Cisco Romania Blog

1Tbps Cisco firewall cu flexibilitatea data de x86

2 min read



Un firewall trebuia sa rezolve in trecut o problema relativ simpla. Sa permita sau nu, conform unui set de reguli, accesul dintr-o zona intr-alta. Diferente intre echipamente, erau intre cat de rapid puteau face asta, cate interfete, cat de usor erau de configurat. Odata cu evolutia retelelor, la fel si firewall-urile au tinut pasul. Au absorbit capabilitati de IDS/IPS, capabilitati de inspectie a pachetelor pentru detectarea aplicatiilor sau capabilitati de decriptare.

Cu aceasta evolutie au aparut si problemele. Aplicatiile sunt mult mai dinamice decat protocoalele de retea. Deasemeni semnaturile de IPS/IDS sunt si mai dinamice si implica modificari chiar si la intervale orare. In problema initiala a firewall-ului puteam agrega totul intr-un procesor specializat ASIC, ne straduiam sa-l facem cat de eficient si de rapid posibil si aveam problema rezolvata. Insa in tratarea aplicatiilor, IPS/IDS si mai ales corelarea in timp real a evenimentelor din multiple procese ale functiei de firewall, avem nevoie de cat mai multa flexibilitate.FP9300-graph

1) Flexibilitatea este incompatibila cu ASIC.
2) ASIC este foarte ieftin si foarte performant pentru functiile programate in hardware.
3) Un procesor flexibili spre exemplu x86 este incet in comparatie cu ASIC.

Asa ca problema de astazi se reduce la alege doar doua din cele trei caracteristici : flexibil, ieftin, rapid;

 

Exista disponibile solutii de compromis, in care se trateaza functiile specializate de retea in ASIC la viteza mare, iar functiile ce necesita flexibilitate sunt tratate de un procesor aditional x86. Procesorul aditional x86 insa este cu unul sau cu doua ordine de marime mai incet decat performantele ASIC, asa ca se poate ajunge in situatia ca intreaga performanta a ASIC sa trebuiasca sa astepte dupa capacitatea maxima de procesare a x86, daca inspectia ce necesita flexibilitate este invocata.

Cisco va propune o abordare exclusiv flexibila. Prin platforma Firepower 9300, tintim catre 1Tbps Firewall dar fara a face deloc rabat de la flexibilitate.
Am reusit asta prin implementarea unui firewall modular, construit pe rama unui sasiu de servere, folosind in interior procesoare x86. Multe procesoare x86.
Sasiul contine 3 sloturi ce pot acomoda module de procesare. Fiecare dintre module aduce resurse de calcul catre intregul ansamplu firewall, unde procesele de securitate lucreaza virtualizat, exact ca intr-un server. Functionand in asemenea maniera putem avea servicii de securitate inlantuite in cadrul sasiului, in calea unui stream de date, fara a-i impacta tranzitia. Astfel de servicii pot fi serviciul de firewall clasic, serviciul de IPS/IDS, serviciul de antimalware pentru fisiere sau serviciul de DDoS.Screen Shot 2015-07-19 at 13.13.43

Modulul cel mic denumit SM24 contine 48 cores x86, modulul frate SM36 contine 72 cores x86; In concluzie un singur sasiu astazi poate contine 216 cores x86.
Functiile de decriptare SSL sunt tratate intr-un daughter card specializat, exclusiv pentru decriptare, ce este pozitionat in aceeasi maniera ca un card mezanin in servere.

Daca aplicam functia de clustering activ-activ mai multor sasiuri, putem ajunge la tinta stabilita initial de 1Tbps Firewall complet flexibil.

Pentru mai multe detalii va rugam sa accesati descrierea tehnica a produsului la link-ul de mai jos:
http://www.cisco.com/c/en/us/products/collateral/security/firepower-9300-security-appliance/datasheet-c78-734869.html

Lăsați un comentariu