Как меняется производительность межсетевых экранов нового поколения (NGFW) FortiGate от компании Fortinet при использовании NP7, нового специально сконструированного сетевого процессора седьмого поколения? Проанализируем быстродействие, расскажем о функциях NP7 и проследим развитие FortiGate.
- Введение
- Развитие специализированных процессоров Fortinet
- Функции NP7
- Анализ производительности NP7
- Межсетевые экраны FortiGate на базе NP7
- Выводы
Введение
Сетевые устройства безопасности, такие как межсетевые экраны, исторически являются «бутылочным горлышком» в сетях передачи данных. Их производительность во многом влияет на скорость информационного обмена между внешней и доверенной сетями. В связи с этим вендоры инвестируют большие средства в развитие технологий, направленных на оптимизацию и повышение скорости работы подобных устройств за счёт улучшения их характеристик. Такими технологиями могут быть аппаратное ускорение или доработка встроенного программного обеспечения. Компания Fortinet много лет применяет специализированные процессоры для аппаратного ускорения своих межсетевых экранов нового поколения FortiGate. Наряду с возможностями операционной системы FortiOS и эффективными механизмами защиты от угроз эти процессоры являются их ключевым конкурентным преимуществом.
Весной 2020 года компания Fortinet анонсировала выход нового поколения сетевых процессоров (Network Processors, NP), обеспечивающих высокую скорость обработки данных межсетевыми экранами нового поколения серии FortiGate 4200F. Устройства, работающие под управлением NP7, показывают производительность на порядок выше, чем аналогичные устройства из той же ценовой категории.
Чтобы подчеркнуть разницу, которую могут обеспечить специализированные процессоры, Fortinet разработала эталонный тест Security Compute Rating, который сравнивает производительность устройств на базе процессоров безопасности Fortinet с изделиями других поставщиков NGFW и SD-WAN. Среднее значение по отрасли рассчитывается из средней производительности ведущих решений. Показатели Security Compute Rating основаны на спецификациях каждого поставщика.
Развитие специализированных процессоров Fortinet
Fortinet продолжает развивать и совершенствовать концепцию процессоров безопасности (Secure Processing Units, SPU), ранее — FortiASIC, снимающих ряд задач с центрального процессора, повышая при этом производительность основного устройства. Главная идея их использования заключается в уменьшении задержек в высокоскоростных сетях при обработке трафика без снижения общего уровня безопасности.
Рисунок 1. Развитие процессоров безопасности FortiASIC (SPU от Fortinet)
На рисунке выше используются следующие обозначения: CP (Content Processor) — контентный процессор Fortinet, реализующий ресурсоёмкие функции безопасности, связанные с инспекцией (шифрование, предотвращение вторжений, антивирусная защита, идентификация приложений); SoC (System-on-a-Chip) — однокристальный модуль для SD-WAN.
NP7 — это 3-е поколение сетевых процессоров NP. Процессор выпущен по технологии 28 нм, поддерживает шину PCI 4.0, сетевые интерфейсы 100G и модули памяти DDR4. Процессор оснащён встроенными датчиками для контроля температуры и общего состояния.
Рисунок 2. Внешний вид процессора NP7
Назначение NP7
NP7 функционирует на уровне сетевого интерфейса и увеличивает скорость обработки трафика за счёт снижения нагрузки на центральный процессор, выполняя часть его задач. Процессор поддерживает сетевые интерфейсы 100 Гбит/с, 50 Гбит/с, 40 Гбит/с и 25 Гбит/с.
NP7 обеспечивает обработку IPv4- и IPv6-трафика, SCTP (Stream Control Transmission Protocol), unicast (одноадресная рассылка), multicast (многоадресная рассылка), broadcast (широковещательная рассылка). За счёт аппаратной установки сессий и журналирования поддерживается 2 миллиона сессий в секунду (connections per second, CPS). Ранее этот параметр ограничивался характеристиками центрального процессора. Аппаратное журналирование введено в сетевой процессор впервые.
Рисунок 3. Упрощённая схема установления сессий межсетевого экрана нового поколения FortiGate на базе сетевого процессора NP7
NP7 поддерживает Elephant Flow («слоновый поток») — чрезвычайно большие непрерывные потоки данных, занимающие существенную долю общей полосы пропускания в течение определённого периода времени. Для Elephant Flow достигается пропускная способность 100 Гбит/с.
Процессор может собирать трафик из фрагментированных пакетов, выполнять ограничение скорости передачи данных для конкретных узлов (traffic shaping) и приоритезацию очередей, благодаря чему достигается защита от DDoS-атак на аппаратном уровне.
NP7 поддерживает IPsec VPN-шифрование, в том числе Suite B — набор криптографических алгоритмов, который включает в себя расширенный стандарт шифрования Galois Counter Mode (AES-GCM), а также алгоритмы хеширования, цифровых подписей и обмена ключами. На базе устройств, функционирующих на NP7, разворачиваются высокопроизводительные и масштабируемые защищённые сети VPN.
По сравнению с предыдущими версиями сетевого процессора увеличена пропускная способность протоколов CAPWAP (Control And Provisioning of Wireless Access Points), добавлена поддержка VXLAN (Virtual Extensible LAN) — технологии сетевой виртуализации, применяемой в системах облачных вычислений для решения проблемы масштабирования.
Важным моментом является возможность применения NP7 в сетях 5G, поскольку сетевые процессоры Fortinet эффективно отвечают требованию к контролю IPsec VPN-сетей с высокой пропускной способностью (до 75 Гбит/с). NP7 также поддерживает плоскость пользователя (user plane) с протоколом GTP (GPRS Tunneling Protocol), который используется как в 4G-, так и в 5G-сетях.
NP7 обеспечивает QoS для поддержки качества обслуживания трафика на сеанс и приложение. Это гарантирует, что на критически важные и чувствительные к задержке потоки данных не влияют сеансы с более низким приоритетом.
NP7 показывает высокие показатели энергоэффективности, потребляя 20 Вт на процессор.
Анализ производительности NP7
Сравним основные характеристики NP7 с процессором предыдущего поколения — NP6. Подробнее с технологией распараллеливания процессов на платформах FortiGate можно ознакомиться в нашей аналитической статье.
Задержки, вносимые FortiGate, с трёх микросекунд сократились до двух.
Производительность сетевых процессоров для Elephant Flow выросла в 10 раз. Это позволяет обрабатывать больший объём данных.
Рисунок 4. Увеличение производительности сетевых процессоров Fortinet для Elephant Flow
В 3 раза увеличилась пропускная способность IPsec VPN.
Рисунок 5. Увеличение пропускной способности IPsec VPN с сетевыми процессорами Fortinet
Число одновременных сессий, которые поддерживает FortiGate с новым сетевым процессором NP7, увеличилось до 100 млн.
NP7 на транспортном уровне модели OSI имеет пропускную способность 200 Гбит/с через два интерфейса по 100 Гбит/с каждый.
Сегментация и виртуализация сети ранее на сетевом процессоре не поддерживалась, за эти задачи отвечал центральный процессор. Теперь эта нагрузка перенесена на NP7.
Рисунок 6. Скорость обработки VXLAN на сетевом процессоре Fortinet в сравнении с центральным процессором
Межсетевые экраны FortiGate на базе NP7
На июль 2020 года среди устройств Fortinet анонсировано два межсетевых экрана нового поколения на базе сетевого процессора NP7 — FortiGate 1800F и FortiGate 4200F. Ниже приведены основные характеристики межсетевых экранов FortiGate уровня high-end (высокого) из официальных материалов производителя в сравнении с устройствами на базе NP7.
Таблица 1. Характеристики межсетевых экранов FortiGate уровня high-end
FortiGate 1800F (NP7) | FortiGate 2000E | FortiGate 3600E | FortiGate 3980E | FortiGate 4200F (NP7) | |
Пропускная способность МЭ, Гбит/с | 198 | 90 | 240 | 1 050 | 800 |
Пропускная способность IPsec VPN, Гбит/с | 65 | 11,5 | 55 | 32 | 280 |
Защита от угроз (Threat Protection), Гбит/с | 9,1 | 5,4 | 30 | 20 | 35 |
Проверка SSL, Гбит/с | 17 | 9,4 | 34 | 26 | 38 |
Число одновременных сессий, млн | 12 | 20 | 50 | 160 | 400 |
Число сессий в секунду, тыс. | 750 | 500 | 460 | 550 | 8 000 |
Как видно из таблицы выше, FortiGate 4200F — самое производительное устройство в сегменте high-end. FortiGate 1800F наиболее эффективен в IPsec VPN-сетях. Прочие межсетевые экраны, представленные для сравнения, основаны на сетевых процессорах предыдущего поколения.
Выводы
Сетевые процессоры NP7 — очередной этап в развитии аппаратного ускорения Fortinet. С их помощью достигаются новые показатели производительности межсетевых экранов следующего поколения FortiGate. Можно сказать, что за последние 7 лет производительность анализа сетевого трафика выросла более чем в 10 раз.
В процессоры NP7 впервые добавлены поддержка технологии виртуального расширения сети VXLAN, аппаратное журналирование, аппаратная установка сессий. Ожидается, что применение этих чипов оправдает себя в больших системах облачных вычислений и мобильных сетях. Владельцы сетей с быстрорастущими требованиями к надёжности и скорости передачи данных могут сделать свой выбор в пользу межсетевых экранов нового поколения FortiGate на базе NP7.