Die Xstream-Architektur ermöglicht die Auslagerung und das Streamen der Paketverarbeitung für ein hohes Maß an Schutz und Leistung.
Die Architektur enthält das DPI-Modul (Deep Packet Inspection), die SSL/TLS-Inspektion und den FastPath-Netzwerkfluss.
Das DPI-Modul wendet SSL/TLS-Entschlüsselung und -Inspektion, IPS-Richtlinien, Anwendungsidentifizierung und -Kontrolle, Web-Richtlinien (einschließlich proxyloser Webfilterung) und Antiviren-Scans mit einem einzelnen Modul an. Virenschutz-Scans umfassen Sandstorm-Schutz- und Datei-Reputationsanalysen.
Die SSL/TLS-Inspektion entschlüsselt und überprüft SSL/TLS-Verbindungen, die moderne Verschlüsselungssammlungen über alle Ports und Protokolle hinweg verwenden. Details hierzu finden Sie unter
.Sie können die FastPath-Auslagerung mithilfe von Regeln und Richtlinien optimieren, um den Datenverkehr von Cloud-Anwendungen zu beschleunigen, oder mithilfe des DPI-Moduls basierend auf Verkehrseigenschaften.
Die Datenschicht ist die zentrale Hardware- und Softwarekomponente. Sie arbeitet in FastPath, im Kernel (Firewall-Stack) und im Benutzerbereich (user space), wobei sie vertrauenswürdige Pakete während der gesamten Lebensdauer einer Verbindung auslagert. Das DPI-Modul befindet sich im Benutzerbereich.
FastPath bietet einen effizienten Pfad ohne Kopiervorgang in das DPI-Modul, sodass keine Kopien im Kernelspeicher aufbewahrt werden müssen. Die Datenschicht speichert die Klassifizierungsentscheidungen des Kernels und des Benutzerraums zwischen und wendet sie auf den gesamten Datenverkehr einer Verbindung an, wodurch die Hardware entlastet wird. Dies ermöglicht es FastPath, einen Teil oder die gesamte Verarbeitung eines Pakets aus der CPU auszulagern.
Der Firewall-Stack benötigt weiterhin die CPU, um die Verbindungsrate zu verarbeiten.
FastPath ist softwarebasiert und auch als Virtual FastPath (VFP) verfügbar, was uns ermöglicht, eine gemeinsame Architektur für XG Firewall Appliances und die Software- und virtuelle Plattformen von XG Firewall zu unterhalten. Der Firewall-Stack kann über VFP oder die FastPath-API auf den FastPath ausgelagert werden. VFP-Aktualisierungen und -Funktionen sind Teil der SFOS-Releases.
Derzeit unterstützt Virtual FastPath bis zu 3500 MTU auf e1000- und e1000e-NICs.
Firewall-Beschleunigung
Wenn Sie die Firewall-Beschleunigung über die Kommandozeile ausschalten oder wenn FastPath nicht lädt, funktioniert XG Firewall weiterhin vollständig, nur ohne die Leistungssteigerungen von FastPath.
Um die Firewall-Beschleunigung durch FastPath ein- oder auszuschalten und den Status anzuzeigen, verwenden Sie die folgenden Kommandozeilenbefehle:
Option |
Kommandozeilenbefehl |
---|---|
Firewall-Beschleunigung anzeigen |
console> system firewall-acceleration show |
Firewall-Beschleunigung einschalten |
console> system firewall-acceleration enable |
Firewall-Beschleunigung ausschalten. |
console> system firewall-acceleration disable |
FastPath
Nachdem ein Paket aus jeder Richtung XG Firewall passiert hat, klassifiziert der Firewall-Stack den Datenfluss vollständig und schreibt einen Verbindungscache in FastPath. Er lagert die Kernel-Verarbeitung für nachfolgende Pakete der gleichen Verbindung an FastPath aus. Diese Pakete erfordern keine weitere Verarbeitung, um ihre Identität und ihr Ziel zu überprüfen. Mit der zustandsbehafteten Verfolgung einzelner Verbindungen verarbeitet FastPath die Pakete vollständig, wodurch CPU-Zyklen und Speicherbandbreite gespart werden. FastPath verhält sich wie vom Kernel vorgegeben.
DPI-Modul
Für Sicherheitsentscheidungen reicht der Firewall-Stack das erste Paket über die DAQ-Schicht (Data Acquisition) an das DPI-Modul weiter. FastPath reicht nachfolgende Pakete direkt an das DPI-Modul über die DAQ-Schicht weiter, einem Hochgeschwindigkeitsmechanismus zum Verschieben von Paketen in die und aus dem DPI-Modul. Durch die direkte Bereitstellung müssen keine Kopien im Kernelspeicher aufbewahrt werden.
Das DPI-Modul prüft den Datenverkehr von Schicht 4 und höher durch Streaming-Verarbeitung. Entscheidungen über die Auslagerung werden in jeder Phase der Sicherheitsverarbeitung getroffen.
SSL/TLS-Modul: Bei unverschlüsseltem Datenverkehr weist das SSL/TLS-Modul die DAQ-Schicht an, die SSL/TLS-Verarbeitung für den Datenfluss zu überspringen, wenn die SSL/TLS-Inspektionsregeln aktiviert sind. Wenn SSL/TLS-Inspektionsregeln für verschlüsselten Datenverkehr eingerichtet wurden, ändert das DPI-Modul weiterhin den Datenverkehr während der gesamten Verbindungslebensdauer. Dadurch wird sichergestellt, dass die Verbindung nicht unterbrochen wird, da die SSL/TLS-Verbindung für die Überprüfung geändert wurde.
Angriffsvorbeugung und Anwendungssteuerung: Bei eingeschalteter Anwendungssteuerung werden die ersten Pakete zur Anwendungserkennung an IPS gesendet. IPS klassifiziert die Anwendung nach einigen Paketen und gibt ein Richtlinienurteil für die Anwendungssteuerung ab, das möglicherweise zu neuem Weiterleitungsverhalten und QoS-Parametern führt. Die DAQ-Schicht kommuniziert diese Entscheidungen an den Kernel und die Hardware. Ab diesem Zeitpunkt kann die Verbindung vollständig nach FastPath ausgelagert werden.
IPS kann das Urteil fällen, eine die Sicherheitsverarbeitung aufgrund von Faktoren wie einer sicheren Signatur oder einem Urteil von SophosLabs, einer Übereinstimmung einer IPS-Richtlinie mit Sitzungsumgehungsmaßnahme oder aufgrund früherer Richtlinien zu stoppen.
Antivirus und Webfilterung: Wenn das IPS-Urteil ist, dass der Verkehr sicher ist, findet kein Antiviren-Scan statt. Wenn Webfilterung angewendet wird, wird die Überprüfung des Internetverkehr bis zum Ende des Datenflusses fortgesetzt, abhängig von den HTTP-Antworten.
Ab diesem Zeitpunkt lagert FastPath den Datenverkehr aus dem Kernel aus und übernimmt die Verarbeitung von Schicht 2 und 3. Die Möglichkeit, einige oder alle Verarbeitungsvorgänge zu auszulagern, minimiert die CPU-Last.
Hier sind Beispiele für Regeln und Richtlinien, die es FastPath ermöglichen, Datenverkehr vollständig zu verarbeiten, indem der Firewall-Stack und das DPI-Modul umgangen werden: