Vai
 
ItLabs
Cosa sono gli ItLabs
Chi sono gli utenti di ItLabs
I servizi di ItLabs
La struttura di ItLabs
Come fare per usufruire dei servizi ItLabs
Lavora con noi
 
Archivio ItLabs
Networking e TLC
Software
Sistemi Hardware
Periferiche
 
Vai
 
Vai
 
Dizionario
Le parole dell'IT
 
 
Prova Firewall
7 firewall di fascia media proteggono la LAN
Ottobre 2001
Introduzione Checkpoint Software Next Generation (NG)
Cisco Systems PIX 515 Computer Associates eTrust Firewall
Microsoft Isa Server Nokia IP110
SonicWall Soho 2 Symantec Enterprise Firewall

Test di performance
Grazie alla collaborazione di ATS, azienda modenese specializzata nella realizzazione e distribuzione di sistemi di simulazione e analisi di traffico, abbiamo effettuato dei test di performance sui prodotti in prova.
Come già riscontrato nella prova di un anno fa, i problemi nella generazione e nella rilevazione delle connessioni non sono indifferenti e non permettono di pubblicare risultati numerici, anche se consentono di effettuare alcune considerazioni.
Il sistema utilizzato, uno Smartbits 600, ha permesso di generare richieste TCP dirette all'indirizzo del Web server di rete e passanti attraverso il firewall che si occupava di validarle secondo la rule base impostata. I principali problemi sono dovuti al fatto che una massiccia generazione di connessioni per secondo (da 1.400 a 2.000 per un totale di 20.000 nello specifico), spesso vengono bloccate all'origine dai prodotti, in quanto interpretate come un tentativo di attacco.
Sono stati effettuati, alla presenza dei tecnici di ATS, dei test sulla rete "pulita", ovvero senza firewall attivi, in modo da verificare il parametro di incidenza delle schede di rete e del sistema su un test di questo tipo. In seguito abbiamo riprodotto lo stesso test nelle diverse configurazioni dei firewall.
Nel caso di prodotti software i tempi per stabilire le connessioni non variano in maniera incisiva: i risultati evidenziano che a 2000 connessioni al secondo c'è un calo del 7/8% che a 1400 connessioni al secondo scende all'1/2%. Con i firewall hardware non è stato possibile quantificare con esattezza la differenza, mancando un vero e proprio termine di paragone, ma i risultati tendono a evidenziare come, raggiunto un picco limite di connessioni, i tempi tendano a decadere, pur mantenendo al minimo il numero di connessioni perse. Il limite in questo caso è del tutto relativo, essendo possibile, a fronte di esigenze di traffico particolari, ricorrere a prodotti hardware di fascia superiore, progettati per reggere alti volumi di richieste.
In parallelo, però, abbiamo notato come i firewall software siano maggiormente vincolati alle capacità della macchina che li ospita. Infatti il raggiungimento del picco è dovuto alla velocità di elaborazione del processore e alla dotazione di memoria, che introducono un vero e proprio "collo di bottiglia" all'interno del sistema.
Con il solo routing di Windows 2000, nel dettaglio, 2000 connessioni al secondo venivano supportate senza alcuna perdita sensibile mentre, a firewall attivo, già a 1600 connessioni si verificava una perdita sensibile (all'incirca lo 0,06 % fino ad arrivare all'8% di connessioni fallite a 2000 connessioni al secondo).

Tabella comparativa

a cura di Dario Forte e Marco Matera

01net: il nostro staff  |  Il nostro codice di comportamento  |  I nostri prodotti  |  Contattaci  |  La pubblicità su 01net  |  I servizi di ItLabs