nachgefragt
Goto Top

Performance einer Firewall 4x SFP+ oder 1x QSFP+ l Merkmale performante Firewall

Hallo Admins,

angenommen man kauft sich einen neue Firewall, worauf ich bei den Anschlüssen zu achten bzw. was spricht dagegen:

Option A: QSFP+
Am Beispiel der FWA-5070U-00A1R https://www.thomas-krenn.com/de/produkte/industrie-systeme/firewall/fwa- ... wäre es möglich per QSFP+ (2 vorhanden) mit 40Gb vom Core Switch in die Firewall zu gehen.

Option A: SFP+
Daneben kann ich modular auch 4x SFP+ verbauen.

Problem
Die Segmentierung/Microsegmentierung schluckt viel Leistung, sodass Zugriffzeiten zwischen den Segmenten immer länger werden.

Frage
Gibt es aus Sicht der Performance ein bessere Option der Anbindung, also ob man 4x SFP+ oder 1x QSFP+ nutzt?
Welche Angaben sind wichtig für eine performante Netzwerksegmentierung?

Was ist daneben noch ausschlaggebend für die Performance einer Firewall?
Ich habe als Referenz die DEC4280 – OPNsense https://shop.opnsense.com/product/dec4280-opnsense-rack-security-applian ... im Auge, daneben das Beispiel von Thomas Krenn.
screenshot 2024-06-03 151545

Content-ID: 12057559955

Url: https://administrator.de/forum/performance-einer-firewall-4x-sfp-oder-1x-qsfp-l-merkmale-performante-firewall-12057559955.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

ThePinky777
ThePinky777 03.06.2024 aktualisiert um 17:22:52 Uhr
Goto Top
mal ne frage, warum?
Bedeutet wieviele User hast du den im Netzwerk, wie schnell ist dein internet?

ich wills mal kurz machen, mehr wie 1x 10GBits wirst du pro VLAN vermutlich nicht brauchen...

Wenn dein Internet 1Gbit hat, wirst vermutlich mit einem SFP+ das dicke handeln können.
möchtest du unterschiedliche VLANs an unterschiedlichen Anschlüssen handeln, werden vermutlich auch 1x 10 Gbits pro VLAN reichen...
commodity
commodity 03.06.2024 um 17:26:11 Uhr
Goto Top
worauf ich bei den Anschlüssen zu achten
Na, die Anschlüsse müssen zur Firewall-Performance passen. M.a.W. wenn das Gerät max. 10 Gbit/s durchsetzt, genügt der SFP+. IMO ist dabei zu differenzieren zwischen der theoretischen und der realen Performance. Je nachdem, was und wie Du am Interface filterst verlangsamt sich das Ganze ja beträchtlich. Der OPNsense-Bolide dort schafft zB. nach "Thread Protection" nur noch 7,5 Gbit/s, SFP+ reicht da also. Wenn Du aber zugleich über das Ding (warum auch immer) Traffic ungefiltert routest, geht auch mehr.

Viele Grüße, commodity
nachgefragt
nachgefragt 03.06.2024 aktualisiert um 18:15:45 Uhr
Goto Top
@ThePinky777
Ich hätte erwähnen müssen (habe es ergänzt) dass das interne Netzwerk die Problemstelle ist, d.h. die Segmentierung zwingt die Firewall in die Knie. Jetzt interessiert mich worauf zu achten ist, welche Angabe einer Firewall dafür ausschlaggebend ist.

@commodity
Sagen wir mal ca. 5 Serversysteme sind im Coreswitch mit 10Gb angebunden, es können noch ein paar mehr werden, sagt die Glaskugel.
Globetrotter
Globetrotter 03.06.2024 um 20:33:24 Uhr
Goto Top
Hi.. @nachgefragt..
Hast Du Dir schon überlegt mehrere Gateways zu schaffen ?
Umso größér unser Netzwerk wurde, habe ich die Dienste nach Prio segmentiert und dementsprechend aufgeteilt - erspart ne Menge Ärger ;)
... läuft alles über die gleiche Leitung aber versch. IP's und FW's.

Gruss Globe!
commodity
commodity 03.06.2024 um 23:22:21 Uhr
Goto Top
Sagen wir mal ca. 5 Serversysteme sind im Coreswitch mit 10Gb angebunden,
Die Anbindung sagt für sich ja noch nichts. Das muss in Beziehung zum Bedarf und natürlich zur möglichen Firewall-Leistung stehen. Dein Beispiel oben, das 7,5 Gbit/s Firewall-Leistung angibt (und auch das dürften nur Idealwerte sein), schafft formal keine Deiner 10 Gbit/s-Anbindungen. Dennoch werden diese ja kaum ständig voll ausgelastet sein.
Wenn Du das vorher verlässlich klären willst, solltest Du eine Traffic-Analyse erwägen.

Davon abgesehen hängt die Firewall-Leistung auch sehr am spezifischen Regelwerk. Schon, wenn das nicht optimiert ist, wirst Du die nominale Leistung nicht abrufen können. Wenn dazu jede Menge L7-Firewalling (wenn ja, warum?) statt findet, wird es natürlich immer langsamer. Dann ist die Anbindung Dein letztes Problem, denke ich.
Ich kann aber dazu nichts praktisches sagen. Meine Gerätchen sind eine Nummer kleiner face-wink

Der Ansatz des Kollegen @Globetrotter klingt interessant.

Viele Grüße, commodity
mbehrens
mbehrens 04.06.2024 um 01:23:48 Uhr
Goto Top
Zitat von @nachgefragt:

angenommen man kauft sich einen neue Firewall, worauf ich bei den Anschlüssen zu achten bzw. was spricht dagegen:

Option A: QSFP+
Am Beispiel der FWA-5070U-00A1R https://www.thomas-krenn.com/de/produkte/industrie-systeme/firewall/fwa- ... wäre es möglich per QSFP+ (2 vorhanden) mit 40Gb vom Core Switch in die Firewall zu gehen.

Option A: SFP+
Daneben kann ich modular auch 4x SFP+ verbauen.

Problem
Die Segmentierung/Microsegmentierung schluckt viel Leistung.

Frage
Gibt es aus Sicht der Performance ein bessere Option der Anbindung?
Welche Angaben sind wichtig für eine performante Netzwerksegmentierung?

Wäre es nicht zielführender, die Funktionen in zwei Systeme zu trennen (Router, Firewall)?
nachgefragt
nachgefragt 04.06.2024 um 06:40:43 Uhr
Goto Top
Zitat von @Globetrotter:
Hast Du Dir schon überlegt mehrere Gateways zu schaffen ?
Ja, durch die Bildung von VLANs bedingt der Segmentierung hat natürlich jedes Segment einen eigenen Gateway.
nachgefragt
nachgefragt 04.06.2024 aktualisiert um 08:12:10 Uhr
Goto Top
Zitat von @commodity:
Die Anbindung sagt für sich ja noch nichts.
Ich weiß noch als wir von 1GB auf 10Gb geswitcht hatten, z.B. wurde das Backup 30% schneller.
Dennoch werden diese ja kaum ständig voll ausgelastet sein.
Ich dachte nicht nur Bandbreite, sondern auch die Übertragungsgeschwindigkeit sind Vorteile einer Glasfaser.
Wenn Du das vorher verlässlich klären willst, solltest Du eine Traffic-Analyse erwägen.
Das ist kein Problem und einfach nachzustellen, wenn ich z.B. ein SQL-System durch VLANs trenne, steigen die Zugriffszeiten vom Client der SQL-Anwendung stark an. Außerdem protokolliert das IT-Monitoring, wobei dies, wie so oft, nur die Theorie ist. Ich kann ja in der praktischen Anwendung aufzeigen wo es wehtut.
nachgefragt
nachgefragt 04.06.2024 aktualisiert um 09:26:50 Uhr
Goto Top
Zitat von @mbehrens:
Wäre es nicht zielführender, die Funktionen in zwei Systeme zu trennen (Router, Firewall)?
Jein, die Firewall stellt das Interface, DHCP, VLAN-Bereiche,... und verwaltet dieses Segmente entsprechend, welches Segment was mit welchem darf.

Natürlich routen die Layer 3 Core- und Accessswitches die VLANs ebenso durchs Netzwerk, werden aber in der Firewall zentralisiert, also dort wo bestimmt wird wer was darf, d.h. der Core-Switch und Firewall sind direkt verbunden, da die aktuelle Firewall nicht so viele Schnittstellen hat. Eine neue Firewall könnte man ggf. mit mehr Schnittstellen ausstatten sofern es Sinn macht, der Core Switch ist ja nun schon da.

ACL steht nur bedingt zur Option für einzelne Systeme, auch das entlastet die Firewall.
commodity
commodity 04.06.2024 um 11:38:07 Uhr
Goto Top
Ich weiß noch als wir von 1GB auf 10Gb geswitcht hatten, z.B. wurde das Backup 30% schneller.
Das sagt leider überhaupt nichts zu Deiner Frage aus. Wenn bei 1Gbit/s die Leitung ein Faktor war, muss das heute unter 10 Gbit/s nicht so sein. Allein vom dickeren Kabel wird es nicht schneller.
Ich dachte nicht nur Bandbreite, sondern auch die Übertragungsgeschwindigkeit sind Vorteile einer Glasfaser.
Aber wir sprechen hier von einem Update von Glas auf Glas - oder habe ich das falsch verstanden?
wenn ich z.B. ein SQL-System durch VLANs trenne, steigen die Zugriffszeiten vom Client der SQL-Anwendung stark an
Ich bin ja nur ein kleiner KU-Fuzzi, aber eine belastbare Leistungsanalyse würde ich das nicht nennen. face-smile
Aus dem Erscheinungsbild kann man die wenig aussagekräftige Schlussfolgerung ziehen, dass Dein VLAN-Routing den Datenfluss bremst face-big-smile Das wiederum kann an vielen Faktoren liegen. Woraus schließt Du (mit technisch belastbaren Daten) dass eine stärkere Leitung dem abhelfen könnte? Hier spielen, wie bereits bemerkt, doch auch ganz andere Faktoren rein. Was und wie wird auf den Interfaces gefiltert? Warum? Was geschieht, wenn Du die Filter rausnimmst (notfalls Testsystem aufsetzen). Welche Übertragungsraten werden in diesen Fällen erreicht?
Wenn das für Dich keine Bedeutung hat, musst Du eben auf Verdacht irgendwas stärkeres reinschrauben und dann wird es bestimmt wieder schneller sein, denn die zusätzliche Leistung schluckt dann etwaige bisherige Hardwareschwächen oder Konfigurationsdefizite weg. Bei einer solchen Vorgehensweise ist die Fragestellung
4x SFP+ oder 1x QSFP
aber IMO nicht zielführend.

Viele Grüße, commodity
nachgefragt
nachgefragt 04.06.2024 um 13:26:44 Uhr
Goto Top
Zitat von @commodity:
Aber wir sprechen hier von einem Update von Glas auf Glas - oder habe ich das falsch verstanden?
Ich benötige eine performantere Firewall und wollte mich hier quer informieren auf was ich, gerade in Bezug auf Segmentierung, welches eine Firewall in die Knie zwingt, achten muss. Ich denke da spielen eben auch die inneren Werte der Firewall eine Rolle, nicht nur die Anbindung.

Gehofft hatte ich jemand kann mir genau das Merkmal sagen welche darauf Einfluss hat, auch um für mich zu wissen in welcher Größenordnung ich die Firewall ansetzen muss. Kaufe ich z.B. die "größte" der beiden hier genannten, schieße ich evtl. mit Kanonen auf Spatzen.

Beispiel: https://shop.opnsense.com/product/dec4280-opnsense-rack-security-applian ...
screenshot 2024-06-04 132452
commodity
commodity 04.06.2024 um 15:49:24 Uhr
Goto Top
Gehofft hatte ich jemand kann mir genau das Merkmal sagen welche darauf Einfluss hat, auch um für mich zu wissen in welcher Größenordnung ich die Firewall ansetzen muss.
Ist doch oben bereits angesprochen. Deine Frage bezog sich auf die Dimensionierung der Anbindung. Diese ist nicht allein ausschlaggebend, sondern eben auch die Firewall-Performance (also Prozessgeschwindigkeit). IMO folgt die Anbindung immer der Prozessgeschwindigkeit - ein Hersteller wird nicht 40 Gbit/s Anbindung verbauen, wenn der Prozessor nur 5 Gbit/s transportieren kann. M.a.W. bei einer fertig konfigurierten Kiste wird sich der Hersteller schon um die richtige Kombi Gedanken gemacht haben.

Ob diese Kombi dann für Dich passt, steht auf einem anderen Blatt, weil: Die Performance-Angaben sind auf bestimmte Testszenarien ausgelegt. Und Dein Netz (und Schutzbedarf) kann ganz anders aufgestellt sein.
Die obige Darstellung zeigt ja ganz hübsch, was passiert (alles Idealwerte):
Die Firewall kann 21 Gbit/s durchgeben. Pro Port aber nur 9 Gbit/s. Schon deutlich zu wenig für QSFP+.
Wird der Traffic durch die Threat Protection gejagt, sind es nur noch (insgesamt) 3,5 Gbit/s.

Wenn die Daten überhaupt richtig sind. Wie sehr selbst da geschludert wird, siehst Du schon am Schreibfehler (Gpbs statt Gbps) beim Tread Protection Throughput. Außerdem sind die Angaben oben für Pakete mit 1500 Bytes, was zwar die Zahlen hübsch aussehen lässt, aber keinen realistischen Traffic abbildet. Real kannst Du das dann (grob) nochmal dritteln.

Hinzu kommt, wie ebenfalls schon angesprochen, dass unsereiner auch Konfigurationsfehler macht, die die Herstellerprofis nicht machen. Und jede L7-Prüfung ist eine Leistungsbremse.

Wie auch immer: Solange Du Deinen realen Durchsatz nicht analysierst, geht jede Ratsuche am Ziel vorbei und wird ein Probieren bleiben. Gleiches gilt, solange Du die Schutzbereiche nicht definierst. Am Anfang steht ein Plan.

Viele Grüße, commodity
nachgefragt
nachgefragt 04.06.2024, aktualisiert am 05.06.2024 um 12:28:33 Uhr
Goto Top
Danke, aber wir sind nun schon über die Anbindung hinaus.

QSFP+ ist eine Weiterentwicklung von QSFP (Quad Small Form-Factor Pluggable). QSFP kann vier Kanäle gleichzeitig übertragen, und jeder Kanal kann eine Datenrate von 1 Gbit/s verarbeiten - daher der Name Quad SFP. Im Gegensatz zu QSFP unterstützt QSFP+ 4x 10 Gbit/s-Kanäle. Und die vier Kanäle können zu einem einzigen 40-Gigabit-Ethernet-Link kombiniert werden. Der QSFP+-Transceiver kann vier Standard-SFP+-Transceiver ersetzen, was zu einer größeren Portdichte und zu Einsparungen bei den Gesamtsystemkosten im Vergleich zu herkömmlichen SFP+-Produkten führt.
https://community.fs.com/de/article/sfp-vs-sfp-vs-sf-p28-vs-qsfp-vs-qsf- ...

Demnach kann es einen Unterschied machen ob man 1x QSFP+ oder 4x SFP+ anbindet.

Mich interessieren weitere Merkmale für die Performance einer Firewall, irgendetwas muss die Pakete in einer gewissen Geschwindigkeit verarbeiten bevor diese auf die Reise geschickt werden, vielleicht ist es die CPU,... .

Die Werte welche bei OPNsene zum Nachlesen sind werden bei Thomas Krenn gar nicht erwähnt, nun wüsste ich also nicht ob die FWA-5070U-00A1R oder die DEC4280 performater ist, unabhängig der technischen Anbindung.

Ich kann auch noch eine Sophos XGS 3300 zum Vergleich in den Ring werfen, auch wenn die Lizenzkosten den Preisvergleich sprengen würden

Die Fragen ist: Was ist das entscheidende Merkmal, hinsichtlich der Performance für Segmentierung, einer Firewall?
https://www.sophos.com/de-de/products/next-gen-firewall/tech-specs
https://shop.opnsense.com/product/dec4280-opnsense-rack-security-applian ...
DEC4280 vs. Sophos XGS 3300

unbenannt
nachgefragt
nachgefragt 05.06.2024 aktualisiert um 13:05:09 Uhr
Goto Top
Ergänzung zur Anbindung
Zitat von @commodity:
Wenn die Daten überhaupt richtig sind. Wie sehr selbst da geschludert wird, siehst Du schon am Schreibfehler (Gpbs statt Gbps)
Danke, da hatte ich etwas geschlafen.
10Gb (SFP+) = 1250 Megabyte (MB).
40Gb (QSFP+) = 5000 Megabyte (MB).
https://www.unitjuggler.com/bandwidth-umwandeln-von-Gbps-nach-MBps.html

These
DEC4280: 60 Gigabit (Gb) = 7500 Megabyte (MB).
Wenn nun der "Maximum Firewall Port to Port Throughput" bedeutet was max. rein-/rausgehen kann, dann wären es in dem Fall 21Gb = 2625 Megabyte (MB), was einen QSFP+ wiederum interessant macht. Wobei in dem Fall SFP28 mit 25Gb ausreichend ist.

back2topic
Was ist das entscheidende Merkmal, hinsichtlich der Performance für die Segmentierung, einer Firewall (neben der Anbindung)?
commodity
commodity 05.06.2024 um 21:55:33 Uhr
Goto Top
Was ist das entscheidende Merkmal, hinsichtlich der Performance für die Segmentierung
Das ist natürlich konfigurationsabhängig. Wenn das Routing über die Hardware geht (was nicht überall der Fall ist) sind das (in meiner Welt) vor allem

  • Filter-Rules auf den Interfaces (L3, L7, Menge, Reihenfolge)
  • Priority-Queues

Auf der OPNsense dürften die Master-Bremsen
  • Suricata und
  • Antivirus sein

Der Rest ist dann wohl eher abhängig von der User- bzw. Verbindungszahl, zB Proxies, Radius o.ä. Zur Userzahl bist Du oben schon gefragt worden. Die Antwort steht aus.

Frag doch bei Deciso einfach an, was sie unter "Thread Protection" bei den Messwerten verstehen.

Hast Du dieses Dokument hier gesehen? Da wird deutlich, dass die Anforderungen im Regelfall eher gering sind. Wenn Du darüber hinaus gehende spezielle Anforderungen hast, mag sich das auswirken, solche hast Du bislang aber nicht beschrieben.

Ich persönlich kann mir den Bedarf an einem solchen Firewall-Boliden im KU-Bereich nicht vorstellen. Ich denke eher, Du solltest zunächst bei der Konfiguration ansetzen und vor allem messen. Hier drehen wir uns im Kreis.

Ich denke, wir können hier schließen. Deine Fragestellung geht am eigentlichen Problem vorbei und ich sehe nicht, dass Du die maßgeblichen Parameter beschaffst. Das ist völlig ok - aber zu irgend etwas raten kann man auf einer solchen Basis leider nicht.

Viele Grüße, commodity
nachgefragt
nachgefragt 06.06.2024, aktualisiert am 07.06.2024 um 09:18:39 Uhr
Goto Top
@commodity
Danke für deine Meinung.

@all
Vielleicht hat jemand noch einen Gedanken dazu.

Fakt ist, dass mit zunehmender Segmentierung die Kommunikation in Summe immer langsamer wird. Ohne Segmentierung, also wenn sich die Clients im gleichen Netzwerk befinden, läuft es flüssig, daher sehe ich das Netzwerk neben der Firewall nicht als Flaschenhals.

falsche These?
Angenommen es wäre die CPU die ausmacht, wie schnell die Pakete segmentiert und in die richtige Richtung gelenkt würden, dann müsste die FWA-5070U-00A1R mit einem Intel Xeon Gold 6248R (3,00GHz, 24-Core, 35,75MB) die höchste Performance haben, die DEC4280 mit 16 (max frequency 3.1Ghz) danach un die Sophos XGS 3300 mit x86 AMD CPU - 4 Cores , 8 Threads (3,25 GHz) das Schlusslicht bilden.

Wie aber im o.g. Bild zu sehen sind die Unterschiede aber nicht so hoch.
nachgefragt
nachgefragt 14.06.2024 um 11:11:14 Uhr
Goto Top
kleines Update
Der "realen Durchsatz" wird per Monitoring sowohl in Observium, als auch in Zabbix 7 protokolliert. Die Zahlen sind jedoch nicht so spannend, als wenn man z.B. eine performantere Firewall daneben stellt und diese Daten vergleichen könnte.