Im Flaschenhals hängen geblieben (1)
Vergleichstest Security-Appliances – Firewall und VPN bilden häufig den Flaschenhals in modernen Netzen. Dies hat ein Vergleichstest der Real-World Labs von Network Computing ergeben.
Noch nie war sie so wichtig wie heute, die ITSicherheit. Und dafür, dass Unternehmen auch weitgehend abgesichert ihren Geschäften nachgehen können, sollen Security-Appliances sorgen. Diese Appliances stellen Funktionalität wie Firewall, VPN oder auch IPS zur Verfügung und sichern ganze Netzwerke aber auch einzelne Segmente gegeneinander ab. Damit diese Systeme nicht nur die erforderliche Sicherheit, sondern auch die notwendige Performance liefern, statten die Hersteller ihre Systeme großzügig mit Fast- und Gigabit-Ethernet-Ports aus. Denn darin sind sich die Security-Hersteller zumindest in der Theorie einig: Security-Appliances sind aktive Netzwerkkomponenten, die ebenso wie Router, Switches und andere Systeme möglichst mit Wirespeed arbeiten sollen und nicht zum Flaschenhals werden dürfen.
Wie gut solche Systeme diese Anforderungen erfüllen, sollte ein groß angelegter Vergleichstest in unseren Real-World Labs an der FH Stralsund zeigen. Getestet haben wir Fast- und Gigabit- Ethernet-Security-Appliances auf ihre Tauglichkeit für den performanten Schutz von Unternehmensnetzen und deren einzelnen Segmenten. Das Testfeld gruppiert sich in drei Bereiche: Gigabit-Ethernet-Systeme mit Firewallund VPN-Funktionalität, Gigabit-Ethernet-Systeme mit Intrusion-Prevention-Technologie, auch Intrusion-Protection-Systeme genannt, und Fast-Ethernet-Appliances mit Firewallund VPN-Funktionalität.Wie sich die Fast-Ethernet- Appliances im Test verhalten haben steht im vorliegenden Artikel. Die Ergebnisse der Gigabit- Ethernet-Tests folgen dann in den kommenden Ausgaben von Network Computing.
Das erste Testfeld bildeten Astaros »Security Gateway 220«, »Clavister SG-3150«, »bintec VPN Access 250« von Funkwerk, der »gateProtect Firewall Server v. 4.2.1«,Lucents »VPN Firewall Brick 150«, »SecureGUARD for Microsoft ISA Server 2004 ISA110« von OSST, Rimapps »Road- BLOCK CF401U«,Telcotechs »LiSS II secure gateway pro« und die »ZyWALL 5« von Zycel.
Firewall-UDP-Durchsatz
In unserer ersten Messreihe haben wir den UDPDatendurchsatz im Firewall-Betrieb untersucht. Hierbei musste die jeweilige Firewall drei Netzsegmente gegeneinander abschotten: das interne Netz, das externe Netz und die DMZ.Um den Datenverkehr zwischen diesen drei Netzsegmenten zu simulieren, haben wir die zu testenden Systeme über drei Ports mit unserem Lastgenerator/ Analysator Smartbits verbunden.Die Smartbits generierten dann Flows aus UDP-Paketen jeweils mit konstant 64, 512, 1024 und 1518 Byte Größe, die Last beginnt bei jeder Messung mit 10 Prozent und wird dann in 10-Prozent- Schritten bis auf 100 Prozent erhöht.Weitere Detail- Messungen haben wir dann in 1-Prozent- Schritten durchgeführt, um die Leistungsgrenzen exakt zu analysieren. Die Belastung der Systeme im Test ist in diesem Aufbau multidirektional, das heißt alle drei Ports senden und empfangen gleichzeitig mit Wirespeed.
Gemessen werden Frame-Loss, Latency und Jitter. Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz, der unter optimalen Bedingungen möglich ist. Dieser ist der maximal erreichbare Durchschnittswert aller sechs Flows bei einem Frame-Loss von weniger als einem Prozent. Darüber hinaus bewerten wir hier das Verhalten der Systeme bei Volllast und die Fairness, mit der die verschiedenen Flows behandelt werden.
Astaros Security-Gateway-220 erreichte einen maximalen Durchsatz von 67 MBit/s bei der Messung mit den 1518 Byte großen Frames.Waren die Pakete kleiner, ging die Performance weiter zurück. So schaffte das System bei der Messung mit 1024-Byte-Paketen noch 64 und bei 512- Byte-Paketen noch 57 MBit/s.Verwendeten wir die kleinsten 64-Byte-Pakete, dann brach die Durchsatzleistung des Astaro-Systems deutlich ein, hier war noch ein maximaler Durchsatz von gerade mal 8 MBit/s möglich.Unter Volllast mit 64-Byte-Paketen machte die Security-Gateway- 220 dann praktisch völlig »dicht«, 99,99 Prozent aller Daten gingen verloren. Mit den größeren Frames kam die Astaro-Appliance dann auch unter Volllast besser zurecht. So waren bei der Messung mit den größten Frames rund 60 MBit/s drin. Dabei hat das Gerät aber nicht alle Flows gleich behandelt. So schwankte der Frame-Loss bei der Messung mit 1518-Byte-Paketen beispielweise zwischen rund 47 und gut 33 Prozent.
Clavisters SG-3150 schaffte immerhin bei den Messungen mit den großen Frames Wirespeed. Verwendeten wir 512-Byte-Pakete waren noch 88 MBit/s drin.Mit den 64-Byte-Paketen hatte dann auch das Clavister-System seine Probleme. Hier war noch ein UDP-Durchsatz von 32 MBit/s möglich. Unter Volllast ging der 512-Byte- Durchsatz dann auf rund 78 MBit/s zurück.Verwendeten wir die kleinsten Datenpakete, schaffte die SG-3150 noch maximal gut 18 MBit/s.Dabei ging es auch nicht allzu fair zu, so schwankte der Frame-Loss bei der Messung mit den 512-Byte-Paketen zwischen gut 11 und über 32 Prozent.
Funkwerks Bintec-VPN-Access-250 schaffte mit Ausnahme der Messung mit 64-Byte-Paketen durchgehend Wirespeed. Verwendeten wir die kleinsten Pakete, waren noch rund 37 MBit/s möglich.Und die standen auch unter Volllast noch zur Verfügung. Dabei behandelte die Bintec-Firewall die verschiedenen Flows sehr fair.
Gleichfalls Wirespeed erreichte auch der Gateprotect-Firewall-Server. Allerdings nur bei den Messungen mit 1518- und mit 1024-Byte- Frames. Bei der Messung mit 512-Byte-Paketen waren noch maximal fast 85 MBit/s möglich.Verwendeten wir dann wieder die kleinsten Datenrahmen, ging der maximal erreichbare Durchsatz auf 17 MBit/s zurück.Von diesen blieb unter Volllast aber nur noch gut 1 MBit/s übrig und auch die übrigen Durchsätze reduzierten sich unter Volllast. Unabhängig von den erreichbaren Durchsatzwerten behandelte der Gateprotect- Firewall-Server alle Flows recht fair.
Lucents VPN-Firewall-Brick-150 ähnelt hier in ihrem Leistungsverhalten dem Gateprotect- System.Wirespeed lag bei den Messungen mit 1518- und 1024-Byte-Paketen an.Mit kleineren Frames hatte auch die Brick-150 ihre Probleme. So waren bei der Messung mit 512-Byte-Paketen noch 93 MBit/s möglich.Waren die Frames nur 64 Byte groß, ging der maximal zu erreichende Durchsatz auf 27 MBit/s zurück. Unter Volllast mit 64-Byte-Paketen machte die Lucent- Appliance dann aber komplett dicht.Gerade mal 0,01 MBit/s Durchsatz waren noch messbar.Verwendeten wir 512-Byte-Pakete, schaffte die Brick-150 immerhin unter Volllast noch gut 88 MBit/s. Allerdings behandelte das Lucent-System die einzelnen Flows hierbei nicht allzu fair.Hier schwankte der Frame-Loss immerhin zwischen gut acht und fast 15 Prozent.
Gleichfalls Wirespeed schaffte der Secureguard- for-Microsoft-ISA-Server-2004 von OSST bei den Messungen mit den größten Frames.Mit kleineren Frames hatte dann auch das System von OSST deutliche Probleme. So betrug der maximal erreichbare Durchsatz bei der Messung mit 64-Byte-Paketen dann noch rund 8 MBit/s, die dann aber auch unter Volllast noch zur Verfügung standen. Unter Volllast zeigten sich schon bei der Messung mit 1024-Byte-Paketen deutliche Probleme.Der erzielbare Durchsatz belief sich im Durchschnitt auf rund 67 MBit/s pro Flow.
Allerdings schwankten die Durchsätze zwischen den einzelnen Flows sehr stark. So betrug der Frame-Loss zwischen gut 4 und über 99 Prozent bei ein und der selben Messung. Als deutlich standfester erwies sich die Roadblock-CF401U von Rimapp. Zwischen 1518 und 512 Byte stand durchgehend und auch unter Volllast Wirespeed zur Verfügung.Bei der Messung mit den kleinsten Paketen ging der maximal erzielbare Durchsatz dann auf rund 25 MBit/s je Flow zurück.Unter Volllast blieben davon noch rund 15 Prozent übrig. Allerdings hat auch die Rimapp-Firewall die Flows nicht allzu fair behandelt. So schwankte der Frame-Loss bei der 64-Byte-Messung zwischen rund 70 und 98 Prozent.
Wie schon die Rimapp-Firewall hat auch Telcotechs Liss-II-Secure-Gateway-pro von 1518 bis zur Messung mit 512-Byte-Paketen durchgehend 100 MBit/s für alle Flows zur Verfügung gestellt. Bei der Messung mit 64-Byte-Frames ging der maximal erzielbare Durchsatz dann auf 13 MBit/s zurück.Unter Volllast blieben davon dann noch 0,01 MBit/s übrig. Zycels Zywall 5 zeigte dagegen schon früh Probleme. So schaffte das System bei der Messung mit den größten Frames gerade mal 27 MBit/s. Mit abnehmenden Frame-Größen ging dann auch der erzielbare Maximaldurchsatz weiter zurück.
So lagen bei der Messung mit 512-Byte Paketen noch 9 MBit/s an. Betrug das Frame-Format 64 Byte, waren gerade noch rund 1 MBit/s zu messen.Unter Volllast war das Zycel-System dann schnell überfordert.Hier lagen die Durchsatzwerte noch je nach Frame-Größe zwischen gut 23 und rund 0,6 MBit/s. Und auch mit der Fairness hat es die Zywall 5 nicht allzu genau genommen. So schwankte der Frame-Loss der einzelnen Flows bei der Messung mit den größten Datenrahmen zwischen rund 65 und über 83 Prozent.
Firewall-UDP-Durchsatz mit zu blockendem Verkehr
In einer zweiten Messreihe haben wir dann Firewall- UDP-Durchsatz mit zu blockendem Verkehr gemessen.Aufbau und Durchführung der Messung waren dabei wie schon in der ersten Messreihe. Allerdings musste die Firewall zusätzlich den Datenstrom vom externen zum internen Netz zu 100 Prozent blocken, was auch allen Systemen im Testfeld fehlerfrei gelungen ist. Alle anderen Flows sollte das jeweilige System im Test möglichst ungehindert passieren lassen. Gemessen werden wie oben Frame-Loss, Latency und Jitter.Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz. Dieser ist der maximal mögliche Durchschnittswert aller Flows mit Ausnahme der zu blockenden bei einem Frame-Loss von kleiner 1 Prozent. Dann haben wir wie oben das Verhalten der Systeme bei Volllast und die Fairness, mit der die verschiedenen Flows behandelt werden, untersucht.
Astaros Security-Gateway-220 zeigte ein ähnliches Verhalten wie in der ersten Messreihe. Die maximal erzielbaren Durchsatzraten lagen hier zwischen 76 MBit/s bei den größten Frames und 8 MBit/s bei den kleinsten Frames. Unter Volllast lagen die Leistungswerte dann noch etwas tiefer. So betrug die Durchsatzrate schon bei der Messung mit den 1518-Byte-Frames nur rund 59 MBit/s.Verwendeten wir kleinere Frames, ging der Durchsatz weiter zurück. Bei der Messung mit Volllast und 64-Byte-Paketen lagen dann nur noch 0,01 MBit/s an. Dabei schwankten die Verlustraten zwischen den einzelnen Flows recht stark. So bewegt sich der Wert für den Frame- Loss bei der Messung mit den größten Frames zwischen gut 40 und 0 Prozent.
Clavisters SG-3150 schaffte bei den Messungen mit 1518- und mit 1024-Byte-Frames erneut Wirespeed. Betrug das Frame-Format 512 Byte, standen noch rund 96 MBit/s je Flow zur Verfügung. Bei der Messung mit den kleinsten Frames ging der maximale Durchsatz dann auf 33 MBit/s zurück.Unter Volllast blieben hiervon dann noch rund 20 MBit/s übrig. Dabei behan-delte das System nicht alle Flows gleich fair.Die Werte für den Frame-Loss schwankten hier immerhin zwischen rund 72 und 85 Prozent.Unter Volllast schaffte die SG-3150 dann bei der Messung mit 512-Byte-Paketen noch einen Durchsatz von fast 92 Prozent je Flow. Zwischen den einzelnen Flows schwankten die Verlustraten dann aber auch wieder zwischen gut 19 und 0 Prozent.
Mit Ausnahme der Messung mit den kleinsten Frames bot die Bintec-VPN-Access-250 hier durchgehend Wirespeed. Verwendeten wir 64- Byte-Frames, stand noch eine Bandbreite von rund 40 MBit/s je Flow zur Verfügung, die sich auch durch Volllast nicht weiter verringen ließ. Das ist zwar auch noch weit von der theoretisch möglichen Wirespeed entfernt. Im Vergleich ist das aber mit Abstand der beste 64-Byte-Durchsatz im Testfeld, der darüber hinaus auch sehr fair auf alle Flows verteilt ist.
Wirespeed stellte auch Gateprotects Firewall- Server bei den Messungen mit 1518- und 1024- Byte-Paketen zur Verfügung.Waren die Frames 512 Byte groß, betrug die maximale Bandbreite je Flow noch 73 MBit/s. Unter Volllast blieben davon noch rund 68 MBit/s erhalten. Und bei der Messung mit den kleinsten Frames stand noch eine Bandbreite von 13 MBit/s zur Verfügung. Unter Volllast blieb davon dann noch knapp 1 MBit/s übrig. Insgesamt hat der Fire-wall-Server die Flows sehr fair behandelt und die Datenverluste gleichmäßig auf alle Flows verteilt.
Bis auf die Messung mit den kleinsten Frames stellte Lucents Brick-150 in dieser Disziplin Wirespeed zur Verfügung. Betrug das Frame-Format 64 Byte, dann war noch ein Maximaldurchsatz von 24 MBit/s möglich. Bei Volllast machte die Lucent-Firewall bei der Messung mit 64-Byte- Frames dann allerdings ganz dicht.Waren die Frames größer, konnten wir der Brick-150 in dieser Messreihe keine weiteren Schwächen nachweisen.
Deutliche Probleme hatte dagegen die OSSTFirewall. Schaffte sie in der ersten Messreihe noch bei den großen Frame-Formaten Wirespeed, so waren hier maximal 69 MBit/s bei 1518 Byte drin. Bei den kleinsten Frames schaffte die OSST-Box dann noch rund 8 MBit/s, die aber auch bei Volllast noch zur Verfügung standen.Unter Volllast schwankten die Durchsatzraten dann je nach Frame-Größe zwischen rund 80 und 8 MBit/s. Dabei verteilten sich die Datenverluste recht unfair zwischen den einzelnen Flows. So schwankten die Verlustraten bei der Messung mit den größten Frames zwischen rund 64 und 0 Prozent.
Rimapps Roadblock-CF401U überzeugte dagegen mit den gleichen Maximalwerten, die wir auch in der ersten Messreihe ermittelt hatten.Bei den kleinsten Frames waren maximal 25 MBit/s drin.Ansonsten lag durchgehend Wirespeed an. Unter Volllast mit 64-Byte-Paketen schaffte das System dann noch fast 16 MBit/s. Allerdings ließ hier dann auch die Fairness zu Wünschen übrig. So schwankten die Datenverluste zwischen den einzelnen Flows bei letztgenannter Messung zwischen 69 und fast 99 Prozent.
Telcotechs Liss-II bot mit Ausnahme der Messung mit den kleinsten Frames durchgehend Wirespeed. Betrug das Frame-Format 64 Byte, schaffte das System noch einen maximalen Durchsatz von 13 MBit/s, von dem unter Volllast nur noch 0,01 MBit/s übrig bleibt. Abgesehen von dieser deutlichen 64-Byte-Schwäche arbeitete die Liss-II hier völlig unauffällig und korrekt.
Zycels Zywall 5 zeigte sich auch in dieser zweiten Messreihe als überfordert. Betrug die Frame- Größe 1518 Byte, schaffte das System eine maximale Bandbreite von 25 MBit/s je Flow.Mit abnehmender Frame-Größe wurden die möglichen Bandbreiten dann immer geringer.Bei der Messung mit 64-Byte-Frames betrug der maximale Durchsatz noch rund 1 MBit/s.Unter Volllast verschlechterten sich die Performance-Werte dann auch für die größeren Frame-Formate noch. So betrug der Durchsatz bei der Messung mit den größten Frames noch gut 9,3 MBit/s je Flow.Dabei schwankten die Werte für die einzelnen Flows auch noch, so betrug der Frame-Loss je Flow bei der letztgenannten Messung zwischen gut 84 und über 92 Prozent.
