טעכנאָלאָגיע גייד
אָפּטימיזירן NGFW פאָרשטעלונג מיט
Intel® Xeon® פּראַסעסאָרן אויף פּובליק וואָלקן
מחברים
שיאַנג וואַנג
דזשייפּראַקאַש פּאַטידאַר
דעקלען דאָהערטי
עריק דזשאָונס
סוביקשאַ ראַוויסונדאַר
העקינג זו
הקדמה
נעקסטע-גענעראציע פייערוואלס (NGFWs) זענען אין צענטער פון נעץ זיכערהייט לייזונגען. טראדיציאנעלע פייערוואלס פירן אויס סטעיטפול טרעפיק אינספעקציע, טיפיש באזירט אויף פארט און פראטאקאל וואס קען נישט עפעקטיוו פארטיידיגן קעגן מאדערנעם בייזוויליגן טרעפיק. NGFWs עוואלוציאנירן און פארברייטערן זיך אויף טראדיציאנעלע פייערוואלס מיט פארגעשריטענע טיפע פאקעט אינספעקציע מעגלעכקייטן, אריינגערעכנט איינדרינגונג דעטעקציע/פארמיידונג סיסטעמען (IDS/IPS), מאלווער דעטעקציע, אפליקאציע אידענטיפיקאציע און קאנטראל, א.א.וו.
NGFWs זענען קאמפיוטער-אינטענסיווע וואָרקלאָודז וואָס פירן אויס, למשלample, קריפּטאָגראַפֿישע אָפּעראַציעס פֿאַר נעץ טראַפֿיק ענקריפּשאַן און דעקריפּטשאַן און שווערע הערשן מעטשינג פֿאַר דעטעקטינג בייזע אַקטיוויטעטן. אינטעל דעליווערט קאָר טעקנאַלאַדזשיז צו אָפּטימיזירן NGFW סאַלושאַנז.
אינטעל פּראַסעסערז זענען אויסגעשטאַט מיט פֿאַרשידענע אינסטרוקציע סעט אַרכיטעקטורן (ISAs), אַרייַנגערעכנט Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) און Intel® QuickAssist Technology (Intel® QAT) וואָס באַדייטנד פאַרגיכערן קריפּטאָ פאָרשטעלונג.
אינטעל אינוועסטירט אויך אין ווייכווארג אפטימיזאציעס, אריינגערעכנט די פאר היפּערסקען. היפּערסקען איז א הויך-פארשטעלונג סטרינג און רעגולער אויסדרוק (רעגעקס) מעטשינג ביבליאָטעק. עס נוצט איין אינסטרוקציע קייפל דאַטן (SIMD) טעכנאָלאָגיע אויף אינטעל פּראַסעסערז צו פֿאַרבעסערן פּאַטערן-מעטשינג פאָרשטעלונג. היפּערסקען אינטעגראַציע אין NGFW IPS סיסטעמען ווי סנאָרט קען פֿאַרבעסערן פאָרשטעלונג מיט ביז 3x אויף אינטעל פּראַסעסערז.
NGFWs ווערן אָפט געליפערט ווי אַ זיכערהייט אַפּפּליאַנס דיפּלוייד אין דער דעמיליטאַריזירטער זאָנע (DMZ) פון ענטערפּרייז דאַטן צענטערס. אָבער, עס איז אַ שטאַרקע פאָדערונג פֿאַר NGFW ווירטואַל אַפּפּליאַנסעס אָדער ווייכווארג פּאַקאַדזשאַז וואָס קענען זיין דיפּלוייד צו די עפנטלעכע וואָלקן, אין ענטערפּרייז דאַטן צענטערס, אָדער אין נעץ ברעג לאָוקיישאַנז. דעם ווייכווארג דיפּלוימאַנט מאָדעל באַפרייט ענטערפּרייז IT פון די אָפּעראַציעס און וישאַלט אָוווערכעד פֿאַרבונדן מיט גשמיות אַפּפּליאַנסעס. עס פֿאַרבעסערט סיסטעם סקאַלאַביליטי און גיט פלעקסאַבאַל פּראַקורעמענט און פּערטשאַסינג אָפּציעס.
א וואקסנדיקע צאָל פון פירמעס נעמען אן עפנטלעכע וואָלקן דיפּלוימאַנץ פון NGFW לייזונגען. א הויפּט סיבה דערפֿאַר איז דער קאָסטן אַדוואַנטאַזש.tagפון לויפן ווירטועל אַפּלייאַנסעס אין די וואָלקן.
אבער, זינט CSP'ס פאָרשלאָגן אַ פילצאָל פון אינסטאַנץ טיפּן מיט פארשידענע קאָמפּיוט קעראַקטעריסטיקס און פּרייזן, קען עס זיין אַ שווערע אויסוואַל פון די אינסטאַנץ מיטן בעסטן TCO פֿאַר NGFW.
די דאזיגע פאפיר שטעלט פאר אן NGFW רעפערענץ אימפלעמענטאציע פון אינטעל, אפטימיזירט מיט אינטעל טעכנאלאגיעס, אריינגערעכנט היפּערסקען. עס אָפערט א פאַרלעסלעכן באַווייַז-פונקט פֿאַר NGFW פאָרשטעלונג כאַראַקטעריזאַציע אויף אינטעל פּלאַטפאָרמעס. עס איז אַרייַנגערעכנט ווי אַ טייל פון אינטעל'ס NetSec רעפערענץ ווייכווארג פּעקל. מיר צושטעלן אויך די Multi-Cloud Networking Automation Tool (MCNAT) אין דעם זעלבן פּעקל צו אָטאַמייט די דיפּלוימאַנט פון די NGFW רעפערענץ אימפלעמענטאציע אויף אויסגעקליבענע עפנטלעכע וואָלקן פּראַוויידערז. MCNAT סימפּליפייז TCO אַנאַליז פֿאַר פאַרשידענע קאַמפּיוטע ינסטאַנסיז און פירט ניצערס צו די אָפּטימאַל קאַמפּיוטע ינסטאַנס פֿאַר NGFW.
ביטע קאָנטאַקטירן די מחברים צו לערנען מער וועגן דעם NetSec רעפערענץ ווייכווארג פּעקל.
דאָקומענט רעוויזיע געשיכטע
| רעוויזיע | טאָג | באַשרייַבונג |
| 001 | מערץ 2025 | ערשט מעלדונג. |
1.1 טערמינאָלאָגיע
טיש 1. טערמינאָלאָגיע
| אַבריווייישאַן | באַשרייַבונג |
| דפאַ | דעטערמיניסטישער ענדלעכער אויטאמאטאן |
| דפּי | טיף פּאַקאַט דורכקוק |
| הטטפּ | היפּערטעקסט אַריבערפירן פּראָטאָקאָל |
| IDS/IPS | איינדרינגונג דעטעקציע און פאַרהיטונג סיסטעם |
| ISA | אינסטרוקציע סעט ארכיטעקטור |
| מקנעט | מולטי-וואָלקן נעטוואָרקינג אויטאָמאַציע געצייַג |
| נפאַ | נישט-דעטערמיניסטישער ענדלעכער אויטאמאטאן |
| NGFW | נעקסטע דור פיירוואַל |
| PCAP | פּאַקאַט קאַפּטורע |
| PCRE | פּערל קאָמפּאַטיבלע רעגולער אויסדרוקן ביבליאָטעק |
| רעגעקס | רעגולער עקספּרעססיאָן |
| SASE | זיכער אַקסעס סערוויס עדזש |
| SIMD | איין אינסטרוקציע קייפל דאַטן טעכנאָלאָגיע |
| TCP | טראַנסמיסיע קאָנטראָל פּראָטאָקאָל |
| URI | וניפאָרם ריסאָרס ידענטיפיער |
| WAF | Web אַפּפּליקאַטיאָן פירעוואַלל |
1.2 רעפערענץ דאָקומענטאַטיאָן
טאַבעלע 2. רעפֿערענץ דאָקומענטן
הינטערגרונט און מאָטיוואַציע
היינט, האבן רוב NGFW פארקויפער פארברייטערט זייערע פוס-אפטרוק פון פיזישע NGFW אפאראטן צו ווירטועלע NGFW לייזונגען וואס קענען ווערן דיפלויד אין די פובליק קלאוד. פובליק קלאוד NGFW דיפלוימענטס זעען פארמערטע אדאפטאציע צוליב די פאלגנדע בענעפיטן:
- סקאַלאַביליטי: לייכט סקאַלירן אַרויף אָדער אַראָפּ קראָס-געאָ קאָמפּיוט רעסורסן צו טרעפן פאָרשטעלונג רעקווירעמענץ.
- קאָסטן עפעקטיווקייט: פלעקסיבלע אַבאָנעמענט צו דערלויבן באַצאָלן פּער נוצן. עלימינירט קאַפּיטאַל הוצאות (קאַפּעקס) און רעדוצירט אָפּעראַציאָנעלע קאָסטן פֿאַרבונדן מיט גשמיות אַפּפּליאַנסעס.
- נאַטירלעכע אינטעגראַציע מיט וואָלקן סערוויסעס: נאָטלאָזע אינטעגראַציע מיט עפנטלעכע וואָלקן סערוויסעס ווי נעטוואָרקינג, אַקסעס קאָנטראָלס און AI/ML מכשירים.
- שוץ פון וואָלקן וואָרקלאָודז: לאָקאַלע פאַרקער פֿילטערינג פֿאַר ענטערפּרייז וואָרקלאָודז כאָוסטיד אויף עפֿנטלעכע וואָלקן.
די רעדוצירטע קאָסטן פון לויפן די NGFW וואָרקלאָוד אין די עפנטלעכע וואָלקן איז אַן אַטראַקטיוו פאָרשלאָג פֿאַר ענטערפּרייז נוצן קאַסעס.
אבער, אויסקלויבן די אינסטאַנץ מיט די בעסטע פאָרשטעלונג און TCO (Teach Cost Cost) פֿאַר NGFW איז אַ שווערע אויפגאַבע, געגעבן אַ ברייטע קייט פון וואָלקן אינסטאַנץ אָפּציעס זענען בנימצא מיט פֿאַרשידענע CPUs, זכּרון גרייסן, IO באַנדווידט, און יעדער איז אַנדערש פּרייזד. מיר האָבן דעוועלאָפּעד NGFW רעפערענץ ימפּלעמענטאַציע צו העלפֿן מיט פאָרשטעלונג און TCO אַנאַליז פון פֿאַרשידענע פּובליק וואָלקן אינסטאַנץ באַזירט אויף Intel פּראַסעסערז. מיר וועלן דעמאָנסטרירן פאָרשטעלונג און פאָרשטעלונג פּער דאָלאַר מעטריקס ווי אַ וועגווייַזער פֿאַר טשוזינג די ריכטיק Intel-באַזירט אינסטאַנץ פֿאַר NGFW סאַלושאַנז אויף פּובליק וואָלקן באַדינונגען אַזאַ ווי AWS און GCP.
NGFW רעפערענץ אימפלעמענטאציע
אינטעל האט אנטוויקלט דעם NetSec רעפערענץ ווייכווארג פּעקל (לעצטע אויסגאבע 25.05) וואָס גיט אָפּטימיזירטע רעפערענץ לייזונגען וואָס נוצן ISAs און אַקסעלעראַטאָרן וואָס זענען בנימצא אין די נייַסטע אינטעל CPUs און פּלאַטפאָרמעס צו דעמאָנסטרירן אָפּטימיזירטע פאָרשטעלונג ביי דער אויף-פּרעמי ענטערפּרייז אינפראַסטרוקטור און אויף די וואָלקן. די רעפערענץ ווייכווארג איז בנימצא אונטער אינטעל פּראַפּריעטאַרי לייסאַנס (IPL).
די הויפּט כיילייץ פון דעם ווייכווארג פּעקל זענען:
- כולל אַ ברייט פּאָרטפעל פון רעפֿערענץ לייזונגען פֿאַר נעטוואָרקינג און זיכערהייט, קינסטלעכע אינטעליגענץ פריימווערקס פֿאַר וואָלקן און ענטערפּרייז דאַטן צענטערס און עדזש לאָוקיישאַנז.
- ערלויבט צייט צו מאַרקעט און שנעלע אַדאָפּטיאָן פון אינטעל טעכנאָלאָגיעס.
- קוואַל קאָד איז בנימצא וואָס אַלאַוז רעפּליקייטינג דיפּלוימאַנט סצענאַריאָס און טעסטינג ינווייראַנמאַנץ אויף ינטעל פּלאַטפאָרמעס.
ביטע קאָנטאַקטירן די מחברים צו לערנען מער וועגן באַקומען די לעצטע ווערסיע פון די NetSec רעפערענץ ווייכווארג.
אלס א קריטישער טייל פון NetSec רעפערענץ ווייכווארג פעקל, טרייבט די NGFW רעפערענץ אימפלעמענטאציע די NGFW פאָרשטעלונג קעראַקטעריסטיקס און TCO אנאליז אויף אינטעל פּלאַטפאָרמעס. מיר צושטעלן א גלאטן אינטעגראציע פון אינטעל טעכנאָלאָגיעס ווי Hyperscan אין די NGFW רעפערענץ אימפלעמענטאציע. עס בויט א פעסטן יסוד פאר NGFW אנאליז אויף אינטעל פּלאַטפאָרמעס. ווייל פארשידענע אינטעל האַרדווער פּלאַטפאָרמעס פאָרשלאָגן פארשידענע מעגלעכקייטן פון קאמפיוט ביז IO, פּרעזענטירט די NGFW רעפערענץ אימפלעמענטאציע א קלארערע... view פון פּלאַטפאָרמע קייפּאַבילאַטיז פֿאַר NGFW וואָרקלאָודז און העלפּס ווייַזן פאָרשטעלונג פאַרגלייַכן צווישן דורות פון Intel פּראַסעסערז. עס גיט גרונטלעך ינסייץ אויף מעטריקס, אַרייַנגערעכנט קאַמפּיוטינג פאָרשטעלונג, זכּרון באַנדווידט, IO באַנדווידט, און מאַכט קאַנסאַמשאַן. באַזירט אויף פאָרשטעלונג טעסט רעזולטאַטן, מיר קענען ווייטער דורכפירן TCO אַנאַליסיס (מיט פאָרשטעלונג פּער דאָלאַר) אויף Intel פּלאַטפאָרמעס געניצט פֿאַר NGFW.
די לעצטע אויסגאבע (25.05) פון NGFW רעפערענץ אימפלעמענטאציע נעמט אריין די פאלגנדע שליסל אייגנשאפטן:
- גרונטלעכע שטאַטפול פיירוואַל
- איינדרינגונג פאַרהיטונג סיסטעם (IPS)
- שטיצע פון שניידנדיקע אינטעל פּראַסעסאָרן אַרייַנגערעכנט אינטעל® קסעאָן® 6 פּראַסעסאָרן, אינטעל קסעאָן 6 SoC, אאז"וו.
צוקונפֿטיקע ווערסיעס זענען פּלאַנירט צו ימפּלעמענטירן די פאלגענדע נאָך פֿעיִקייטן:
- VPN דורכקוק: IPsec דעקריפּטיאָן פון טראַפיק פֿאַר אינהאַלט דורכקוק
- TLS אינספּעקציע: אַ TLS פּראָקסי צו ענדיקן די פֿאַרבינדונגען צווישן אַ קליענט און אַ סערווער און דערנאָך דורכפֿירן אינהאַלט אינספּעקציע אויף דעם פּשוטן טעקסט טראַפֿיק.
3.1 סיסטעם אַרקאַטעקטשער
פיגור 1 ווייזט די גאנצע סיסטעם ארכיטעקטור. מיר נוצן אפן-קוואל ווייכווארג אלס די יסוד צו בויען די סיסטעם:
- VPP גיט א הויך-פארשטעלונג דאטן פלאך לייזונג מיט גרונטלעכע סטעיטפול פיירוואל פונקציעס, אריינגערעכנט סטעיטפול ACLs. מיר שאַפֿן קייפל VPP פֿעדעם מיט קאָנפיגורירטער קאָר אַפיניטי. יעדער VPP וואָרקער פֿעדעם איז פּינד צו אַ דעדיקירט CPU קאָר אָדער אַן עקסעקוטיאָן פֿעדעם.
- סנאָרט 3 איז אויסגעקליבן ווי IPS, וואָס שטיצט מולטי-טרעדינג. סנאָרט וואָרקער פֿעדעם זענען געפּינט צו דעדאַקייטאַד CPU קאָרעס אָדער עקסעקוטיאָן פֿעדעם.
- סנאָרט און VPP ווערן אינטעגרירט מיטן סנאָרט פּלוגין צו VPP. דאָס ניצט אַ סכום קיו פּאָרן צו שיקן פּאַקעטן צווישן VPP און סנאָרט. די קיו פּאָרן און די פּאַקעטן אַליין ווערן געהיט אין אַ געטיילטן זכּרון. מיר האָבן אַנטוויקלט אַ נייעם דאַטן אַקוויזישאַן (DAQ) קאָמפּאָנענט פֿאַר סנאָרט, וואָס מיר רופן דעם VPP זיראָ קאָפּי (ZC) DAQ. דאָס ימפּלעמענטירט די סנאָרט DAQ API פונקציעס צו באַקומען און שיקן פּאַקעטן דורך לייענען פון און שרייבן צו די באַטייַטיקע קיוז. ווייל די פּיילאָוד איז אין געטיילטן זכּרון, באַטראַכטן מיר דאָס אַ זיראָ-קאָפּי ימפּלעמענטאַציע.
זינט סנאָרט 3 איז אַ קאָמפּיוט-אינטענסיווע וואָרקלאָוד וואָס ריקווייערז מער קאָמפּיוטינג רעסורסן ווי דאַטן פלאַך פּראַסעסינג, מיר פּרוּוון צו קאָנפיגורירן אַן אָפּטימיזירטע פּראַסעסער קאָר אַלאָקאַציע און וואָג צווישן די נומער פון VPP פֿעדעם און סנאָרט3 פֿעדעם צו באַקומען די העכסטע סיסטעם מדרגה פאָרשטעלונג אויף די פליסנדיק האַרדווער פּלאַטפאָרמע.
פיגור 2 (אויף בלאַט 6) ווייזט דעם גראַף נאָדע אין VPP, אַרייַנגערעכנט די וואָס זענען טייל פון די ACL און Snort. pluginsמיר האָבן אַנטוויקלט צוויי נייע VPP גראַף נאָודז:
- snort-enq: מאכט א לאוד-באַלאַנסינג באַשלוס וועגן וועלכע סנאָרט פֿאָדעם זאָל פּראָצעסירן דעם פּאַקעט און דאַן שטעלט דעם פּאַקעט אין דער קאָרעספּאָנדירנדיקער ריי.
- סנאָרט-דעק: אימפלעמענטירט ווי אַן אינפוט נאָדע וואָס פּאָלט פֿון קייפל קיוז, איינס פּער סנאָרט אַרבעטער פֿאָדעם.
3.2 אינטעל אָפּטימיזאַציעס
אונדזער NGFW רעפערענץ אימפלעמענטאציע נעמט פארשריטtagפון די פאלגענדע אָפּטימיזאַציעס:
- סנאָרט ניצט די היפּערסקען הויך-פּערפאָרמאַנס קייפל רעגעקס מעטשינג ביבליאָטעק צו צושטעלן אַ באַטייטיק בוסט אין פּערפאָרמאַנס קאַמפּערד צו די פעליקייַט זוכן מאָטאָר אין סנאָרט. פיגור 3 כיילייץ היפּערסקען ינטעגראַציע מיט סנאָרט צו
באַשנעלערן ביידע ליטעראַל מאַטשינג און רעגעקס מאַטשינג פאָרשטעלונג. סנאָרט 3 גיט נאַטירלעכע אינטעגראַציע מיט היפּערסקען, וואו באַניצער קענען אַקטיווירן היפּערסקען דורך קאָנפיגוראַציע. file אדער קאמאנד ליניע אפציעס.
- VPP נעמט פארשריטtage פון ריסיוו סייד סקיילינג (RSS) אין אינטעל® עטהערנעט נעטוואָרק אַדאַפּטערס צו פאַרשפּרייטן טראַפיק אַריבער קייפל VPP וואָרקער פֿעדעם.
- אינטעל QAT און אינטעל AVX-512 אינסטרוקציעס: צוקונפטיגע אויסגאבעס וואָס שטיצן IPsec און TLS וועלן נעמען פֿאָרשונגtagא טייל פון קריפּטאָ אַקסעלעראַציע טעכנאָלאָגיעס פון אינטעל. אינטעל QAT אַקסעלערירט קריפּטאָ פאָרשטעלונג, ספּעציעל די פּובליק קי קריפּטאָגראַפי וואָס איז וויידלי געניצט פֿאַר אויפשטעלן נעץ קאַנעקשאַנז. אינטעל AVX-512 אויך בוסט קריפּטאָגראַפֿיש פאָרשטעלונג, אַרייַנגערעכנט VPMADD52 (מאַלטיפּלי און אַקומולאַטיאָן אָפּעראַציעס), וועקטאָר AES (וועקטאָר ווערסיע פון די אינטעל AES-NI אינסטרוקציעס), vPCLMUL (וועקטאָרייזד קערי-לעסס מאַלטיפּלי, געניצט צו אָפּטימיזירן AES-GCM), און אינטעל® סעקורע האַש אַלגערידאַם – נייע אינסטרוקציעס (אינטעל® SHA-NI).
וואָלקן דיפּלוימאַנט פון NGFW רעפערענץ ימפּלעמענטאַציע
4.1 סיסטעם קאַנפיגיעריישאַן
טאַבעלע 3. טעסט קאָנפיגוראַציעס
| מעטריק | ווערט |
| ניצן קאַסע | קלאָרטעקסט דורכקוק (FW + IPS) |
| טראַפיק פּראָfile | HTTP 64KB GET (1 GET פּער פֿאַרבינדונג) |
| VPP ACLs | יא (2 שטאַטפולע ACLs) |
| שנאָרץ כּללים | לייטספּד (~49k כּללים) |
| שנאָרץ פּאָליטיק | זיכערהייט (~21k כּללים אַקטיוויזירט) |
מיר פאָקוסירן אויף קלאָרטעקסט דורכקוק סצענאַרן באַזירט אויף נוצן קאַסעס און KPIs אין RFC9411. דער טראַפיק דזשענערייטער קען שאַפֿן 64KB HTTP טראַנזאַקציעס מיט 1 GET בקשה פּער קאַנעקשאַן. ACLs זענען קאָנפיגורעד צו דערלויבן IPs אין די ספּעציפֿיצירטע סובנעטס. מיר האָבן אנגענומען Snort Lightspd רולסעט און די זיכערהייט פּאָליטיק פון Cisco פֿאַר בענטשמאַרקינג. עס איז אויך געווען אַ דעדאַקייטאַד סערווער צו באַדינען ריקוועסץ פון טראַפיק דזשענערייטערס.
ווי געוויזן אין פיגור 4 און פיגור 5, די סיסטעם טאָפּאָלאָגיע כולל דריי ערשטיקע אינסטאַנס נאָודז: אַ קליענט, אַ סערווער און אַ פּראָקסי פֿאַר פּובליק וואָלקן דיפּלוימאַנט. עס איז אויך אַ באַסטיאָן נאָוד צו דינען קאַנעקשאַנז פון באַניצער. ביידע קליענט (לויפט WRK) און סערווער (לויפט Nginx) האָבן אַ איין דעדאַקייטאַד דאַטן-פּלאַן נעץ צובינד, און די פּראָקסי (לויפט NGFW) האט צוויי דאַטן-פּלאַן נעץ צובינדן פֿאַר טעסטינג. דאַטן-פּלאַן נעץ צובינדן זענען אַטאַטשט צו דעדאַקייטאַד סובנעט A (קליענט-פּראָקסי) און סובנעט B (פּראָקסי-סערווער) וואָס האַלטן אפגעזונדערטקייט פון אינסטאַנס פאַרוואַלטונג פאַרקער. דעדאַקייטאַד IP אַדרעס ריינדזשאַז זענען דיפיינד מיט קאָראַספּאַנדינג רוטינג און ACL כּללים פּראָגראַמירט אויף די ינפראַסטראַקטשער צו לאָזן לויפן פון פאַרקער.
4.2 סיסטעם דיפּלוימאַנט
MCNAT איז אַ ווייכווארג געצייַג דעוועלאָפּעד דורך Intel וואָס גיט אָטאָמאַטיש נוצן פֿאַר גלאַט נעטוואָרקינג וואָרקלאָוד דיפּלוימאַנץ אויף public cloud און אָפפערס פֿאָרשלאָגן אויף סעלעקטינג די בעסטע וואָלקן אינסטאַנץ באזירט אויף פאָרשטעלונג און קאָסטן.
MCNAT איז קאָנפיגורירט דורך אַ סעריע פון פּראָfileס, יעדער דעפינירט די וועריאַבאַלן און סעטטינגס וואָס זענען נויטיק פֿאַר יעדער אינסטאַנץ. יעדער אינסטאַנץ טיפּ האט זיין אייגענע פּראָfile וואָס קען דאַן ווערן דורכגעגעבן צום MCNAT CLI געצייַג צו דעפּלויען יענעם ספּעציפֿישן אינסטאַנץ טיפּ אויף אַ געגעבענעם וואָלקן סערוויס פּראַוויידער (CSP).ampדי באַניץ פון די קאָמאַנד ליניע ווערט געוויזן אונטן און אין טאַבעלע 4.
טאַבעלע 4. MCNAT באַפֿעל ליניע באַניץ
| אָפּציע | באַשרייַבונג |
| –דיפּלויען | אינסטרוקציעס דעם געצייַג צו שאַפֿן אַ נייע דיפּלוימאַנט |
| -u | דעפינירט וועלכע באַניצער קראַדענטשאַלז צו נוצן |
| -c | CSP צו שאַפֿן דיפּלוימאַנט אויף (AWS, GCP, אאז"וו) |
| -s | סצענאַר צו דעפּלויען |
| -p | פּראָfile צו נוצן |
דער MCNAT קאמאנד ליניע געצייג קען בויען און אויסשטעלן אינסטאנצן אין איין שריט. אזוי שנעל ווי די אינסטאנץ איז אויסגעשטעלט, שאפן די נאך-קאנפיגוראציע שריט די נויטיגע SSH קאנפיגוראציע כדי צו דערמעגלעכן צוטריט צו דער אינסטאנץ.
4.3 סיסטעם בענטשמאַרקינג
אזוי שנעל ווי MCNAT האט דעפּלויירט די אינסטאַנסן, קענען אלע פאָרשטעלונג טעסץ לויפן ניצנדיק די MCNAT אַפּלאַקיישאַן טולקיט.
ערשטנס, דארפן מיר קאנפיגורירן טעסט קעיסעס ביי tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json ווי פאלגנד:
דעמאָלט קענען מיר נוצן די עקסampדי באַפֿעל אונטן צו אָנהייבן דעם טעסט. די DEPLOYMENT_PATH איז וואו דער ציל סביבה דיפּלוימאַנט שטאַט איז געהיט, למשל, tools/mcn/infrastructure/infrastructure/exampלעס/נגפֿוו-נטעל/גקפּ/טעראַפֿאָרם.טפֿסטעיט. ד/טפֿווס_דעפֿאָלט.
עס לויפט NGFW מיט א געגעבענעם סכום כּללים אויף http טראַפיק דזשענערירט דורך WRK אויף דעם קליענט, בשעת עס פּינט אַ קייט פון CPU קאָרעס, צו זאַמלען אַ פולשטענדיקן סכום פון פאָרשטעלונג נומערן פֿאַר דער אינסטאַנץ אונטער טעסט. ווען די טעסץ זענען געענדיקט, אַלע דאַטן ווערן פֿאָרמאַטירט ווי אַ CSV און צוריקגעגעבן צום באַניצער.
פאָרשטעלונג און קאָסטן עוואַלואַציע
אין דעם אָפּטייל, פֿאַרגלײַכן מיר NGFW דיפּלוימאַנץ אויף פֿאַרשידענע וואָלקן אינסטאַנסן באַזירט אויף Intel Xeon פּראַסעסערז ביי AWS און GCP.
דאָס גיט גיידאַנס וועגן ווי אַזוי צו געפֿינען דעם מערסט פּאַסיקן קלאוד אינסטאַנץ טיפּ פֿאַר NGFW באַזירט אויף פאָרשטעלונג און קאָסטן. מיר קלייבן אינסטאַנסן מיט 4 vCPUs ווײַל זיי ווערן רעקאָמענדירט דורך רובֿ NGFW פאַרקויפֿער. רעזולטאַטן אויף AWS און GCP אַרייַננעמען:
- NGFW פאָרשטעלונג אויף קליינע אינסטאַנץ טיפּן וואָס האָסטן 4 vCPUs מיט Intel® Hyper-Threading טעכנאָלאָגיע (Intel® HT טעכנאָלאָגיע) און Hyperscan ענייבאַלד.
- דור-צו-דור פאָרשטעלונג געווינען פון 1טן דור אינטעל קסעאָן סקאַלאַבלע פּראַסעסערז צו 5טן דור אינטעל קסעאָן סקאַלאַבלע פּראַסעסערז.
- דור-צו-דור פאָרשטעלונג פּער דאָלאַר געווינס פון 1טן דור Inte® Xeon סקאַלאַבלע פּראַסעסערז ביז 5טן דור Intel Xeon סקאַלאַבלע פּראַסעסערז.
5.1 AWS דיפּלוימאַנט
5.1.1 אינסטאַנץ טיפּ ליסטע
טאַבעלע 5. AWS אינסטאַנסן און אויף-פאָדערונג שעה ראַטעס
| אינסטאַנץ טיפּ | קפּו מאָדעל | ווקפּו | זכּרון (גב) | נעץ פאָרשטעלונג (Gbps) | אויף-פאָדערונג האָurly קורס ($) |
| c5-עקסלאַרגע | צווייטע דור אינטעל® קסעאָן® סקאַלירבאַרע פּראַסעסאָרן | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | 1טע דור אינטעל® קסעאָן® סקאַלירבאַרע פּראַסעסאָרן | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | דריטע דור אינטעל® קסעאָן® סקאַלאַבלע פּראַסעסערז | 4 | 8 | 12.5 | 0.17 |
| c6 אין-עקס-גרויס | דריטע דור אינטעל קסעאָן סקאַלאַבלע פּראַסעסערז | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | 4טע דור אינטעל® קסעאָן® סקאַלאַבלע פּראַסעסערז | 4 | 8 | 12.5 | 0.1785 |
טאַבעלע 5 ווײַזט די איבערview פון AWS אינסטאַנסן וואָס מיר נוצן. ביטע זעט פּלאַטפאָרמע קאָנפיגוראַציע פֿאַר מער פּלאַטפאָרמע דעטאַלן. עס ליסט אויך די אויף-פאָדערונג כאָוurlי קורס (https://aws.amazon.com/ec2/pricing/on-demand/) פֿאַר אַלע פֿאַלן. די אויבנדערמאָנטע איז געווען די אָן-נאָמענד ראַטע אין דער צייט פֿון פֿאַרעפֿנטלעכן דעם אַרטיקל און פֿאָקוסירט אויף דער אַמעריקאַנער מערב ברעג.
די אויף-פאָדערונג האָurlדי y קורס קען זיין אנדערש לויט דער געגנט, פארהאן-זיין, קארפאראט אקאונטס, און אנדערע פאקטארן.
5.1.2 רעזולטאַטן
פיגור 6 פארגלייכט פאָרשטעלונג און פאָרשטעלונג פּער שעה קורס אויף אַלע די אינסטאַנץ טייפּס וואָס זענען ביז איצט דערמאָנט געוואָרן:
- פאָרשטעלונג פֿאַרבעסערט מיט אינסטאַנצן באַזירט אויף נייַערע דורות פון Intel Xeon פּראַסעסערז. אַפּגרעידינג פון c5.xlarge (באַזירט אויף 2טן דור Intel Xeon Scalable פּראַסעסער) צו c7i.xlarge (באַזירט אויף 4טן דור Intel Xeon Scalable פּראַסעסער)
ווייַזט אַ 1.97x פאָרשטעלונג פֿאַרבעסערונג. - די פאָרשטעלונג פּער דאָלאַר איז פֿאַרבעסערט געוואָרן מיט אינסטאַנצן באַזירט אויף נייַערע דורות פון Intel Xeon פּראַסעסאָרן. אַפּגרעידן פֿון c5n.xlarge (באַזירט אויף 1טן דור Intel Xeon Scalable פּראַסעסאָר) צו c7i.xlarge (באַזירט אויף 4טן דור Intel Xeon Scalable פּראַסעסאָר) ווײַזט אַ 1.88x פאָרשטעלונג/שעה קורס פֿאַרבעסערונג.
5.2 GCP דיפּלוימאַנט
5.2.1 אינסטאַנץ טיפּ ליסטע
טאַבעלע 6. GCP אינסטאַנסן און אויף-פאָדערונג שעה ראַטעס
| אינסטאַנץ טיפּ | קפּו מאָדעל | ווקפּו | זכּרון (גב) | פעליקייט ארויסגאַנג באַנדווידט (Gbps) | אויף-פאָדערונג האָurly קורס ($) |
| n1-סטד-4 | ערשטע דור אינטעל® קסעאָן® סקאַלאַבלע פּראַסעסערז |
4 | 15 | 10 | 0.189999 |
| n2-סטד-4 | דריטע דור אינטעל® קסעאָן® סקאַלאַבלע פּראַסעסערז |
4 | 16 | 10 | 0.194236 |
| c3-סטד-4 | 4טע דור אינטעל® קסעאָן® סקאַלאַבלע פּראַסעסערז |
4 | 16 | 23 | 0.201608 |
| n4-סטד-4 | 5טע דור אינטעל® קסעאָן® סקאַלאַבלע פּראַסעסערז |
4 | 16 | 10 | 0.189544 |
| c4-סטד-4 | 5טע דור אינטעל® קסעאָן® סקאַלאַבלע פּראַסעסערז |
4 | 15 | 23 | 0.23761913 |
טאַבעלע 6 ווײַזט די איבערview פון GCP אינסטאַנסן וואָס מיר נוצן. ביטע זעט פּלאַטפאָרמע קאָנפיגוראַציע פֿאַר מער פּלאַטפאָרמע דעטאַלן. עס ליסט אויך די אויף-פאָדערונג כאָוurlי קורס (https://cloud.google.com/compute/vm-instance-pricing?hl=en) פֿאַר אַלע פֿאַלן. די אויבנדערמאָנטע איז געווען די אויף-דימאַנד ראַטע אין דער צייט פֿון פֿאַרעפֿנטלעכן דעם אַרטיקל און פֿאָקוסירט אויף דער מערב ברעג פֿון די פֿאַראייניקטע שטאַטן. די אויף-דימאַנד הויזurlדי y קורס קען זיין אנדערש לויט דער געגנט, פארהאן-זיין, קארפאראט אקאונטס, און אנדערע פאקטארן.
5.2.2 רעזולטאַטן
פיגור 7 פארגלייכט פאָרשטעלונג און פאָרשטעלונג פּער שעה קורס אויף אַלע די אינסטאַנץ טייפּס וואָס זענען ביז איצט דערמאָנט געוואָרן:
- פאָרשטעלונג פֿאַרבעסערט מיט אינסטאַנצן באַזירט אויף נייַערע דורות פון Intel Xeon פּראַסעסערז. אַפּגרעידינג פון n1-std-4 (באַזירט אויף 1טן דור Intel Xeon סקאַלאַבלע פּראַסעסער) צו c4-std-4 (באַזירט אויף 5טן דור Intel Xeon סקאַלאַבלע פּראַסעסער) ווייזט אַ 2.68x פאָרשטעלונג פֿאַרבעסערונג.
- די פאָרשטעלונג פּער דאָלאַר איז פֿאַרבעסערט געוואָרן מיט אינסטאַנצן באַזירט אויף נייַערע דורות פון Intel Xeon פּראַסעסאָרן. אַפּגרעידן פֿון n1-std-4 (באַזירט אויף 1טן דור Intel Xeon סקאַלאַבלע פּראַסעסאָר) צו c4-std-4 (באַזירט אויף 5טן דור Intel Xeon סקאַלאַבלע פּראַסעסאָר) ווײַזט אַ 2.15x פאָרשטעלונג/שעה קורס פֿאַרבעסערונג.
קיצער
מיט דער פארמערטער אדאפטאציע פון מולטי- און כייבריד-וואָלקן דיפּלוימאַנט מאָדעלן, די צושטעלן פון NGFW לייזונגען אויף עפנטלעכער וואָלקן גיט קאָנסיסטענט שוץ איבער סביבות, סקאַלאַביליטי צו טרעפן זיכערהייט רעקווייערמענץ, און פּשוטקייט מיט מינימאַל וישאַלט מי. נעץ זיכערהייט ווענדאָרס פאָרשלאָגן NGFW לייזונגען מיט אַ פאַרשיידנקייַט פון וואָלקן אינסטאַנס טייפּס אויף עפנטלעכער וואָלקן. עס איז קריטיש צו מינאַמייז גאַנץ קאָסט פון אָונערשיפּ (TCO) און מאַקסאַמייז צוריקקער אויף ינוועסטמענט (ROI) מיט די רעכט וואָלקן אינסטאַנס. די שליסל סיבות צו באַטראַכטן אַרייַננעמען קאַמפּיוטע רעסורסן, נעץ באַנדווידט, און פּרייַז. מיר האָבן געניצט NGFW רעפערענץ ימפּלאַמענטיישאַן ווי די רעפּרעזענטאַטיוו ווערקלאָוד און לעווערידזשד MCNAT צו אָטאַמייט די דיפּלוימאַנט און טעסטינג אויף פאַרשידענע עפנטלעכע וואָלקן אינסטאַנס טייפּס. באַזירט אויף אונדזער בענטשמאַרקינג, אינסטאַנסעס מיט די לעצטע דור פון Intel Xeon Scalable פּראַסעסערז אויף AWS (Powered by 4th Intel Xeon Scalable פּראַסעסערז) און GCP (Powered by 5th Intel Xeon Scalable פּראַסעסערז) צושטעלן ביידע פאָרשטעלונג און TCO פֿאַרבעסערונגען. זיי פֿאַרבעסערן די פאָרשטעלונג מיט אַרויף צו 2.68x און די פאָרשטעלונג פּער שעה קורס מיט אַרויף צו 2.15x איבער פריערדיקע דורות. די עוואַלואַציע דזשענערייץ סאָליד רעפערענצן אויף סאַלעקטינג Intel-באזירט עפנטלעכע וואָלקן אינסטאַנסעס פֿאַר NGFW.
אַפּענדיקס א פּלאַטפאָרמע קאָנפיגוראַציע
פּלאַטפאָרמע קאַנפיגיעריישאַנז
c5-xlarge – "טעסט דורך אינטעל פון 03/17/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8275CL CPU @ 3.00GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 8GB (1x8GB DDR4 2933 MT/s [אומבאַקאַנט]), BIOS 1.0, מיקראָקאָד 0x5003801, 1x עלאַסטיק נעטוואָרק אַדאַפּטער (ENA), 1x 32G אַמאַזאָן עלאַסטיק בלאָק סטאָר, ובונטו 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1"
c5n-xlarge – "טעסט דורך אינטעל פון 03/17/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8124M CPU @ 3.00GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 10.5GB (1×10.5GB DDR4 2933 MT/s [אומבאַקאַנט]), BIOS 1.0, מיקראָקאָד 0x2007006, 1x עלאַסטיק נעטוואָרק אַדאַפּטער (ENA), 1x 32G אַמאַזאָן עלאַסטיק בלאָק סטאָר, ובונטו 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1"
c6i-xlarge – "טעסט דורך אינטעל פון 03/17/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8375C CPU @ 2.90GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 8GB (1x8GB DDR4 3200 MT/s [אומבאַקאַנט]), BIOS 1.0, מיקראָקאָד 0xd0003f6, 1x עלאַסטיק נעטוואָרק אַדאַפּטער (ENA), 1x 32G אַמאַזאָן עלאַסטיק בלאָק סטאָר, ובונטו 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1"
c6in-xlarge – "טעסט דורך אינטעל פון 03/17/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8375C CPU @ 2.90GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 8GB (1x8GB DDR4 3200 MT/s [אומבאַקאַנט]), BIOS 1.0, מיקראָקאָד 0xd0003f6, 1x עלאַסטיק נעטוואָרק אַדאַפּטער (ENA), 1x 32G אַמאַזאָן עלאַסטיק בלאָק סטאָר, ובונטו 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1"
c7i-xlarge – "טעסט דורך אינטעל פון 03/17/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8488C CPU @ 2.40GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 8GB (1x8GB DDR4 4800 MT/s [אומבאַקאַנט]), BIOS 1.0, מיקראָקאָד 0x2b000620, 1x עלאַסטיק נעטוואָרק אַדאַפּטער (ENA), 1x 32G אַמאַזאָן עלאַסטיק בלאָק סטאָר, ובונטו 22.04.5 LTS, 6.8.0-1024-aws, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1"
n1-std-4 – "טעסט דורך אינטעל פון 03/17/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) CPU @ 2.00GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 15GB (1x15GB ראַם []), בייאָוס גוגל, מיקראָקאָד 0xffffffff, 1x דעווייס, 1x 32G פּערסיסטענטדיסק, ובונטו 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1"
n2-std-4 – טעסט דורך אינטעל פון 03/17/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) CPU @ 2.60GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 16GB (1x16GB ראַם []), בייאָוס גוגל, מיקראָקאָד 0xffffffff, 1x דעווייס, 1x 32G פּערסיסטענטדיסק, ובונטו 22.04.5 LTS, 6.8.0-1025gcp, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1”
c3-std-4 – טעסט דורך אינטעל פון 03/14/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8481C CPU @ 2.70GHz @ 2.60GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 16GB (1x16GB ראַם []), בייאָוס גוגל, מיקראָקאָד 0xffffffff, 1x קאָמפּיוט ענדזשין ווירטועל עטהערנעט [gVNIC], 1x 32G nvme_card-pd, ובונטו 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1”
n4-std-4 – טעסט דורך אינטעל פון 03/18/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8581C CPU @ 2.10GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 16GB (1x16GB ראַם []), בייאָוס גוגל, מיקראָקאָד 0xffffffff, 1x קאָמפּיוט ענדזשין ווירטועל עטהערנעט [gVNIC], 1x 32G nvme_card-pd, ובונטו 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1”
c4-std-4 – טעסט דורך אינטעל פון 03/18/25. 1-נאָוד, 1x אינטעל(R) קסעאָן(R) פּלאַטינום 8581C CPU @ 2.30GHz, 2 קאָרעס, HT אן, טורבאָ אן, גאַנץ זכּרון 15GB (1x15GB ראַם []), בייאָוס גוגל, מיקראָקאָד 0xffffffff, 1x קאָמפּיוט ענדזשין ווירטועל עטהערנעט [gVNIC], 1x 32G nvme_card-pd, ובונטו 22.04.5 LTS, 6.8.0-1025-gcp, gcc 11.4, NGFW 24.12, היפּערסקען 5.6.1”
אַפּענדיקס ב אינטעל NGFW רעפערענץ ווייכווארג קאָנפיגוראַציע
| ווייכווארג קאָנפיגוראַטיאָן | ווייכווארג ווערסיע |
| האָסט אַס | Ubuntu 22.04 LTS |
| קערנעל | 6.8.0-1025 |
| קאַמפּיילער | GCC 11.4.0 |
| WRK | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| שנאָרצן | 3.1.36.0 |
| DAQ | 3.0.9 |
| לואַדזשיט | 2.1.0-בעטאַ3 |
| ליבקאַפּ | 1.10.1 |
| PCRE | 8.45 |
| זליב | 1.2.11 |
| היפּערסקען | 5.6.1 |
| LZMA | 5.2.5 |
| NGINX | 1.22.1 |
| DPDK | 23.11 |
פאָרשטעלונג וועריז דורך נוצן, קאַנפיגיעריישאַן און אנדערע סיבות. לערן מער ביי www.Intel.com/PerformanceIndex.
פאָרשטעלונג רעזולטאַטן זענען באזירט אויף טעסטינג פון דאַטעס געוויזן אין קאַנפיגיעריישאַנז און קען נישט פאַרטראַכטנ זיך אַלע עפנטלעך בנימצא דערהייַנטיקונגען. זען באַקאַפּ פֿאַר קאַנפיגיעריישאַן דעטאַילס. קיין פּראָדוקט אָדער קאָמפּאָנענט קענען זיין לעגאַמרע זיכער.
ינטעל דיסקליימז אַלע אויסדריקן און ימפּלייד וואָראַנטיז, אַרייַנגערעכנט אָן באַגרענעצונג, די ימפּלייד וואָראַנטיז פון סחרחורות, טויגיקייט פֿאַר אַ באַזונדער ציל, און ניט-ינפרינדזשמאַנט, ווי געזונט ווי קיין וואָראַנטי ערייזינג פון לויף פון פאָרשטעלונג, לויף פון האַנדלינג אָדער נוצן אין האַנדל.
ינטעל טעקנאַלאַדזשיז קען דאַרפן ענייבאַלד ייַזנוואַרג, ווייכווארג אָדער דינען אַקטאַוויישאַן.
ינטעל טוט נישט קאָנטראָלירן אָדער קאָנטראָלירן דריט-פּאַרטיי דאַטן. איר זאָל באַראַטנ זיך אנדערע קוואלן צו אָפּשאַצן די אַקיעראַסי.
די דיסקרייבד פּראָדוקטן קען אַנטהאַלטן פּלאַן חסרונות אָדער ערראָרס, באקאנט ווי ערראַטאַ, וואָס קען פאַרשאַפן די פּראָדוקט צו אָפּנייגן פון ארויס ספּעסאַפאַקיישאַנז. קראַנט קעראַקטערייזד ערראַטאַ זענען בנימצא אויף בעטן.
© Intel Corporation. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. אנדערע נעמען און בראַנדז קענען זיין קליימד ווי די פאַרמאָג פון אנדערע.
0425/XW/MK/PDF 365150-001US
דאָקומענטן / רעסאָורסעס
 |
אינטעל אָפּטימיזירן די קומענדיקע דור פיירוואַלז [pdfבאַניצער גייד אָפּטימיזירן די קומענדיקע דור פיירוואַלז, אָפּטימיזירן, קומענדיקע דור פיירוואַלז, דור פיירוואַלז, פיירוואַלז |