Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=getting-started-architecture

Architektur für die Auslagerung

Sophos Firewall bietet Firewall-, PKI- und IPsec-Beschleunigung auf SFOS-Versionen und Appliances, die Offloads unterstützen.

Durch Offloading wird der Datenfluss beschleunigt und Ressourcen auf der Host-CPU für ressourcenintensive Aufgaben wie Malware-Erkennung und Virenscans freigegeben.

Module und Auslagerungsentscheidungen

Die Architektur umfasst SlowPath, bestehend aus dem Firewall-Stack (Kernel), den Benutzermodulen (einschließlich der Deep Packet Inspection (DPI)-Engine) und dem Offload-Modul, das über die Auslagerung vertrauenswürdiger Datenflüsse entscheidet. Zudem beinhaltet die Architektur FastPath, an das vertrauenswürdige Datenflüsse und bestimmte Aufgaben ausgelagert werden können.

Die Firewall-Beschleunigung lagert vertrauenswürdigen Datenverkehr nach der Prüfung der ersten Pakete einer Verbindung an FastPath aus. FastPath macht die vollständige Firewall-Verarbeitung jedes einzelnen Pakets überflüssig. Durch die zustandsbehaftete Verfolgung einzelner Verbindungen verarbeitet FastPath die Pakete und spart so CPU-Zyklen und Speicherbandbreite. Es agiert ausschließlich gemäß den Anweisungen des Kernels.

Die SSL/TLS-Inspektions-Engine trifft die Entscheidungen zur Auslagerung der PKI-Verarbeitung. Der XFRM-Stack trifft die Entscheidungen zur Auslagerung der IPsec-Verschlüsselung und -Entschlüsselung.

Sehen Das Leben eines Pakets.

Notiz

Die Sophos Firewall behält die SlowPath-Verarbeitung als Ausweichpfad für Funktionen bei, die nicht im FastPath-Modus verarbeitet werden können oder wenn der FastPath-Modus nicht funktioniert.

SlowPath verarbeitet weiterhin Protokolle, die nicht ausgelagert sind, wie z. B. IP in IP.

Entlastung von Haushaltsgeräten

FastPath ist softwarebasiert und ermöglicht so eine einheitliche Architektur zwischen Sophos Firewall-Appliances und den Software- sowie virtuellen Bereitstellungen. Aktualisierungen der Auslagerungsfunktionen und weitere Funktionserweiterungen sind Bestandteil der SFOS-Releases.

Hardwaregeräte

XGS-Serie

Die Appliances der XGS-Serie lagern die Verarbeitung für Firewall-, PKI- und IPsec-Beschleunigung für die entsprechenden Prozesse aus. Nach der Prüfung der ersten Pakete einer Verbindung lagert die x86-CPU den vertrauenswürdigen Datenverkehr an FastPath aus, wobei Hardware-FastPath oder virtueller FastPath wie folgt verwendet wird:

Hardware FastPath: Die meisten Geräte der XGS-Serie verfügen über eine Dual-Prozessor-Architektur, die eine Multi-Core-x86-CPU mit einem dedizierten Xstream Flow-Prozessor kombiniert. Der Xstream Flow-Prozessor ist eine Netzwerkverarbeitungseinheit (NPU), die speziell für ausgelagerte Operationen entwickelt wurde.

Die folgenden Kryptooperationen werden für qualifizierte Datenflüsse an die Kryptohardware in der NPU ausgelagert:

  • Neusignierung von X.509-Serverzertifikaten für überprüfte TLS-Abläufe.
  • IPsec-VPN-Verschlüsselung und -Entschlüsselung.

Virtueller Schnellpfad (VFP): Die Geräte der Gen.2 XGS-Serie, XGS 88/88w, 108/108w, 118/118w und 128/128w, lagern die Verarbeitung an VFP aus, das im x86-Kernel läuft.

Kryptooperationen werden für die folgenden qualifizierenden Datenflüsse an das VFP ausgelagert: IPsec-VPN-Verschlüsselung und -Entschlüsselung.

Zusammenfassung

Art der Entladung Verfügbar auf

PKI-Beschleunigung

(für TLS-Datenverkehr, der von der DPI-Engine geprüft wird)

1UL (XGS 4300, 4500)

2U (XGS 5500, 6500, 7500, 8500)
IPsec-Beschleunigung Alle XGS-Serien
Firewall-Beschleunigung Alle XGS-Serien

Virtuelle und Software-Bereitstellungen

Virtuelle und softwarebasierte Bereitstellungen der Sophos Firewall bieten lediglich Firewall-Beschleunigung und nutzen dieselbe x86-CPU für den ausgelagerten Datenverkehr. PKI- und IPsec-Beschleunigung werden nicht unterstützt.

Hypervisor-Unterstützung: Virtual FastPath (VFP) unterstützt den VMware ESXi-Hypervisor. Bei anderen Hypervisoren und Cloud-basierten Bereitstellungen ist VFP automatisch deaktiviert. Die Sophos Firewall funktioniert weiterhin vollumfänglich, einschließlich der DPI-Engine, jedoch ohne die Leistungsverbesserungen von FastPath. Weitere Informationen finden Sie unter [Link einfügen]. Firewall-Beschleunigung.

Netzwerkkartentreiber: VFP unterstützt die Netzwerkkartentreiber i40e, e1000, e1000e, igb, ixgbe und vmxnet3. Bei anderen Treibern wird es nicht geladen. Die Sophos Firewall funktioniert auch mit den nicht unterstützten Treibern vollständig, einschließlich der DPI-Engine, jedoch ohne die FastPath-Leistungsverbesserungen.

PERSON: Virtuelle und Software-Bereitstellungen unterstützen eine MTU von bis zu 3500 auf e1000- und e1000e-Netzwerkkarten und eine MTU von bis zu 9000 auf den übrigen unterstützten Netzwerkkarten.

Ausgelagerter Netzwerkfluss

Firewall, PKI und IPsec-Beschleunigung sind standardmäßig aktiviert. Die Verfügbarkeit dieser Funktionen hängt von der Geräteserie und der SFOS-Version ab.

Notiz

Das Ein- und Ausschalten der Firewall- und PKI-Beschleunigung führt jedes Mal zu einem Neustart des IPS-Dienstes (DPI-Engine).

Nach Abschluss des TCP-Handshakes oder nachdem je ein Paket aus jeder Richtung die Sophos Firewall passiert hat, klassifiziert SlowPath den Datenfluss vollständig und programmiert einen Verbindungscache in FastPath. Die Kernelverarbeitung für nachfolgende Pakete derselben Verbindung wird an FastPath ausgelagert.

DPI-Engine: Die DPI-Engine analysiert den Datenverkehr ab Schicht 4 mittels Streamverarbeitung. Sie vereint SSL/TLS-Entschlüsselung und -Prüfung, IPS-Richtlinien, Anwendungsidentifizierung und -steuerung, Webrichtlinien (einschließlich proxyloser Webfilterung) sowie Virenscans in einer einzigen Engine. Der Virenscan umfasst Schutz vor Zero-Day-Exploits und eine Analyse der Dateireputation.

Die Entscheidungen über die Auslagerung von Aufgaben werden in jeder Phase der Sicherheitsprüfung getroffen.

FastPath-Offloading: SlowPath leitet Pakete über den Kernel an die DPI-Engine weiter. Sofern Sicherheitsrichtlinien gelten, werden die Pakete zur Entscheidungsfindung über die Datenerfassungsschicht (DAQ) gesendet. FastPath leitet die ausgelagerten Pakete direkt über die DAQ-Schicht an die DPI-Engine weiter, wodurch die Speicherung von Kopien im Kernelspeicher entfällt.

Wenn die DPI-Engine feststellt, dass der Datenverkehr ausgelagert werden kann, weist sie FastPath an, den Datenfluss von SlowPath und der DPI-Engine zu unterbrechen. Die Möglichkeit, die Verarbeitung teilweise oder vollständig auszulagern, minimiert die CPU-Last.

Firewall-Beschleunigung ein- oder ausschalten: Wenn Sie die Firewall-Beschleunigung in der CLI-Konsole deaktivieren oder FastPath nicht geladen wird, funktioniert die Sophos Firewall weiterhin vollumfänglich, jedoch ohne die Leistungsverbesserungen von FastPath.

Um die Firewall-Beschleunigung ein- oder auszuschalten und den Status anzuzeigen, siehe Firewall-Beschleunigung.

Einschränkungen

Warnung

Durch das Aktivieren von DoS oder Active-Active HA wird die Firewall-Beschleunigung deaktiviert.

Für die Firewall-Beschleunigung gelten folgende zusätzliche Einschränkungen:

  • Es unterstützt kein Offloading für den folgenden Datenverkehr:

    • SSL-VPN
    • Proxys, einschließlich WAF
    • QoS und DoS
    • Drahtlos, RED, LAG und PPPoE

  • Es unterstützt Offloading nur für bestimmte Arten von Bridge-Bereitstellungen.

  • Es entlastet den IP-fragmentierten Datenverkehr nicht.
  • Es unterstützt keine Firewall-Beschleunigung für aktiv-aktiv HA. Es unterstützt jedoch die Firewall-Beschleunigung für aktiv-passiv HA auf dem primären Knoten.

  • Wenn Sie eine Paketerfassung durchführen oder die iftop Bei diesem Befehl wird der gesamte Datenverkehr standardmäßig vorübergehend an SlowPath weitergeleitet. Optional kann die Auslagerung auch während einer Paketerfassung aktiviert bleiben.

    Fastpath-Datenverkehr lässt sich nicht mit den Standardbefehlen zur Paketerfassung aufzeichnen. Um diesen Datenverkehr in einer Paketerfassung anzuzeigen, müssen Sie sich an den Sophos-Support wenden.

Die Firewall signiert X.509-Serverzertifikate für geprüfte TLS-Datenströme neu, bevor sie diese an den TLS-Client sendet.

Die DPI-Engine lagert die PKI-Verarbeitung für die Neusignierung von X.509-Zertifikaten an die Kryptohardware des Xstream Flow Processors aus, wenn TLS-Flüsse alle folgenden Bedingungen erfüllen:

  • TLS 1.2- und 1.3-Abläufe.
  • Vom DPI-Engine untersuchte TLS-Datenflüsse.
  • Abläufe, die RSA-Authentifizierung mit Schlüssellängen bis zu 4096 Bit verwenden.

Einschränkungen

SFOS unterstützt Folgendes nicht:

  • Auslagerung symmetrischer Kryptooperationen für geprüfte SSL/TLS-Datenströme.
  • PKI-Beschleunigung für SSL/TLS-Datenströme im Web-Proxy-Modus.
  • PKI-Beschleunigung für SSL-VPN-Verbindungen, die auf dem Gerät enden.

Die PKI-Beschleunigung ist auf unterstützten Firewall-Appliances standardmäßig aktiviert. Siehe die folgenden Links:

Der XFRM-Stack lagert die ESP-Kapselung, -Verschlüsselung, -Entkapselung und -Entschlüsselung für richtlinien- und routenbasierte IPsec-VPNs aus. Die IPsec-Beschleunigung verbessert den Durchsatz von IPsec-VPN-Tunneln.

Der XFRM-Stack lagert diese Prozesse auf Basis der Sicherheitsassoziationen (SA) der Phase 2 an FastPath aus. Er lagert SAs für alle auf SFOS verfügbaren Verschlüsselungs- und Authentifizierungskombinationen aus, mit Ausnahme der folgenden:

  • 3DES
  • Kugelfisch
  • MD5

Tipp

Für die beste Leistung empfehlen wir die Verwendung des Verschlüsselungsverfahrens AES-GCM 128.

Der IPsec-VPN-Datenverkehr kann für einen der folgenden Auslagerungsprozesse in Frage kommen:

Vollständige Entlastung: Bei ausgelagerten SAs kapselt, verschlüsselt, entkapselt und entschlüsselt FastPath die entsprechenden Pakete. Wenn der interne Datenverkehr die Voraussetzungen erfüllt, wird die SlowPath-Verarbeitung an FastPath ausgelagert, wodurch eine vollständige Auslagerung erreicht wird.

Schneller Pfad und Langsamer Pfad: Bei ausgelagerten SAs entschlüsselt oder verschlüsselt FastPath die Pakete. Falls der interne Datenverkehr nicht für die FastPath-Auslagerung geeignet ist, verarbeitet SlowPath ihn, einschließlich Kapselung und Entkapselung. FastPath schließt die Kapselung nach der Paketverschlüsselung ab.

Vollständiger SlowPath: Bei SAs, die nicht ausgelagert sind, übernimmt SlowPath die gesamte Verarbeitung.

Einschränkungen

SFOS unterstützt IPsec-Beschleunigung für Aktiv-aktiv Und Aktiv-Passiv HA auf dem primären Knoten.

Es lagert SAs für Folgendes nicht aus:

  • SAs, die nicht unterstützte Verschlüsselungssammlungen verwenden.
  • SAs auf virtuellen Schnittstellen, wie z. B. VLANs.
  • Die Quell- und Ziel-IP-Adressen stimmen nicht mit den für die SA erwarteten überein.
  • IPsec-Datenverkehr über VLAN- und drahtlose Schnittstellen.

Das Aktivieren oder Deaktivieren der IPsec-Beschleunigung führt zu einem Neustart aller IPsec-Tunnel und erfordert eine Ausfallzeit. Informationen zum Aktivieren oder Deaktivieren sowie zum Status finden Sie hier: IPsec-Beschleunigung.

Auslagerung auf der Grundlage von Regeln und Richtlinien

Sie können Regeln und Richtlinien konfigurieren, die es der NPU ermöglichen, den Datenverkehr vollständig zu verarbeiten und dabei die Firewall und die DPI-Engine zu umgehen. Dies kann Ihnen helfen, die Auslagerung zu optimieren, um den Datenverkehr von Cloud-Anwendungen oder die DPI-Engine basierend auf den Datenverkehrseigenschaften zu beschleunigen.

Beispiele sind folgende:

  • Eine Firewall-Regel ohne IPS, Webfilter, Virenschutz oder Anwendungskontrolle. Der Datenverkehr wird an FastPath ausgelagert, nachdem ein Handshake abgeschlossen ist oder das erste Paket die Sophos Firewall auf einer der beiden Seiten der Verbindung passiert hat.
  • Eine Firewall-Regel mit einer Anwendungssteuerungsrichtlinie. Der Datenverkehr wird nach etwa acht Paketen an FastPath ausgelagert.
  • Eine Firewall-Regel, deren IPS-Richtlinie auf die Regelaktion festgelegt ist Sitzung umgehen: Der Datenverkehr, der mit den IPS-Richtlinienregeln und dieser Aktion übereinstimmt, wird an FastPath ausgelagert.

  • Eine Firewall-Regel mit folgenden Richtlinien:

    • Eine IPS-Richtlinie mit intelligenten Offload-Signaturen von SophosLabs.
    • Webfilterung ohne Malware- und Inhaltsprüfung oder DPI-Engine-Einstellungen. Bei Firewall-Regeln mit Malware- und Inhaltsprüfung sowie DPI-Engine-Einstellungen leitet FastPath den Datenverkehr direkt an die DPI-Engine weiter und umgeht so die Firewall.

  • Keine SSL/TLS-Prüfregeln. Für Regeln, deren Aktion auf „“ gesetzt ist. Entschlüsseln: FastPath leitet den Datenverkehr direkt an die DPI-Engine weiter und umgeht dabei den Firewall-Stack.

  • SSL/TLS-Prüfregeln mit der Aktion „ Nicht entschlüsseln: Bei STARTTLS-Verbindungen wird der Datenverkehr nach 15 Paketen auf FastPath ausgelagert.

Bitte beachten Sie Folgendes:

  • In der CLI muss die Firewall-Beschleunigung aktiviert sein. Sie ist bei unterstützten Firewall-Appliances standardmäßig aktiviert.
  • Gehe zu Regeln und Richtlinien > Firewall-Regeln. Unter Webfilterung: Achten Sie darauf, dass Sie nicht die Option zur Verwendung eines Webproxys anstelle der DPI-Engine auswählen.
  • Gehe zu Regeln und Richtlinien > SSL/TLS-Prüfregeln > SSL/TLS-Einstellungen. Unter RSA neu unterzeichnen mit Und EC erneut unterzeichnen mit: Achten Sie darauf, ein RSA-Zertifikat mit einer Schlüssellänge von 4096 Bit oder weniger auszuwählen.

  • Wenn Sie für bestimmten Datenverkehr andere Zertifizierungsstellen als die in den SSL/TLS-Inspektionseinstellungen verwendeten nutzen möchten, gehen Sie zu Profile > Entschlüsselungsprofile. Unter RSA neu unterzeichnen mit Und EC erneut unterzeichnen mit: Stellen Sie sicher, dass Sie ein RSA-Zertifikat mit einer Schlüssellänge von 4096 Bit oder weniger auswählen. Wählen Sie dieses Entschlüsselungsprofil in den SSL/TLS-Prüfregeln aus.

    Die standardmäßigen Resigning-Zertifizierungsstellen auf der Firewall verwenden RSA.

Gehe zu Profile > IPsec-Profile. Unter Verschlüsselung Und Authentifizierung Für die Tunnel der Phase 2 achten Sie bitte darauf, dass Sie Folgendes nicht auswählen:

  • 3DES
  • Kugelfisch
  • MD5

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen