Check Point Falcon Acceleration Cards — ускоряем обработку трафика

Относительно недавно мы публиковали статью про Check Point Maestro ^[1], новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check Point. Однако это не единственная технология увеличения производительности. Еще в 2018 году были анонсированы новые карты акселерации трафика с выделенным сетевым процессором — Falcon Acceleration Cards. Смысл этих устройств простой — взять на себя часть нагрузки по обработке трафика. В этой статье мы рассмотрим:

• Варианты доступных карт;
• В какие модели шлюзов они могут быть установлены;
• Внешний вид и установка;
• Какую нагрузку могут на себя брать;
• На сколько они “ускоряют” SSL-инспекцию.

Если вам интересна данная тема — добро пожаловать под кат.

Как уже было сказано, сами карты анонсировали еще в 2018 году. Однако в продаже они появились совсем недавно. Связано это в первую очередь с тем, что работать они могут лишь на шлюзах под управлением ОС начиная с версии Gaia R80.20 (сейчас уже доступна R80.30). Давайте рассмотрим доступные модели.

Варианты доступных карт

На текущий момент вариантов не так много. Есть две позиции:

1. Falcon 10G Acceleration Card (партномер — CPAC-FALCON-10G-B). Карта с 4 оптическими портами по 10 GbE. Поддерживаемые трансиверы: CPAC-TR-10SR-B (also supports 1 GbE), CPAC-TR-10LR-B (also supports 1 GbE), CPAC-TR-1T-B.
2. Falcon 40G Acceleration Card (партномер — CPAC-FALCON-40G-B). Карта с 2 оптическими портами по 40 GbE. Поддерживаемые трансиверы: CPAC-TR-40SR-QSFP-300m (supports the breakout mode), CPAC-TR-40LR-QSFP-10K, CPAC-TR-40SR-QSFP-BiDi.

Поддерживаемые модели шлюзов

К сожалению вставить карты можно далеко не во все устройства. Список поддерживаемых моделей шлюзов Check Point:

• 5900 (до 2 карт)
• 6800 (до 2 карт)
• 15400 (до 3 карт)
• 15600 (до 3 карт)
• 23500 (до 5 карт)
• 23800 (до 5 карт)

Изначально, когда появилась информация об этих картах, был слух, что их можно будет вставлять в модели начиная с 5600. Однако, существующие карты пока не поддерживаются. Возможно в будущем добавят другие модели, которые будут поддерживаться шлюзами младшего семейства.

Внешний вид и установка

Вот так выглядит карта Falcon 10G Acceleration Card:

Карта Falcon 40G Acceleration Card:

Сами карты вставляются в шлюзы в специальные слоты. Собственно, кол-вом свободных слотов и ограничивается кол-во поддерживаемых карт акселерации. Пример для шлюза 23500:

Какую нагрузку могут на себя брать карты акселерации?

Обе карты акселерации могут использоваться для следующих задач:

1. Для HTTPS инспекции. В этом случае существенно повышается пропускная способность шлюза;
2. В Threat Prevention. Deep Inspection, SandBlast, NGFW, всю эту нагрузку можно переложить со шлюза на карту;
3. Для Firewall. Обычная обработка трафика. Увеличивает пропускную способность, уменьшает время отклика, увеличивает кол-во поддерживаемых сессий.
4. Для VSX или QoS.

На мой взгляд, в первую очередь интересен пункт про HTTPS инспекцию и возможность переноса нагрузки для “глубокой” проверки файлов (deep inspection).

На сколько данные карты “ускоряют” SSL инспекцию?

Ниже представлена таблица тестов для разных моделей с разным кол-вом карт акселерации. Проценты в данном случае отражают, на сколько увеличивается пропускная способность устройства при включенной SSL-инспекции:

Можно опираться на эти цифры при сайзинге подходящей вам модели.

Заключение

По нашей информации, к сожалению, пока эти карты ввезти в Россию нельзя. Идет процесс оформления нотификации. Однако, уже сейчас можно сказать, что это хорошее дополнение к портфелю “железных” устройств. Более техническую информацию можно найти здесь ^[2], либо обратиться непосредственно к нам ^[3]. Больше материалов о Check Point читайте в нашем блоге ^[4].

Автор: cooper051

Источник ^[5]