Firewall und VPN in einer Box
Leistungsmessungen
Bei den IP-Leistungsmessungen erzielten die beiden Testkandidaten unterschiedliche Ergebnisse. Erwartungsgemäß schnitt die kleiner dimensionierte Lösung von Instagate mit den niedrigeren Werten ab.
Betrachten wir die Resultate auf Detailebene, ergeben sich interessante Erkenntnisse. Relativ gute Werte erzielte die Firebox bei den Tests mit Verschlüsselung. Dies liegt daran, dass wir die Messungen mit einer Hardwarebeschleunigung für die Verschlüsselung durchführen mussten. Diese Hardware ist Bestandteil jeder ausgelieferten Firebox 1000. Es ist nicht möglich, die Beschleunigungsfunktion abzuschalten. Alle anderen Testkandidaten haben wir ohne beziehungsweise im Fall der "Cisco PIX" zusätzlich mit Hardwarebeschleunigung gemessen, diese Ergebnisse allerdings nicht gewertet. Somit lassen sich die Messergebnisse mit Verschlüsselung für Watchguard nur eingeschränkt vergleichen.
Instagate erreichte zwar nicht die Performance der Firebox, konnte jedoch durch einen sehr stabilen Betrieb überzeugen. Die Testergebnisse waren auch bei wiederholten Läufen sehr konstant. Überlastsituationen bewältigte die Firewall-Appliance von Esoft ohne Probleme.
Bei Watchguard traten mit 1518 Byte großen Paketen Schwierigkeiten auf. Die unverschlüsselte bidirektionale Messung ließ sich nur durchführen, wenn eine feste Rate von akzeptierten Paketverlusten von 0,5 Prozent eingestellt wurde. Bei den bisher durchgeführten Firewall-Tests erlaubten wir dagegen keinen Paketverlust. Mit aktivierter Verschlüsselung schlug der Test bei bidirektionaler Messung gänzlich fehl: Die Firewall übertrug überhaupt keine Pakete mehr, der Durchsatz fiel auf 0 Prozent. Dieses Verhalten ist Watchguard bekannt. Es liegt an der Fragmentierung, die durch den Offset der Verschlüsselung nötig wird. Die Entwickler arbeiten bereits an einem Fix für dieses Problem. Ein ähnliches Phänomen konnten wir auch schon bei einem Kandidaten in der ersten Testrunde feststellen.
Werden 512-Byte-Pakete übertragen, erreicht die Firebox bei unidirektionalem Datenstrom und ohne Verschlüsselung den maximal möglichen Durchsatz von 100 Prozent beziehungsweise 100 MBit/s. Instagate liegt hier mit nur 36 Prozent deutlich niedriger. Als wir bei diesem Datenstrom eine Verschlüsselung mit 3DES einsetzten, verminderte sich der Wert bei Watchguard deutlich stärker als bei dem Gerät von Esoft: Die Firebox kam nun auf 28 Prozent, Instagate auf 17 Prozent.
Das gleiche Verhalten ist auch bei bidirektional gesendeten Daten zu beobachten. Wir hätten dagegen erwartet, dass aufgrund des in der Firebox vorhandenen Hardwarebeschleunigers die Leistung nur geringfügig sinkt.