Architektur für das Offloading
Sophos Firewall bietet Firewall-, PKI- und IPsec-Beschleunigung auf SFOS-Versionen und Appliances, die die Offloads unterstützen.
Durch das Offloading wird der Datenverkehr beschleunigt, wodurch Ressourcen auf der Host-CPU für ressourcenintensive Aufgaben wie die Erkennung von Malware und Virenscans freigegeben werden.
Module und Offloading-Entscheidungen
Die Architektur umfasst SlowPath, bestehend aus dem Firewall-Stack (Kernel), den User-Space-Modulen (einschließlich der Deep Packet Inspection (DPI)-Engine) und dem Offload-Modul, das über die Auslagerung vertrauenswürdiger Datenflüsse entscheidet. Die Architektur enthält außerdem FastPath, auf das vertrauenswürdige Datenflüsse und bestimmte Aufgaben ausgelagert werden können.
Die Firewall-Beschleunigung verlagert vertrauenswürdigen Datenverkehr nach der Überprüfung der ersten Pakete einer Verbindung auf FastPath. FastPath macht die vollständige Firewall-Verarbeitung jedes einzelnen Pakets einer Verbindung überflüssig. Durch die statusabhängige Verfolgung einzelner Verbindungen verarbeitet FastPath die Pakete und spart so CPU-Zyklen und Speicherbandbreite. Es agiert ausschließlich nach Anweisung des Kernels.
Die SSL/TLS-Inspektions-Engine trifft die Offload-Entscheidungen für die PKI-Verarbeitung. Der XFRM-Stack trifft die Offload-Entscheidungen für die IPsec-Verschlüsselung und -Entschlüsselung.
Sehen Lebensdauer eines Pakets.
Notiz
Die Sophos Firewall behält die SlowPath-Verarbeitung als Fallback-Pfad für Funktionen bei, die in FastPath nicht verarbeitet werden können oder wenn FastPath nicht funktioniert.
SlowPath verarbeitet weiterhin Protokolle, die nicht ausgelagert werden, wie z. B. IP in IP.
Entlastung von Geräten
FastPath ist softwarebasiert und ermöglicht uns die Aufrechterhaltung einer gemeinsamen Architektur zwischen Sophos Firewall-Appliances sowie den Software- und virtuellen Bereitstellungen. Updates zum Offloading und weitere Funktionserweiterungen sind Bestandteil der SFOS-Versionen.
Hardwaregeräte
XGS-Serie
Geräte der XGS-Serie lagern die Verarbeitung für Firewall, PKI und IPsec-Beschleunigung für die Qualifizierungsprozesse aus. Nach der Überprüfung der ersten Pakete einer Verbindung verlagert die x86-CPU vertrauenswürdigen Datenverkehr auf FastPath. Dabei wird der Hardware-FastPath oder der virtuelle FastPath wie folgt verwendet:
Hardware-FastPath: Die meisten Geräte der XGS-Serie verfügen über eine Dual-Prozessor-Architektur, die eine Multi-Core-x86-CPU mit einem dedizierten Xstream Flow-Prozessor kombiniert. Der Xstream Flow-Prozessor ist eine Network Processing Unit (NPU), die speziell für Offloaded-Operationen entwickelt wurde.
Die folgenden Kryptooperationen werden für qualifizierte Flows auf die Kryptohardware in der NPU ausgelagert:
- Erneutes Signieren von X.509-Serverzertifikaten für überprüfte TLS-Flows.
- IPsec-VPN-Verschlüsselung und -Entschlüsselung.
Virtueller FastPath (VFP): Die Geräte der Gen.2 XGS-Serie, XGS 88(w), 108(w), 118(w) und 128(w), verlagern die Verarbeitung auf VFP, das im x86-Kernel ausgeführt wird.
Kryptografische Vorgänge werden für die folgenden qualifizierenden Flüsse auf den VFP ausgelagert: IPsec-VPN-Verschlüsselung und -Entschlüsselung.
Zusammenfassung
Art der Entladung | Verfügbar auf |
---|---|
PKI-Beschleunigung (für TLS-Verkehr, der von der DPI-Engine geprüft wird) | 1UL (XGS 4300, 4500) 2HE (XGS 5500, 6500, 7500, 8500) |
IPsec-Beschleunigung | Alle XGS-Serien |
Firewall-Beschleunigung | Alle XGS-Serien |
Virtuelle und Software-Bereitstellungen
Virtuelle und Software-Bereitstellungen der Sophos Firewall bieten lediglich Firewall-Beschleunigung und nutzen dieselbe x86-CPU für den ausgelagerten Datenverkehr. Sie bieten keine PKI- und IPsec-Beschleunigung.
Hypervisor-UnterstützungVirtual FastPath (VFP) unterstützt den VMware ESXi-Hypervisor. Bei anderen Hypervisoren und Cloud-basierten Bereitstellungen wird VFP automatisch deaktiviert. Die Sophos Firewall ist weiterhin voll funktionsfähig, einschließlich der DPI-Engine, jedoch ohne die FastPath-Leistungsverbesserungen. Weitere Informationen finden Sie unter Firewall-Beschleunigung.
NIC-TreiberVFP unterstützt die NIC-Treiber i40e, e1000, e1000e, igb, ixgbe und vmxnet3. Andere Treiber lassen sich nicht laden. Die Sophos Firewall funktioniert auch mit den nicht unterstützten Treibern vollständig, einschließlich der DPI-Engine, jedoch ohne die FastPath-Leistungsverbesserungen.
PERSON: VFP unterstützt bis zu 3500 MTU auf e1000- und e1000e-NICs und bis zu 9000 MTU für den Rest.
Ausgelagerter Netzwerkfluss
Firewall, PKI und IPsec-Beschleunigung sind standardmäßig aktiviert. Diese sind je nach Appliance-Serie und SFOS-Version verfügbar.
Notiz
Durch das Ein- oder Ausschalten der Firewall- und PKI-Beschleunigung wird der IPS-Dienst (DPI-Engine) jedes Mal neu gestartet.
Nachdem ein TCP-Handshake abgeschlossen ist oder ein Paket aus jeder Richtung die Sophos Firewall passiert hat, klassifiziert SlowPath den Datenfluss vollständig und programmiert einen Verbindungscache in FastPath. Dadurch wird die Kernelverarbeitung für nachfolgende Pakete in derselben Verbindung auf FastPath verlagert.
DPI-EngineDie DPI-Engine prüft den Datenverkehr ab Layer 4 durch Stream-Verarbeitung. Sie bietet SSL/TLS-Entschlüsselung und -Prüfung, IPS-Richtlinien, Anwendungsidentifizierung und -kontrolle, Webrichtlinien (einschließlich proxyloser Webfilterung) und Virenscans in einer einzigen Engine. Der Virenscan umfasst Zero-Day-Schutz und Datei-Reputationsanalyse.
In jeder Phase der Sicherheitsverarbeitung werden Entscheidungen zur Auslagerung getroffen.
FastPath-Auslagerung: SlowPath übermittelt Pakete über den Kernel an die DPI-Engine. Pakete werden für Sicherheitsentscheidungen über die Datenerfassungsschicht (DAQ) gesendet, sofern Sicherheitsrichtlinien gelten. FastPath übermittelt die ausgelagerten Pakete über die DAQ-Schicht direkt an die DPI-Engine, sodass keine Kopien im Kernelspeicher gespeichert werden müssen.
Wenn die DPI-Engine feststellt, dass der Datenverkehr ausgelagert werden kann, weist sie FastPath an, den Datenfluss von SlowPath und der DPI-Engine zu unterbrechen. Die Möglichkeit, die Verarbeitung ganz oder teilweise auszulagern, minimiert die CPU-Belastung.
Aktivieren oder Deaktivieren der Firewall-Beschleunigung: Wenn Sie die Firewall-Beschleunigung auf der CLI-Konsole deaktivieren oder FastPath nicht geladen wird, funktioniert die Sophos Firewall weiterhin vollständig, jedoch ohne die Leistungsverbesserungen von FastPath.
Informationen zum Ein- und Ausschalten der Firewall-Beschleunigung und zum Anzeigen des Status finden Sie unter Firewall-Beschleunigung.
Einschränkungen
Für die Firewall-Beschleunigung gelten folgende Einschränkungen:
- Unterstützt kein Offloading für SSL-VPN-, QoS-, DoS-, RED-, LAG- und PPPoE-Verkehr.
- Unterstützt das Offloading nur für einige Arten von Bridge-Bereitstellungen.
- Unterstützt keine Firewall-Beschleunigung für Aktiv-aktiv HA. Unterstützt Firewall-Beschleunigung für Aktiv-Passiv HA auf dem primären Knoten.
- Optional kann die Auslagerung während der Ausführung von tcpdump aktiviert bleiben. Sie können FastPath-Datenverkehr so konfigurieren, dass er an tcpdump gesendet wird.
Die Firewall signiert X.509-Serverzertifikate für überprüfte TLS-Flows erneut, bevor sie diese an den TLS-Client sendet.
Die DPI-Engine verlagert die PKI-Verarbeitung für die Neusignierung von X.509-Zertifikaten auf die Krypto-Hardware auf dem Xstream Flow Processor, wenn TLS-Flows alle folgenden Bedingungen erfüllen:
- TLS 1.2- und 1.3-Flows.
- Von der DPI-Engine überprüfte TLS-Flows.
- Flows, die RSA-Authentifizierung mit Schlüsselgrößen von bis zu 4096 Bit verwenden.
Einschränkungen
Folgendes wird von SFOS nicht unterstützt:
- Auslagerung symmetrischer Kryptooperationen für geprüfte SSL/TLS-Flows.
- PKI-Beschleunigung für SSL/TLS-Flows im Webproxymodus.
- PKI-Beschleunigung für SSL-VPN-Verbindungen, die auf dem Gerät enden.
Die PKI-Beschleunigung ist auf unterstützten Firewall-Appliances standardmäßig aktiviert. Weitere Informationen finden Sie unter den folgenden Links:
Der XFRM-Stack entlastet ESP-Kapselung, -Verschlüsselung, -Entkapselung und -Entschlüsselung für richtlinien- und routenbasierte IPsec-VPNs. Die IPsec-Beschleunigung verbessert den Durchsatz für IPsec-VPN-Tunnel.
Der XFRM-Stack lagert diese Prozesse basierend auf den Sicherheitszuordnungen (SA) der Phase 2 an FastPath aus. Er lagert SAs für alle auf SFOS verfügbaren Verschlüsselungs- und Authentifizierungskombinationen aus, mit Ausnahme der folgenden:
- 3DES
- BlowFish
- MD5
Tipp
Für die beste Leistung empfehlen wir die Verwendung der Verschlüsselung AES-GCM 128.
Für IPsec-VPN-Verkehr kann einer der folgenden Offloading-Prozesse in Frage kommen:
Vollständige Entladung: Bei ausgelagerten SAs kapselt, verschlüsselt, entkapselt und entschlüsselt FastPath die entsprechenden Pakete. Wenn der interne Datenverkehr die Voraussetzungen erfüllt, wird die SlowPath-Verarbeitung an FastPath ausgelagert, wodurch eine vollständige Auslastung gewährleistet wird.
FastPath und SlowPath: Bei ausgelagerten SAs entschlüsselt oder verschlüsselt FastPath die Pakete. Wenn der interne Datenverkehr nicht für die FastPath-Auslagerung geeignet ist, verarbeitet SlowPath den Datenverkehr, einschließlich Kapselung und Entkapselung. FastPath schließt die Kapselung nach der Verschlüsselung des Pakets ab.
Vollständiger SlowPath: Für SAs, die nicht ausgelagert werden, führt SlowPath die gesamte Verarbeitung durch.
Einschränkungen
SFOS unterstützt IPsec-Beschleunigung für Aktiv-aktiv Und Aktiv-Passiv HA auf dem primären Knoten.
Für Folgendes werden keine SAs ausgelagert:
- SAs, die nicht unterstützte Verschlüsselungssammlungen verwenden.
- SAs auf virtuellen Schnittstellen, wie z. B. VLANs.
- Quell- und Ziel-IP-Adressen stimmen nicht mit den für die SA erwarteten überein.
- IPsec-Verkehr über VLAN und drahtlose Schnittstellen.
Das Ein- oder Ausschalten der IPsec-Beschleunigung führt zum Neustart aller IPsec-Tunnel und erfordert eine Ausfallzeit. Informationen zum Ein- und Ausschalten sowie zur Statusanzeige finden Sie unter IPSec-Beschleunigung.
Auslagern basierend auf Regeln und Richtlinien
Sie können Regeln und Richtlinien konfigurieren, die es der NPU ermöglichen, den Datenverkehr vollständig zu verarbeiten und dabei den Firewall-Stack und die DPI-Engine zu umgehen. Dies kann Ihnen helfen, das Offloading zu optimieren, um den Datenverkehr von Cloud-Anwendungen oder die DPI-Engine basierend auf den Datenverkehrseigenschaften zu beschleunigen.
Beispiele hierfür sind:
- Eine Firewall-Regel ohne IPS, Webfilterung, Virenschutz oder Anwendungskontrolle. Der Datenverkehr wird auf FastPath umgeleitet, nachdem ein Handshake abgeschlossen ist oder das erste Paket die Sophos Firewall auf beiden Seiten der Verbindung passiert hat.
- Eine Firewall-Regel mit einer Anwendungssteuerungsrichtlinie. Der Datenverkehr wird nach etwa acht Paketen auf FastPath verlagert.
- Eine Firewall-Regel mit IPS-Richtlinie, die auf die Regelaktion eingestellt ist Sitzung umgehen. Datenverkehr, der mit dieser Aktion den IPS-Richtlinienregeln entspricht, wird auf FastPath ausgelagert.
-
Eine Firewall-Regel mit den folgenden Richtlinien:
- Eine IPS-Richtlinie mit intelligenten Offload-Signaturen von SophosLabs.
- Webfilterung ohne Malware- und Inhaltsscans oder DPI-Engine-Einstellungen. Bei Firewall-Regeln mit Malware- und Inhaltsscans sowie DPI-Engine-Einstellungen leitet FastPath den Datenverkehr direkt an die DPI-Engine weiter und umgeht dabei den Firewall-Stack.
-
Keine SSL/TLS-Überprüfungsregeln. Für Regeln mit der Aktion EntschlüsselnFastPath leitet den Datenverkehr direkt an die DPI-Engine weiter und umgeht dabei den Firewall-Stack.
- SSL/TLS-Überprüfungsregeln mit der Aktion „ Nicht entschlüsselnBei STARTTLS-Verbindungen wird der Datenverkehr nach 15 Paketen auf FastPath verlagert.
Stellen Sie Folgendes sicher:
- In der Befehlszeilenschnittstelle muss die Firewall-Beschleunigung aktiviert sein. Auf unterstützten Firewall-Geräten ist sie standardmäßig aktiviert.
- Gehe zu Regeln und Richtlinien > Firewall-Regeln. Unter Webfilterung, stellen Sie sicher, dass Sie nicht die Option zur Verwendung eines Webproxys anstelle der DPI-Engine auswählen.
- Gehe zu Regeln und Richtlinien > SSL/TLS-Überprüfungsregeln > SSL/TLS-Einstellungen. Unter RSA erneut signieren mit Und EC erneut unterzeichnen mit, stellen Sie sicher, dass Sie ein RSA-Zertifikat mit einer Schlüsselgröße von 4096 Bit oder weniger auswählen.
-
Wenn Sie andere Zertifizierungsstellen als die in den SSL/TLS-Inspektionseinstellungen für bestimmten Datenverkehr verwenden möchten, gehen Sie zu Profile > Entschlüsselungsprofile. Unter RSA erneut signieren mit Und EC erneut unterzeichnen mitStellen Sie sicher, dass Sie ein RSA-Zertifikat mit einer Schlüsselgröße von 4096 Bit oder weniger auswählen. Wählen Sie dieses Entschlüsselungsprofil in den SSL/TLS-Überprüfungsregeln aus.
Die standardmäßigen erneut signierenden CAs auf der Firewall verwenden RSA.
Gehe zu Profile > IPsec-Profile. Unter Verschlüsselung Und Authentifizierung Stellen Sie für Tunnel der Phase 2 sicher, dass Sie Folgendes nicht auswählen:
- 3DES
- BlowFish
- MD5