протокола IPv4 и на 24% больше при использовании протокола IPv6 по сравнению с аналогамиASA 5515-XASA 5525-XASA 5555-X Компания Cisco привлекла компанию Miercom к оценке производительности недавно запущенных в производство многофункциональных устройств обеспечения безопасности серии ASA 5500-X в сравнении с их аналогами, выбранными с учетом целевых рынков и рекомендуемых розничных цен. Были опробованы три сопоставимых сценария сравнения изделий Check Point и Fortinet с их аналогами серии ASA 5500-X. Модель ASA 5515‑X сравнивалась с Check Point 4210, ASA 5525‑X — с FortiGate 310B, а ASA 5555‑X — с устройствами Check Point 4807. Выбор этих продуктов объясняется их сходством по целевому назначению, что обеспечивает корректность сравнения. Для определения реальной производительности устройств по протоколам TCP и UDP, а также для оценки их возможностей с использованием IP‑протокола следующего поколения (IPv6) и системы предотвращения вторжений (IPS) был изучен ряд вариантов использования. Регистрировался ряд параметров, включая использование ЦП и выделенной памяти, число соединений в секунду, одновременные соединения, реальная производительность по протоколам HTTP и TCP EMIX, для определения реальных возможностей каждого устройства.
  2. 2. Рис. 1. Тестирование в условиях реального смешанного трафика с включенными межсетевым экраном и системой IPS 1,400 1,200 1,000Производительность Cisco (EMIX), Мбит/с 800 Check Point 1,230 1,152 600 Fortinet 400 624 200 331 210 91 0 ASA 5515-X ASA 5515-X ASA 5515-X в сравнении с CP 4210 в сравнении с CP 4210 в сравнении с CP 4210 УстройстваИсточник: Miercom, июль 2012 г.Система предотвращения вторжений (IPS) требует дополнительных ресурсов. В технической документации частоне указывается производительность устройств при ее включении. Работа всех устройств с включением системыIPS имитирует условия реальной эксплуатации.Устройства серии Cisco ASA 5500-X оснащены производительности устройств в двух направлениях.специальными многоядерными многопотоковыми Все межсетевые экраны использовали простуюпроцессорами для межсетевого экрана, VPN политику, предусматривающую разрешение всехи сервисов безопасности IPS. Они также отличаются действий. Кроме того, была включена системаОЗУ большого объема (от 4 Гбайт в моделях 5512-X предотвращения вторжений (IPS) для моделированияи до 16 Гбайт в моделях 5555-X) и сочетают в себе реальной работы. Работа этой системы существеннофункции межсетевого экрана, идентификации, системы зависит от настройки профиля сигнатур. Поэтому мыIPS и VPN. У них предусмотрены режимы межсетевого выбрали сопоставимый профиль сигнатур для устройствэкрана уровней 2 и 3, расширенные средства разных производителей, имитирующий реальныеглубокого анализа пакетов, а также несколько других условия работы. Конечная цель состояла в измерениифункций межсетевого экранирования с возможностью производительности устройств при работе межсетевогообновления и увеличения числа сервисов в будущем экрана вместе с системой IPS с погрешностью 5%, учитывающей неудачно выполненные операции.Производительность в условиях реальногомногопротокольного смешанного трафика Производительность устройства ASA 5515 по смешанному трафику составила 1,4 Гбит/с,Для оценки работы каждого устройства использовался что на 113% выше, чем у Check Point 4210.трафик с пакетами различного размера и по разнымпротоколам с преобладанием приложений на основе Аналогичным образом, производительностьпротокола TCP. См. рис 2. Также был рассмотрен у ASA 5525-X была на 99% выше, чем у FortiGate 310B,профиль усредненного Интернет‑трафика а у ASA 5555-X — на 6% выше, чем у Check Point 4807.(IMIX) (см. следующий раздел), но мы считаем, Результаты показаны на рис. 1.что он не соответствует типовому корпоративномутрафику, поскольку в качестве базового протокола Производительность по трафику IMIXв нем используется только UDP. Для определения максимальной скорости250 виртуальных узлов с тремя виртуальными передачи данных без потери пакетовсерверами были размещены с каждой для определенного диапазона фиксированныхстороны межсетевого экрана для измерения размеров пакетов, характерного для Интернет-2 Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514
  3. 3. трафика (IMIХ) использовался эталонный тест Рис. 2. Структура трафика EMIX производительности RFC 2544. Некоторые производители межсетевых экранов публикуют только данные о производительности для пакетов UDP фиксированного размера, что, по нашему IMAPv4 мнению, не соответствует реальным условиям. Производительность по протоколу UDP лучше 16.48% SMTP отображается трафиком IMIX с пакетами разных 8.79% размеров. См. рис. 7. Bit Torrent FTP 21.98% Данные в двух направлениях передавались 250 виртуальными узлами, разделенными межсетевым 8.79% экраном. Также была измерена производительность для профиля трафика IMIX по 4 точкам с произвольным распределением пакетов по размерам (у исходного профиля такое распределение фиксированное). HTTP См. рис. 3 и рис. 8. 43.96% Проверка проводилась в течение 60 секунд с регистрацией результатов при отсутствии разрыва соединений. При потере данных она запускалась с начала с более низкими входными характеристиками и двоичным алгоритмом поиска для определения Источник: Miercom, июль 2012 г. максимальной производительности каждого межсетевого экрана, при которой отсутствует разрыв соединения. Все показанные результаты характеризуются полным отсутствием потери пакетов Исходный состав трафика EMIX на всех исследованных и высочайшим уровнем облуживания для каждого устройствах соответствует реальным условиям работы проверяемого устройства. определенной сети. Рис. 3. Производительность устройств серии ASA 5500-X по трафику IMIX (протокол IPv4 UDP) 2,500 2,000Производительность (Мбит/с) Исходный трафик IMIX, Cisco Трафик IMIX, 4 точки, Cisco 1,500 Исходный трафик IMIX, Check Point Трафик IMIX, 4 точки, Check Point 1,000 1,933 1,933 Исходный трафик IMIX, Fortinet 1,810 1,810 1,677 1,649 1,539 1,382 1,366 Трафик IMIX, 4 точки, Fortinet 1,317 1,161 1,104 500 0 ASA5515-X CP4210 ASA5525-X FG310B ASA5555-X CP4807 Межсетевой экран Источник: Miercom, июль 2012 г. Устройства серии АSА работают заметно лучше аналогов (кроме FortiGate 310B), обрабатывая большее число кадров в секунду, что отражает их возможности маршрутизации, а также скорость обработки пакетов. Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514 3
  4. 4. Рис. 4. Производительность устройств серии ASA 5500-X по трафику IMIX (протокол IPv6 UDP) 2,000 1,800 1,600Производительность (Мбит/с) Исходный трафик IMIX, Cisco 1,400 Трафик IMIX, 4 точки, Cisco 1,200 Исходный трафик IMIX, Check Point 1,849 1,822 1,000 1,692 1,692 Трафик IMIX, 4 точки, Check Point 1,580 800 1,381 Исходный трафик IMIX, Fortinet 1,266 1,181 600 999 Трафик IMIX, 4 точки, Fortinet 959 948 400 410 200 0 ASA5515-X CP4210 ASA5525-X FG310B ASA5555-X CP4807 Межсетевой экран Источник: Miercom, июль 2012 г. Устройства серии АSА работают заметно лучше аналогов, обрабатывая большее число кадров в секунду, что отражает их возможности маршрутизации, а также скорость обработки пакетов. Кроме того, при проверке трафика по протоколу распределениях полезной нагрузки. Кроме того, IPv6 UDP использовалась схема маршрутизации система IPS была включена для всех устройств, IPv6 — IPv6 (6 — 6). Cм. рис. 4. чтобы снова имитировать реальные условия работы. Фиксировалась максимальная производительность Производительность устройств Cisco ASA 5500‑X была каждого устройства без потери пакетов. одинаковой для протоколов IPv4 и IPv6. Но у устройств Check Point и Fortinet она была заметно ниже для У ASA 5515-X она оказалась на 87% выше, чем у протокола IPv6, чем для протокола IPv4. В частности, FortiGate 310B, у ASA5525-X — на 56% выше, чем у такое снижение у устройства Check Point 4200 Check Point 4210, а у ASA 5555-X — на 37% выше, составило 41%, а у устройства Fortinet — 48%. чем у Check Point 4807. См. рис. 5. Результаты проверки числа соединений в секунду (CPS) по протоколам IPv4 и IPv6 представлены на рис. 3 и 4 При максимальной загрузке процессора во время соответственно. проверки производительности графический интерфейс пользователя устройства Fortinet переставал Максимальная пропускная способность реагировать на команды, а управление устройствами по протоколу HTTP Check Point и Cisco не нарушалось. Для определения эффективности обработки Кроме того, во время проверки с увеличенной межсетевым экраном трафика HTTP был создан полезной нагрузкой по протоколу HTTP наблюдалось сценарий с использованием web-трафика с пакетами прекращение проверки трафика системой IPS разного размера. Контрольное оборудование на устройствах Fortinet, когда полезная нагрузка было настроено для получения постоянной превосходила 200 килобайт. В случае с устройствами полезной нагрузки 1, 4, 11 и 16 килобайт по Cisco и Check Point этого не происходило. протоколу HTTP 1.1. Генерировался один запрос Мы считаем, что это попытка оптимизации GET HTTP, и задержки генерирования отклика производительности за счет снижения уровня HTTP не происходило. Рассматривая широкое безопасности. К тому же соответствующая настройка распределение полезной нагрузки, можно точно была доступна только через интерфейс командной определить производительность всех устройств строки, а не через графический интерфейс при обработке пакетов всех размеров и при всех пользователя. 4 Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514
  5. 5. Рис. 5. Cisco ASA серии 5500-X Максимальная производительность по протоколу HTTP — множество запросов GET 2,500 2,500 2,000Производительность (Мбит/с) 2,000 1,500 1,000 500 ASA5515-X FG 310B 0 1 кбайт 4 кбайт 11 кбайт 16 кбайт CP 4210 ASA 555-X Полезная нагрузка GET, кбайт ASA 5525-X CP 4807 Источник: Miercom, июль 2012 г. Система предотвращения вторжений (IPS) требует дополнительных ресурсов. В технической документации часто не указывается производительность устройств при ее включении и предполагается отсутствие полезной нагрузки. Работа всех устройств с включением системы IPS и разной полезной нагрузкой имитирует условия реальной эксплуатации. Рис. 6. Устройства Cisco ASA серии 5500-X, число соединений в секунду IPv4 IPv6 60 50 Количество соединений в секундуСоединений в секунду (тысяч) (CPS) по протоколу IPv4, устройство Cisco Количество соединений в секунду 40 по протоколу IPv6, устройство Cisco Количество соединений в секунду по протоколу IPv4, устройство Check Point 30 Количество соединений в секунду 51.00 по протоколу IPv6, устройство 46.65 Check Point 45.02 Количество соединений в секунду 40.00 по протоколу IPv4, устройство 20 Fortinet Количество соединений в секунду 26.00 26.00 по протоколу IPv6, устройство 21.70 22.63 20.00 Fortinet 17.00 16.00 15.00 10 0 ASA 5515-X ASA 5525-X ASA 5555-X ASA 5515-X ASA 5525-X ASA 5555-X в сравнении в сравнении в сравнении в сравнении в сравнении в сравнении с CP4210 IPv4 с FG310B IPv4 с CP4807 IPv4 с CP4210 IPv6 с FG310B IPv6 с CP4807 IPv6 Источник: Miercom, июль 2012 г. Межсетевой экран Проверка числа соединений в секунду на полной скорости работы канала на всех доступных интерфейсах при исключении потери пакетов показывает, что устройства ASA 5500-X нового поколения поддерживают более высокий уровнень обслуживания для протокола IPv6, чем их аналоги. Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514 5
  6. 6. Рис. 7. Исходный профиль трафика IMIX Рис. 8. Профиль трафика IMIX с осреднением по 4 точкам Структура трафика IMIX по объему Структура трафика IMIX по объему 1518 байтов, 15.67% 58-1518 байтов, 29.50% 56-70 байтов, 594 байта, 58 байтов, 44.20% 23.66% 58.67% 1438-1518 байтов 13.00% 570-64662 байта, байтов 2.00% 13.30%Источник: Miercom, июль 2012 г. Источник: Miercom, июль 2012 г.Состав трафика IMIX на всех проверенных устройствах Долгосрочное усредненное распределение трафиказадавался анализатором/генератором трафика Spirent IMIX при этом примерно соответствует его исходномуTestCenter по смешанному профилю интернета с профилю, но случайное распределение обеспечиваетпротоколом UDP. более реалистичный сценарий применения.В отличие от устройств Cisco и Fortinet, в активном состоянии в течение всего тестапри использовании устройств Check Point путем включения параметра проверки активностинаблюдалось ограничение, состоявшее в том, (Keep‑Alive) HTTP.что в устройстве можно было использоватьтолько один профиль защиты. Его нельзя Максимальное достижимое количество соединенийбыло конфигурировать для каждой политики в секунду измерялось путем итерационного увеличениямежсетевого экрана. Кроме того, «рекомендуемый частоты соединений до достижения состоянияпрофиль» для системы IPS в устройстве Check отсутствия разрыва соединений. Тест проводилсяPoint не включает сигнатуры, маркированные с HTTP-трафиком по протоколам IPv4 и IPv6.«средним — низким» (medium-low) уровнем См. рис. 6.уверенности или сигнатуры класса «низкий риск»(low‑risk). Оказалось, что только ASA 5500-X обеспечило соответствие данным, опубликованнымТакже в устройствах Cisco была реализована защита в информационном бюллетене. Возможнаяс помощью системы IPS на основе информации причина этого в том, что некоторые производителио репутации. Аналогичная функция отсутствует используют для такой проверки полезную нагрузкув устройствах Fortinet и Check Point. TCP 1 байт, при которой число соединений в секунду получается выше, хотя такая нагрузкаЧисло соединений в секунду нереальна в условиях практической эксплуатации.Цель этого теста состояла в определениимаксимального количества соединений в секунду При использовании протокола IPv6 число соединений(CPS), которое межсетевой экран может обрабатывать в секунду у устройств Cisco, снижалось на 10%,по протоколу TCP. у устройств Fortinet — на 34%. а у устройств Check Point — на 20%. Также на устройствахКаждое соединение моделировалось с использованием Check Point наблюдалось частое прерывание передачиодного запроса GET HTTP 1.0 с полезной нагрузкой пакета при максимальном числе соединений64 байта в отклике HTTP без полезной нагрузки в секунду. На устройствах Cisco и Fortinetна стороне сервера. Соединение поддерживалось это не происходило.6 Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514
  7. 7. Выводы Рис. 9. Схема организации тестирования BreakingPointStorm BreakingPointStormНа основе лабораторных тестов многофункциональныхустройств обеспечения безопасности Cisco ASA 5515‑X, Проверяемое5525-X и 5555-X компания Miercom подтверждает, что устройство Регистрирующий серверих производительность выше, чем у их аналогов CheckPoint 4210, FortiGate 310B и Check Point 4807. Станция управленияПроизводительность устройств 5515-X, 5525-Xи 5555-X при одновременном включении межсетевогоэкрана и системы IPS с реальным трафиком была Spirent Spirentна 113%, 99% и 6% выше (соответственно), чем у иханалогов. При трафике UDP (протоколы IPv4 и IPv6), Источник: Miercom, июль 2012 г.производительность межсетевого экрана на устройствахASA 5500‑X была на 57% выше, чем у аналогов. Числосоединений в секунду у устройства ASA 5500-X также Устройство Check Point 4210 было оснащено четырьмябыло выше 10% по протоколу IPv4 и на 24% по протоколу интерфейсами 1GE, Fortinet FortiGate 310B — десятьюIPv6 по сравнению с аналогами. интерфейсами 1GE, а Check Point 4807 — восемью интерфейсами 1GE. На обоих межсетевых экранахУстройства Cisco ASA 5515-X, 5525-X и 5555‑X Check Point было установлено ПО версии R75.40,обеспечивают высокий уровень безопасности, а на устройстве FortiNet использовался выпускмасштабирования и производительности, 4.0MR3 с исправлением 6. Хотя во всех устройствахнеобходимый для корпоративных сетей, центров были предусмотрены дополнительные порты,обработки данных и приложений Web 2.0. Рабочие и они обеспечивали расширение набора функций,защитные функции устройств Cisco ASA 5515‑X, 5525‑X а не увеличение производительности. Максимальнаяи 5555‑X подтверждены Сертификатом проверки нагрузка была достигнута только с использованием двухрабочих характеристик, выданным компанией Miercom. интерфейсов 1GE на одном устройстве.Как мы этого достигли На всех устройствах была выполнена аппаратная настройка на параметры по умолчанию. К устройствамДля полной демонстрации производительности наших не подключались дополнительные платы, процессорыизделий при проведении испытаний использовались или другие дополнительные устройства. Все устройствапродукты BreakingPoint Storm и Spirent TestCenter. размещались в отдельных виртуальных сетях дляТрафик в 2 направлениях создавался с использованием предотвращения случайного взаимодействия другрешений BreakingPoint версии 2.2.3, strikebuild с другом, и все тесты запускались по отдельности черезверсии 78528 и анализатора/генератора трафика значительные промежутки времени, чтобы на результатыSpirentTestCenter v3.90. Тесты по протоколу HTTP не влияли остаточные пакеты.в реальных условиях эксплуатации были выполненыс использованием HTTP 1.1 при передаче объектов Решения BreakingPoint Storm и Spirent TestCenterразных размеров. Проверки числа соединений использовали двоичный алгоритм поискав секунду были проведены с помощью BreakingPoint для определения максимально возможнойStorm для генерирования 64-байтного HTTP‑трафика. производительности для каждого устройстваБольшинство эталонных тестов выполнялись без полезной в процессе каждого теста. Каждый тест повторялсянагрузки, но для получения реалистичных результатов с использованием конечного значения еще два раза длямы дополнительно предусмотрели 64-байтную полезную получения надежных и воспроизводимых результатов.нагрузку для операции Syn‑Fin HTTP. При проверках Во время тестирования велся тщательный текущийпроизводительности UDP использовался анализатор/ контроль памяти и загрузки ЦП, в основном для проверкигенератор трафика Spirent TestCenter для отправки работоспособности коммутаторов.кадров фиксированного и произвольного размера,от 64 до 1518 байтов. Тесты, указанные в настоящем отчете, могут быть воспроизведены желающими на соответствующемУстройство Cisco ASA 5515-X было оснащено шестью контрольно-измерительном оборудовании. Нашиинтерфейсами 1GE, 5525-X — восемью интерфейсами 1GE, заказчики и потенциальные клиенты, заинтересованныеа 5555-X — восемью интерфейсами 1GE. При тестировании в повторении этих результатов, могут обратиться поиспользовалось ПО Cisco Adaptive Security Appliance адресу reviews@miercom.com за подробной информацией(ASA) Software v8.6.1.1 с системой предотвращения о конфигурации проверяемых устройств и контрольныхвторжений (IPS) версии 7.1.4 и обновлением сигнатур S615. систем. Компания Miercom рекомендует клиентам передРазмер MTU по умолчанию для трафика TCP составлял выбором продуктов выполнить анализ их собственных1380 байтов для учета служебного трафика. Размер MTU потребностей и провести тестирование конкретнопо умолчанию для трафика UDP составлял 9216 байтов. в условиях ожидаемой среды размещения продуктов.Сводный отчет лаборатории тестирования Miercom | Июль 2012 г., отчет SR120514 7
  8. 8. Сертификат проверки производительности, выданный компанией Miercom Компания Miercom проверила производительность многофункционального устройства обеспечения безопасности Cisco ASA 5500-X. В практическом тестировании продемонстрирована повышенная производительность, в частности: • реднее число соединений в секунду на 10% выше по протоколу IPv4 с и на 24% выше по протоколу IPv6, чем у аналогов Cisco ASA серии 5500-X • абочие характеристики устройств Cisco при включенной системе р предотвращения вторжений (IPS) выше заявленных изготовителем в отличие от их аналогов • ключение системы IPS не влияет на производительность системы в • аксимальная производительность по протоколу HTTP у платформы ASA М в среднем на 79% выше Рабочие и защитные функции устройств Cisco ASA 5515-X, 5525-X и 5555‑X подтверждены Сертификатом проверки рабочих характеристик, выданным компанией Miercom. Об услугах тестирования продуктов, предоставляемых компанией Miercom За многие годы компания Miercom опубликовала сотни статей о результатах сравнительного анализа продуктов в ведущих отраслевых периодических изданиях по сетевым технологиям, в том числе Network World, Business Communications Review, Tech Web — NoJitter, Communications News, xchange, Internet Telephony и других ведущих изданиях. Репутация компании Miercom в качестве ведущего, независимого центра тестирования продуктов неоспорима. Предоставляемые компанией Miercom частные услуги тестирования включают в себя анализ продуктов конкурирующих производителей, а также оценки отдельных продуктов. В компании Miercom предусмотрены комплексные программы сертификации и тестирования, в том числе: Сертификат совместимости, Сертификат надежности, Сертификат безопасности и Сертификат экологичности. Программа проверки производительности обеспечивает тщательную и достоверную оценку возможности использования и производительности продукта. review@mircom.com www.miercom.com Cisco Systems, Inc. 170 West Tasman Drive Can-Xoce, шт. Калифорния 1-800-553-6387 www.cisco.comУказанные в настоящем отчете наименования продуктов или услуги являются зарегистрированным товарными знаками соответствующих владельцев. Компания Miercomстремится обеспечить точность и полноту содержащихся в ее отчетах информации, но несет ответственности за ошибки, неточности или пропуски. Компания Miercom не несетответственности за ущерб, причиненный в результате или в связи с информацией, содержащейся в настоящем отчете. Для выполнения анализа в соответствии с конкретнымипотребностями клиента обратитесь в компанию, предоставляющую профессиональные услуги, например, Miercom.© 2012 Cisco Systems, Inc. Все права защищены. Cisco и логотип Cisco являются торговыми марками или зарегистрированными торговыми марками Cisco и/или ее филиалов в СШАи других странах. Перечень товарных знаков компании Cisco можно найти по адресу www.cisco.com/go/trademarks. Торговые марки третьих лиц, упомянутые в данном документе,являются собственностью их владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией.

×