ファイアウォールスループットとは

ファイアウォールスループットとは何か

ファイアウォールスループット（Firewall Throughput）は、ファイアウォールが一定時間内に処理できるデータ転送量の上限値を指す。

一般的に Gbps（ギガビット毎秒）や Mbps（メガビット毎秒）で表記される。

メーカー仕様に記載されるスループット値は、多くの場合、測定条件が限定されたベンチマーク環境で得られた最大性能であり、実運用環境で得られる実効値とは異なる点に注意が必要である。

実効値がカタログ値と一致しない理由

ファイアウォールは単純なパケット転送装置ではなく、複数のセキュリティ処理を内部で実行する。

そのため、機能を有効化するほど処理負荷が増加し、実際に処理可能なスループットは低下する傾向がある。

主な要因は次の通り。

パケットフィルタリング

IPアドレスやポート番号のチェックが入ることで、単純な通過に比べて処理コストが増加する。

アプリケーション制御（L7）

アプリケーション識別処理は、従来のL3/L4転送に比べて高い負荷がかかる。

アンチウイルス・マルウェアスキャン

トラフィック内のファイル検査を行うため、CPUリソースを多く消費する。

IPS/IDS（侵入防御・侵入検知）

脆弱性シグネチャとの照合や異常検知を行うため、スループットが低下する。

SSL/TLS インスペクション

暗号化通信を復号・再暗号化する処理は非常に負荷が高い。

HTTPSトラフィックが主流となっている環境では影響が大きい。

スループット値の種類

メーカー仕様には、複数種類のスループットが併記されることが多い。

測定条件が異なるため、用途に応じて適切な項目を確認する必要がある。

Firewall Throughput

L3/L4レベルの基本転送性能。

最も大きな値になりやすい。

Threat Prevention Throughput

IPSやマルウェア対策などの脅威防御機能を有効にした状態でのスループット。

SSL Inspection Throughput

HTTPSなど暗号化通信の復号を伴う検査を有効にした状態でのスループット。

NGFW Throughput

アプリケーション制御やIPSを組み合わせた状態でのスループット。

複数機能を同時に使用する際の参考値として用いられる。

スループットを読む際の注意点

スループットは以下の条件によって大きく変動する。

• パケットサイズ（64byte, 512byte, 1518byte など）
• 測定トラフィックの種類（UDP/TCP、IMIXなど）
• セッション数および同時接続数
• 有効化したセキュリティ機能の種類と組み合わせ

カタログ値は一般的に、大きめのパケットサイズや単純なトラフィックで測定されるため、実際のネットワーク環境で得られるスループットはこれより低くなる場合が多い。

回線速度とスループットの関係

インターネット回線速度（例：1Gbps）と、ファイアウォールの「Firewall Throughput」が同値であっても、実効的に1Gbpsの通信が通るとは限らない。

UTM機能、IPS、アプリ制御、SSL/TLSインスペクションなどを有効化すると、実効スループットが大幅に低下することがあるため、利用する機能に応じたスループット値を選定する必要がある。

まとめ

• スループットはファイアウォールが処理できる最大転送量を示す指標である。
• メーカー仕様値は限定条件での最大値であり、実効値とは異なる。
• セキュリティ機能の有効化によりスループットは低下する。
• 用途に応じて、Firewall Throughput・Threat Prevention・SSL Inspection などの項目を確認する必要がある。
• 回線速度ではなく、必要なセキュリティ機能を前提とした実効性能で機器を選定することが重要。

以上、ファイアウォールスループットについてでした。

最後までお読みいただき、ありがとうございました。