Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Network-Computing-Test: Drei UTM-Appliances auf dem Prüfstand

Test: Unified-Threat-Management-Systeme (Teil 1)

Network-Computing-Test: Drei UTM-Appliances auf dem Prüfstand

19. November 2008, 11:52 Uhr |
Fortsetzung des Artikels von Teil 1

Gateprotect GPX-800

Die Appliance Gateprotect GPX-800 ist für Ausfallsicherheit optimiert.
Die Appliance Gateprotect GPX-800 ist für Ausfallsicherheit optimiert.
Funkwerks Packetalarm-UTM 2500 ist eine Kombination aus Firewall, IPS-System, Gateway und Virenscanner.
Funkwerks Packetalarm-UTM 2500 ist eine Kombination aus Firewall, IPS-System, Gateway und Virenscanner.
Clavisters SG3210 kann über den Wechsel zu einem teureren Lizenz-schlüssel ohne Hardware-Tausch auf 1 GBit/s aufgerüstet werden.
Clavisters SG3210 kann über den Wechsel zu einem teureren Lizenz-schlüssel ohne Hardware-Tausch auf 1 GBit/s aufgerüstet werden.

Die Gateprotect-Appliance GPX-800 wurde nach Herstellerangaben insbesondere für Netzwerke mit einem erhöhten Anspruch an die Ausfallsicherheit ausgelegt. Gateprotect positioniert die Appliance für Unternehmen mit bis zu 500 Mitarbeitern.

Die GPX-800 verfügt über einen aktiv/passiven HA-Modus sowie über redundante Server-Festplatten. Diese Kombination von Redundanz sowie hochwertiger Hardware soll für eine besonders hohe Ausfallsicherheit sorgen.

Von den Funktionen her deckt die Appliance vor allem Anforderungen in großen und komplexen Netzwerken ab. Die neue »eGUI«-Technologie von Gateprotect zeichnet sich durch ihre ergonomische Orientierung am Bearbeitungsprozess aus.

Besonderheiten sind die Extended-User-Authentication, VPN-Gateway msSL mit X.509 Zertifikaten und IPSec, Traffic-Shaping und QoS, Hochverfügbarkeit und HTTP-Scan.

Das System kann auch in verschlüsselten HTTPs-Verbindungen den Datenverkehr auf Viren und andere Schadsoftware scannen. Dafür wird auf der Firewall der Datenstrom entschlüsselt, analysiert und, wenn keine Viren gefunden wurden, anschließend erneut verschlüsselt und weitergeleitet.

In unserer ersten Messreihe haben wir den UDP-Datendurchsatz im UTM-Betrieb untersucht. Hierbei muss die jeweilige Appliance das interne Netz gegen das externe Netz abschotten.

Um den Datenverkehr zwischen diesen Netzen zu simulieren, wurden die Testkandidaten über zwei Ports mit dem Lastgenerator/Analysator Smartbits verbunden. Die Smartbits erzeugten dann Flows aus UDP-Paketen jeweils mit konstant 64, 256, 512, 1024 und 1518 Byte Größe.

Die Last beginnt bei jeder Messung mit 10 Prozent und wird dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht. Bei 100 Prozent liegt dann eine Bruttodurchsatzrate von 1 GBit/s vor. Der Nutzdatendurchsatz ist natürlich entsprechend geringer und hängt unter anderem von den verwendeten Frame-Formaten ab.

Weitere Detail-Messungen führten wir bei Bedarf in 1-Prozent-Schritten durch, um die Leistungsgrenzen näher zu analysieren. Die Belastung der Systeme im Test ist in diesem Aufbau unidirektional. Bei den unidirektionalen Messungen ging der Datenstrom vom WAN in Richtung LAN.

Gemessen wurden Frame-Loss und Latency. Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz, der unter optimalen Bedingungen möglich ist. Dieser ist der maximal erreichbare Durchschnittswert aller jeweils gemessenen Flows bei einem Frame-Loss von weniger als einem Prozent.

Da zehn Prozent 100 MBit/s entsprechen, erreicht hier eine Teststellung eine nominale Durchsatzleistung von beispielsweise 300 MBit/s, wenn 400 MBit/s nicht ohne entsprechend hohe Datenverluste darstellbar sind. Um Referenzwerte für den Vergleich zu erhalten, haben wir zuerst den Testaufbau ohne zwischengeschaltete Appliance getestet.

Dann wurden die entsprechend konfigurierten Systeme nacheinander den Zangenmessungen unterzogen. Bei diesen Referenzmessungen ohne UTM-Appliance erreichte der Testaufbau bei allen Frame-Formaten einen Durchsatz von 100 Prozent oder brutto 1 GBit/s.

Bei allen Messungen war von Anfang an der gesamte UTM-Funktionsumfang aktiviert, mit Ausnahme der QoS-Datenpriorisierung. Clavisters SG3210 schaffte bei unseren Messungen mit allen Frame-Formaten einen nach unserer Definition maximalen Bruttodurchsatz von 30 Prozent oder 300 MBit/s. Einzige Ausnahme war der Betrieb mit ausschließlich 64 Byte großen Datenpaketen. In diesem Fall waren noch 200 MBit/s drin.

Auch Funkwerks Packetalarm-UTM2500 schaffte einen maximalen Durchsatz von 300 MBit/s. Allerdings war diese Leistung nur mit den beiden größten Frame-Formaten realisierbar. Bei der Messung mit dem Frame-Format 512 Byte lagen dann noch Durchsatzraten von 200 MBit/s an.

Im Betrieb mit 256 Byte kleinen Frames waren 100 MBit/s möglich. Datenströme aus 64-Byte-Paketen drückten den Durchsatz auf unter 100 MBit/s.

Gateprotects GPX-800 schaffte bei den Messungen mit den drei großen Frame-Formaten 100 Prozent und somit Gigabit-Ethernet-Leitungsgeschwindigkeit. Verwendeten wir 256- Byte-Pakete, wurden noch 600 MBit/s brutto erzielt. Waren die Frames 64 Byte klein, schaffte das Gerät einen Durchsatz von 200 MBit/s brutto.

Für den gleichen Testaufbau ermittelten die Real-World Labs anschließend die Werte für die Latency. Dabei haben wir eine konstante Durchsatzgeschwindigkeit von 100 MBit/s erzeugt.

Auch diese Messung führten wir zunächst ohne Appliance durch. Die Werte für die Latency betrugen bei den beiden kleinsten Frame-Formaten 7 μs. Mit 512-Byte-Paketen stieg die Latency auf 12, mit 1024-Byte-Paketen auf 20 μs. Mit den größten Frames erhöhte sich die Latency auf 28 μs.

Clavisters SG3210 erreichte bei dieser Messung Latenzzeiten zwischen 34 und 114 μs. Dabei lag der niedrigste Wert bei der Messung mit 512-Byte-Paketen an. Die höchste Latency erreichte die Clavister-Teststellung bei der Messung mit den kleinsten Paketen. Bei den größten Frames betrug die Latency 70 μs.

Funkwerks Packetalarm-UTM2500 erreichte bei unserer Messung von 10 Prozent Last mit 256-Byte-Paketen eine Latency von 56 μs. Mit zunehmender Frame-Größe stieg dann hier die Latency auch moderat an, so dass die Funkwerk-Appliance bei der Messung mit den größten Frames eine Latenz von 110 μs erreichte.

Gateprotects GPX-800 schaffte bei unserer Messung mit den kleinsten Frames dagegen auch den geringsten Latency-Wert von 32 μs. Mit zunehmender Frame-Größe stieg dann der Messwert für die Latency moderat an und erreichte bei der Messung mit den größten Frames eine Latency von 88 μs.

  1. Network-Computing-Test: Drei UTM-Appliances auf dem Prüfstand
  2. Gateprotect GPX-800
  3. Optimaler UDP-Durchsatz und Latency
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
Riello UPS GmbH

Riello UPS GmbH
NFON AG

NFON AG
AixpertSoft GmbH

AixpertSoft GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG