Geekly articles weekly

Cartes d'accélération Check Point Falcon - Accélération du traitement du trafic



Relativement récemment, nous avons publié un article sur Check Point Maestro , une nouvelle plateforme évolutive qui vous permet d'augmenter presque linéairement la «puissance» des passerelles Check Point. Cependant, ce n'est pas la seule technologie à augmenter la productivité. En 2018, de nouvelles cartes d'accélération du trafic avec un processeur réseau dédié - Falcon Acceleration Cards - ont été annoncées. La signification de ces appareils est simple: participer à la charge de traitement du trafic. Dans cet article, nous considérerons:

  • Options pour les cartes disponibles;
  • Dans quels modèles de passerelle peuvent-ils être installés;
  • Apparence et installation;
  • Quel type de charge peut supporter;
  • Combien accélèrent-ils l'inspection SSL?

Si vous êtes intéressé par ce sujet - bienvenue au chat.

Comme déjà mentionné, les cartes elles-mêmes ont été annoncées en 2018. Cependant, ils sont apparus en vente plus récemment. Cela est principalement dû au fait qu'ils ne peuvent fonctionner que sur des passerelles exécutant le système d'exploitation à partir de la version de Gaia R80.20 (R80.30 est maintenant disponible). Regardons les modèles disponibles.

Options de carte disponibles


Actuellement, il n'y a pas beaucoup d'options. Il y a deux postes:

  1. Carte d'accélération Falcon 10G (référence - CPAC-FALCON-10G-B). Carte avec 4 ports optiques de 10 GbE chacun. Émetteurs-récepteurs pris en charge: CPAC-TR-10SR-B (prend également en charge 1 GbE), CPAC-TR-10LR-B (prend également en charge 1 GbE), CPAC-TR-1T-B.
  2. Carte d'accélération Falcon 40G (référence - CPAC-FALCON-40G-B). Carte avec 2 ports optiques de 40 GbE chacun. Émetteurs-récepteurs pris en charge: CPAC-TR-40SR-QSFP-300m (prend en charge le mode de dérivation), CPAC-TR-40LR-QSFP-10K, CPAC-TR-40SR-QSFP-BiDi.

Modèles de passerelles pris en charge


Malheureusement, les cartes ne peuvent pas être insérées dans tous les appareils. Liste des modèles de passerelle Check Point pris en charge:

  • 5900 (jusqu'à 2 cartes)
  • 6800 (jusqu'à 2 cartes)
  • 15400 (jusqu'à 3 cartes)
  • 15600 (jusqu'à 3 cartes)
  • 23500 (jusqu'à 5 cartes)
  • 23800 (jusqu'à 5 cartes)

Initialement, lorsque des informations sur ces cartes sont apparues, il y avait une rumeur selon laquelle elles pourraient être insérées dans des modèles à partir de 5600. Cependant, les cartes existantes ne sont pas encore prises en charge. Peut-être qu'à l'avenir, d'autres modèles seront pris en charge par les passerelles de la jeune famille.

Apparence et installation


Voici à quoi ressemble la carte d'accélération Falcon 10G :



Carte d'accélération Falcon 40G :



Les cartes elles-mêmes sont insérées dans les passerelles dans des emplacements spéciaux. En fait, le nombre d'emplacements libres est limité par le nombre de cartes d'accélération prises en charge. Exemple pour la passerelle 23500:



Quel type de charge les cartes d'accélération peuvent-elles assumer?


Les deux cartes d'accélération peuvent être utilisées pour les tâches suivantes:

  1. Pour l'inspection https. Dans ce cas, le débit de la passerelle est considérablement augmenté;
  2. Dans la prévention des menaces. Deep Inspection, SandBlast, NGFW, toute cette charge peut être transférée de la passerelle à la carte;
  3. Pour le pare-feu. Traitement normal du trafic. Augmente le débit, réduit le temps de réponse, augmente le nombre de sessions prises en charge.
  4. Pour VSX ou QoS.

À mon avis, le point sur l'inspection HTTPS et la capacité de transférer la charge pour une «inspection approfondie» des fichiers est d'un intérêt primordial.

Dans quelle mesure ces données de carte accélèrent-elles l'inspection SSL?


Vous trouverez ci-dessous un tableau de tests pour différents modèles avec différents nombres de cartes d'accélération. L'intérêt dans ce cas reflète l'augmentation du débit de l'appareil lorsque l'inspection SSL est activée:



Vous pouvez vous fier à ces chiffres pour dimensionner le modèle qui vous convient.

Conclusion


Selon nos informations, ces cartes ne peuvent malheureusement pas être importées en Russie jusqu'à présent. Le processus de notification est en cours. Cependant, nous pouvons déjà dire que c'est un bon ajout au portefeuille d'appareils «en fer». Plus d'informations techniques peuvent être trouvées ici , ou contactez- nous directement. En savoir plus sur Check Point sur notre blog .

Source: https://habr.com/ru/post/fr460349/

More articles:


All Articles