Geekly articles weekly

Check Point Falcon-Beschleunigungskarten - Beschleunigung der Verkehrsverarbeitung



Vor relativ kurzer Zeit haben wir einen Artikel über Check Point Maestro veröffentlicht , eine neue skalierbare Plattform, mit der Sie die „Leistung“ von Check Point-Gateways nahezu linear erhöhen können. Dies ist jedoch nicht die einzige Technologie zur Steigerung der Produktivität. Bereits 2018 wurden neue Verkehrsbeschleunigungskarten mit einem dedizierten Netzwerkprozessor - Falcon Acceleration Cards - angekündigt. Die Bedeutung dieser Geräte ist einfach: Sie müssen an der Verkehrsverarbeitungslast teilnehmen. In diesem Artikel werden wir Folgendes berücksichtigen:

  • Optionen für verfügbare Karten;
  • In welchen Gateway-Modellen können sie installiert werden?
  • Aussehen und Installation;
  • Welche Art von Last kann aufnehmen;
  • Um wie viel beschleunigen sie die SSL-Überprüfung?

Wenn Sie sich für dieses Thema interessieren - willkommen bei cat.

Wie bereits erwähnt, wurden die Karten selbst bereits 2018 angekündigt. Sie erschienen jedoch in jüngerer Zeit zum Verkauf. Dies liegt hauptsächlich an der Tatsache, dass sie nur auf Gateways arbeiten können, auf denen das Betriebssystem ab der Version von Gaia R80.20 ausgeführt wird (R80.30 ist jetzt verfügbar). Schauen wir uns die verfügbaren Modelle an.

Verfügbare Kartenoptionen


Derzeit gibt es nicht viele Optionen. Es gibt zwei Positionen:

  1. Falcon 10G Acceleration Card (Teilenummer - CPAC-FALCON-10G-B). Karte mit 4 optischen Anschlüssen von jeweils 10 GbE. Unterstützte Transceiver: CPAC-TR-10SR-B (unterstützt auch 1 GbE), CPAC-TR-10LR-B (unterstützt auch 1 GbE), CPAC-TR-1T-B.
  2. Falcon 40G Acceleration Card (Teilenummer - CPAC-FALCON-40G-B). Karte mit 2 optischen Ports von jeweils 40 GbE. Unterstützte Transceiver: CPAC-TR-40SR-QSFP-300m (unterstützt den Breakout-Modus), CPAC-TR-40LR-QSFP-10K, CPAC-TR-40SR-QSFP-BiDi.

Unterstützte Gateway-Modelle


Leider können Karten nicht in alle Geräte eingelegt werden. Liste der unterstützten Check Point-Gateway-Modelle:

  • 5900 (bis zu 2 Karten)
  • 6800 (bis zu 2 Karten)
  • 15400 (bis zu 3 Karten)
  • 15600 (bis zu 3 Karten)
  • 23500 (bis zu 5 Karten)
  • 23800 (bis zu 5 Karten)

Als Informationen zu diesen Karten erschienen, gab es zunächst das Gerücht, dass sie ab 5600 in Modelle eingefügt werden könnten. Bestehende Karten werden jedoch noch nicht unterstützt. Vielleicht werden in Zukunft weitere Modelle hinzugefügt, die von Gateways der jüngeren Familie unterstützt werden.

Aussehen und Installation


So sieht die Falcon 10G-Beschleunigungskarte aus:



Falcon 40G Beschleunigungskarte :



Die Karten selbst werden in speziellen Steckplätzen in die Gateways eingesetzt. Tatsächlich ist die Anzahl der freien Steckplätze durch die Anzahl der unterstützten Beschleunigungskarten begrenzt. Beispiel für Gateway 23500:



Welche Belastung können Beschleunigungskarten auf sich nehmen?


Beide Beschleunigungskarten können für folgende Aufgaben verwendet werden:

  1. Zur https-Überprüfung. In diesem Fall wird der Durchsatz des Gateways erheblich erhöht.
  2. In der Bedrohungsprävention. Deep Inspection, SandBlast, NGFW, all diese Lasten können vom Gateway auf die Karte übertragen werden.
  3. Für die Firewall. Normale Verkehrsverarbeitung. Erhöht den Durchsatz, verkürzt die Antwortzeit und erhöht die Anzahl der unterstützten Sitzungen.
  4. Für VSX oder QoS.

Meiner Meinung nach ist der Punkt über die HTTPS-Inspektion und die Möglichkeit, die Last für die „Tiefeninspektion“ von Dateien zu übertragen, von primärem Interesse.

Um wie viel beschleunigen diese Kartendaten die SSL-Überprüfung?


Unten finden Sie eine Testtabelle für verschiedene Modelle mit unterschiedlicher Anzahl von Beschleunigungskarten. Das Interesse in diesem Fall spiegelt wider, um wie viel sich der Durchsatz des Geräts erhöht, wenn die SSL-Überprüfung aktiviert ist:



Sie können sich auf diese Zahlen verlassen, wenn Sie das für Sie passende Modell dimensionieren.

Fazit


Nach unseren Informationen können diese Karten leider noch nicht nach Russland importiert werden. Der Benachrichtigungsprozess ist noch nicht abgeschlossen. Wir können jedoch bereits sagen, dass dies eine gute Ergänzung des Portfolios an „Eisen“ -Geräten ist. Weitere technische Informationen finden Sie hier oder kontaktieren Sie uns direkt. Lesen Sie mehr über Check Point in unserem Blog .

Source: https://habr.com/ru/post/de460349/

More articles:


All Articles