နည်းပညာလမ်းညွှန်
NGFW စွမ်းဆောင်ရည်ကို အကောင်းဆုံးဖြစ်အောင် လုပ်ပါ။
Public Cloud ရှိ Intel® Xeon® ပရိုဆက်ဆာများ
စာရေးသူများ
Xiang Wang
Jayprakash Patidar
Declan Doherty
အဲရစ်ဂျုံး
Subhiksha Ravisundar
Heqing Zhu
နိဒါန်း
Next-generation firewalls (NGFWs) များသည် network security solutions များ၏ ပင်မတွင်ဖြစ်သည်။ သမားရိုးကျ firewall များသည် ယေဘုယျအားဖြင့် ခေတ်မီ အန္တရာယ်ရှိသော အသွားအလာများကို ထိရောက်စွာ မခုခံနိုင်သော ဆိပ်ကမ်းနှင့် ပရိုတိုကောကို အခြေခံ၍ နိုင်ငံတော်၏ အသွားအလာ စစ်ဆေးခြင်းကို လုပ်ဆောင်သည်။ NGFW များသည် ကျူးကျော်ဝင်ရောက်မှုရှာဖွေခြင်း/ကြိုတင်ကာကွယ်ရေးစနစ်များ (IDS/IPS)၊ မဲလ်ဝဲရှာဖွေတွေ့ရှိမှု၊ အပလီကေးရှင်းခွဲခြားသတ်မှတ်ခြင်းနှင့် ထိန်းချုပ်မှုစသည်ဖြင့် အဆင့်မြင့်နက်ရှိုင်းသော packet စစ်ဆေးခြင်းစွမ်းရည်များဖြင့် ရိုးရာ firewall များပေါ်တွင် တိုးလာပြီး ချဲ့ထွင်သည်။
NGFW များသည် ဥပမာအားဖြင့် လုပ်ဆောင်နေသည့် တွက်ချက်မှု အထူးပြု အလုပ်များဖြစ်သည်။ample၊ ကွန်ရက်အသွားအလာကို ကုဒ်ဝှက်ခြင်းနှင့် စာဝှက်ခြင်းအတွက် ကုဒ်ဝှက်ခြင်းဆိုင်ရာ လုပ်ဆောင်ချက်များနှင့် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို ထောက်လှမ်းခြင်းအတွက် ပြင်းထန်သော စည်းမျဉ်းနှင့် ကိုက်ညီမှုရှိသည်။ Intel သည် NGFW ဖြေရှင်းချက်များကို အကောင်းဆုံးဖြစ်အောင် လုပ်ဆောင်ရန် ပင်မနည်းပညာများကို ပေးအပ်သည်။
Intel ပရိုဆက်ဆာများတွင် Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) နှင့် Intel® QuickAssist Technology (Intel® QAT) အပါအဝင် အမျိုးမျိုးသော ညွှန်ကြားချက်အစုံဗိသုကာများ (ISAs) တပ်ဆင်ထားပါသည်။
Intel သည် Hyperscan အတွက် အပါအဝင် ဆော့ဖ်ဝဲလ် ပိုမိုကောင်းမွန်အောင် လုပ်ဆောင်မှုများတွင်လည်း ရင်းနှီးမြှုပ်နှံထားသည်။ Hyperscan သည် စွမ်းဆောင်ရည်မြင့် string နှင့် ပုံမှန် expression (regex) ကိုက်ညီသော စာကြည့်တိုက်တစ်ခုဖြစ်သည်။ ၎င်းသည် စံနမူနာနှင့်ကိုက်ညီသော စွမ်းဆောင်ရည်ကိုမြှင့်တင်ရန် Intel ပရိုဆက်ဆာများတွင် တစ်ခုတည်းသော ညွှန်ကြားချက်မျိုးစုံဒေတာ (SIMD) နည်းပညာကို အသုံးချသည်။ Snort ကဲ့သို့သော NGFW IPS စနစ်များတွင် Hyperscan ပေါင်းစည်းခြင်းသည် Intel ပရိုဆက်ဆာများတွင် 3 ဆအထိ စွမ်းဆောင်ရည်ကို တိုးတက်စေနိုင်သည်။
NGFW များကို လုပ်ငန်းဒေတာစင်တာများ၏ စစ်မဲ့ဇုန် (DMZ) တွင် ဖြန့်ကျက်ထားသော လုံခြုံရေးကိရိယာအဖြစ် မကြာခဏ ပေးအပ်သည်။ သို့သော်၊ အများသူငှာ cloud၊ လုပ်ငန်းဒေတာစင်တာများ သို့မဟုတ် ကွန်ရက်အစွန်းတည်နေရာများတွင် အသုံးချနိုင်သည့် NGFW အတုအယောင်သုံးပစ္စည်းများ သို့မဟုတ် ဆော့ဖ်ဝဲပက်ကေ့ချ်များအတွက် ပြင်းထန်သောတောင်းဆိုမှုတစ်ခုရှိပါသည်။ ဤဆော့ဖ်ဝဲလ်အသုံးပြုမှုပုံစံသည် လုပ်ငန်းသုံး IT လုပ်ငန်းများနှင့် ဆက်စပ်နေသော လုပ်ငန်းဆောင်တာများနှင့် ပြုပြင်ထိန်းသိမ်းမှုအပေါ်မှ လွတ်မြောက်စေသည်။ ၎င်းသည် စနစ်အတိုင်းအတာကို ပိုမိုကောင်းမွန်စေပြီး လိုက်လျောညီထွေရှိသော ဝယ်ယူမှုနှင့် ဝယ်ယူမှုဆိုင်ရာ ရွေးချယ်မှုများကို ပံ့ပိုးပေးပါသည်။
လုပ်ငန်းအများအပြားသည် NGFW ဖြေရှင်းချက်များအား အများသူငှာ cloud ဖြန့်ကျက်မှုကို လက်ခံယုံကြည်လာကြသည်။ ဒီအတွက် အဓိက အကြောင်းရင်းကတော့ ကုန်ကျစရိတ် advan ဖြစ်ပါတယ်။tage သည် cloud တွင် လည်ပတ်နေသော virtual ကိရိယာများ။
သို့တိုင်၊ CSP များသည် မတူညီသော တွက်ချက်မှုဆိုင်ရာ လက္ခဏာများနှင့် စျေးနှုန်းများဖြင့် မတူညီသော instance အမျိုးအစားများစွာကို ပေးဆောင်ထားသောကြောင့် NGFW အတွက် အကောင်းဆုံး TCO နှင့် ဥပမာကို ရွေးချယ်ခြင်းသည် စိန်ခေါ်မှုဖြစ်နိုင်ပါသည်။
ဤစာတမ်းသည် Hyperscan အပါအဝင် Intel ၏နည်းပညာများဖြင့် ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ထားသော Intel မှ NGFW ရည်ညွှန်းအကောင်အထည်ဖော်မှုကို မိတ်ဆက်ပေးပါသည်။ ၎င်းသည် Intel ပလပ်ဖောင်းများပေါ်တွင် NGFW စွမ်းဆောင်ရည်ဆိုင်ရာ လက္ခဏာရပ်အတွက် ယုံကြည်စိတ်ချရသော အထောက်အထားအမှတ်ကို ပေးဆောင်သည်။ ၎င်းကို Intel ၏ NetSec အကိုးအကားဆော့ဖ်ဝဲလ်ပက်ကေ့ချ်၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် ပါဝင်ပါသည်။ ရွေးချယ်ထားသော အများသူငါ cloud ဝန်ဆောင်မှုပေးသူများပေါ်တွင် NGFW ရည်ညွှန်းအကောင်အထည်ဖော်မှုကို အလိုအလျောက်လုပ်ဆောင်ရန်အတွက် Multi-Cloud Networking Automation Tool (MCNAT) ကို တူညီသောအထုပ်တွင် ပေးပါသည်။ MCNAT သည် မတူညီသော compute instances အတွက် TCO ခွဲခြမ်းစိတ်ဖြာမှုကို ရိုးရှင်းစေပြီး NGFW အတွက် အကောင်းဆုံးသော compute instance ကို အသုံးပြုသူများအား လမ်းညွှန်ပေးသည်။
NetSec အကိုးအကားဆော့ဖ်ဝဲလ်ပက်ကေ့ဂျ်အကြောင်း ပိုမိုလေ့လာရန် စာရေးသူထံ ဆက်သွယ်ပါ။
စာရွက်စာတမ်း ပြန်လည်ပြင်ဆင်မှုမှတ်တမ်း
| ပြန်လည်ပြင်ဆင်ခြင်း။ | ရက်စွဲ | ဖော်ပြချက် |
| 001 | မတ်လ 2025 | ကနဦး ထုတ်ဝေမှု။ |
1.1 အသုံးအနှုန်းများ
ဇယား ၁
| အတိုကောက် | ဖော်ပြချက် |
| DFA | Deterministic Finite Automaton |
| DPI | Deep Packet စစ်ဆေးခြင်း။ |
| HTTP | Hypertext Transfer Protocol |
| IDS/IPS | ကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းကာကွယ်ခြင်းစနစ် |
| ISA | Instruction Set Architecture ၊ |
| MCNAT | Multi-Cloud Networking Automation Tool |
| NFA | အဆုံးအဖြတ်မရှိသော Finite Automaton |
| NGFW | မျိုးဆက်သစ် Firewall |
| PCAP | packet ကိုဖမ်းယူ |
| PCRE | Perl Compatible Regular Expressions Library |
| Regex | ပုံမှန်ဖော်ပြချက် |
| SASE | လုံခြုံသော Access Service Edge |
| SIMD | Single Instruction Multiple Data Technology |
| TCP | ဂီယာထိန်းချုပ်ရေးပရိုတိုကော |
| URI | ယူနီဖောင်း အရင်းအမြစ် သတ်မှတ်ချက် |
| WAF | Web လျှောက်လွှာ Firewall |
1.2 အကိုးအကား စာရွက်စာတမ်း
ဇယား ၂။ အကိုးအကားစာရွက်စာတမ်းများ
နောက်ခံနှင့် Motivation
ယနေ့တွင်၊ NGFW ရောင်းချသူအများစုသည် ရုပ်ပိုင်းဆိုင်ရာ NGFW ကိရိယာများမှ ၎င်းတို့၏ခြေရာများကို အများသူငှာ cloud တွင်အသုံးချနိုင်သော virtual NGFW ဖြေရှင်းချက်များအထိ တိုးချဲ့ခဲ့ကြသည်။ အများသူငှာ NGFW ဖြန့်ကျက်မှုများသည် အောက်ပါအကျိုးကျေးဇူးများကြောင့် မွေးစားမှု တိုးလာသည်ကို တွေ့ရသည်-
- ချဲ့ထွင်နိုင်မှု- စွမ်းဆောင်ရည်လိုအပ်ချက်များ ပြည့်မီရန် လွယ်ကူစွာ အတိုင်းအတာ သို့မဟုတ် ပထဝီဝင်တွက်ချက်မှုဆိုင်ရာ အရင်းအမြစ်များကို အလွယ်တကူ စကေးချပါ။
- ကုန်ကျစရိတ်ထိရောက်မှု- အသုံးပြုမှုတစ်ခုအတွက် ပေးချေမှုကို ခွင့်ပြုရန် လိုက်လျောညီထွေရှိသော စာရင်းသွင်းမှု။ ငွေလုံးငွေရင်းအသုံးစရိတ် (capex) ကိုဖယ်ရှားပြီး ရုပ်ပိုင်းဆိုင်ရာပစ္စည်းများနှင့်ဆက်စပ်သော လုပ်ငန်းလည်ပတ်မှုကုန်ကျစရိတ်များကို လျှော့ချပေးသည်။
- cloud ဝန်ဆောင်မှုများနှင့် မူရင်းပေါင်းစပ်မှု- ကွန်ရက်ချိတ်ဆက်ခြင်း၊ ဝင်ရောက်ထိန်းချုပ်မှုများနှင့် AI/ML ကိရိယာများကဲ့သို့ အများသူငှာ cloud ဝန်ဆောင်မှုများနှင့် ချောမွေ့စွာ ပေါင်းစပ်ခြင်း။
- Cloud workloads ကာကွယ်မှု- အများသူငှာ cloud တွင် လက်ခံထားသော လုပ်ငန်းဆိုင်ရာ အလုပ်များ အတွက် ဒေသတွင်း အသွားအလာ စစ်ထုတ်ခြင်း။
အများသူငှာ cloud တွင် NGFW အလုပ်ဝန်ကို လည်ပတ်ခြင်းအတွက် ကုန်ကျစရိတ် လျှော့ချခြင်းသည် လုပ်ငန်းသုံးကိစ္စများအတွက် ဆွဲဆောင်မှုတစ်ခုဖြစ်သည်။
သို့သော်၊ အကောင်းဆုံးစွမ်းဆောင်ရည်နှင့် NGFW အတွက် TCO နှင့် TCO ကိုရွေးချယ်ခြင်းသည် စိန်ခေါ်မှုဖြစ်သည်၊ များပြားလှသော cloud instance ရွေးချယ်စရာများကို အမျိုးမျိုးသော CPUs၊ memory sizes, IO bandwidth တို့ဖြင့်ရရှိနိုင်ပြီး တစ်ခုချင်းစီသည် ဈေးနှုန်းကွဲပြားပါသည်။ Intel ပရိုဆက်ဆာများကို အခြေခံ၍ မတူညီသော အများသူငှာ cloud instances များ၏ စွမ်းဆောင်ရည်နှင့် TCO ခွဲခြမ်းစိတ်ဖြာမှုများကို ကူညီရန်အတွက် NGFW Reference Implementation ကို တီထွင်ထားပါသည်။ AWS နှင့် GCP ကဲ့သို့သော အများသူငှာ cloud ဝန်ဆောင်မှုများအတွက် NGFW ဖြေရှင်းချက်များအတွက် မှန်ကန်သော Intel-based instances များကို ရွေးချယ်ခြင်းအတွက် လမ်းညွှန်ချက်အဖြစ် ဒေါ်လာတစ်ဒေါ်လာနှုန်းနှင့် စွမ်းဆောင်ရည်ကို သရုပ်ပြပါမည်။
NGFW အကိုးအကား အကောင်အထည်ဖော်ခြင်း။
Intel သည် NetSec အကိုးအကားဆော့ဖ်ဝဲလ်ပက်ကေ့ဂျ် (နောက်ဆုံးထွက်ဗားရှင်း 25.05) ကို တီထွင်ခဲ့ပြီး အသစ်ထွက်ရှိထားသော လုပ်ငန်းအခြေခံအဆောက်အအုံနှင့် cloud တွင် အကောင်းဆုံးစွမ်းဆောင်ရည်ကိုပြသရန် ISAs နှင့် accelerators များကို ISAs နှင့် accelerators များတွင် ရရှိနိုင်သော အကောင်းဆုံးရည်ညွှန်းဖြေရှင်းချက်များကို ပေးဆောင်သည်။ ရည်ညွှန်းဆော့ဖ်ဝဲကို Intel Proprietary License (IPL) အောက်တွင် ရရှိနိုင်ပါသည်။
ဤဆော့ဖ်ဝဲပက်ကေ့ဂျ်၏ အဓိကသော့ချက်မှာ-
- ကွန်ရက်ချိတ်ဆက်ခြင်းနှင့် လုံခြုံရေးအတွက် ကျယ်ပြန့်သောရည်ညွှန်းဖြေရှင်းချက်အစုစု၊ cloud နှင့် လုပ်ငန်းဒေတာစင်တာများအတွက် AI မူဘောင်များနှင့် အနားသတ်တည်နေရာများ ပါဝင်သည်။
- Intel နည်းပညာများကို စျေးကွက်ချဲ့ထွင်ရန်နှင့် လျင်မြန်စွာ လက်ခံကျင့်သုံးရန် အချိန်ပေးသည်။
- Intel ပလပ်ဖောင်းများတွင် အသုံးပြုမှုအခြေအနေများနှင့် စမ်းသပ်မှုပတ်ဝန်းကျင်များကို ပုံတူကူးခွင့်ပြုသည့် အရင်းအမြစ်ကုဒ်ကို ရရှိနိုင်သည်။
NetSec အကိုးအကားဆော့ဖ်ဝဲလ်၏ နောက်ဆုံးထွက်ရှိမှုကို ရယူခြင်းအကြောင်း ပိုမိုလေ့လာရန် စာရေးသူထံ ဆက်သွယ်ပါ။
NetSec အကိုးအကားဆော့ဖ်ဝဲလ်ပက်ကေ့ချ်၏ အရေးပါသောအစိတ်အပိုင်းတစ်ခုအနေဖြင့် NGFW ရည်ညွှန်းအကောင်အထည်ဖော်မှုသည် Intel ပလပ်ဖောင်းများတွင် NGFW စွမ်းဆောင်ရည်လက္ခဏာများနှင့် TCO ခွဲခြမ်းစိတ်ဖြာမှုကို မောင်းနှင်ပေးပါသည်။ ကျွန်ုပ်တို့သည် NGFW ရည်ညွှန်းအကောင်အထည်ဖော်မှုတွင် Hyperscan ကဲ့သို့သော Intel နည်းပညာများကို ချောမွေ့စွာပေါင်းစပ်ပေးပါသည်။ ၎င်းသည် Intel ပလပ်ဖောင်းများပေါ်တွင် NGFW ခွဲခြမ်းစိတ်ဖြာမှုအတွက် ခိုင်မာသောအခြေခံအုတ်မြစ်ကို တည်ဆောက်ပေးသည်။ မတူညီသော Intel ဟာ့ဒ်ဝဲပလပ်ဖောင်းများသည် တွက်ချက်မှုမှ IO အထိ မတူညီသောစွမ်းရည်များကို ပေးစွမ်းသောကြောင့် NGFW ရည်ညွှန်းအကောင်အထည်ဖော်မှုသည် ပိုမိုရှင်းလင်းပြတ်သားစွာတင်ပြပါသည်။ view NGFW workloads အတွက် ပလပ်ဖောင်းစွမ်းရည်များ နှင့် Intel ပရိုဆက်ဆာ မျိုးဆက်များကြား စွမ်းဆောင်ရည် နှိုင်းယှဉ်ချက်များကို ပြသရန် ကူညီပေးသည်။ ၎င်းသည် ကွန်ပျူတာစွမ်းဆောင်ရည်၊ မန်မိုရီဘန်းဝဒ်၊ IO ဘန်းဝဒ်နှင့် ပါဝါသုံးစွဲမှုအပါအဝင် မက်ထရစ်များအပေါ် စေ့စေ့စပ်စပ်ထိုးထွင်းသိမြင်နားလည်မှုများကို ပေးဆောင်သည်။ စွမ်းဆောင်ရည်စမ်းသပ်မှုရလဒ်များအပေါ်အခြေခံ၍ ကျွန်ုပ်တို့သည် NGFW အတွက်အသုံးပြုသော Intel ပလပ်ဖောင်းများတွင် TCO ခွဲခြမ်းစိတ်ဖြာမှု (တစ်ဒေါ်လာလျှင် စွမ်းဆောင်ရည်ဖြင့်) ကို ထပ်မံလုပ်ဆောင်နိုင်ပါသည်။
NGFW ရည်ညွှန်းအကောင်အထည်ဖော်မှု၏ နောက်ဆုံးထွက်ရှိချက် (25.05) တွင် အောက်ပါ အဓိကအင်္ဂါရပ်များ ပါဝင်သည်။
- အခြေခံ stateful firewall
- ကျူးကျော်ဝင်ရောက်မှု ကာကွယ်ရေးစနစ် (IPS)
- Intel® Xeon® 6 ပရိုဆက်ဆာများ၊ Intel Xeon 6 SoC စသည်တို့အပါအဝင် နောက်ဆုံးပေါ် Intel ပရိုဆက်ဆာများ၏ ပံ့ပိုးမှု။
နောင်ထွက်ရှိမှုများကို အောက်ပါ ထပ်လောင်းအင်္ဂါရပ်များကို အကောင်အထည်ဖော်ရန် စီစဉ်ထားသည်-
- VPN စစ်ဆေးခြင်း- အကြောင်းအရာစစ်ဆေးခြင်းအတွက် အသွားအလာကို IPsec ကုဒ်ဝှက်ခြင်း။
- TLS စစ်ဆေးခြင်း- ကလိုင်းယင့်နှင့် ဆာဗာကြားရှိ ချိတ်ဆက်မှုများကို ရပ်တန့်ရန်နှင့် plaintext အသွားအလာတွင် အကြောင်းအရာစစ်ဆေးခြင်းကို လုပ်ဆောင်ရန် TLS Proxy တစ်ခု။
3.1 စနစ်ဗိသုကာ
ပုံ 1 သည် အလုံးစုံ စနစ်တည်ဆောက်ပုံကို ပြထားသည်။ ကျွန်ုပ်တို့သည် စနစ်တည်ဆောက်ရန်အတွက် အခြေခံအုတ်မြစ်အဖြစ် open-source software ကို အသုံးချသည်-
- VPP သည် stateful ACLs အပါအဝင် အခြေခံ stateful firewall လုပ်ဆောင်ချက်များဖြင့် စွမ်းဆောင်ရည်မြင့် data plane solution ကို ပေးပါသည်။ ကျွန်ုပ်တို့သည် စီစဉ်သတ်မှတ်ထားသော core affinity ဖြင့် VPP thread အများအပြားကို မွေးဖွားပေးပါသည်။ VPP အလုပ်သမားချည်မျှင်တစ်ခုစီကို သီးသန့် CPU core သို့မဟုတ် execution thread တစ်ခုတွင် ချိတ်ထားသည်။
- Snort 3 ကို Multi-threading ကို ပံ့ပိုးပေးသည့် IPS အဖြစ် ရွေးချယ်ထားသည်။ Snort worker threads များကို သီးခြား CPU cores သို့မဟုတ် execution threads များတွင် ချိတ်ထားသည်။
- Snort နှင့် VPP ကို VPP သို့ Snort ပလပ်အင်ကို အသုံးပြု၍ ပေါင်းစပ်ထားသည်။ ၎င်းသည် VPP နှင့် Snort အကြား ပက်ကေ့ခ်ျများ ပေးပို့ရန်အတွက် တန်းစီအတွဲအစုံကို အသုံးပြုသည်။ တန်းစီခြင်းအတွဲများနှင့် ပက်ကတ်များကို ၎င်းတို့ကိုယ်တိုင် မျှဝေထားသော မှတ်ဉာဏ်တွင် သိမ်းဆည်းထားသည်။ ကျွန်ုပ်တို့သည် VPP Zero Copy (ZC) DAQ ဟုခေါ်သော Snort အတွက် ဒေတာရယူမှု (DAQ) အစိတ်အပိုင်းအသစ်ကို တီထွင်ခဲ့သည်။ ၎င်းသည် သက်ဆိုင်ရာ တန်းစီများဆီသို့ ဖတ်ရှုခြင်းမှ စာရေးခြင်းဖြင့် ပက်ကေ့ခ်ျများ လက်ခံခြင်းနှင့် ပို့လွှတ်ခြင်းအတွက် Snort DAQ API လုပ်ဆောင်ချက်များကို လုပ်ဆောင်သည်။ payload ကို မျှဝေထားသော memory တွင် ရှိနေသောကြောင့်၊ ၎င်းကို Zero-Copy အကောင်အထည်ဖော်မှုဟု ကျွန်ုပ်တို့ ယူဆပါသည်။
Snort 3 သည် data plane processing ထက် ကွန်ပြူတာ အရင်းအမြစ်များ ပိုမိုလိုအပ်သည့် ကွန်ပြူတာ-အလေးပေးသော အလုပ်တာဝန်ဖြစ်သောကြောင့်၊ ကျွန်ုပ်တို့သည် လုပ်ဆောင်နေသည့် ဟာ့ဒ်ဝဲပလက်ဖောင်းပေါ်တွင် စနစ်အဆင့် စွမ်းဆောင်ရည်အမြင့်ဆုံးရရှိရန် VPP ဖိုင်တွဲများနှင့် Snort3 threads အရေအတွက်ကြား ချိန်ခွင်လျှာကို ချိန်ခွင်လျှာအဖြစ် သတ်မှတ်ပြီး ပရိုဆက်ဆာ core ခွဲဝေမှုနှင့် ချိန်ခွင်လျှာကို သတ်မှတ်ရန် ကြိုးစားနေပါသည်။
ပုံ 2 (စာမျက်နှာ 6 တွင်) သည် ACL နှင့် Snort ၏အစိတ်အပိုင်းများအပါအဝင် VPP အတွင်းရှိဂရပ်ဖစ် node ကိုပြသသည် plugins. ကျွန်ုပ်တို့သည် VPP ဂရပ်ဖစ် node အသစ်နှစ်ခုကို တီထွင်ခဲ့သည်-
- snort-enq: Snort thread သည် ပက်ကေ့ဂျ်ကို စီမံဆောင်ရွက်သင့်သည်နှင့် ပတ်သက်၍ Load-balancing ဆုံးဖြတ်ချက်ကို ချပြီး ပက်ကေ့ခ်ျကို သက်ဆိုင်ရာ တန်းစီသို့ တန်းစီစေသည်။
- snort-deq- Snort worker thread တစ်ခုလျှင် တစ်ခုသော တန်းစီများစွာမှ စစ်တမ်းကောက်ယူသည့် input node တစ်ခုအဖြစ် အကောင်အထည်ဖော်ခဲ့သည်။
3.2 Intel Optimizations
ကျွန်ုပ်တို့၏ NGFW ရည်ညွှန်းချက်အကောင်အထည်ဖော်မှုသည် advan ကြာမြင့်ပါသည်။tagအောက်ဖော်ပြပါ ပိုမိုကောင်းမွန်အောင်ပြုလုပ်မှုများထဲမှ e-
- Snort သည် Snort ရှိ မူရင်းရှာဖွေရေးအင်ဂျင်နှင့် နှိုင်းယှဉ်ပါက စွမ်းဆောင်ရည် သိသိသာသာ မြှင့်တင်ပေးရန်အတွက် Hyperscan စွမ်းဆောင်ရည်မြင့် မျိုးစုံ regex ကိုက်ညီသည့် စာကြည့်တိုက်ကို အသုံးချသည်။ ပုံ 3 သည် Snort to နှင့် Hyperscan ပေါင်းစပ်မှုကို မီးမောင်းထိုးပြသည်။
ပကတိ machng နှင့် regex ကိုက်ညီသော စွမ်းဆောင်ရည်ကို အရှိန်မြှင့်ပါ။ Snort 3 သည် အသုံးပြုသူများ Hyperscan ကို config မှတဆင့်သော်လည်းကောင်း Hyperscan ကိုဖွင့်နိုင်သည့် မူရင်းပေါင်းစပ်မှုကို ပံ့ပိုးပေးပါသည်။ file သို့မဟုတ် command line ရွေးချယ်မှုများ။
- VPP သည် advan ကိုယူသည်။tage ၏ VPP လုပ်သားလိုင်းအများအပြားတွင် လမ်းကြောင်းများကို ဖြန့်ဝေရန်အတွက် Intel® Ethernet Network Adapters တွင် လက်ခံ Side Scaling (RSS)။
- Intel QAT နှင့် Intel AVX-512 လမ်းညွှန်ချက်များ- IPsec နှင့် TLS တို့ကို ပံ့ပိုးပေးသည့် အနာဂတ်ထုတ်ဝေမှုများသည် advan ကို လက်ခံရရှိမည်ဖြစ်သည်။tage Intel မှ crypto အရှိန်မြှင့်နည်းပညာများ။ Intel QAT သည် crypto စွမ်းဆောင်ရည်ကို အရှိန်မြှင့်ပေးသည်၊ အထူးသဖြင့် ကွန်ရက်ချိတ်ဆက်မှုများကို ထူထောင်ရန်အတွက် တွင်ကျယ်စွာအသုံးပြုသည့် အများသူငှာသော့ဝှက်စာရိုက်စနစ်။ Intel AVX-512 သည် VPMADD52 (များပြားခြင်းနှင့် စုဆောင်းခြင်းလုပ်ငန်းဆောင်တာများ)၊ vector AES ( Intel AES-NI ညွှန်ကြားချက်များ၏ ကွက်လပ်ဗားရှင်း)၊ vPCLMUL (vectorized သယ်ဆောင်နည်း-အမြှောက်များ၊ AES-GCM ကို အကောင်းဆုံးဖြစ်အောင်ပြုလုပ်ရန်အသုံးပြုသည်) နှင့် Intel® Secure Hash Algorithm – New Instructions-NI) အပါအဝင် Intel AVX-XNUMX သည် လျှို့ဝှက်သင်္ကေတစွမ်းဆောင်ရည်ကို မြှင့်တင်ပေးပါသည်။
NGFW အကိုးအကား အကောင်အထည်ဖော်မှု Cloud ဖြန့်ကျက်ခြင်း။
4.1 စနစ်ဖွဲ့စည်းမှု
ဇယား 3. စမ်းသပ်ဖွဲ့စည်းပုံများ
| မက်ထရစ် | တန်ဖိုး |
| Case ကိုသုံးပါ။ | Cleartext စစ်ဆေးခြင်း (FW + IPS) |
| Traffic Profile | HTTP 64KB GET (ချိတ်ဆက်မှုတစ်ခုလျှင် 1 GET) |
| VPP ACL များ | ဟုတ်သည် (နိုင်ငံပိုင် ACL နှစ်ခု) |
| Snort စည်းမျဉ်းများ | Lightspd (~49k စည်းမျဉ်းများ) |
| Snort Policy | လုံခြုံရေး (~21k စည်းမျဉ်းများ ဖွင့်ထားသည်) |
ကျွန်ုပ်တို့သည် RFC9411 ရှိ အသုံးပြုမှုကိစ္စများနှင့် KPIs များအပေါ်အခြေခံ၍ ရှင်းလင်းသောစာသားစစ်ဆေးခြင်းအခြေအနေများကိုအာရုံစိုက်ပါသည်။ အသွားအလာ ဂျင်နရေတာသည် ချိတ်ဆက်မှုတစ်ခုလျှင် 64 GET တောင်းဆိုမှုဖြင့် 1KB HTTP ငွေလွှဲမှုများကို ဖန်တီးနိုင်သည်။ သတ်မှတ်ထားသော subnets များတွင် IP များကို ခွင့်ပြုရန် ACL များကို ပြင်ဆင်သတ်မှတ်ထားပါသည်။ ကျွန်ုပ်တို့သည် Snort Lightspd စည်းမျဉ်းသတ်မှတ်ချက်နှင့် Cisco ထံမှ လုံခြုံရေးမူဝါဒကို စံသတ်မှတ်ခြင်းအတွက် လက်ခံကျင့်သုံးပါသည်။ အသွားအလာ ဂျင်နရေတာများမှ တောင်းဆိုချက်များကို ဆောင်ရွက်ပေးရန် သီးခြားဆာဗာတစ်ခုလည်း ရှိပါသည်။
ပုံ 4 နှင့် Figure 5 တွင်ပြထားသည့်အတိုင်း၊ စနစ် topology တွင် ပင်မစံနမူနာအမှတ်သုံးခု- client တစ်ခု၊ server နှင့် public cloud deployment အတွက် proxy တစ်ခုပါဝင်သည်။ အသုံးပြုသူထံမှချိတ်ဆက်မှုများကိုဆောင်ရွက်ပေးရန် bastion node တစ်ခုလည်းရှိသည်။ ကလိုင်းယင့် (WRK လည်ပတ်နေသည်) နှင့် ဆာဗာ (Nginx လည်ပတ်နေသည်) နှစ်ခုလုံးတွင် သီးခြားသီးသန့်ဒေတာလေယာဉ်ကွန်ရက် မျက်နှာပြင်တစ်ခု ရှိပြီး ပရောက်စီ (NGFW လည်ပတ်နေသော) တွင် စမ်းသပ်ရန်အတွက် ဒေတာလေယာဉ်ကွန်ရက်ကြားခံနှစ်ခု ရှိသည်။ data-plane network interfaces များသည် instance management traffic မှ သီးခြားခွဲထွက်ခြင်းကို ထိန်းသိမ်းထားသည့် သီးခြား subnet A (client-proxy) နှင့် subnet B (proxy-server) တို့နှင့် တွဲထားသည်။ သီးသန့် IP လိပ်စာအပိုင်းအခြားများကို လမ်းကြောင်းလမ်းကြောင်းနှင့် ACL စည်းမျဉ်းများဖြင့် အသွားအလာစီးဆင်းမှုကို ခွင့်ပြုရန် အခြေခံအဆောက်အအုံပေါ်တွင် ပရိုဂရမ်ထည့်သွင်းထားသည်။
4.2 စနစ်ဖြန့်ကျက်ခြင်း။
MCNAT သည် အများသူငှာ cloud တွင် ချောမွေ့မှုမရှိသော ကွန်ရက်ချိတ်ဆက်မှုဆိုင်ရာ အလုပ်တာဝန်များ ဖြန့်ကျက်မှုအတွက် အလိုအလျောက်လုပ်ဆောင်ပေးသည့် Intel မှ တီထွင်ထုတ်လုပ်ထားသော ဆော့ဖ်ဝဲကိရိယာတစ်ခုဖြစ်ပြီး စွမ်းဆောင်ရည်နှင့် ကုန်ကျစရိတ်အပေါ်အခြေခံ၍ အကောင်းဆုံး cloud instance ကိုရွေးချယ်ခြင်းဆိုင်ရာ အကြံပြုချက်များကို ပေးဆောင်သည်။
MCNAT ကို လိုလားသူ စီးရီးများမှတစ်ဆင့် စီစဉ်သတ်မှတ်ထားသည်။files၊ တစ်ခုစီသည် ဥပမာတစ်ခုစီအတွက် လိုအပ်သော ကိန်းရှင်များနှင့် ဆက်တင်များကို သတ်မှတ်ခြင်း။ instance အမျိုးအစားတစ်ခုစီတွင် ကိုယ်ပိုင် pro ရှိသည်။file ၎င်းအား ပေးထားသည့် cloud ဝန်ဆောင်မှုပေးသူ (CSP) တွင် အဆိုပါ သီးခြား instance အမျိုးအစားကို အသုံးပြုရန် MCNAT CLI ကိရိယာသို့ ပေးပို့နိုင်သည်။ ထွample command line အသုံးပြုမှုကို အောက်တွင် နှင့် Table 4 တွင် ပြထားသည်။
ဇယား 4. MCNAT Command Line အသုံးပြုမှု
| ရွေးချယ်မှု | ဖော်ပြချက် |
| - ဖြန့်ကျက် | အသစ်ဖြန့်ကျက်မှုကို ဖန်တီးရန် ကိရိယာကို ညွှန်ကြားသည်။ |
| -u | အသုံးပြုသူ အထောက်အထားများကို အသုံးပြုရန် သတ်မှတ်သည်။ |
| -c | (AWS, GCP, etc) တွင် ဖြန့်ကျက်ဖန်တီးရန် CSP |
| -s | ဖြန့်ကျက်ရန် ဇာတ်လမ်း |
| -p | လိုလားသူfile အသုံးပြုရန် |
MCNAT အမိန့်ပေးစာကြောင်းတူးလ်သည် အဆင့်တစ်ဆင့်တွင် ဖြစ်ရပ်များကို တည်ဆောက်ပြီး အသုံးချနိုင်သည်။ စံနမူနာကို အသုံးချပြီးသည်နှင့်၊ ပို့စ်ဖွဲ့စည်းမှု အဆင့်များသည် သာဓကကို ဝင်ရောက်ကြည့်ရှုခွင့်ပြုရန် လိုအပ်သော SSH ဖွဲ့စည်းမှုပုံစံကို ဖန်တီးသည်။
4.3 စနစ် Benchmarking
MCNAT သည် သာဓကများကို အသုံးချပြီးသည်နှင့်၊ စွမ်းဆောင်ရည်စစ်ဆေးမှုများအားလုံး MCNAT အက်ပ်လီကေးရှင်းကိရိယာအစုံကို အသုံးပြု၍ လုပ်ဆောင်နိုင်သည်။
ဦးစွာ၊ ကျွန်ုပ်တို့သည် အောက်ဖော်ပြပါအတိုင်း tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json တွင် စမ်းသပ်မှုကိစ္စများကို configure လုပ်ရန် လိုအပ်ပါသည်။
ပြီးရင် ex ကို သုံးလို့ရတယ်။ampစမ်းသပ်မှုကို စတင်ရန် အောက်ဖော်ပြပါ ညွှန်ကြားချက်။ DEPLOYMENT_PATH သည် ပစ်မှတ်ပတ်ဝန်းကျင် ဖြန့်ကျက်မှုအခြေအနေကို သိမ်းဆည်းထားသည့်နေရာဖြစ်သည်၊ ဥပမာ၊ tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate။ d/tfws_default
၎င်းသည် စမ်းသပ်မှုအောက်ရှိ ဥပမာအတွက် စွမ်းဆောင်ရည်နံပါတ်အစုံကို စုစည်းရန် CPU cores အကွာအဝေးကို တွယ်နေချိန်တွင် client ပေါ်ရှိ WRK မှထုတ်ပေးသော http traffic တွင် ပေးထားသော စည်းကမ်းချက်အစုံဖြင့် NGFW ကို လုပ်ဆောင်သည်။ စမ်းသပ်မှုများပြီးသောအခါ၊ ဒေတာအားလုံးကို csv အဖြစ် ဖော်မတ်လုပ်ပြီး အသုံးပြုသူထံ ပြန်ပို့ပေးပါသည်။
စွမ်းဆောင်ရည်နှင့် ကုန်ကျစရိတ် အကဲဖြတ်ခြင်း။
ဤကဏ္ဍတွင်၊ AWS နှင့် GCP ရှိ Intel Xeon ပရိုဆက်ဆာများအပေါ်အခြေခံ၍ မတူညီသော cloud instances များအပေါ် NGFW ဖြန့်ကျက်မှုများကို ကျွန်ုပ်တို့ နှိုင်းယှဉ်ပါသည်။
၎င်းသည် စွမ်းဆောင်ရည်နှင့် ကုန်ကျစရိတ်အပေါ် အခြေခံ၍ NGFW အတွက် အသင့်တော်ဆုံး cloud instance အမျိုးအစားကို ရှာဖွေခြင်းဆိုင်ရာ လမ်းညွှန်ချက်ပေးသည်။ ၎င်းတို့ကို NGFW ရောင်းချသူအများစုမှ အကြံပြုထားသောကြောင့် vCPU 4 ခုပါသော သာဓကများကို ကျွန်ုပ်တို့ရွေးချယ်ပါသည်။ AWS နှင့် GCP ပေါ်ရှိ ရလဒ်များတွင်-
- Intel® Hyper-Threading Technology (Intel® HT Technology) နှင့် Hyperscan ဖွင့်ထားသည့် 4 vCPU များကို လက်ခံဆောင်ရွက်ပေးသည့် အသေးစားဥပမာအမျိုးအစားများတွင် NGFW စွမ်းဆောင်ရည်။
- မျိုးဆက်မှမျိုးဆက် စွမ်းဆောင်ရည်သည် 1st Gen Intel Xeon Scalable ပရိုဆက်ဆာများမှ 5th Gen Intel Xeon Scalable ပရိုဆက်ဆာများအထိ ရရှိသည်။
- 1st Gen Inte® Xeon Scalable ပရိုဆက်ဆာများမှ 5th Gen Intel Xeon Scalable ပရိုဆက်ဆာများအထိ တစ်ဒေါ်လာလျှင် မျိုးဆက်မှ မျိုးဆက်အထိ စွမ်းဆောင်ရည်။
5.1 AWS ဖြန့်ကျက်ခြင်း။
5.1.1 Instance Type List
ဇယား 5. AWS Instances နှင့် On-demand နာရီနှုန်းများ
| ဥပမာ အမျိုးအစား | CPU မော်ဒယ် | vCPU | မန်မိုရီ (GB) | ကွန်ရက်စွမ်းဆောင်ရည် (Gbps) | လိုအပ်သလောက် ဟိုurly နှုန်း ($) |
| c5-xlarge | 2nd Gen Intel® Xeon® Scalable ပရိုဆက်ဆာများ | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | 1st Gen Intel® Xeon® Scalable ပရိုဆက်ဆာများ | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | 3rd Gen Intel® Xeon® Scalable ပရိုဆက်ဆာများ | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | 3rd Gen Intel Xeon Scalable ပရိုဆက်ဆာများ | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | 4th Gen Intel® Xeon® Scalable ပရိုဆက်ဆာများ | 4 | 8 | 12.5 | 0.1785 |
Table 5 မှာ အပေါ်မှာ ပြထားပါတယ်။view ကျွန်ုပ်တို့အသုံးပြုသော AWS ဖြစ်ရပ်များ။ ပလပ်ဖောင်းအသေးစိတ်အချက်အလက်များအတွက် ပလပ်ဖောင်းဖွဲ့စည်းမှုပုံစံကို ဖတ်ရှုပါ။ ၎င်းသည် on-demand ဟိုကိုလည်း စာရင်းပြုစုထားသည်။urly နှုန်း (https://aws.amazon.com/ec2/pricing/on-demand/) သာဓကအားလုံးအတွက်။ အထက်ဖော်ပြပါများသည် ဤစာတမ်းကိုထုတ်ဝေသည့်အချိန်တွင် မှာယူသည့်နှုန်းထားဖြစ်ပြီး အမေရိကန်အနောက်ဘက်ကမ်းရိုးတန်းကို အဓိကထားသည်။
လိုအပ်သလောက် ဟိုurly နှုန်းသည် ဒေသ၊ ရရှိနိုင်မှု၊ ကော်ပိုရိတ်အကောင့်များနှင့် အခြားအချက်များနှင့် ကွဲပြားနိုင်သည်။
5.1.2 ရလဒ်များ
ပုံ 6 သည် ယခုအချိန်အထိ ဖော်ပြထားသော ဥပမာအမျိုးအစားအားလုံးအတွက် တစ်နာရီလျှင် စွမ်းဆောင်ရည်နှင့် စွမ်းဆောင်ရည်နှုန်းကို နှိုင်းယှဉ်ထားသည်-
- Intel Xeon ပရိုဆက်ဆာများ၏ မျိုးဆက်သစ်များကို အခြေခံထားသော ဥပမာများဖြင့် စွမ်းဆောင်ရည် မြှင့်တင်ထားသည်။ c5.xlarge (2nd Gen Intel Xeon Scalable processor ကိုအခြေခံ၍) မှ c7i.xlarge (4th Gen Intel Xeon Scalable processor ကိုအခြေခံ၍ အဆင့်မြှင့်ခြင်း)
1.97x စွမ်းဆောင်ရည်တိုးတက်မှုကိုပြသသည်။ - Intel Xeon ပရိုဆက်ဆာများ၏ မျိုးဆက်သစ်များကို အခြေခံသည့် သာဓကများဖြင့် ဒေါ်လာနှုန်းဖြင့် စွမ်းဆောင်ရည် မြှင့်တင်ထားသည်။ c5n.xlarge မှ (1st Gen Intel Xeon Scalable processor ကိုအခြေခံ၍) ကို c7i.xlarge (4th Gen Intel Xeon Scalable processor ကိုအခြေခံ၍) အဆင့်မြှင့်တင်ခြင်းသည် 1.88x စွမ်းဆောင်ရည်/နာရီနှုန်းတိုးတက်မှုကို ပြသသည်။
5.2 GCP ဖြန့်ကျက်ခြင်း။
5.2.1 Instance Type List
ဇယား 6. GCP Instances နှင့် On-demand နာရီနှုန်းများ
| ဥပမာ အမျိုးအစား | CPU မော်ဒယ် | vCPU | မန်မိုရီ (GB) | မူရင်းအထွက် လှိုင်းနှုန်း (Gbps) | လိုအပ်သလောက် ဟိုurly နှုန်း ($) |
| n1-std-4 | 1st Gen Intel® Xeon® အရွယ်တင်နိုင်သော ပရိုဆက်ဆာများ |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | 3rd Gen Intel® Xeon® အရွယ်တင်နိုင်သော ပရိုဆက်ဆာများ |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | 4th Gen Intel® Xeon® အရွယ်တင်နိုင်သော ပရိုဆက်ဆာများ |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | 5th Gen Intel® Xeon® အရွယ်တင်နိုင်သော ပရိုဆက်ဆာများ |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | 5th Gen Intel® Xeon® အရွယ်တင်နိုင်သော ပရိုဆက်ဆာများ |
4 | 15 | 23 | 0.23761913 |
Table 6 မှာ အပေါ်မှာ ပြထားပါတယ်။view ကျွန်ုပ်တို့အသုံးပြုသော GCP ဖြစ်ရပ်များ။ ပလပ်ဖောင်းအသေးစိတ်အချက်အလက်များအတွက် ပလပ်ဖောင်းဖွဲ့စည်းမှုပုံစံကို ဖတ်ရှုပါ။ ၎င်းသည် on-demand ဟိုကိုလည်း စာရင်းပြုစုထားသည်။urly နှုန်း (https://cloud.google.com/compute/vm-instance-pricing?hl=en) သာဓကအားလုံးအတွက်။ အထက်ဖော်ပြပါများသည် ဤစာတမ်းကို ထုတ်ဝေသည့်အချိန်တွင် လိုအပ်သလောက်နှုန်းဖြစ်ပြီး အမေရိကန်အနောက်ဘက်ကမ်းရိုးတန်းကို အလေးပေးပါသည်။ လိုအပ်သလောက် ဟိုurly နှုန်းသည် ဒေသ၊ ရရှိနိုင်မှု၊ ကော်ပိုရိတ်အကောင့်များနှင့် အခြားအချက်များနှင့် ကွဲပြားနိုင်သည်။
5.2.2 ရလဒ်များ
ပုံ 7 သည် ယခုအချိန်အထိ ဖော်ပြထားသော ဥပမာအမျိုးအစားအားလုံးအတွက် တစ်နာရီလျှင် စွမ်းဆောင်ရည်နှင့် စွမ်းဆောင်ရည်နှုန်းကို နှိုင်းယှဉ်ထားသည်-
- Intel Xeon ပရိုဆက်ဆာများ၏ မျိုးဆက်သစ်များကို အခြေခံထားသော ဥပမာများဖြင့် စွမ်းဆောင်ရည် မြှင့်တင်ထားသည်။ n1-std-4 (1st Gen Intel Xeon Scalable processor ကိုအခြေခံ၍) မှ c4-std-4 (5th Gen Intel Xeon Scalable processor ကိုအခြေခံ၍) အဆင့်မြှင့်တင်ခြင်းသည် 2.68x စွမ်းဆောင်ရည်တိုးတက်မှုကိုပြသသည်။
- Intel Xeon ပရိုဆက်ဆာများ၏ မျိုးဆက်သစ်များကို အခြေခံသည့် သာဓကများဖြင့် ဒေါ်လာနှုန်းဖြင့် စွမ်းဆောင်ရည် မြှင့်တင်ထားသည်။ n1-std-4 (1st Gen Intel Xeon Scalable processor ကိုအခြေခံ၍) မှ c4-std-4 (5th Gen Intel Xeon Scalable processor ကိုအခြေခံသည်) သို့ အဆင့်မြှင့်ခြင်းသည် 2.15x စွမ်းဆောင်ရည်/နာရီနှုန်းတိုးတက်မှုကို ပြသသည်။
အနှစ်ချုပ်
အများအပြားနှင့် ပေါင်းစပ်-cloud ဖြန့်ကျက်မှုပုံစံများကို တိုးမြှင့်လက်ခံခြင်းဖြင့်၊ အများသူငှာ cloud တွင် NGFW ဖြေရှင်းချက်များအား ပေးအပ်ခြင်းသည် ပတ်ဝန်းကျင်တစ်လျှောက် တစ်သမတ်တည်းသောကာကွယ်မှု၊ လုံခြုံရေးလိုအပ်ချက်များနှင့်ကိုက်ညီစေရန် အတိုင်းအတာနှင့် ရိုးရှင်းမှုတို့ကို ပံ့ပိုးပေးပါသည်။ ကွန်ရက်လုံခြုံရေးရောင်းချသူများသည် အများသူငှာ cloud တွင် cloud instance အမျိုးအစားအမျိုးမျိုးဖြင့် NGFW ဖြေရှင်းချက်များအား ပေးဆောင်သည်။ မှန်ကန်သော cloud instance ဖြင့် စုစုပေါင်းပိုင်ဆိုင်မှု (TCO) နှင့် ရင်းနှီးမြှုပ်နှံမှုအပေါ် ပြန်အမ်းငွေ (ROI) ကို မြှင့်တင်ရန် အရေးကြီးပါသည်။ ထည့်သွင်းစဉ်းစားရန် အဓိကအချက်များမှာ ကွန်ပျူတာအရင်းအမြစ်များ၊ ကွန်ရက်ဘန်းဝဒ်နှင့် ဈေးနှုန်းတို့ဖြစ်သည်။ ကျွန်ုပ်တို့သည် NGFW ရည်ညွှန်းအကောင်အထည်ဖော်မှုကို ကိုယ်စားပြုအလုပ်ဝန်အဖြစ်အသုံးပြုပြီး မတူညီသောအများပြည်သူ cloud instance အမျိုးအစားများတွင် ဖြန့်ကျက်ခြင်းနှင့် စမ်းသပ်ခြင်းကို အလိုအလျောက်လုပ်ဆောင်ရန် MCNAT အား အသုံးချခဲ့သည်။ ကျွန်ုပ်တို့၏စံနှုန်းများအပေါ်အခြေခံ၍ AWS (4th Intel Xeon Scalable ပရိုဆက်ဆာများဖြင့် ပါဝါသုံးထားသော) နှင့် GCP (5th Intel Xeon Scalable ပရိုဆက်ဆာများဖြင့် ပါဝါသုံးထားသော) တွင်ရှိသော နောက်ဆုံးမျိုးဆက် Intel Xeon Scalable ပရိုဆက်ဆာများနှင့် ဥပမာများသည် စွမ်းဆောင်ရည်နှင့် TCO တိုးတက်မှုနှစ်ခုလုံးကို ပေးဆောင်ပါသည်။ ၎င်းတို့သည် စွမ်းဆောင်ရည်ကို 2.68x အထိ တိုးတက်စေပြီး ယခင်မျိုးဆက်များထက် တစ်နာရီလျှင် စွမ်းဆောင်ရည် 2.15x အထိ တိုးတက်စေသည်။ ဤအကဲဖြတ်မှုသည် NGFW အတွက် Intel အခြေပြု အများသူငှာ cloud ဖြစ်ရပ်များကို ရွေးချယ်ခြင်းအတွက် ခိုင်လုံသော အကိုးအကားများကို ထုတ်ပေးပါသည်။
နောက်ဆက်တွဲ A Platform Configuration
ပလက်ဖောင်းစီစဉ်သတ်မှတ်ချက်များ
c5-xlarge – “03/17/25 တွင် Intel မှ စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) Platinum 8275CL CPU @ 3.00GHz၊ 2 Cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 8GB (1x8GB DDR4 2933 MT)၊ BIOS 1.0x0၊ 5003801x Elastic Network Adapter (ENA)၊ 1x 1G Amazon Elastic Block Store၊ Ubuntu 32 LTS၊ 22.04.5-6.8.0-aws၊ gcc 1024၊ NGFW 11.4၊ Hyperscan 24.12"
c5n-xlarge – “03/17/25 တွင် Intel မှ စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) Platinum 8124M CPU @ 3.00GHz၊ 2 cores၊ HT On၊ Turbo On၊ Total Memory 10.5GB (1×10.5GB4Unknown] BIOS မိုက်ခရိုကုဒ် 2933x1.0၊ 0x Elastic Network Adapter (ENA)၊ 2007006x 1G Amazon Elastic Block Store၊ Ubuntu 1 LTS၊ 32-22.04.5-aws၊ gcc 6.8.0၊ NGFW 1024၊ Hyperscan 11.4"
c6i-xlarge – “03/17/25 တွင် Intel မှ စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz၊ 2 cores၊ HT On၊ Turbo On၊ Total Memory 8GB (1x8GB DDR4 3200 အမည်မသိ) BIOS 1.0xd0f0003၊ 6x Elastic Network Adapter (ENA)၊ 1x 1G Amazon Elastic Block Store၊ Ubuntu 32 LTS၊ 22.04.5-6.8.0-aws၊ gcc 1024၊ NGFW 11.4၊ Hyperscan 24.12"
c6in-xlarge – “03/17/25 တွင် Intel မှ စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz၊ 2 cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 8GB (1x8GB DDR4 3200 အမည်မသိ) BIOS 1.0xd0f0003၊ 6x Elastic Network Adapter (ENA)၊ 1x 1G Amazon Elastic Block Store၊ Ubuntu 32 LTS၊ 22.04.5-6.8.0-aws၊ gcc 1024၊ NGFW 11.4၊ Hyperscan 24.12"
c7i-xlarge – “03/17/25 တွင် Intel မှ စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) Platinum 8488C CPU @ 2.40GHz၊ 2 cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 8GB (1x8GB DDR4 4800 အမည်မသိ) BIOS 1.0x0b2၊ 000620x Elastic Network Adapter (ENA)၊ 1x 1G Amazon Elastic Block Store၊ Ubuntu 32 LTS၊ 22.04.5-6.8.0-aws၊ gcc 1024၊ NGFW 11.4၊ Hyperscan 24.12"
n1-std-4 – “03/17/25 တွင် Intel မှ စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) CPU @ 2.00GHz၊ 2 cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 15GB (1x15GB RAM []), BIOS Google, microcode 0xff1x1ff, G PersistentDisk၊ Ubuntu 32 LTS၊ 22.04.5-6.8.0gcp၊ gcc 1025၊ NGFW 11.4၊ Hyperscan 24.12"
n2-std-4 – Intel မှ 03/17/25 တွင် စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) CPU @ 2.60GHz၊ 2 cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 16GB (1x16GB RAM []), BIOS Google၊ မိုက်ခရိုကုဒ် 0xffffffff၊ 1x စက်၊ 1x 32G PersistentDisk၊ Ubuntu 22.04.5 6.8.0-1025gcp၊ gcc 11.4၊ NGFW 24.12၊ Hyperscan 5.6.1"
c3-std-4 – Intel မှ 03/14/25 တွင် စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) Platinum 8481C CPU @ 2.70GHz @ 2.60GHz၊ 2 cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 16GB (1x16GB RAM []), BIOS Google, မိုက်ခရိုကုဒ် 0xffffffff, 1x Computeg1GV NIC 32x Virtual Ether nvme_card-pd၊ Ubuntu 22.04.5 LTS၊ 6.8.0-1025-gcp၊ gcc 11.4၊ NGFW 24.12၊ Hyperscan 5.6.1"
n4-std-4 – Intel မှ 03/18/25 တွင် စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.10GHz၊ 2 cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 16GB (1x16GB RAM []), BIOS Google, မိုက်ခရိုကုဒ် 0xffffffff, 1x Compute Engine Virtual Ethernet [gp1, Ubuntu_32x] 22.04.5 LTS၊ 6.8.0-1025-gcp၊ gcc 11.4၊ NGFW 24.12၊ Hyperscan 5.6.1"
c4-std-4 – Intel မှ 03/18/25 တွင် စမ်းသပ်သည်။ 1-node၊ 1x Intel(R) Xeon(R) PLATINUM 8581C CPU @ 2.30GHz၊ 2 cores၊ HT On၊ Turbo On၊ စုစုပေါင်း Memory 15GB (1x15GB RAM []), BIOS Google, မိုက်ခရိုကုဒ် 0xffffffff, 1x Compute Engine Virtual Ethernet [gp1, Ubuntu_32x] 22.04.5 LTS၊ 6.8.0-1025-gcp၊ gcc 11.4၊ NGFW 24.12၊ Hyperscan 5.6.1"
နောက်ဆက်တွဲ B Intel NGFW အကိုးအကားဆော့ဖ်ဝဲဖွဲ့စည်းမှု
| Software Configuration | software ဗားရှင်း |
| Host OS | Ubuntu 22.04 LTS |
| Kernel | ၀-၉ |
| ရေးဖွဲ့သည်။ | GCC 11.4.0 |
| ရက်သတ္တပတ် | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| နှာမှုတ်ပါ။ | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-beta3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ZLIB | 1.2.11 |
| Hyperscan | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
အသုံးပြုမှု၊ ဖွဲ့စည်းမှုပုံစံနှင့် အခြားအချက်များအလိုက် စွမ်းဆောင်ရည်ကွဲပြားသည်။ တွင်ပိုမိုလေ့လာပါ။ www.Intel.com/PerformanceIndex.
စွမ်းဆောင်ရည်ရလဒ်များသည် သတ်မှတ်ဖွဲ့စည်းမှုများတွင် ပြသထားသည့် ရက်စွဲများအတိုင်း စမ်းသပ်ခြင်းအပေါ် အခြေခံပြီး အများသူငှာရရှိနိုင်သော အပ်ဒိတ်များအားလုံးကို ထင်ဟပ်စေမည်မဟုတ်ပါ။ ဖွဲ့စည်းမှုအသေးစိတ်အတွက် အရန်ကူးခြင်းကို ကြည့်ပါ။ မည်သည့် ထုတ်ကုန် သို့မဟုတ် အစိတ်အပိုင်းမှ လုံးဝ လုံခြုံနိုင်မည်မဟုတ်ပေ။
Intel သည် အကန့်အသတ်မရှိ၊ ရောင်းဝယ်ဖောက်ကားနိုင်မှု၏ သွယ်ဝိုက်အာမခံချက်၊ ရည်ရွယ်ချက်တစ်ခုအတွက် ကြံ့ခိုင်မှု၊ နှင့် ချိုးဖောက်မှုမဟုတ်သည့်အပြင် စွမ်းဆောင်ရည်၊ အရောင်းအ၀ယ်ပြုလုပ်မှု သို့မဟုတ် ကုန်သွယ်မှုတွင် အသုံးပြုမှုတို့မှ ဖြစ်ပေါ်လာသည့် မည်သည့်အာမခံချက်အပါအဝင်မဆို Intel မှ ငြင်းဆိုထားသည်။
Intel နည်းပညာများအနေဖြင့်ဖွင့်ထားသောဟာ့ဒ်ဝဲ၊
Intel သည် ပြင်ပအဖွဲ့အစည်းဒေတာကို ထိန်းချုပ်ခြင်း သို့မဟုတ် စစ်ဆေးခြင်းမပြုပါ။ တိကျမှုကို အကဲဖြတ်ရန် အခြားရင်းမြစ်များနှင့် တိုင်ပင်သင့်သည်။
ဖော်ပြထားသော ထုတ်ကုန်များတွင် ထုတ်ကုန်အား ထုတ်ပြန်ထားသည့် သတ်မှတ်ချက်များမှ သွေဖည်သွားစေနိုင်သည့် errata ဟု သိထားသည့် ဒီဇိုင်းချွတ်ယွင်းချက်များ သို့မဟုတ် အမှားအယွင်းများ ပါဝင်နိုင်သည်။ လက်ရှိသွင်ပြင်လက္ခဏာအမှားအယွင်းများကို တောင်းဆိုမှုအရ ရနိုင်ပါသည်။
© Intel ကော်ပိုရေးရှင်း။ Intel၊ Intel လိုဂိုနှင့် အခြားသော Intel အမှတ်အသားများသည် Intel ကော်ပိုရေးရှင်း သို့မဟုတ် ၎င်း၏လုပ်ငန်းခွဲများ၏ အမှတ်တံဆိပ်များဖြစ်သည်။ အခြားအမည်များနှင့် အမှတ်တံဆိပ်များကို အခြားသူများ၏ ပိုင်ဆိုင်မှုအဖြစ် တောင်းဆိုနိုင်ပါသည်။
0425/XW/MK/PDF 365150-001US
စာရွက်စာတမ်းများ / အရင်းအမြစ်များ
 |
Intel Optimize Next Generation Firewalls [pdf] အသုံးပြုသူလမ်းညွှန် Next Generation Firewalls ကို အကောင်းဆုံးဖြစ်အောင်၊ Optimize၊ Next Generation Firewalls၊ Generation Firewalls၊ Firewalls |