Performance einer Firewall 4x SFP+ oder 1x QSFP+ l Merkmale performante Firewall

Na, die Anschlüsse müssen zur Firewall-Performance passen. M.a.W. wenn das Gerät max. 10 Gbit/s durchsetzt, genügt der SFP+. IMO ist dabei zu differenzieren zwischen der theoretischen und der realen Performance. Je nachdem, was und wie Du am Interface filterst verlangsamt sich das Ganze ja beträchtlich. Der OPNsense-Bolide dort schafft zB. nach "Thread Protection" nur noch 7,5 Gbit/s, SFP+ reicht da also. Wenn Du aber zugleich über das Ding (warum auch immer) Traffic ungefiltert routest, geht auch mehr.

Viele Grüße, commodity

Hi.. @nachgefragt..
Hast Du Dir schon überlegt mehrere Gateways zu schaffen ?
Umso größér unser Netzwerk wurde, habe ich die Dienste nach Prio segmentiert und dementsprechend aufgeteilt - erspart ne Menge Ärger ;)
... läuft alles über die gleiche Leitung aber versch. IP's und FW's.

Gruss Globe!

Die Anbindung sagt für sich ja noch nichts. Das muss in Beziehung zum Bedarf und natürlich zur möglichen Firewall-Leistung stehen. Dein Beispiel oben, das 7,5 Gbit/s Firewall-Leistung angibt (und auch das dürften nur Idealwerte sein), schafft formal keine Deiner 10 Gbit/s-Anbindungen. Dennoch werden diese ja kaum ständig voll ausgelastet sein.
Wenn Du das vorher verlässlich klären willst, solltest Du eine Traffic-Analyse erwägen.

Davon abgesehen hängt die Firewall-Leistung auch sehr am spezifischen Regelwerk. Schon, wenn das nicht optimiert ist, wirst Du die nominale Leistung nicht abrufen können. Wenn dazu jede Menge L7-Firewalling (wenn ja, warum?) statt findet, wird es natürlich immer langsamer. Dann ist die Anbindung Dein letztes Problem, denke ich.
Ich kann aber dazu nichts praktisches sagen. Meine Gerätchen sind eine Nummer kleiner

Der Ansatz des Kollegen @Globetrotter klingt interessant.

Viele Grüße, commodity

Wäre es nicht zielführender, die Funktionen in zwei Systeme zu trennen (Router, Firewall)?

Das sagt leider überhaupt nichts zu Deiner Frage aus. Wenn bei 1Gbit/s die Leitung ein Faktor war, muss das heute unter 10 Gbit/s nicht so sein. Allein vom dickeren Kabel wird es nicht schneller.
Aber wir sprechen hier von einem Update von Glas auf Glas - oder habe ich das falsch verstanden?
Ich bin ja nur ein kleiner KU-Fuzzi, aber eine belastbare Leistungsanalyse würde ich das nicht nennen.
Aus dem Erscheinungsbild kann man die wenig aussagekräftige Schlussfolgerung ziehen, dass Dein VLAN-Routing den Datenfluss bremst Das wiederum kann an vielen Faktoren liegen. Woraus schließt Du (mit technisch belastbaren Daten) dass eine stärkere Leitung dem abhelfen könnte? Hier spielen, wie bereits bemerkt, doch auch ganz andere Faktoren rein. Was und wie wird auf den Interfaces gefiltert? Warum? Was geschieht, wenn Du die Filter rausnimmst (notfalls Testsystem aufsetzen). Welche Übertragungsraten werden in diesen Fällen erreicht?
Wenn das für Dich keine Bedeutung hat, musst Du eben auf Verdacht irgendwas stärkeres reinschrauben und dann wird es bestimmt wieder schneller sein, denn die zusätzliche Leistung schluckt dann etwaige bisherige Hardwareschwächen oder Konfigurationsdefizite weg. Bei einer solchen Vorgehensweise ist die Fragestellung
aber IMO nicht zielführend.

Viele Grüße, commodity

Ist doch oben bereits angesprochen. Deine Frage bezog sich auf die Dimensionierung der Anbindung. Diese ist nicht allein ausschlaggebend, sondern eben auch die Firewall-Performance (also Prozessgeschwindigkeit). IMO folgt die Anbindung immer der Prozessgeschwindigkeit - ein Hersteller wird nicht 40 Gbit/s Anbindung verbauen, wenn der Prozessor nur 5 Gbit/s transportieren kann. M.a.W. bei einer fertig konfigurierten Kiste wird sich der Hersteller schon um die richtige Kombi Gedanken gemacht haben.

Ob diese Kombi dann für Dich passt, steht auf einem anderen Blatt, weil: Die Performance-Angaben sind auf bestimmte Testszenarien ausgelegt. Und Dein Netz (und Schutzbedarf) kann ganz anders aufgestellt sein.
Die obige Darstellung zeigt ja ganz hübsch, was passiert (alles Idealwerte):
Die Firewall kann 21 Gbit/s durchgeben. Pro Port aber nur 9 Gbit/s. Schon deutlich zu wenig für QSFP+.
Wird der Traffic durch die Threat Protection gejagt, sind es nur noch (insgesamt) 3,5 Gbit/s.

Wenn die Daten überhaupt richtig sind. Wie sehr selbst da geschludert wird, siehst Du schon am Schreibfehler (Gpbs statt Gbps) beim Tread Protection Throughput. Außerdem sind die Angaben oben für Pakete mit 1500 Bytes, was zwar die Zahlen hübsch aussehen lässt, aber keinen realistischen Traffic abbildet. Real kannst Du das dann (grob) nochmal dritteln.

Hinzu kommt, wie ebenfalls schon angesprochen, dass unsereiner auch Konfigurationsfehler macht, die die Herstellerprofis nicht machen. Und jede L7-Prüfung ist eine Leistungsbremse.

Wie auch immer: Solange Du Deinen realen Durchsatz nicht analysierst, geht jede Ratsuche am Ziel vorbei und wird ein Probieren bleiben. Gleiches gilt, solange Du die Schutzbereiche nicht definierst. Am Anfang steht ein Plan.

Viele Grüße, commodity

Das ist natürlich konfigurationsabhängig. Wenn das Routing über die Hardware geht (was nicht überall der Fall ist) sind das (in meiner Welt) vor allem

• Filter-Rules auf den Interfaces (L3, L7, Menge, Reihenfolge)
• Priority-Queues

Auf der OPNsense dürften die Master-Bremsen

• Suricata und
• Antivirus sein

Der Rest ist dann wohl eher abhängig von der User- bzw. Verbindungszahl, zB Proxies, Radius o.ä. Zur Userzahl bist Du oben schon gefragt worden. Die Antwort steht aus.

Frag doch bei Deciso einfach an, was sie unter "Thread Protection" bei den Messwerten verstehen.

Hast Du dieses Dokument hier gesehen? Da wird deutlich, dass die Anforderungen im Regelfall eher gering sind. Wenn Du darüber hinaus gehende spezielle Anforderungen hast, mag sich das auswirken, solche hast Du bislang aber nicht beschrieben.

Ich persönlich kann mir den Bedarf an einem solchen Firewall-Boliden im KU-Bereich nicht vorstellen. Ich denke eher, Du solltest zunächst bei der Konfiguration ansetzen und vor allem messen. Hier drehen wir uns im Kreis.

Ich denke, wir können hier schließen. Deine Fragestellung geht am eigentlichen Problem vorbei und ich sehe nicht, dass Du die maßgeblichen Parameter beschaffst. Das ist völlig ok - aber zu irgend etwas raten kann man auf einer solchen Basis leider nicht.

Viele Grüße, commodity