Firewall und VPN in einer Box

TCP-Session-Rate-Tests

Für die meisten Einsatzgebiete sind die von Instagate erzielten Durchsatzwerte völlig ausreichend, weil in dem adressierten Marktsegment die meisten Kunden nur über eine WAN-Verbindung mit 2 MBit/s verfügen.

Die Tabelle auf Seite 73 zeigt ausgewählte Ergebnisse der Session-Rate-Tests. Mit ihnen überprüfen wir, wie schnell die Firewalls eine größere Anzahl von TCP-Verbindungen aufbauen können und wie viele TCP-Sessions gleichzeitig möglich sind. Die Tabelle auf Seite 72 listet die Ergebnisse für 5000 Requests pro Sekunde. Weitere Messungen mit niedrigeren und höheren Aufbauraten finden Sie in der erweiterten Online-Berichterstattung. Die Tabelle setzt sich aus folgenden Werten zusammen:

- Gesamtanzahl der aufgebauten Verbindungen,

- Anteil aufgebaute Verbindungen an gesamten Verbindungen,

- Durchschnittliche Aufbauzeit für die Verbindungen.

Wie die IP-Leistungswerte sind auch die Messungen der TCP Connection Setup Rate von Instagate sehr stabil. Das Gerät unterstützt bis zu 4096 Verbindungen. Verglichen mit den 103 000 Connections von Watchguard ist dies nicht gerade viel. Jedoch gilt auch hier, dass die Geräte unterschiedliche Zielgruppen und Benutzerzahlen adressieren. Dies ist bei der Beurteilung der Lösung von Esoft zu berücksichtigen.

Instagate zeigt einzelne Verbindungsverluste bereits bei Geschwindigkeiten von 500 bis 1000 Connections pro Sekunde. Über alle Messungen hinweg betrachtet, bleiben die Verluste im schlechtesten Fall, also bei einem Client und 10 000 Verbindungen pro Sekunde, unter 40 Prozent.

Bei Watchguard tauchen die ersten Verluste bei 1000 Connections pro Sekunde auf. Wird die Setup-Rate weiter erhöht, halten sich die Verluste in Grenzen und erreichen im schlimmsten Fall nur etwa 30 Prozent der Gesamtzahl der Verbindungen.

Aufgrund der im letzten Artikel angesprochenen Problematik mit dem Aufbau von Hashing-Tabellen zeigt sich bei Instagate wieder eine deutliche Verbesserung der Ergebnisse bei 200 IP-Clients gegenüber einem IP-Client. Dieser Unterschied fällt bei den Tests mit der Firebox nicht ganz so deutlich aus und tritt erst bei sehr hohen Verbindungsraten auf. Die Ergebnisse mit illegalem Verkehr liegen bei beiden Geräten im Bereich der Testergebnisse mit ausschließlich legalem Verkehr. Auch der Einsatz mehrerer Filterregeln beeinflusst weder bei Instagate noch bei Watchguard die Performance der Geräte. Beide Firewalls unterstützen Request-Raten, die deutlich über den Werten liegen, die im praktischen Betrieb zu erwarten sind.