Fortinet社製 FortiGate-300D UTMアプライアンス ベンチマークテスト

Fortinet 社製
UTM アプライアンス
ベンチマークテストレポート
DUT(テスト対象装置: Device Under Test)
Fortinet 社製 FortiGate-300D
2015/05/18
SEC-00010
2015/05/18
SEC-00010
目次
■ベンチマークテストの内容.................................................................................. 3
■DUT(テスト対象装置: Device Under Test) ........................................................ 3
■本資料作成のために用いた測定器 ...................................................................... 3
■テストの概要............................................................................................... 3
■使用ポート................................................................................................. 3
■テストトラフィックについて................................................................................... 4
■ベンチマークテスト項目と説明 ............................................................................ 4
■本資料での用語の定義 .................................................................................. 5
■本資料でのテストに関する諸元 .......................................................................... 6
1.テスト時の FortiGate-300D および Avalanche C100 の構成(基本の物理構成) ....... 6
2.テスト時の FortiGate-300D および Avalanche C100 の構成(論理構成) ............... 7
3.テスト時の FortiGate-300D のコンフィグレーション ................................................ 8
4.その他の Avalanche C100 の設定 ............................................................... 9
■テスト結果 ................................................................................................. 9
1.DUT のコンフィグレーションごとの HTTP のスループット ............................................. 9
2.HTTP と HTTPS の比較 ............................................................................ 9
■ベンチマークテスト機材 .................................................................................. 10
■リファレンス ............................................................................................... 10
■テスト対象装置 ......................................................................................... 10
■FortiGate-300D OS 設定 ......................................................................... 11
PAGE 2 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
中規模エンタープライズ向け UTM アプライアンス・ベンチマークテストレポート
■ベンチマークテストの内容
測定器に設定する MSS(最大長:Maximum Segment Size)を変化させ、それぞれのテスト対
象機器の最大スループット測定を DUT のコンフィグレーションごとに行った。
■DUT(テスト対象装置: Device Under Test)
・Fortinet 社製
FortiGate-300D
・製品 URL: http://www.fortinet.co.jp/doc/FGT300D-500DDS.pdf
・FortiOS v5.2.3(build670)
■本資料作成のために用いた測定器
・Spirent Communications 社製 Spirent Avalanche C100(Version 4.46)
■テストの概要
測定器上に構成した疑似クライアントおよび疑似サーバにより生成するアプリケーショントラフィック
(HTTP および HTTPS)をテスト対象機器に印加し、最大となるスループットの測定を行った。測定器
に設定する MSS は 64Bytes、128Bytes、1460Bytes とした。また、DUT のコンフィグレーションは、
以下の 6 種類でテストを行った。
・ファイアウォールのみ有効
・アンチウィルス(平文)のみ有効
・アンチウィルス(平文+SSL)のみ有効
・IPS のみ有効
・アンチウィルス(平文)+IPS が有効
・アンチウィルス(平文)+IPS+ウェブフィルタ+アプリケーション制御が有効
■使用ポート
クライアント群
:1000BASE-T(2 ポート)
サーバ群
:1000BASE-T(2 ポート)
PAGE 3 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
■テストトラフィックについて
疑似クライアントに接続されているポートをクライアント群ネットワーク、疑似 Web サーバに接続されている
ポートをサーバ群のネットワークとして使用する。各アプリケーションの TCP コネクションはクライアント群ネット
ワーク上の擬似クライアントから開始する。サーバからの応答は、HTTP のボディサイズを 100kBytes 固
定とした。また、 Avalanche(疑似クライアント、疑似サーバ)では、コネクション確立時に MSS を
64Bytes / 128Bytes / 1460Bytes と変更することで、受信するパケットあたりの TCP 上のデータ量
を調整することでテストを実施した。なお、DUT のコンフィグレーションによっては Avalanche と DUT の間
で TCP コネクションがセットアップされるので、 DUT の MSS が 1460 バイトであるために Avalanche の
MSS の設定値にかかわらず、Avalanche が DUT に送信するトラフィックは MSS が 1460 バイトとなっ
た。
Avalanche(疑似クライアント、疑似サーバ)による負荷量の設定は、まず DUT を挟み込んだ測定を
行う前に、試験構成から決まる最大の帯域(2Gbps)を上限として、MSS が 64Bytes / 128Bytes
/ 1460Bytes の各ケースで最大となる負荷量を机上計算する。次に DUT を挟み込んだテストをこの値
を上限として段階的に増加する負荷を印加しておこない、大雑把な上限値を先に調べた。続いて、その
上限値付近からスタートして 30 秒毎に徐々に負荷を増加させるテストを行い、通信エラーや負荷がさば
ききれなくなってコネクションが連続的に増大する直前の負荷量を見つけた。この時の平均スループットを
測定値として採用した。
■ベンチマークテスト項目と説明
アプリケーションスループット性能
HTTP および HTTPS について、プロトコルごとに測定器(Avalanche)のクライアントポートが受信する
トラフィックを測定するスループットテストを行った。
また、MSS の違いにより全通信量に占める TCP ヘッダ等のオーバーヘッドの割合が相当変わる。そこで、
測定器(Avalanche)は、アプリケーションが受け取ることのできる単位時間当たりのデータを Goodput
として測定できるので、併せてこの値も記録して本資料で用いた。
PAGE 4 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
■本資料での用語の定義
【TCP】
TCP は OSI 参照モデルのトランスポート層にあたる。TCP では各コンピュータ上で実行されている、アプリ
ケーション間での通信方法を規定している。
【MSS】
最大セグメント長(Maximum Segment Size)。TCP のコネクション確立の手順(3way ハンドシェ
イク)時に、受信可能な最大セグメントサイズ、すなわち 1 パケットの TCP 上に載せることのできる最大の
データ量を、通信を行う双方がそれぞれ相手に通知する。データ送信方向に対してそれぞれに設定される
ので、双方向でまったく異なる値となることもある。
【SSL】
Secure Sockets Layer。TCP/IP ネットワークでデータを暗号化して送受信するプロトコル(通信手順)
の一つであるが、本ドキュメント中では SSL≒HTTPS としている。
【IPS】
Intrusion Prevention System(侵入防止システム)。サーバやネットワークへの不正侵入を阻止す
るツール、機能。
【スループット】
本資料中では、単位時間あたりに Avalanche のクライアントポートが受信したパケットの総オクテット数の
総和。TCP ヘッダ等のオーバーヘッドはスループットに含まれる。
【Goodput】
アプリケーションが受け取ることのできる単位時間当たりのデータ量。本資料中では、Avalanche のクライ
アントポートが受信した単位時間当たりのアプリケーションデータの総和を測定値として使用している。
TCP ヘッダ等のオーバーヘッドや再送されて重複した TCP 上のデータは含まれない。
PAGE 5 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
■本資料でのテストに関する諸元
1.テスト時の FortiGate-300D および Avalanche C100 の構成(基本の物理構成)
今回のテストで用いた測定器は、Spirent Communications 社製 Avalanche C100 である。図
に示すように 1000Base-T を 4 ポート用い、サーバ疑似用に 2 ポート、クライアント疑似用に 2 ポート
設定し、FortiGate-300D と接続した。FortiGate-300D のマネジメントポートには管理用の端末を
接続し、必要に応じて cpu の状態などを確認した。
なお、テスト結果(スループット等)の測定は、Avalanche のクライアントを疑似するポートで行った。
FortiGate-300Dマネジメントポート
に端末を接続し、必要に応じて
CPUなどの状態を確認した
Mgmt
Port2
FortiGate-300D
Port4
Port1
Port3
クライアントを疑
似するポート
1Gbps×2
サーバを疑似
するポート
1Gbps×2
エ ミ ュ レートされた
クライア ント
エ ミ ュ レートされた
サーバ
Avalanche
クライアント群
サーバ群
テスト時の FortiGate-300D および Avalanche C100 の構成
(基本の物理構成)
PAGE 6 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
2.テスト時の FortiGate-300D および Avalanche C100 の構成(論理構成)
図に示すように、172.31.1.0/24 および 172.31.2.0/24 にそれぞれ 100 台のクライアントからな
る 2 つのクライアントグループを Avalanche 上に構成する。172.31.1.0/24 に属するクライアントは
FortiGate-300D の Port2 に、また 172.31.2.0/24 に属するクライアントは Port4 につながる。
サーバは、10.31.1.1 と 10.31.2.1 の 2 台を構成し、それぞれ FortiGate-300D の Port1 と
Port3 に接続した。
FortiGate-300D を通過するトラフィックは、以下に示す 2 種類がある。
172.31.1.101~172.31.1.200 ←→ 10.31.1.1
172.31.2.101~172.31.2.200 ←→ 10.31.2.1
本資料中で記載される測定値は、上記の 2 種類のトラフィックの合算である。
Server
Server
10.31.1.1 / 24
10.31.2.1 / 24
Port1
10.31.1.99 / 24
Port3
10.31.2.99 / 24
FortiGate-300D
Port2
172.31.1.99 / 24
Port4
172.31.2.99 / 24
Client
Client
Client
Client
Client
Client
172.31.1.101
~
172.31.1.200
172.31.2.101
~
172.31.2.200
Avalanche
テスト時の FortiGate-300D および Avalanche C100 の構成
(論理構成)
PAGE 7 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
3.テスト時の FortiGate-300D のコンフィグレーション
FortiGate-300D に対して、以下に示す 6 種類のコンフィグレーションにて試験を実施した。
ファイアウォールのみ有効
アンチウィルス(平文)のみ有効
アンチウィルス(平文+SSL)のみ有効
IPS のみ有効
アンチウィルス(平文)+IPS が有効
アンチウィルス(平文)+IPS+ウェブフィルタ+アプリケーション制御が有効
上記の設定の内、「ファイアウォールのみ有効」と「IPS のみ有効」の時には、Fortigate-300D は
TCP コネクションをパケット単位で通過させるように機能する。
対して、他のコンフィグレーションを適用したときには、FortiGate-300D はアプリケーション上の全
データをいったんすべて受信した後に所定の処理を行い、そののちクライアントに転送するという動
作になる。そのため、一組の通信に対して FortiGate-300D を挟んで 2 つの TCP コネクションが
存在することになる。
Client
FortiGate
-300D
3way ハンドシェイク
Server
FortiGate
-300D
Client
Server
3way ハンドシェイク
リクエスト
リクエスト
3way ハンドシェイク
リクエスト
レスポンス
レスポンス
レスポンス
RST
該当するコンフィグレーション
・ファイアウォール有効
・IPSのみ有効
RST
RST
該当するコンフィグレーション
・アンチウイルス(平文)のみ有効
・アンチウイルス(平文+SSL)のみ有効
・アンチウイルス(平文)+IPSが有効
・アンチウイルス(平文)+IPS+ウェブフィルタ
+アプリケーション制御が有効
コンフィグレーションによる FortiGate-300D の動作の違いのイメージ
PAGE 8 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
4.その他の Avalanche C100 の設定
TCP パラメータ
本 資 料 の た め に 実 施 し た テ ス ト で は 、ク ラ イ アン ト 疑 似 お よび サ ー バ 疑 似 の い ず れ で も 、
Avalanche C100 の TCP に関連するパラメータは、以下の通りとした。
MSS
64Bytes / 128Bytes /1460Bytes
Receive Window
32768Bytes
ポートレンジ(クライア ントのみ)
1024-65535
再送タイムアウト初期値
300ミリ秒
最大再送回数
5回
HTTP / HTTPS のパラメータ
本資料のために実施したテストでは、HTTP / HTTPS に関連するパラメータは、以下の通りとし
た。
HTTP / HTTPSのバージョン
HTTP 1.1
ポート番号
HTTP :80
HTTPS:443
サーバレスポンスのボディサイズ
100KBytes
コネクションクローズ方式
クライアントからのReset
HTTP / HTTPS のセキュリティ仕様
本資料を作成するために実施したテストでは、サーバ証明書のみ使用し HTTPS の通信を行った。
AES256-SHA1 である。
■テスト結果
1.DUT のコンフィグレーションごとの HTTP のスループット
会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。
非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。
2.HTTP と HTTPS の比較
会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。
非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。
PAGE 9 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
■ベンチマークテスト機材
本ベンチマークテストには下記の測定器を用いた。
●Spirent Communications 社アプリケーション・パフォーマンス/セキュリティ 試験ツール
Spirent Avalanche C100 Version 4.46
■リファレンス
http://tools.ietf.org/html/rfc3511
ファイアウォール パフォーマンス評価手法
Benchmarking Methodology for Firewall Performance
■テスト対象装置
●Fortinet 社製 FortiGate-300D
PAGE 10 OF 11
Copyright (C) @benchmark
2015/05/18
SEC-00010
■FortiGate-300D OS 設定
会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。
非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。
免責
本テストレポートは@benchmark 会員よりテスト申請を受けて株式会社東陽テクニカがテストを実施し
ております。 テストに際し、DUT の設定はレポート内もしくは個別の設定ファイルで公開し、この設定、テ
スト環境の時の実測値を記載しており、DUT の性能を保証するものではありません。
本テストレポートに関する会員からの質問は [email protected] でお受けしております。
なお、会員以外からの質問等には一切お答えできません。
本テストレポートをデータとしてご利用いただく場合、会員規約で規定されている注意事項を了承された
ものとします。
PAGE 11 OF 11
Copyright (C) @benchmark