Arbeitsweise Firewall ? Performancesteigerungen

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von otellodb »

Hallo zusammen,

wir haben aktuell an einem Lancom Router 1781EF+ mit aktivierter Firewall performance Probleme. Der Anschluss liefert 600 MBit Download, den wir sobald wir die Firewall deaktivieren auch erreichen.
Bei eingeschalteter Firewall ca. 15 Regeln sind es nur noch 300 MBit. Wir würden gerne verstehen, welche Regeln das Gerät ausbremsen.
Gibt es eine Beschreibung wie die Firewall arbeitet?
Wir hatten z.B. eine Deny-ALL regel und zudem eine Allow-out-all Regel. Nachdem wir die Allow-out-all nun gelöscht und Deny-ALL auf Deny-ALL-IN geändert haben ist die Performance schon bei 450 MBit. Ich würde gerne verstehen wie die Firewall arbeitet, um die restlichen Regeln vielleicht auch optimieren zu können.

Habe leider in der Doku dazu nichts gefunden.

FG

otellodb
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von ittk »

Kenn nur das Techpaper
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von COMCARGRU »

Wie viele Einträge hat denn eure Filter Liste?


Webconfig -> LCOS-Menübaum -> Status -> IP-Router -> Filter-Liste
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von DanLo »

Welche Firmware-Version ist auf dem Gerät? Und sind die Messungen mit IPv4 oder IPv6 gemacht worden?
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von ittk »

Eine verbindliche Aussage wird Dir eh niemand geben....
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von otellodb »

Also die Filterliste hat 77 Einträge.
Was ist das eigentlich?

Wir haben 10.32 aktuelle Version drauf.
IPV4
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von backslash »

Hi otellodb,
Der Anschluss liefert 600 MBit Download, den wir sobald wir die Firewall deaktivieren auch erreichen.
Bei eingeschalteter Firewall ca. 15 Regeln sind es nur noch 300 MBit. Wir würden gerne verstehen, welche Regeln das Gerät ausbremsen.
Gibt es eine Beschreibung wie die Firewall arbeitet?
Wir hatten z.B. eine Deny-ALL regel und zudem eine Allow-out-all Regel. Nachdem wir die Allow-out-all nun gelöscht und Deny-ALL auf Deny-ALL-IN geändert haben ist die Performance schon bei 450 MBit. Ich würde gerne verstehen wie die Firewall arbeitet, um die restlichen Regeln vielleicht auch optimieren zu können.
Das kann ich mir nicht vorstellen... denn egal ob die (IPv4-) Firewall ein oder ausgeschaltet ist: Sie ist eigentlich immer im Pfad.... Wenn die Firewall ausgeschaltet wird, dann sind nur alle Regeln deaktiviert, d.h. es gibt nur die Regel "DEFAULT (ACCEPT-ALL)" und das IDS ist abgeschaltet. Da das IDS nur wärend des Sessionaufbaus aktiv ist, spielt es aber auch bei aktiver Firewall keine Rolle für den Durchsatz während der Datanübertragung. Der Sessionaufbau ist i.Ü. das teuerste bei der Firewall, denn dazu muß der Lookup in der Regeliste und Routen-Lookups gemacht werden - sowie natürlich die Session selbst angelegt werden. Sobald die Session aber steht, ändert sich nichts mehr.

Es gibt nur zwei Punkte, durch die die Firewallregeln selbst den Durchsatz bestimmen: zum einen sind das Regeln die Mindestbandbreiten anfordern (denn die sorgen dafür, daß alles andere ausgebremst wird) und zum anderen sind das Kontentfilter-Regeln, denn der Kontentfilter belastet das System stark, so daß am Ende ggf. nicht mehr genug Leistung frei bleibt, um anderen Traffic schnell genug übertragen zu können.

Ganz nebenbei: Bei IPv6 macht es tatsächlich einen Unterschied, ob die Firewall ein oder ausgeschaltet ist. Aber auch da gilt: Wenn sie eingeschaltet ist, ist der Durchsatz selbst aber auch wieder komplett unabhängig von den Regeln.
Also die Filterliste hat 77 Einträge.
Was ist das eigentlich?
Die Filterliste wird aus den Regeln erstellt. Wenn die Firewall für ein einkommendes Paket keine Session findet, dann wird das Paket an die Filter gegeben, um die Aktionen für die neue Session zu ermitteln. Dabei läuft das Paket quasi von oben nach unten durch die Liste und beim ersten Match wird die Session erstellt. Wenn an der Regel das Häkchen "weitere Regel beachten" nicht gesetzt ist, dann ist die Verabeitung hier beendet. Ist es gesetzt, läuft das Pakete weiter durch die Liste bis zum nächsten Match.


Gruß
Backslash
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von COMCARGRU »

backslash hat geschrieben: 27 Jan 2020, 15:28
Also die Filterliste hat 77 Einträge.
Was ist das eigentlich?
Die Filterliste wird aus den Regeln erstellt. Wenn die Firewall für ein einkommendes Paket keine Session findet, dann wird das Paket an die Filter gegeben, um die Aktionen für die neue Session zu ermitteln. Dabei läuft das Paket quasi von oben nach unten durch die Liste und beim ersten Match wird die Session erstellt. Wenn an der Regel das Häkchen "weitere Regel beachten" nicht gesetzt ist, dann ist die Verabeitung hier beendet. Ist es gesetzt, läuft das Pakete weiter durch die Liste bis zum nächsten Match.

Gruß
Backslash


Das ist dann von Relevanz, wenn die Liste nicht 77 Einträge lang ist, sondern bei Verrückten wie mir schon mal 80.000 Einträge umfasst! Dann schlägt das nämlich voll auf die Performance durch... Aber das ist ja ein paar Jährchen her. Jetzt sind es nicht mehr ganz so viele Einträge und dafür ein paar "Schlupflöcher" mehr...
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von otellodb »

Hallo Backslash

vielen Dank für die Informationen.
Dass du dir das nicht vorstellen kannst ist schön. Ich eigentlich auch nicht.
Aber leider kann ich es demonstrieren. Mit Firewall 1. Zustand hatte ich ca 320 MBIt Download (mit verschiedenen Tools konsistent).
Ohne Firewall direkt die 600 MBit, die auch direkt am Modem anliegen.
Nach Änderung der Firewall haben wir es jetzt auf 550 MBit bekommen. Wir überarbeiten aber noch die Regeln und sind sicher auf die 600 MBit zu kommen. Wir haben noch Potential und unsere Filtereinträge sind jetzt auf 50 zurück gegangen.

Wenn das nicht sein kann, dann habe ich keine Ahnung was wir falsch machen. Wir haben es natürlich auch schon mit verschiedenen PC'S und über Switch und direkt am Lancom getestet.

Aber vielen Dank für die Erläuterung.

otellodb
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von GrandDixence »

Damit eine Firewall/Router Datenübertragungsraten von 600 MBit/s für eine TCP-Verbindung ermöglichen kann, muss die Firewall/Router 50000 Ethernet-Datenpakete pro Sekunde verarbeiten können (MTU von Ethernet: 1500 Byte => 1500 Byte * 8 * 50000 = 600 MBit/s) mit einer Paketverlustrate < 0.001 %.
https://fasterdata.es.net/network-tunin ... cket-loss/

Bei einem unbelasteten Netzwerk werden IPerf3-Messungen klar bestätigen, dass der LANCOM 1781EF+ für Datenübertragungsraten bis 600 MBit/s geeignet ist, da er die oben genannten Anforderungen voll erfüllt.
viewtopic.php?f=41&t=17271&p=98002&hilit=iperf3#p98002

aktuelle-lancom-router-serie-f41/wan-vi ... 17927.html

Bei einem belasteten Netzwerk, welches viel "Internet-Hintergrundrauschen" aufweist, werden die in der Praxis erzielbaren Datenübertragungsraten einbrechen. Wegen der DENY_ALL-Grundregel hat die CPU einiges an Arbeit mit dem "Internet-Hintergrundrauschen", was dazu führt, dass die CPU nicht mehr genügend rasch alle eintreffenden Ethernet-Datenpakete der TCP-Verbindung verarbeiten kann. Damit 50000 Ethernet-Datenpakete pro Sekunde verarbeitet werden können, muss jedes 1500 Byte grosse Ethernet-Datenpaket innerhalb < 0.000020 Sekunden verarbeitet werden.

Besonders über das Fernsehkabelnetzwerk realisierte Internetanschlüsse (EuroDOCSIS), deren Kabelmodem im Bridge-/Modem-Modus betrieben werden, liefern mit all den ARP- und DHCP-Paketen ein starkes "Internet-Hintergrundrauschen" an die Firewall/Router.

Abhilfe: Schnellere Firewall/Router:
aktuelle-lancom-router-serie-f41/vdsl-u ... 17926.html
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: Arbeitsweise Firewall ? Performancesteigerungen

Beitrag von otellodb »

Vielen dank für die Info.
Das hatten wir uns auch schon gedacht.

Was ist denn aber die Empfehlung für die schnellere Hardware. Vorschläge bitte.
Zudem hat der Router auch noch Optionen (WLC, All-IP) die ich anscheinend nicht transferieren kann, sondern neu kaufen muss.
Oder geht da irgendwie etwas ?


Danke

otellodb
Antworten