Check Point Falcon Acceleration Cards — ускоряем обработку трафика



    Относительно недавно мы публиковали статью про Check Point Maestro, новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check Point. Однако это не единственная технология увеличения производительности. Еще в 2018 году были анонсированы новые карты акселерации трафика с выделенным сетевым процессором — Falcon Acceleration Cards. Смысл этих устройств простой — взять на себя часть нагрузки по обработке трафика. В этой статье мы рассмотрим:

    • Варианты доступных карт;
    • В какие модели шлюзов они могут быть установлены;
    • Внешний вид и установка;
    • Какую нагрузку могут на себя брать;
    • На сколько они “ускоряют” SSL-инспекцию.

    Если вам интересна данная тема — добро пожаловать под кат.

    Как уже было сказано, сами карты анонсировали еще в 2018 году. Однако в продаже они появились совсем недавно. Связано это в первую очередь с тем, что работать они могут лишь на шлюзах под управлением ОС начиная с версии Gaia R80.20 (сейчас уже доступна R80.30). Давайте рассмотрим доступные модели.

    Варианты доступных карт


    На текущий момент вариантов не так много. Есть две позиции:

    1. Falcon 10G Acceleration Card (партномер — CPAC-FALCON-10G-B). Карта с 4 оптическими портами по 10 GbE. Поддерживаемые трансиверы: CPAC-TR-10SR-B (also supports 1 GbE), CPAC-TR-10LR-B (also supports 1 GbE), CPAC-TR-1T-B.
    2. Falcon 40G Acceleration Card (партномер — CPAC-FALCON-40G-B). Карта с 2 оптическими портами по 40 GbE. Поддерживаемые трансиверы: CPAC-TR-40SR-QSFP-300m (supports the breakout mode), CPAC-TR-40LR-QSFP-10K, CPAC-TR-40SR-QSFP-BiDi.

    Поддерживаемые модели шлюзов


    К сожалению вставить карты можно далеко не во все устройства. Список поддерживаемых моделей шлюзов Check Point:

    • 5900 (до 2 карт)
    • 6800 (до 2 карт)
    • 15400 (до 3 карт)
    • 15600 (до 3 карт)
    • 23500 (до 5 карт)
    • 23800 (до 5 карт)

    Изначально, когда появилась информация об этих картах, был слух, что их можно будет вставлять в модели начиная с 5600. Однако, существующие карты пока не поддерживаются. Возможно в будущем добавят другие модели, которые будут поддерживаться шлюзами младшего семейства.

    Внешний вид и установка


    Вот так выглядит карта Falcon 10G Acceleration Card:



    Карта Falcon 40G Acceleration Card:



    Сами карты вставляются в шлюзы в специальные слоты. Собственно, кол-вом свободных слотов и ограничивается кол-во поддерживаемых карт акселерации. Пример для шлюза 23500:



    Какую нагрузку могут на себя брать карты акселерации?


    Обе карты акселерации могут использоваться для следующих задач:

    1. Для HTTPS инспекции. В этом случае существенно повышается пропускная способность шлюза;
    2. В Threat Prevention. Deep Inspection, SandBlast, NGFW, всю эту нагрузку можно переложить со шлюза на карту;
    3. Для Firewall. Обычная обработка трафика. Увеличивает пропускную способность, уменьшает время отклика, увеличивает кол-во поддерживаемых сессий.
    4. Для VSX или QoS.

    На мой взгляд, в первую очередь интересен пункт про HTTPS инспекцию и возможность переноса нагрузки для “глубокой” проверки файлов (deep inspection).

    На сколько данные карты “ускоряют” SSL инспекцию?


    Ниже представлена таблица тестов для разных моделей с разным кол-вом карт акселерации. Проценты в данном случае отражают, на сколько увеличивается пропускная способность устройства при включенной SSL-инспекции:



    Можно опираться на эти цифры при сайзинге подходящей вам модели.

    Заключение


    По нашей информации, к сожалению, пока эти карты ввезти в Россию нельзя. Идет процесс оформления нотификации. Однако, уже сейчас можно сказать, что это хорошее дополнение к портфелю “железных” устройств. Более техническую информацию можно найти здесь, либо обратиться непосредственно к нам. Больше материалов о Check Point читайте в нашем блоге.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Планируете ли вы использовать карты акселерации?

    TS Solution
    109,10
    Системный интегратор
    Поделиться публикацией

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое