Gateprotect GPX-800

Die Gateprotect [3]-Appliance GPX-800 wurde nach Herstellerangaben insbesondere für Netzwerke mit einem erhöhten Anspruch an die Ausfallsicherheit ausgelegt. Gateprotect positioniert die Appliance für Unternehmen mit bis zu 500 Mitarbeitern.

Die GPX-800 verfügt über einen aktiv/passiven HA-Modus sowie über redundante Server-Festplatten. Diese Kombination von Redundanz sowie hochwertiger Hardware soll für eine besonders hohe Ausfallsicherheit sorgen.

Die Appliance Gateprotect GPX-800 ist für Ausfallsicherheit optimiert.

Von den Funktionen her deckt die Appliance vor allem Anforderungen in großen und komplexen Netzwerken ab. Die neue »eGUI«-Technologie von Gateprotect zeichnet sich durch ihre ergonomische Orientierung am Bearbeitungsprozess aus.

Besonderheiten sind die Extended-User-Authentication, VPN-Gateway msSL mit X.509 Zertifikaten und IPSec, Traffic-Shaping und QoS, Hochverfügbarkeit und HTTP-Scan.

Das System kann auch in verschlüsselten HTTPs-Verbindungen den Datenverkehr auf Viren und andere Schadsoftware scannen. Dafür wird auf der Firewall der Datenstrom entschlüsselt, analysiert und, wenn keine Viren gefunden wurden, anschließend erneut verschlüsselt und weitergeleitet.

UDP-Durchsatz

In unserer ersten Messreihe haben wir den UDP-Datendurchsatz im UTM-Betrieb untersucht. Hierbei muss die jeweilige Appliance das interne Netz gegen das externe Netz abschotten.

Um den Datenverkehr zwischen diesen Netzen zu simulieren, wurden die Testkandidaten über zwei Ports mit dem Lastgenerator/Analysator Smartbits verbunden. Die Smartbits erzeugten dann Flows aus UDP-Paketen jeweils mit konstant 64, 256, 512, 1024 und 1518 Byte Größe.

Die Last beginnt bei jeder Messung mit 10 Prozent und wird dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht. Bei 100 Prozent liegt dann eine Bruttodurchsatzrate von 1 GBit/s vor. Der Nutzdatendurchsatz ist natürlich entsprechend geringer und hängt unter anderem von den verwendeten Frame-Formaten ab.

Weitere Detail-Messungen führten wir bei Bedarf in 1-Prozent-Schritten durch, um die Leistungsgrenzen näher zu analysieren. Die Belastung der Systeme im Test ist in diesem Aufbau unidirektional. Bei den unidirektionalen Messungen ging der Datenstrom vom WAN in Richtung LAN.

Frame-Verluste und Latenzzeiten gemessen

Gemessen wurden Frame-Loss und Latency. Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz, der unter optimalen Bedingungen möglich ist. Dieser ist der maximal erreichbare Durchschnittswert aller jeweils gemessenen Flows bei einem Frame-Loss von weniger als einem Prozent.

Da zehn Prozent 100 MBit/s entsprechen, erreicht hier eine Teststellung eine nominale Durchsatzleistung von beispielsweise 300 MBit/s, wenn 400 MBit/s nicht ohne entsprechend hohe Datenverluste darstellbar sind. Um Referenzwerte für den Vergleich zu erhalten, haben wir zuerst den Testaufbau ohne zwischengeschaltete Appliance getestet.

Dann wurden die entsprechend konfigurierten Systeme nacheinander den Zangenmessungen unterzogen. Bei diesen Referenzmessungen ohne UTM-Appliance erreichte der Testaufbau bei allen Frame-Formaten einen Durchsatz von 100 Prozent oder brutto 1 GBit/s.

Bei allen Messungen war von Anfang an der gesamte UTM-Funktionsumfang aktiviert, mit Ausnahme der QoS-Datenpriorisierung. Clavisters SG3210 schaffte bei unseren Messungen mit allen Frame-Formaten einen nach unserer Definition maximalen Bruttodurchsatz von 30 Prozent oder 300 MBit/s. Einzige Ausnahme war der Betrieb mit ausschließlich 64 Byte großen Datenpaketen. In diesem Fall waren noch 200 MBit/s drin.

Funkwerks Packetalarm-UTM 2500 ist eine Kombination aus Firewall, IPS-System, Gateway und Virenscanner.

Auch Funkwerks Packetalarm-UTM2500 schaffte einen maximalen Durchsatz von 300 MBit/s. Allerdings war diese Leistung nur mit den beiden größten Frame-Formaten realisierbar. Bei der Messung mit dem Frame-Format 512 Byte lagen dann noch Durchsatzraten von 200 MBit/s an.

Im Betrieb mit 256 Byte kleinen Frames waren 100 MBit/s möglich. Datenströme aus 64-Byte-Paketen drückten den Durchsatz auf unter 100 MBit/s.

Gateprotects GPX-800 schaffte bei den Messungen mit den drei großen Frame-Formaten 100 Prozent und somit Gigabit-Ethernet-Leitungsgeschwindigkeit. Verwendeten wir 256- Byte-Pakete, wurden noch 600 MBit/s brutto erzielt. Waren die Frames 64 Byte klein, schaffte das Gerät einen Durchsatz von 200 MBit/s brutto.

UDP-Latency

Für den gleichen Testaufbau ermittelten die Real-World Labs anschließend die Werte für die Latency. Dabei haben wir eine konstante Durchsatzgeschwindigkeit von 100 MBit/s erzeugt.

Auch diese Messung führten wir zunächst ohne Appliance durch. Die Werte für die Latency betrugen bei den beiden kleinsten Frame-Formaten 7 μs. Mit 512-Byte-Paketen stieg die Latency auf 12, mit 1024-Byte-Paketen auf 20 μs. Mit den größten Frames erhöhte sich die Latency auf 28 μs.

Clavisters SG3210 erreichte bei dieser Messung Latenzzeiten zwischen 34 und 114 μs. Dabei lag der niedrigste Wert bei der Messung mit 512-Byte-Paketen an. Die höchste Latency erreichte die Clavister-Teststellung bei der Messung mit den kleinsten Paketen. Bei den größten Frames betrug die Latency 70 μs.

Clavisters SG3210 kann über den Wechsel zu einem teureren Lizenz-schlüssel ohne Hardware-Tausch auf 1 GBit/s aufgerüstet werden.

Funkwerks Packetalarm-UTM2500 erreichte bei unserer Messung von 10 Prozent Last mit 256-Byte-Paketen eine Latency von 56 μs. Mit zunehmender Frame-Größe stieg dann hier die Latency auch moderat an, so dass die Funkwerk-Appliance bei der Messung mit den größten Frames eine Latenz von 110 μs erreichte.

Gateprotects GPX-800 schaffte bei unserer Messung mit den kleinsten Frames dagegen auch den geringsten Latency-Wert von 32 μs. Mit zunehmender Frame-Größe stieg dann der Messwert für die Latency moderat an und erreichte bei der Messung mit den größten Frames eine Latency von 88 μs.

Optimaler UDP-Durchsatz und Latency

Anschließend führten wir dieselbe Messung mit 1-Prozent-Schritten und dem größten Frame-Format durch. Auf diese Weise ermittelten wir die maximal erreichbare Durchsatzleistung sowie die damit verbundene Latency.

Die Referenzmessung ohne Appliance ergab 100 Prozent oder 1 GBit/s und eine Latency von 28 μs. Clavisters SG3210 kam bei diesem Verfahren auf einen Durchsatz von 380 MBit/s. Die Latency betrug bei dieser Leistung 154 μs. Funkwerks Packetalarm-UTM2500 erreichte in dieser Disziplin einen Durchsatz von 370 MBit/s. Dabei lag die Latency bei 279 μs. Und Gateprotects GPX-800 schaffte das volle GBit/s mit einem Latency-Wert von 299 μs.

TCP-Performance

Bei der TCP-Performance-Messung baut die Messtechnik Verbindungen durch die Appliance auf und generiert Datenströme. Bei der Messung geht der Hauptdatenstrom als Download vom Reflector zum Avalanche. Die generierte Last ähnelt insgesamt einer unidirektionalen Smartbits-Messung mit größeren UDP-Paketen.

Die Appliance ist mit der Messtechnik, dem Avalanche und Reflector von Spirent, angeschlossen. Es handelt sich hierbei um einen normalen Download, bei dem in Upload-Richtung kleine Frames mit den entsprechenden Requests, und in Download-Richtung automatisch die größtmöglichen Frames verwendet werden.

Frame-Formate werden also nicht explizit eingestellt. Die Messtechnik simuliert so die Kommunikation zwischen Client-Systemen im internen Netzwerk sowie Rechnern im externen Netz und protokolliert das Verhalten der Appliance.

Auch hier waren von Anfang an alle UTM-Funktionen aktiviert, außer der QoS-Priorisierung. Allerdings ging hier der TCP-Verkehr am HTTP-Proxy vorbei. Wir haben so zunächst 100 User simuliert, die jeweils einen beziehungsweise zehn Requests je 10.000 Byte pro TCP-Connection starten.

Auch diese Messung haben wir zunächst mit dem Testaufbau ohne dazwischen geschaltete Appliance durchgeführt und dann die Leistungswerte der einzelnen Teststellungen ermittelt. Der Testaufbau selbst kam auf 696.993 beziehungsweise 773.260 Transaktionen und 948 beziehungsweise 970 MBit/s.

Clavisters SG3210 schaffte hier 282 098 beziehungsweise 290.297 Transaktionen und einen maximalen Durchsatz von 360 MBit/s. Funkwerks Packetalarm-UTM2500 erreichte 57.339 und 214.710 Transaktionen und 211 MBit/s beziehungsweise 270 MBit/s. Allerdings konnte die Messung nicht fehlerfrei durchlaufen, da die Connection-Capacity nicht ausreichte und ab der Hälfte des Testdurchlaufes keine neuen TCP-Verbindungen mehr aufgebaut werden konnten.

Gateprotects GPX-800 erreichte einen Wert von 758.010 Transaktionen und einen maximalen Durchsatz von 960 MBit/s, also auch hier quasi Leitungsgeschwindigkeit.

TCP-Durchsatz mit URL-Filter und Antivirus

Als nächstes wollten wir wissen, welche Durchsatzleistungen die Appliances ermöglichen, wenn der HTTP-Verkehr mit dem URL- und Antivirus-Filter analysiert wird. Wir haben 100 User simuliert, die jeweils zehn Requests je 10.000 Byte pro TCP-Connection starten.

Clavisters SG3210 schaffte hier 89.749 Transaktionen und erreichte einen Durchsatz von 115 MBit/s. Funkwerks Packetalarm-UTM2500 erzielte 5240 Transaktion und einen Durchsatz von 6 MBit/s. Gateprotects GPX-800 erreichte hier 9260 Transaktionen und einen Durchsatz von 11 MBit/s.

UDP-Latency bei HTTP-Durchsatz

Anschließend wollten wir wissen, wie sich die Teststellungen bei einem Mix aus UDP-Datenströmen und HTTP-Durchsatz verhalten. Dazu generierten wir mit den Smartbits 1 MBit/s UDP-Datenlast. Zusätzlich simulierten wir mit dem Avalanche den Zugriff von 100 Usern.

Clavisters SG3210 kam hierbei auf eine Latency von rund 70 μs. Griffen zusätzlich die simulierten HTTP-User auf das Netz zu, stieg die Latency auf 400 μs. Funkwerks Packetalarm- UTM2500 kam auf eine Latency von 110 μs für UDP, und mit zusätzlichem HTTP-Traffic erhöhte sich die Latency auf 150 μs.

Gateprotects GPX-800 erreichte eine Latency ohne HTTP-Last von rund 100 und mit von rund 115 μs.

UDP-Latency mit Datenpriorisierung

In der letzten Testreihe testen wir, inwieweit die Datenpriorisierung Einfluss auf die Latency-Werte hat. Dabei haben wir niedrig und hoch priorisierte UDP-Datenströme von jeweils 1 MBit/s gesendet und zugleich wieder die Zugriffe von 100 Usern simuliert.

Bei Clavisters SG3210 waren praktisch keine Unterschiede zwischen den unterschiedlich priorisierten Datenströmen feststellbar. Beide kamen auf eine Latency von rund 380 μs. Funkwerks Packetalarm-UTM2500 erzeugte beim Transport der hoch priorisierten Datenströme eine Latency von 160 μs. Die niedrig priorisierten Datenströme transportierte das System dagegen mit einer Verzögerung von 280 μs.

Gateprotects GPX-800 kam bei der gleichen Messung mit hoch priorisierten Datenströmen auf eine Latency von 120 μs. Die niedrig priorisierten Daten hatten dagegen eine Latency von 325 μs.

Fazit

Die Hersteller der UTM-Appliances haben sich viel vorgenommen. Ihre digitalen Torwächter müssen die Daten, die möglichst in Leitungsgeschwindigkeit und mit der gewünschten Übertragungsqualität an ihrem Ziel ankommen sollen, genauestens untersuchen. Das sollen sie möglichst gründlich machen, aber auch ohne nennenswerte Bearbeitungszeiten zu benötigen.

Die vorliegenden Testergebnisse haben gezeigt, dass die Systeme den Datentransport mit gewissen Einschränkungen durchaus beherrschen. Wie sicher sie wirklich sind und welche Kompromisse die Hersteller zu Gunsten der übrigen Funktionen eingehen, werden wir im kommenden Frühjahr mithilfe eines neuen erweiterten Testverfahren prüfen.

TESTVERFAHREN FIREWALL/VPN-APPLIANCES

Als Lastgenerator und Analysator haben wir in unseren Real-World Labs einen »Smartbits 6000C Traffic Generator/ Analysator« von Spirent Communications [4] eingesetzt. Das System ist mit der Software »SmartFlow« ausgestattet und mit 24 Gigabit-Ethernet-Kupfer-Ports bestückt. Alle Ports können softwareseitig als Lastgeneratorausgang und/oder als Analysatoreingang eingesetzt werden.

Für die TCP-Messungen verwendeten wir »Avalanche« und »Reflector « von Spirent. Bei allen Messungen handelt es sich um Zangenmessungen, bei denen entsprechende Datenströme generiert und analysiert werden.

Um vergleichbare, gültige und aussagefähige Ergebnisse zu erzielen, haben wir im Vorfeld die Einstellungen der UTM-Appliances festgelegt und ein für alle Tests verbindliches Standard-Rule-Set vorgegeben. Für die korrekte Konfiguration sorgten wir gemeinsam mit den Ingenieuren des jeweiligen Herstellers, die ihr eigenes System im Test begleiteten.

Die einzelnen Netzsegmente haben wir mithilfe von LAN-Switches eingerichtet. Diese Systeme leisteten in den Kontrollmessungen, die den Tests vorangingen, volle Leitungsgeschwindigkeit und sind aus diesem Grund in Hinsicht auf das Datenrahmenverlustverhalten des Testaufbaus vollständig transparent.

Mit Hilfe der drei Linux-Intel-PC-Clients in den einzelnen überprüften wir die korrekte Firewall-Konfiguration und -Funktion jeweils vor den einzelnen Testläufen.