Vergleichstest: Unified-Threat-Management-Systemen – Teil 2
Im Test: Sicherheits-Appliances der Oberklasse
Fortsetzung des Artikels von Teil 2
UDP-Latency
Für den gleichen Testaufbau wurden anschließend die Werte für die Latency ermittelt. Dabei haben die Tester eine konstante Geschwindigkeit von 100 MBit/s erzeugt. Auch diese Messung führte das Labor zunächst ohne Appliance durch.
Die Werte für die Latency betrugen bei den beiden kleinsten Frame-Formaten 7 µs. Mit 512-Byte-Paketen stieg die Latency auf 12 µs, mit 1024-Byte-Paketen auf 20 µs. Mit den größten Frames erhöhte sich die Latency auf 28 µs.
Securepoints RC300 erreichte Latency-Werte zwischen 36 und 83 µs. Dabei erzielte die Appliance die niedrigste Latency im Betrieb mit dem kleinsten Frame-Format. Mit dem Frame-Format stiegen dann die Verzögerungszeiten kontinuierlich an, um mit den größten Frames auch den höchsten Wert von 83 µs zu erreichen.
Telco Techs Liss-3000 kam bei unseren Latency-Messungen auf Werte zwischen 33 und 98 µs. Wie schon bei dem Securepoint-System lagen die niedrigsten Werte bei den Messungen mit den kleinsten Frames vor und stiegen dann kontinuierlich mit dem Frame-Format.
Zyxels Zywall-USG-300 kam bei der Messung mit den größten Frames auf eine Latency von 345 µs. Verwendeten wir kleinere Frames, lag der Wert bei rund 33 ms. Die deutliche Erhöhung ist hier darauf zurückzuführen, dass das System an seiner Leistungsgrenze war und die Pufferspeicher sich entsprechend füllten.
Die gleiche Messung wurde anschließend mit 1-Prozent-Schritten und dem größten Frame-Format durchgeführt, um die maximal erreichbare Durchsatzleistung sowie die damit verbundene Latency zu ermitteln. Die Referenzmessung ohne Appliance ergab 100 Prozent oder 1 GBit/s und eine Latency von 28 µs.
Zyxels Zywall USG-300 bietet unter anderem eine Vielzahl von Sicherheitsfunktionen sowie Features für das Management und Monitoring.
Securepoints RC300 erreichte bei diesem Test volle Leitungsgeschwindigkeit. Die Latency betrug dabei rund 280 µs. Wire-Speed erreichte auch Telco Techs Liss-3000. Die Latency betrug dabei rund 11 ms. Zyxels Zywall-USG-300 schaffte in diesem Test einen maximalen Durchsatz von 11 MBit/s bei einer Latency von gut 20 ms.
Bei der TCP-Performance-Messung baut die Messtechnik Verbindungen durch die Appliance auf und generiert Datenströme. Bei der Messung geht der Hauptdatenstrom als Download vom Reflector zum Avalanche. Die generierte Last ähnelt insgesamt einer unidirektionalen Smartbits-Messung mit größeren UDP-Paketen.
Die jeweilige Appliance ist an die Messtechnik, den Avalanche und Reflector von Spirent, angeschlossen. Es handelt sich dabei um einen normalen Download, bei dem in Upload-Richtung kleine Frames mit den entsprechenden Requests und in Download-Richtung automatisch die größtmöglichen Frames gesendet werden. Frame-Formate werden also nicht explizit eingestellt.
Das Messsystem simuliert so die Kommunikation zwischen Client-Systemen im internen Netzwerk sowie Rechnern im externen Netz und protokolliert das Verhalten der Appliance. Auch hier war von Anfang an die gesamte UTM-Funktionalität außer der QoS-Priorisierung aktiv. Allerdings ging hier der TCP-Verkehr am HTTP-Proxy vorbei.
Wir haben so zunächst 100 User simuliert, die jeweils einen beziehungsweise zehn Requests je 10.000 Byte pro TCP-Connection starten. Auch diese Messung wurde zunächst mit dem Testaufbau ohne dazwischen geschaltete Appliance durchgeführt. Der Testaufbau selbst kam auf 696.993 beziehungsweise 773.260 Transaktionen und 948 beziehungsweise 970 MBit/s.
Securepoints RC300 schaffte 687035 beziehungsweise 772200 Transaktionen und einen Durchsatz von 900 beziehungsweise 970 MBit/s. Telco Techs Liss-3000 kam auf 32179 und 321790 Transaktionen. Der maximale Durchsatz konnte dabei nicht ermittelt werden, weil die maximale Connection-Capacity nicht ausreichte. Zyxels Zywall-USG-300 erzielte 21444 beziehungsweise 61410 Transaktionen und Durchsatzwerte von 27 sowie 77 MBit/s.
Als nächstes wollten wir wissen, welche Durchsatzleistungen die Appliances ermöglichen, wenn der HTTP-Verkehr mit dem URL- und Antivirus-Filter analysiert wird. Dazu wurden 100 User simuliert, die jeweils zehn Requests je 10.000 Byte pro TCP-Connection starten.
Securepoints RC300 schaffte 31.790 Transaktionen bei einem Durchsatz von 43 MBit/s. Telco Techs Liss-3000 kam auf 10.585 Transaktionen und einen Durchsatz von 12,5 MBit/s. Zyxels Zywall-USG-300 lag mit 9117 Transaktionen und 9 MBit/s knapp dahinter.
Dann wollten wir wissen, wie sich die Geräte bei einem Mix aus UDP-Datenströmen und HTTP-Durchsatz verhalten. Dazu generierten wir mit den Smartbits 1 MBit/s UDP-Datenlast. Zusätzlich simulierten wir mit dem Avalanche den Zugriff von 100 Usern.
Securepoints RC300 kam bei der Messung mit der Grundlast auf eine Latency von 83 µs. Griffen zusätzlich zur Grundlast noch die simulierten HTTP-User auf das System zu, betrug die Latency 108 µs. Telco Techs Liss-3000 kam auf eine Latency von 100 µs mit der Grundlast und auf 150 µs mit dem zusätzlichen HTTP-Traffic. Zyxels Zywall-USG-300 erreichte eine Latency von 190 µs mit der Grundlast und von 250 µs mit den zusätzlich simulierten HTTP-Usern.
In der letzten Testreihe untersuchten die Real-World Labs, inwieweit die Datenpriorisierung Einfluss auf die Latency-Werte hat. Dabei haben wir niedrig und hoch priorisierte UDP-Datenströme von jeweils 1 MBit/s gesendet und zugleich wieder die Zugriffe von 100 Usern simuliert.
Securepoints RC300 und Telco Techs Liss-3000 boten keine Möglichkeit, eine Datenpriorisierung zu konfigurieren. Zyxels Zywall-USG-300 gestattete dies. Allerdings zeigten die Latency-Messwerte für die beiden Prioritäten keine Unterschiede. Sowohl für die hoch als auch für die niedrig priorisierten Datenströme konnten wir eine Latency von 250 µs messen.
UTM-Appliances müssen sich widersprechende Anforderungen erfüllen. Auf der einen Seite müssen sie die Daten, die sie an das interne, zu schützende Netz weiterleiten, möglichst genau untersuchen. Auf der anderen Seite sollen sie aber möglichst mit Leitungsgeschwindigkeit arbeiten und keine störenden Latency-Werte produzieren.
Bei solchen Anforderungen sind Kompromisse unvermeidbar. Die vorliegenden Testergebnisse haben gezeigt, dass die Systeme den Datentransport mit gewissen Einschränkungen durchaus beherrschen.
Wie sicher sie wirklich sind und welche Kompromisse die Hersteller zu Gunsten der übrigen Funktionalität eingehen, werden wir im kommenden Frühjahr in einem neuen erweiterten Testverfahren prüfen.
