ハイパーフロー

エレファントフローとは、TCPまたはUDPが確立する大きな(総バイト数の)連続接続のことです。

例えば、HTTP、HTTPS、FTP、またはNFSプロトコルを介した大容量ファイル(Linux ISOファイルなど)のダウンロードがあります。

このような大規模な連続接続は、他のデータタイプのセッションに比べてネットワーク容量を大幅に消費します。

HyperFlow機能がない場合、セキュリティゲートウェイは1つのCPUコア(1つのCoreXLファイアウォールインスタンス閉じた CoreXLが有効なセキュリティゲートウェイでは、Firewallカーネルは複数回コピーされ、各コピー(ファイアウォールインスタンス)は、1つの処理CPUコアで実行される。ファイアウォールインスタンスは同時にトラフィックを処理し、各ファイアウォールインスタンスは完全で独立したファイアウォール検査カーネルとなる(同義語:CoreXL FWインスタンス)。)だけを使って1つの象の接続を検査します。また、セキュリティゲートウェイのCPU使用率が増加するにつれて、トラフィックのスループットが徐々に低下します。

セキュリティゲートウェイR81.20以降のHyperFlow機能は、このような象の接続を複数のCPUコアで並行して処理します。

HyperFlow機能は、検査タスク全体を小さなタスクに分割し、これらの小さなタスクを利用可能なCPUコアにディスパッチします:

ハイパーフローを使わないタスク

ハイパーフローのタスク

  1. パケット検索

  2. インバウンド・ストリーミング

  3. プロトコル・パーサー

  4. コンテキスト管理インタフェース/インフラストラクチャ(CMI)

  5. パターンマッチ(PM)とハッシュ(MD5、SHA)

  6. ソフトウェアブレード・ロジック

  7. アウトバウンド・ストリーミング

  8. ルーティング

  9. パケット伝送

  1. CoreXL閉じた マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンスを向上させる技術。複数のCPUコア上で複数のCheck Pointファイアウォール インスタンスが並列動作する。 ファイアウォールのインバウンド処理:

    1. パケット検索

    2. インバウンド・ストリーミング

    3. プロトコル・パーサー

    4. コンテキスト管理インタフェース/インフラストラクチャ(CMI)

  2. 内部PPE処理(多数のCPUコアで):

    1. パターンマッチ(PM)とハッシュ(MD5、SHA)

    2. パケット伝送

  3. CoreXLファイアウォールのアウトバウンド処理:

    1. ソフトウェアブレード・ロジック

    2. アウトバウンド・ストリーミング

    3. ルーティング

その結果、ハイパーフロー機能が搭載された:

  • 脅威対策ソフトウェアブレードが有効な場合、エレファントコネクションのスループットが向上します(セキュリティゲートウェイがエレファントコネクションを検査する時間が短縮されます)。

    これは、ネットワーク・インフラが "ボトルネック "になっていない場合にのみ可能である。

  • セキュリティゲートウェイ上のメインタスク間のCPUコアを自動的に検出し、動的に割り当てます。

  • CoreXL FWKプロセスがエレファントコネクションを検査している間の応答時間が改善されます(対応するCPUコアのアイドル時間が増加します)。

重要:

  • デフォルトでは、要件を満たすCheck Pointアプライアンスで HyperFlow 機能が有効になっています。

  • 設計上、HyperFlow機能はユーザスペースファイアウォール(USFW)内でのみ機能する。

  • 設計上、HyperFlow機能は必要なときだけ、そしてCPUの総負荷が許すときだけ作動する。

    トータルのスループットは、象の接続よりも優先される。

注:

  • 設計上、CPUコアを手動で割り当てる必要はない。したがって、それは不可能だ。

    HyperFlowがアクティブまたはパッシブになるタイミングを制御する閾値を設定できる。

  • デフォルトでは、HyperFlowはスタンバイ・モードで動作する。

    HyperFlowは、ヘビーコネクションが検出されるとトリガーされる(アクティブになる)。

    重いコネクションが閉じられると、HyperFlowはパッシブになる。

詳細はこちらを参照:

ビデオを見る