Architektur

Die Xstream-Architektur ermöglicht die Auslagerung und das Streamen der Paketverarbeitung für ein hohes Maß an Schutz und Leistung.

Die Architektur enthält das DPI-Modul (Deep Packet Inspection), die SSL/TLS-Inspektion und den FastPath-Netzwerkfluss.

Das DPI-Modul wendet SSL/TLS-Entschlüsselung und -Inspektion, IPS-Richtlinien, Anwendungsidentifizierung und -Kontrolle, Web-Richtlinien (einschließlich proxyloser Webfilterung) und Antiviren-Scans mit einem einzelnen Modul an. Virenschutz-Scans umfassen Sandstorm-Schutz- und Datei-Reputationsanalysen.

Die SSL/TLS-Inspektion entschlüsselt und überprüft SSL/TLS-Verbindungen, die moderne Verschlüsselungssammlungen über alle Ports und Protokolle hinweg verwenden. Details hierzu finden Sie unter Regeln und Richtlinien > SSL/TLS-Inspektionsregeln.

Der FastPath-Netzwerkfluss lagert den vertrauenswürdigen Datenverkehr aus (umgeht die Verarbeitung). Durch die Auslagerung entfällt die Notwendigkeit, für jedes Paket einer Verbindung eine vollständige Firewall-Verarbeitung durchzuführen, wodurch die Nutzung von Verarbeitungszyklen minimiert wird.
Anmerkung Derzeit werden VPN-, QoS-, DoS-, RED- und HA-Datenverkehr nicht auf den FastPath ausgelagert.

Sie können die FastPath-Auslagerung mithilfe von Regeln und Richtlinien optimieren, um den Datenverkehr von Cloud-Anwendungen zu beschleunigen, oder mithilfe des DPI-Moduls basierend auf Verkehrseigenschaften.

FastPath-Netzwerkfluss

Die Datenschicht ist die zentrale Hardware- und Softwarekomponente. Sie arbeitet in FastPath, im Kernel (Firewall-Stack) und im Benutzerbereich (user space), wobei sie vertrauenswürdige Pakete während der gesamten Lebensdauer einer Verbindung auslagert. Das DPI-Modul befindet sich im Benutzerbereich.

FastPath bietet einen effizienten Pfad ohne Kopiervorgang in das DPI-Modul, sodass keine Kopien im Kernelspeicher aufbewahrt werden müssen. Die Datenschicht speichert die Klassifizierungsentscheidungen des Kernels und des Benutzerraums zwischen und wendet sie auf den gesamten Datenverkehr einer Verbindung an, wodurch die Hardware entlastet wird. Dies ermöglicht es FastPath, einen Teil oder die gesamte Verarbeitung eines Pakets aus der CPU auszulagern.

Der Firewall-Stack benötigt weiterhin die CPU, um die Verbindungsrate zu verarbeiten.

Anmerkung XG Firewall behält die Verarbeitung des Firewall-Stacks (Slowpath) als Ersatzpfad für Funktionalitäten bei, die nicht im FastPath verarbeitet werden können oder wenn FastPath nicht eingesetzt werden kann. Der Firewall-Stack verarbeitet weiterhin bestimmte Protokolle, z.B. IP in IP.

FastPath ist softwarebasiert und auch als Virtual FastPath (VFP) verfügbar, was uns ermöglicht, eine gemeinsame Architektur für XG Firewall Appliances und die Software- und virtuelle Plattformen von XG Firewall zu unterhalten. Der Firewall-Stack kann über VFP oder die FastPath-API auf den FastPath ausgelagert werden. VFP-Aktualisierungen und -Funktionen sind Teil der SFOS-Releases.

Anmerkung Virtual FastPath unterstützt die NIC-Treiber i40e, e1000, e1000e, igb, ixgbe und vmxnet3. VFP lädt nicht mit anderen Treibern, aber XG Firewall (einschließlich des DPI-Moduls) funktioniert immer noch vollständig, nur ohne die FastPath-Leistungssteigerungen.

Derzeit unterstützt Virtual FastPath bis zu 3500 MTU auf e1000- und e1000e-NICs.

Anmerkung Für virtuelle Installationen unterstützt Virtual FastPath den VMware ESXi-Hypervisor. Bei anderen Hypervisoren, wie KVM, deaktivieren Sie FastPath mit dem CLI-Befehl für die Firewall-Beschleunigung.

Firewall-Beschleunigung

Wenn Sie die Firewall-Beschleunigung über die Kommandozeile ausschalten oder wenn FastPath nicht lädt, funktioniert XG Firewall weiterhin vollständig, nur ohne die Leistungssteigerungen von FastPath.

Um die Firewall-Beschleunigung durch FastPath ein- oder auszuschalten und den Status anzuzeigen, verwenden Sie die folgenden Kommandozeilenbefehle:

Option

Kommandozeilenbefehl

Firewall-Beschleunigung anzeigen

console> system firewall-acceleration show

Firewall-Beschleunigung einschalten

console> system firewall-acceleration enable

Firewall-Beschleunigung ausschalten.

console> system firewall-acceleration disable

Anmerkung FastPath unterstützt tcpdump nicht. Es ist ausgeschaltet, wenn Sie einen tcpdump-Befehl ausführen.

FastPath

Der Datenverkehr für eine Verbindung befindet sich zunächst im zustandsbehafteten Firewall-Modus. Der Firewall-Stack verarbeitet das erste Paket und führt Folgendes aus:
  • Wendet die Firewallregelmaßnahme an.
  • Trifft Entscheidungen auf Schicht 2 und Schicht 3, die Routing-, Switching-, Weiterleitungs- und RED-Verkehr-bezogene Entscheidungen umfassen.
  • Trifft Entscheidungen in Bezug auf die Entkapselung beim Eintritt (ingress) und die Einkapselung beim Austritt (egress), einschließlich Entscheidungen für IPsec VPNs.
  • Wendet DoS-Richtlinien (Denial of Service) an.
  • Wendet QoS-Richtlinien (Traffic-Shaping) an.

Nachdem ein Paket aus jeder Richtung XG Firewall passiert hat, klassifiziert der Firewall-Stack den Datenfluss vollständig und schreibt einen Verbindungscache in FastPath. Er lagert die Kernel-Verarbeitung für nachfolgende Pakete der gleichen Verbindung an FastPath aus. Diese Pakete erfordern keine weitere Verarbeitung, um ihre Identität und ihr Ziel zu überprüfen. Mit der zustandsbehafteten Verfolgung einzelner Verbindungen verarbeitet FastPath die Pakete vollständig, wodurch CPU-Zyklen und Speicherbandbreite gespart werden. FastPath verhält sich wie vom Kernel vorgegeben.

DPI-Modul

Für Sicherheitsentscheidungen reicht der Firewall-Stack das erste Paket über die DAQ-Schicht (Data Acquisition) an das DPI-Modul weiter. FastPath reicht nachfolgende Pakete direkt an das DPI-Modul über die DAQ-Schicht weiter, einem Hochgeschwindigkeitsmechanismus zum Verschieben von Paketen in die und aus dem DPI-Modul. Durch die direkte Bereitstellung müssen keine Kopien im Kernelspeicher aufbewahrt werden.

Das DPI-Modul prüft den Datenverkehr von Schicht 4 und höher durch Streaming-Verarbeitung. Entscheidungen über die Auslagerung werden in jeder Phase der Sicherheitsverarbeitung getroffen.

SSL/TLS-Modul: Bei unverschlüsseltem Datenverkehr weist das SSL/TLS-Modul die DAQ-Schicht an, die SSL/TLS-Verarbeitung für den Datenfluss zu überspringen, wenn die SSL/TLS-Inspektionsregeln aktiviert sind. Wenn SSL/TLS-Inspektionsregeln für verschlüsselten Datenverkehr eingerichtet wurden, ändert das DPI-Modul weiterhin den Datenverkehr während der gesamten Verbindungslebensdauer. Dadurch wird sichergestellt, dass die Verbindung nicht unterbrochen wird, da die SSL/TLS-Verbindung für die Überprüfung geändert wurde.

Angriffsvorbeugung und Anwendungssteuerung: Bei eingeschalteter Anwendungssteuerung werden die ersten Pakete zur Anwendungserkennung an IPS gesendet. IPS klassifiziert die Anwendung nach einigen Paketen und gibt ein Richtlinienurteil für die Anwendungssteuerung ab, das möglicherweise zu neuem Weiterleitungsverhalten und QoS-Parametern führt. Die DAQ-Schicht kommuniziert diese Entscheidungen an den Kernel und die Hardware. Ab diesem Zeitpunkt kann die Verbindung vollständig nach FastPath ausgelagert werden.

IPS kann das Urteil fällen, eine die Sicherheitsverarbeitung aufgrund von Faktoren wie einer sicheren Signatur oder einem Urteil von SophosLabs, einer Übereinstimmung einer IPS-Richtlinie mit Sitzungsumgehungsmaßnahme oder aufgrund früherer Richtlinien zu stoppen.

Antivirus und Webfilterung: Wenn das IPS-Urteil ist, dass der Verkehr sicher ist, findet kein Antiviren-Scan statt. Wenn Webfilterung angewendet wird, wird die Überprüfung des Internetverkehr bis zum Ende des Datenflusses fortgesetzt, abhängig von den HTTP-Antworten.

Ab diesem Zeitpunkt lagert FastPath den Datenverkehr aus dem Kernel aus und übernimmt die Verarbeitung von Schicht 2 und 3. Die Möglichkeit, einige oder alle Verarbeitungsvorgänge zu auszulagern, minimiert die CPU-Last.

Wie Sie FastPath mit Regeln und Richtlinien aktivieren

Hier sind Beispiele für Regeln und Richtlinien, die es FastPath ermöglichen, Datenverkehr vollständig zu verarbeiten, indem der Firewall-Stack und das DPI-Modul umgangen werden:

  • Eine Firewallregel ohne IPS, Webfilter, Virenschutz oder Anwendungssteuerung. Der Datenverkehr wird an FastPath ausgelagert, sobald das erste Paket XG Firewall auf beiden Seiten der Verbindung passiert.
  • Eine Firewallregel mit Anwendungssteuerungsrichtlinie. Der Datenverkehr wird nach etwa acht Paketen an FastPath ausgelagert.
  • Eine Firewallregel mit IPS-Richtlinie, die auf die Regelmaßnahme Sitzung umgehen gesetzt ist. Der Datenverkehr, der den IPS-Richtlinienregeln mit dieser Maßnahme entspricht, wird an FastPath ausgelagert.
  • Eine Firewallregel mit den folgenden Richtlinien:
    • Eine IPS-Richtlinie, die intelligente Signaturen für Auslagerung von SophosLabs enthält.
    • Webfilterung ohne Schadprogramm- und Inhaltsscans oder DPI-Modul-Einstellungen. Bei Firewallregeln mit Schadprogramm- und Inhaltsscans sowie DPI-Modul-Einstellungen übermittelt FastPath den Datenverkehr direkt an das DPI-Modul, wobei der Firewall-Stack umgangen wird.
  • Keine SSL/TLS-Inspektionsregeln. Für Regeln mit der Maßnahme Entschlüsseln, reicht FastPath Datenverkehr direkt an das DPI-Modul weiter, wobei der Firewall-Stack umgangen wird.
  • SSL/TLS-Inspektionsregeln mit der Maßnahme Nicht entschlüsseln. Bei STARTTLS-Verbindungen wird der Datenverkehr nach 15 Paketen auf FastPath ausgelagert.