Verschlüsselung kostet Performance

TCP-Session-Rate-Tests

Zunächst testeten wir bei beiden Geräten die maximale Anzahl der gleichzeitig unterstützten TCP-Verbindungen. Während Defendo nur auf 4096 Sessions kam, erreichte Sonicwall 6144 gleichzeitige Sitzungen. Ausgehend von diesen Eckwerten konfigurierten wir Testreihen mit maximal 1000, 4096 und 6144 Verbindungen. Diese Tests führten wir mit beiden Firewalls einmal ohne und einmal mit 20 Regeln durch (die 6144 Verbindungen testeten wir nur mit Sonicwall). Die Systeme konfigurierten wir so, dass die ersten 19 Regeln keine Übereinstimmung ergaben, und erst bei der 20. Regel die Verbindung durchgelassen werden sollte.

Während der einzelnen Testläufe erhöhten wir die Anzahl der Verbindungsaufbauten pro Sekunde stetig, bis erste Sessions verloren gingen. Beide Geräte erreichten hier Werte von einigen tausend Verbindungen pro Sekunde. Dass dieser Leistungsbereich noch für weitere Produktgenerationen ausreichen dürfte, verdeutlicht folgende Berechnung:

Ein Webserver mittlerer Größe, zum Beispiel die Site www.leo.org der TU München, hat etwa eine Million Verbindungsanfragen pro Tag. Geht man davon aus, dass diese hauptsächlich während der Kernarbeitszeiten eingehen, ergibt sich ein durchschnittliche Request-Rate von etwa 30 Verbindungen pro Sekunde. Die maximalen Aufbauraten liegen bei Defendo zwischen 15 000 und 18 000 Requests pro Sekunde, bei Sonicwall zwischen 4000 und 5500. Sonicwall kann also mehr parallele Verbindungen aufbauen, erreicht aber nicht die Aufbauraten von Defendo.

Die obenstehende Tabelle zeigt die Ergebnisse der Session-Rate-Tests für eine Messung mit 5000 Requests in einer Sekunde. In den Tabellenfeldern der beiden Testkandidaten sind für die beiden Kategorien "keine Regeln" und "mit Regeln" folgende Werte untereinander dargestellt:

- die Gesamtanzahl der aufgebauten Verbindungen;

- der Anteil der aufgebauten Verbindungen an den gesamten Verbindungen;

- durchschnittliche Aufbauzeit für die Verbindungen.

Bei dieser Aufbaurate verliert Defendo keine einzige der angeforderten Verbindungen. Sonicwall zeigt insbesondere dann einen Verlust, wenn ein IP-Client eine größere Anzahl von Verbindungen aufbauen will. Mit einer Rate von 6144 Verbindungen pro Sekunde kann ein Client nur 95 Prozent der Verbindungen erfolgreich etablieren. Steigt die Aufbaurate auf 10 000 Verbindungen pro Sekunde, sinkt der Anteil der erfolgreich initiierten Sitzungen auf 31 Prozent.

Eine Mischung von erlaubten mit verbotenen TCP-Verbindungen zeigt ebenfalls unterschiedliche Ergebnisse. Defendo kann bei 5000 Requests pro Sekunde alle 1000 legalen Verbindungen aufbauen, dies entspricht 20 Prozent der gesamten Sessions. Sonicwall schafft hier mit 510 Verbindungen nur etwa die Hälfte. Bei 1000 Requests pro Sekunde baut auch Sonicwall alle legalen Sitzungen auf.

Die Messungen der mittleren Aufbauzeiten von TCP-Verbindungen zeigen keine signifikanten Unterschiede zwischen den beiden Appliances. Das Verhältnis, mit dem dieser Wert bei einer größeren Anzahl von IP Clients steigt, ist, von geringen Abweichungen abgesehen, gleich.