nForce3 250GB SW Firewall

Avalox

Vice Admiral Special
Mitglied seit
24.01.2004
Beiträge
710
Renomée
3
In der aktuellen c't 12/04 ist nicht nur kurz der Sockel 939 mit A64 3800+ und FX 53 getestet, es ist auch ausführlicher der nForce3 250GB getestet.

Ich war ziemlich überrascht, nun hatte ich auch bisher nicht viel über diesen Chipsatz gelesen. Mag sein, dass es schon überall steht ich es nur nicht gesehen habe.

DER nFORCE 3 250GB hat gar keine Hardware Firewall!!

Es ist eine personal Firewall Software, welche im Windows Treiber des Adapters steckt.

Verdaut?

Das Killerfeature ist eine Software. Welche mit jedem Netzadapter möglich ist. Selbst XP SP2 bietet die gleich Funktionalität diesbezüglich. Allerdings ist die nVidia SW Lösung sehr komplex in den möglichen Funktionen.
 
Man sollte wirklich zunächst wissen, was Software und was Hardware ist.

Könnte z.B. nur der Nvidia-Treiber auf die Hardware zugreifen (Verschlüsselung von Kommandos), wäre der Effekt so wie bei einer reinen Hardwarelösung.

Also mal abwarten, wie die Nforce3 250 GB tatsächlich entworfen wurde.
 
Na das sehe bestimmt nicht nur ich anders.

Es macht einen gehörigen Unterschied ob die FW dediziert auf einer Hardware quasi unabhängig läuft und nach innen vielleicht über einen einfachen Netzadapter gekoppelt ist, oder irgendwas in Software ( Verschlüsselung hin oder her) auf dem System nachgebildet wird, welches eigentlich geschützt werden soll.

Mir schwant auch der unangenehme Gedanke, dass der nForce3 Pro 250 und der 250GB die gleichen Netzadapter nutzen. Nur, dass unterschiedlich aufgemöbelten Treiber mitgeliefert werden. Aber das ist jetzt nur eine Vermutung von mir. Für Linux gibt es übrigens weder für den Pro noch für den GB einen Treiber (z.Z.)

Ich bin gespannt, was sich da nV im Detail ausgedacht hat.
 
Zuletzt bearbeitet:
Ich denke, dass es schon eine HW Firewall ist. Die C't Leute sind schließlich auch keine Hellseher, und die Tatsache, dass es dafür noch keine Treiber gibt spricht schonmal dafür.

Andererseits - eine SW Lösung steht einer HW Lösung in nix nach!
 
Original geschrieben von intel_hasser
Andererseits - eine SW Lösung steht einer HW Lösung in nix nach!
Doch, Software kann abstürzen oder ausgehebelt werden und ist deutlich fehleranfälliger. Eine reine Hardware-Lösung der Firewall, die nur über die Software konfiguriert aber niemals gestartet/gestoppt werden kann, wäre da ein Fortschritt.

Deswegen würde ich z.B. nie 'nen Fli4l Rechner bauen, sondern immer 'nen Router nehmen (mal davon abgesehen, daß ein Router mit 5-10 Watt um Welten sparsamer ist).

Aber mir ist das ziemlich egal, was der 250Gb Chipsatz macht und was nicht - die Firewall-Funktionen meines Routers genügen mehr als dicke. ;)
 
Die Lösung über den Treiber ist aber nicht anfällig für sowas, daher steht diese Lösung einer HW Lösung wirklich in nichts nach.
 
Wirklich was zu Diskutieren gibt es da nicht, denke ich.

Bleibt noch vielleicht ergänzend, dass die Softwarelösung natürlich auch noch System Performanz frisst.

Und genau dazu gibt es schon einen Test..

http://www.sudhian.com/showdocs.cfm?aid=539&pid=2025

(Dort sehr lustiger Weise nV Hardware Firewall genannt)

Interessant, dass mit der nVidia FW Lösung sich nahezu die CPU Last zu Lösung ohne FW SW verdoppelt. (Immerhin 30%) Da ja Symantec dafür berüchtigt ist, ähm nicht grade elegante Software zu schreiben, würde ich die Ergebnisse nicht unbedingt überbewerten. Zumal der Leistungsumfang überhaupt nicht berücksichtigt ist.

Allerdings scheint in der allgemeinen Euphorie doch mal ein kleiner Realität Check nützlich zu sein. Sollte sich rausstellen, wie von c't schon geschrieben, dass es sich bei der nF 250GB FW nur um eine nette Software handelt, dann würde ich diese schon sehr merkwürdig halten.

Es wird Zeit für einen wirklich kritischen Test des nForce3 250GB.

Da die nVidia FW SW nicht die Möglichkeit bietet auf Applikationsebene FW Funktionalität zu ermöglichen, heisst dieses ja letztendlich, dass wer solches nutzen möchte auch noch zusätzlich eine Personal FW zu installieren. ..........





 
Zuletzt bearbeitet:
Aufregung pur !?

a)
unter cool'n quite dürfte die CPU bei 800 MHz gelaufen sein im Benchmark.
ob 18% oder 30% CPU-Last ist somit eben für den niedrigen Takt anzusetzten.

b)
mit Sicherheit nutzt nvidia eben für Komfortfunktionen Software.
nur, die kernfunktionen gut kodiert, brauchen praktisch keine CPU-Rechenzeit.
man sollte seine Erfahrungen mit Softwaremonstern, ob MS o. LINUX, nicht mit normalen Code und GHz-CPUs verwechseln.


Es fehlt leider vielen wohl ein Gespür für den tatsächlichen Taktbedarf von einigermassen effektiv codierten Treibern.
In 2.000.000.000 Takten/s lassen sich Unmengen an Anweisungen unterbringen, da bricht keine CPU unter der Last ein.
Und eine elementare Zusatzhardware bei der LAN-Schaltung reicht aus, um diese wesentlich über eine reine Softwarelösung zu erheben.


Nachtrag:
http://www.sudhian.com/showdocs.cfm?aid=539&pid=2024

aha, jetzt kenn ich die Ursache für die Aufregung - Intel bricht ein.

Intel Pro/1000CT ist extrem abhängig von der Paketgröße und benötigt eine HT-CPU, um unter 100% CPU-Last zu bleiben.

Glückwunsch an nvidia, die Daten sehen hervorragend aus - 1000er LAN (fast) in Vollendung.

 
Zuletzt bearbeitet:
Was habe ich den überlesen, wass dir die Sicherheit gibt dass der A64 mit 800 MHz durch den Bench lief?

Mit Sicherheit wurden diese Ergebnisse nicht mit reduzierten c'n'q Takt gemessen.
Dann würden die Intel Test Ergebnisse im Bezug ganz anders aussehen. Der Tester hat sich sogar die Mühe gemacht und mal ohne HT gebencht. Da soll der Athlon64 mit 800MHz gelaufen sein?

Die gross von nVidia beworbene "Industry’s only native firewall solution" aber als Komfortfunktion zu bezeichnen, ist allerdings nett getroffen.
 
ob es nun eine hardware- oder software-lösung ist, ich weiß es nicht. bisher hatte ich es nur so verstanden, daß die einstellung der (behaupteten) hardware-lösung eben nur über zusätzliche software läuft.

aber selbst wenn es software wäre, was ändert dies an den ergebnissen, wie sie (von anderen hier verlinkt) unter http://www.sudhian.com angegeben wurden? nichts!

die ergebnisse sind top, auch intels beste csa lösung kann mit der nforce nicht mithalten. das die athlon systeme nur mit 800mhz wegen c&q liefen denke ich nicht. die scheinbar hohe last im vergleich zu pci-lösungen erklärt sich einfach damit, daß eben auch deutlich mehr daten übers netzwerk gejagt werden. die intel-csa lösung, braucht ja ebenfalls mehr cpu power, da sie ebenfalls viel mehr leistet. wird ja auch deutlich erklärt in dem text, ebenso wird dargelegt, warum die werte für hyperthreading so nicht stimmen und daher die nv250 lösung doch am besten abschneidet.


aber wie immer hängt es auch vom text selbst ab, siehe daher auch: http://www.aceshardware.com/read.jsp?id=65000300

hier liegt die intel-lösung ganz klar vorne...
 
Original geschrieben von Treverer
die ergebnisse sind top, auch intels beste csa lösung kann mit der nforce nicht mithalten. ..., daß eben auch deutlich mehr daten übers netzwerk gejagt werden. die intel-csa lösung, braucht ja ebenfalls mehr cpu power, da sie ebenfalls viel mehr leistet.

Der Thread entwickelt sich zu einer Übertragungsleistung des nVidia Netzadapters.
Es geht hier aber nicht um die Übertragungsleistung, sondern darum, dass die FW nicht in separat in Hardware realisiert ist, sondern ausschliesslich als installiertes Programm läuft.

Die hohe Übertragungsleistung des nVidia Adapters kann aber nicht der Grund für die Performanzanforderung sein. Denn ohne FW wird nicht nur halb so viel CPU Last erzeugt, die Übertragungsleistung ist auch noch deutlich schneller.


No Firewall:
CPU Usage: ~18%
Transfer Time: 13 min, 10 seconds.


NVIDIA Hardware Firewall:
CPU Usage: ~30%.
Transfer Time: 15 min, 16 seconds.

(Beide Ergebnisse aus aus besagten Test. http://www.sudhian.com/showdocs.cfm?aid=539&pid=2024 )


Dass eine FW natürlich zu Lasten der Bandbreite geht ist selbstverständlich. Dass diese dedizierte FW allerdings erheblich CPU Leistung benötigt ist es überhaupt nicht.
Da ist Aufklärung angesagt.
 
Dazu ist doch auch dies ganz interessant:
http://www.hardtecs4u.com/reviews/2004/epox_8kda3+/index6.php

Und hier steht auch "Onboard hardware firewall with driver access"
http://www.epox.org/products/mainboards/8kda3/index.shtml

Dann habe ich letztens noch was bei EpoxHQ-HP (tw) entdeckt, was ich bisher nirgens gesehen hab.
(8KDA3 nF3 250Gb DRIVER)
"Das NF3_4091.zip ist allerd. 17.3 MB groß" Mehr weiß ich da leider auch nich zu.
http://www.epox.com.tw/

Indem Packet (4091_4.40_4.33)
"Readme"
----
This nForce Win2K/XP driver package contains the below components:


Win2K ethernet NRM driver version 4.16 (WHQL)
WinXP ethernet NRM driver version 4.33 (WHQL)
Network management tools version 4.16
GART driver version 3.77 (WHQL) with updated uninstaller files
SMBus driver version 4.04 (WHQL) with updated uninstaller files
Installer version 4.31
Win2K IDE 2.5 driver version 4.15 (WHQL) with updated uninstaller files and With Modifiled TXTSETUP.OEM from 4.36
WinXP IDE 2.5 driver version 4.12 (WHQL) with updated uninstaller files and With Modifiled TXTSETUP.OEM from 4.36

----


Das einzig neue daran scheint "WinXP ethernet NRM driver version 4.33 (WHQL)"
 
Zuletzt bearbeitet:
Original geschrieben von Avalox
...Für Linux gibt es übrigens weder für den Pro noch für den GB einen Treiber (z.Z.)
Meinst Du explizit den GbE Controller, oder den ganzen Chipsatz ? Zumindest für letzteren habe ich gerade zufällig was gefunden(datiert 27.5):
Version: 1.0-0275
Release Date: May 27, 2004
Release Highlights for 1.0-0275:

Fixed performance problem in network driver that was causing stuttering in audio playback
Added support for nForce3 platforms
Added support for x86-64 architecture
Added binary RPMs for SuSE Enterprise Server 8 x86-64
Added audio control panel application
Added 6 channel output, audio input selection, speaker selection, per channel volume control, and analog / digital enable to audio driver.
Added GART patch for kernel 2.4.21

links:

IA32: http://www.nvidia.com/object/linux_nforce_1.0-0274
AMD64: http://www.nvidia.com/object/linux_nforce_1.0-0275

Ausprobieren kann ichs aber leider nicht ;)

ciao

Alex
 
Linux Chipsatz sind verfügbar. Allerdings wird weder Firewall noch überhaupt der Netzadapter unterstützt.
Ich bezweifle auch nicht, dass es mal möglich sein wird, dass nV eine FW unter Linux bereit stellt. Allerdings denke ich doch, dass dieses jetzige nicht Vorhandensein ein Belege der Entwicklungszeit der Software Lösung ist.
Wäre es eine Hardware Firewall, sollte es ein leichtes sein den Netzadapter bereit zu stellen. Die FW Funktionalität wäre ja automatisch gegeben.
Aber so ist es nicht.

Also sieht es so aus, als ob nVidia ihre Personal FW nach Linux portieren will und einfach noch nicht fertig ist. Ich bin mal gespannt, wenn diese fertig sein sollte, ob FW Einstellungen unter Linux, die Einstellungen unter einer zweit Windows Installation beeinflussen werden.

Wenn nun zwar der Netzadapter in Linux angeboten werden sollte, allerdings die FW fehlt, dann sieht das in meinen Augen überhaupt nicht besser aus.
 
Zuletzt bearbeitet:
Zurück
Oben Unten