Традиционные устройства сетевой безопасности, основанные на архитектуре многоцелевых процессоров, стали «узким горлышком» сетевой инфраструктуры. Даже с несколькими процессорами общего назначения устройства сетевой безопасности не могут обеспечить высокую производительность без задержек, необходимую для современных высокоскоростных сетей.
3. Параллельная обработка сетевого трафика FortiASIC
Введение
Чтобы ускорить выполнение сетевых функций и реализацию механизмов безопасности, компания Fortinet использует на платформах FortiGate процессоры собственной разработки FortiASIC (Application-Specific Integrated Circuit, интегральная схема специального назначения). Эти процессоры позволяют применять одновременно несколько защитных мер без ухудшения производительности сетевых устройств безопасности.
Процессоры FortiASIC на платформах FortiGate реализуют аппаратное ускорение механизмов обработки пакетов и проверки содержимого сетевого трафика, таких как антивирусная защита, контроль приложений, система предотвращения вторжений (Intrusion Prevention System, IPS), межсетевое экранирование.
FortiASIC позволяет добиться пропускной способности до 1 Тбит/c (впервые такая скорость была получена на платформе FortiGate 5144C) для межсетевых экранов (МЭ) вне зависимости от размера обрабатываемого сетевого пакета.
Ниже приведены характеристики платформ FortiGate, которые достигаются за счет использования новейших версий процессоров FortiASIC.
Таблица 1. Характеристики популярных платформ FortiGate
| FG-1000D | FG-1200D | FG-1500D | FG-3000D | FG-3100D | FG-3200D | FG-3700D | FG-3810D | FG-3815D | FG-5001D | |
| Пропускная способность МЭ (1518/512/64 байт UDP) | 52/52/33 Гбит/c | 72/72/50 Гбит/c | 80/80/55 Гбит/c | 80/80/50 Гбит/c | 80/80/50 Гбит/c | 80/80/50 Гбит/c | 160/160/110 Гбит/c | 320/300/150 Гбит/c | 320/300/150 Гбит/c | 80/80/45 Гбит/c |
| Задержки | 3 мкс | 3 мкс | 3 мкс | 3 мкс | 3 мкс | 3 мкс | 2 мкс | 5 мкс | 5 мкс | 3 мкс |
| Число одновременных сессий | 11 млн | 11 млн | 12 млн | 50 млн | 50 млн | 50 млн | 50 млн | 95 млн | 95 млн | 23 млн |
| Пропускная способность IPSec VPN | 25 Гбит/c | 40 Гбит/c | 50 Гбит/c | 50 Гбит/c | 50 Гбит/c | 50 Гбит/c | 100 Гбит/c | 135 Гбит/c | 135 Гбит/c | 25 Гбит/c |
| Пропускная способность SSL VPN | 3,6 Гбит/c | 3,6 Гбит/c | 4 Гбит/c | 8 Гбит/c | 8 Гбит/c | 8 Гбит/c | 10 Гбит/c | 10 Гбит/c | 10 Гбит/c | 6,5 Гбит/c |
| Пропускная способность IPS (HTTP/Enterprise Mix) | 8/4,2 Гбит/c | 11/6,8 Гбит/c | 15/13 Гбит/c | 30/20 Гбит/c | 30/20 Гбит/c | 30/20 Гбит/c | 30/20 Гбит/c | 30/20 Гбит/c | 30/20 Гбит/c | 18/11 Гбит/c |
Зимой 2016 года компания NSS Labs опубликовала свои отчеты по тестированию межсетевых экранов нового поколения различных вендоров. Эксперты NSS Labs по своим тестам оценили пропускную способность Fortinet FortiGate 3200D, представленного на испытания, в 19,2 Гбит/c, что заметно превышает 14 Гбит/c, официально заявленные разработчиком.
Архитектура FortiASIC
Высокая скорость обработки сетевых пакетов основана на сочетании контентных процессоров (Content Processors, CP) FortiASIC и сетевых процессоров (Network Processors, NP) FortiASIC.
Рисунок 1. Линейка продуктов Fortinet
Контентные процессоры FortiASIC
В большинстве устройств FortiGate применяются контентные процессоры CP FortiASIC, ускоряющие криптографические вычисления (шифрование и аутентификацию) и инспекционный контроль содержимого, например антивирус или IPS. CP работают на уровне системы, получая задачи от центрального процессора (CPU). Возможности CP варьируются от модели. Современные FortiGate используют процессоры версии CP8 и CP9. В ранних моделях платформ FortiGate применяются процессоры CP4, CP5 и CP6.
Процессоры CP9 обеспечивают:
- инспекционный контроль в режиме потока (flow-based) с пропускной способностью более 10 Гбит/с;
- высокую производительность операций расшифрования-зашифрования VPN (SSL и IPSec);
- обмен ключами, поддерживающий высокую производительность вычислений IKE и RSA;
- поддержку технологии fingerprint системы предотвращения утечек информации (DLP).
На сайте разработчика приведены независимые статистические данные, доказывающие необходимость использования контентных процессоров для расшифрования и проверки ресурсоемких данных.
Сетевые процессоры FortiASIC
Сетевые процессоры NP в FortiASIC работают на уровне интерфейса и обеспечивают ускорение обработки сетевого трафика за счет снижения нагрузки CPU и выполнения его задач. Современные модели FortiGate содержат сетевые процессоры NP6, ранние платформы включают процессоры версии NP4 и ниже.
Процессоры NP6 обеспечивают высокую производительность FortiGate с задержками до трех микросекунд за счет обработки IPv4- и IPv6-трафика, CAPWAP-трафика, осуществления IPsec-VPN-шифрования и многоадресной рассылки. Сеансовые ключи (и ключи SA IPsec) хранятся в памяти процессора NP6, который подключен к интерфейсу, получившему первый пакет для установления сеанса. Все сеансы быстро распараллеливаются и ускоряются даже для выходного интерфейса, подключенного к другому NP6, поскольку в FortiGate нет зависимости от правильной пары интерфейсов, так как разгрузка трафика осуществляется на стороне принимающего сетевого процессора. Это стало возможным благодаря встроенной фабрике коммутации (Integrated Switch Fabric, ISF), которая соединяет процессоры NP6 и интерфейсы FortiGate вместе. ISF может осуществлять любые подключения через порт, что позволяет портам и NP6 взаимодействовать друг с другом.
Рисунок 2. Структурная схема взаимодействия сетевых интерфейсов, процессоров FortiASIC и центрального процессора на примере FortiGate 1500D
NP6 имеет пропускную способность 40 Гбит/c через 4 интерфейса по 10 Гбит/с или 3 интерфейса по 10 Гбит и 16 интерфейсов по 1 Гбит/с. Таким образом, пропускная способность FortiGate 1500D благодаря двум сетевым процессорам NP6 может достигать 80 Гбит.
NP4 поддерживает обработку IPv4-трафика межсетевого экрана и IPsec-VPN-шифрование. NP4 имеет пропускную способность 20 Гбит/с через 2 интерфейса по 10 Гбит/с.
Однокристальная система (System-on-a-Chip, SoC) FortiASIC
Производитель интегрирует CP и NP с RISC-процессором (Restricted Instruction Set Computer, компьютер с сокращенным набором команд) в однокристальную систему FortiASIC (SoC2), что упрощает конструкцию платформ FortiGate и обеспечивает более высокую производительность.
Параллельная обработка сетевого трафика FortiASIC
С помощью настраиваемых политик межсетевого экрана из нескольких возможных вариантов определяется оптимальный путь обработки пакета. Например, сетевой трафик, который не представляет угрозы безопасности и не требует проверки со стороны межсетевого экрана, может быть выгружен на сетевые процессоры, освобождая ресурсы FortiGate для поиска и устранения потенциальных угроз безопасности.
По первому пакету определяется возможность выгрузки сессии на NP6. Последующие пакеты пропускают проверку межсетевого экрана и CPU и просто пересылаются на выходной интерфейс процессором NP6. Одновременно с этим сетевой процессор NP6 может ускорить выполнение некоторых механизмов безопасности, таких как политики защиты от атак типа отказ в обслуживании (Denial of Service, DoS) и списки контроля доступа (Access Control List, ACL).
Рисунок 3. Обработка пакетов сессии, выгруженной на сетевой процессор FortiASIC
Кроме того, многие модели FortiGate поддерживают технологию NTurbo, позволяющую выгрузить на процессоры NP4- или NP6-сессии (IPS, контроль приложений, сканирование вирусов на основе потока и так далее), установленные на межсетевом экране в режиме потока (flow-based). Так трафик от входного интерфейса по специальному каналу перенаправляется на IPS и далее к выходному интерфейсу. NTurbo останавливает выполнение операций межсетевого экрана для этого канала, позволяя IPS выполнять функции проверки. Это снижает нагрузку на CPU FortiGate, улучшая общую пропускную способность.
Рисунок 4. Сессия NTurbo
Как было сказано выше, процессы, связанные с контролем содержимого при конфигурации соответствующих политик безопасности, могут быть разгружены и ускорены с помощью процессоров CP8 или CP9 с применением технологии IPSA. По умолчанию используется один процессор CP8. Далее прибавляются два или несколько процессоров CP8 или один или несколько процессоров CP9.
Если в ходе проверки была выявлена угроза безопасности, то сессия обрывается. В противном случае пакеты пересылаются из исходящих интерфейсов процессором NP6.
Технология NTurbo применяется для большинства видов сессий, кроме некоторых исключений.
Выводы
Параллельная обработка трафика, реализованная с помощью процессоров FortiASIC, оптимизирует аппаратные и программные ресурсы платформ FortiGate, обеспечивая высокую эффективность (по независимым тестам NSS Labs) и производительность в современных сетях. В результате этого обнаружение и устранение угроз безопасности достигается при сверхнизких задержках и максимальной пропускной способности. За счет взаимодействия с ОС FortiOS обеспечивается комплексная защита на уровне сети, приложений и данных в режиме реального времени. Благодаря различным вариантам сочетания CP FortiASIC и NP FortiASIC достигается оптимальный уровень защиты и соотношение цена-качество для разных потребителей. Все это делает платформы FortiGate мощным инструментом для борьбы с постоянно изменяющимися угрозами безопасности.
Успешное внедрение процессоров FortiASIC позволило достичь колоссальной пропускной способности до 1 Тбит/с для сетевых устройств безопасности. Такие устройства обеспечивают хорошую масштабируемость сетей и позволяют достичь высокого уровня безопасности в условиях быстрорастущих требований к пропускной способности.
Дополнительная информация об аппаратном ускорении Fortinet:
