Comments
Transcript
Fortinet社製 FortiGate-300D UTMアプライアンス ベンチマークテスト
Fortinet 社製 UTM アプライアンス ベンチマークテストレポート DUT(テスト対象装置: Device Under Test) Fortinet 社製 FortiGate-300D 2015/05/18 SEC-00010 2015/05/18 SEC-00010 目次 ■ベンチマークテストの内容.................................................................................. 3 ■DUT(テスト対象装置: Device Under Test) ........................................................ 3 ■本資料作成のために用いた測定器 ...................................................................... 3 ■テストの概要............................................................................................... 3 ■使用ポート................................................................................................. 3 ■テストトラフィックについて................................................................................... 4 ■ベンチマークテスト項目と説明 ............................................................................ 4 ■本資料での用語の定義 .................................................................................. 5 ■本資料でのテストに関する諸元 .......................................................................... 6 1.テスト時の FortiGate-300D および Avalanche C100 の構成(基本の物理構成) ....... 6 2.テスト時の FortiGate-300D および Avalanche C100 の構成(論理構成) ............... 7 3.テスト時の FortiGate-300D のコンフィグレーション ................................................ 8 4.その他の Avalanche C100 の設定 ............................................................... 9 ■テスト結果 ................................................................................................. 9 1.DUT のコンフィグレーションごとの HTTP のスループット ............................................. 9 2.HTTP と HTTPS の比較 ............................................................................ 9 ■ベンチマークテスト機材 .................................................................................. 10 ■リファレンス ............................................................................................... 10 ■テスト対象装置 ......................................................................................... 10 ■FortiGate-300D OS 設定 ......................................................................... 11 PAGE 2 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 中規模エンタープライズ向け UTM アプライアンス・ベンチマークテストレポート ■ベンチマークテストの内容 測定器に設定する MSS(最大長:Maximum Segment Size)を変化させ、それぞれのテスト対 象機器の最大スループット測定を DUT のコンフィグレーションごとに行った。 ■DUT(テスト対象装置: Device Under Test) ・Fortinet 社製 FortiGate-300D ・製品 URL: http://www.fortinet.co.jp/doc/FGT300D-500DDS.pdf ・FortiOS v5.2.3(build670) ■本資料作成のために用いた測定器 ・Spirent Communications 社製 Spirent Avalanche C100(Version 4.46) ■テストの概要 測定器上に構成した疑似クライアントおよび疑似サーバにより生成するアプリケーショントラフィック (HTTP および HTTPS)をテスト対象機器に印加し、最大となるスループットの測定を行った。測定器 に設定する MSS は 64Bytes、128Bytes、1460Bytes とした。また、DUT のコンフィグレーションは、 以下の 6 種類でテストを行った。 ・ファイアウォールのみ有効 ・アンチウィルス(平文)のみ有効 ・アンチウィルス(平文+SSL)のみ有効 ・IPS のみ有効 ・アンチウィルス(平文)+IPS が有効 ・アンチウィルス(平文)+IPS+ウェブフィルタ+アプリケーション制御が有効 ■使用ポート クライアント群 :1000BASE-T(2 ポート) サーバ群 :1000BASE-T(2 ポート) PAGE 3 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 ■テストトラフィックについて 疑似クライアントに接続されているポートをクライアント群ネットワーク、疑似 Web サーバに接続されている ポートをサーバ群のネットワークとして使用する。各アプリケーションの TCP コネクションはクライアント群ネット ワーク上の擬似クライアントから開始する。サーバからの応答は、HTTP のボディサイズを 100kBytes 固 定とした。また、 Avalanche(疑似クライアント、疑似サーバ)では、コネクション確立時に MSS を 64Bytes / 128Bytes / 1460Bytes と変更することで、受信するパケットあたりの TCP 上のデータ量 を調整することでテストを実施した。なお、DUT のコンフィグレーションによっては Avalanche と DUT の間 で TCP コネクションがセットアップされるので、 DUT の MSS が 1460 バイトであるために Avalanche の MSS の設定値にかかわらず、Avalanche が DUT に送信するトラフィックは MSS が 1460 バイトとなっ た。 Avalanche(疑似クライアント、疑似サーバ)による負荷量の設定は、まず DUT を挟み込んだ測定を 行う前に、試験構成から決まる最大の帯域(2Gbps)を上限として、MSS が 64Bytes / 128Bytes / 1460Bytes の各ケースで最大となる負荷量を机上計算する。次に DUT を挟み込んだテストをこの値 を上限として段階的に増加する負荷を印加しておこない、大雑把な上限値を先に調べた。続いて、その 上限値付近からスタートして 30 秒毎に徐々に負荷を増加させるテストを行い、通信エラーや負荷がさば ききれなくなってコネクションが連続的に増大する直前の負荷量を見つけた。この時の平均スループットを 測定値として採用した。 ■ベンチマークテスト項目と説明 アプリケーションスループット性能 HTTP および HTTPS について、プロトコルごとに測定器(Avalanche)のクライアントポートが受信する トラフィックを測定するスループットテストを行った。 また、MSS の違いにより全通信量に占める TCP ヘッダ等のオーバーヘッドの割合が相当変わる。そこで、 測定器(Avalanche)は、アプリケーションが受け取ることのできる単位時間当たりのデータを Goodput として測定できるので、併せてこの値も記録して本資料で用いた。 PAGE 4 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 ■本資料での用語の定義 【TCP】 TCP は OSI 参照モデルのトランスポート層にあたる。TCP では各コンピュータ上で実行されている、アプリ ケーション間での通信方法を規定している。 【MSS】 最大セグメント長(Maximum Segment Size)。TCP のコネクション確立の手順(3way ハンドシェ イク)時に、受信可能な最大セグメントサイズ、すなわち 1 パケットの TCP 上に載せることのできる最大の データ量を、通信を行う双方がそれぞれ相手に通知する。データ送信方向に対してそれぞれに設定される ので、双方向でまったく異なる値となることもある。 【SSL】 Secure Sockets Layer。TCP/IP ネットワークでデータを暗号化して送受信するプロトコル(通信手順) の一つであるが、本ドキュメント中では SSL≒HTTPS としている。 【IPS】 Intrusion Prevention System(侵入防止システム)。サーバやネットワークへの不正侵入を阻止す るツール、機能。 【スループット】 本資料中では、単位時間あたりに Avalanche のクライアントポートが受信したパケットの総オクテット数の 総和。TCP ヘッダ等のオーバーヘッドはスループットに含まれる。 【Goodput】 アプリケーションが受け取ることのできる単位時間当たりのデータ量。本資料中では、Avalanche のクライ アントポートが受信した単位時間当たりのアプリケーションデータの総和を測定値として使用している。 TCP ヘッダ等のオーバーヘッドや再送されて重複した TCP 上のデータは含まれない。 PAGE 5 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 ■本資料でのテストに関する諸元 1.テスト時の FortiGate-300D および Avalanche C100 の構成(基本の物理構成) 今回のテストで用いた測定器は、Spirent Communications 社製 Avalanche C100 である。図 に示すように 1000Base-T を 4 ポート用い、サーバ疑似用に 2 ポート、クライアント疑似用に 2 ポート 設定し、FortiGate-300D と接続した。FortiGate-300D のマネジメントポートには管理用の端末を 接続し、必要に応じて cpu の状態などを確認した。 なお、テスト結果(スループット等)の測定は、Avalanche のクライアントを疑似するポートで行った。 FortiGate-300Dマネジメントポート に端末を接続し、必要に応じて CPUなどの状態を確認した Mgmt Port2 FortiGate-300D Port4 Port1 Port3 クライアントを疑 似するポート 1Gbps×2 サーバを疑似 するポート 1Gbps×2 エ ミ ュ レートされた クライア ント エ ミ ュ レートされた サーバ Avalanche クライアント群 サーバ群 テスト時の FortiGate-300D および Avalanche C100 の構成 (基本の物理構成) PAGE 6 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 2.テスト時の FortiGate-300D および Avalanche C100 の構成(論理構成) 図に示すように、172.31.1.0/24 および 172.31.2.0/24 にそれぞれ 100 台のクライアントからな る 2 つのクライアントグループを Avalanche 上に構成する。172.31.1.0/24 に属するクライアントは FortiGate-300D の Port2 に、また 172.31.2.0/24 に属するクライアントは Port4 につながる。 サーバは、10.31.1.1 と 10.31.2.1 の 2 台を構成し、それぞれ FortiGate-300D の Port1 と Port3 に接続した。 FortiGate-300D を通過するトラフィックは、以下に示す 2 種類がある。 172.31.1.101~172.31.1.200 ←→ 10.31.1.1 172.31.2.101~172.31.2.200 ←→ 10.31.2.1 本資料中で記載される測定値は、上記の 2 種類のトラフィックの合算である。 Server Server 10.31.1.1 / 24 10.31.2.1 / 24 Port1 10.31.1.99 / 24 Port3 10.31.2.99 / 24 FortiGate-300D Port2 172.31.1.99 / 24 Port4 172.31.2.99 / 24 Client Client Client Client Client Client 172.31.1.101 ~ 172.31.1.200 172.31.2.101 ~ 172.31.2.200 Avalanche テスト時の FortiGate-300D および Avalanche C100 の構成 (論理構成) PAGE 7 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 3.テスト時の FortiGate-300D のコンフィグレーション FortiGate-300D に対して、以下に示す 6 種類のコンフィグレーションにて試験を実施した。 ファイアウォールのみ有効 アンチウィルス(平文)のみ有効 アンチウィルス(平文+SSL)のみ有効 IPS のみ有効 アンチウィルス(平文)+IPS が有効 アンチウィルス(平文)+IPS+ウェブフィルタ+アプリケーション制御が有効 上記の設定の内、「ファイアウォールのみ有効」と「IPS のみ有効」の時には、Fortigate-300D は TCP コネクションをパケット単位で通過させるように機能する。 対して、他のコンフィグレーションを適用したときには、FortiGate-300D はアプリケーション上の全 データをいったんすべて受信した後に所定の処理を行い、そののちクライアントに転送するという動 作になる。そのため、一組の通信に対して FortiGate-300D を挟んで 2 つの TCP コネクションが 存在することになる。 Client FortiGate -300D 3way ハンドシェイク Server FortiGate -300D Client Server 3way ハンドシェイク リクエスト リクエスト 3way ハンドシェイク リクエスト レスポンス レスポンス レスポンス RST 該当するコンフィグレーション ・ファイアウォール有効 ・IPSのみ有効 RST RST 該当するコンフィグレーション ・アンチウイルス(平文)のみ有効 ・アンチウイルス(平文+SSL)のみ有効 ・アンチウイルス(平文)+IPSが有効 ・アンチウイルス(平文)+IPS+ウェブフィルタ +アプリケーション制御が有効 コンフィグレーションによる FortiGate-300D の動作の違いのイメージ PAGE 8 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 4.その他の Avalanche C100 の設定 TCP パラメータ 本 資 料 の た め に 実 施 し た テ ス ト で は 、ク ラ イ アン ト 疑 似 お よび サ ー バ 疑 似 の い ず れ で も 、 Avalanche C100 の TCP に関連するパラメータは、以下の通りとした。 MSS 64Bytes / 128Bytes /1460Bytes Receive Window 32768Bytes ポートレンジ(クライア ントのみ) 1024-65535 再送タイムアウト初期値 300ミリ秒 最大再送回数 5回 HTTP / HTTPS のパラメータ 本資料のために実施したテストでは、HTTP / HTTPS に関連するパラメータは、以下の通りとし た。 HTTP / HTTPSのバージョン HTTP 1.1 ポート番号 HTTP :80 HTTPS:443 サーバレスポンスのボディサイズ 100KBytes コネクションクローズ方式 クライアントからのReset HTTP / HTTPS のセキュリティ仕様 本資料を作成するために実施したテストでは、サーバ証明書のみ使用し HTTPS の通信を行った。 AES256-SHA1 である。 ■テスト結果 1.DUT のコンフィグレーションごとの HTTP のスループット 会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。 非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。 2.HTTP と HTTPS の比較 会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。 非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。 PAGE 9 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 ■ベンチマークテスト機材 本ベンチマークテストには下記の測定器を用いた。 ●Spirent Communications 社アプリケーション・パフォーマンス/セキュリティ 試験ツール Spirent Avalanche C100 Version 4.46 ■リファレンス http://tools.ietf.org/html/rfc3511 ファイアウォール パフォーマンス評価手法 Benchmarking Methodology for Firewall Performance ■テスト対象装置 ●Fortinet 社製 FortiGate-300D PAGE 10 OF 11 Copyright (C) @benchmark 2015/05/18 SEC-00010 ■FortiGate-300D OS 設定 会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。 非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。 免責 本テストレポートは@benchmark 会員よりテスト申請を受けて株式会社東陽テクニカがテストを実施し ております。 テストに際し、DUT の設定はレポート内もしくは個別の設定ファイルで公開し、この設定、テ スト環境の時の実測値を記載しており、DUT の性能を保証するものではありません。 本テストレポートに関する会員からの質問は [email protected] でお受けしております。 なお、会員以外からの質問等には一切お答えできません。 本テストレポートをデータとしてご利用いただく場合、会員規約で規定されている注意事項を了承された ものとします。 PAGE 11 OF 11 Copyright (C) @benchmark