FortiASIC چیست و چگونه کار می کند؟
Fortinet به عنوان یک کمپانی پیشرو در ارائه راه حل های امنیت اطلاعات از سیستم عامل های FortiOS در تجهیزات امنیتی خود استفاده می کند که این سیستم عامل مبتنی بر قابلیت های FortiASIC، که یک چیپست تخصصی است، طراحی و ایجاد شده است. FortiASIC پردازنده هایی برای تسریع در تجزیه و تحلیل محتوا و پردازش ترافیک شبکه با طراحی خاص فورتی نت هستند. در این مقاله به اینکه FortiASIC چیست؟ و جزئیات کار این پردازنده ها پرداخته می شود. همچنین ما نحوه سرعت بخشیدن به پردازش و تحلیل بسته ها را شرح خواهیم داد.
FortiASIC چیست؟
بیشتر مدلهای فایروال FortiGate دارای پردازشگر سخت افزاری تخصصی FortiASIC (Application Specific Integrated Circuit) برای پردازش ترافیک و کاهش تأخیر هستند که به شما امکان می دهد انجام کارهای مشخص را سریعتر از پردازنده اصلی (CPU) انجام دهد.
پردازنده های تخصصی فورتی نت شامل موارد زیر هستند:
- پردازنده های شبکه – Network processors (NP) – برای پردازش ترافیک شبکه
- پردازنده های محتوا – Network processors (CP) – برای عملکردهای امنیتی
- پردازشگر سیستم روی تراشه – Network processors (SOC2) – برای همکاری توابع امنیتی و پردازش ترافیک
Fortinet فایروالهای فورتی گیت خود را از نظر عملکرد به سه دسته تقسیم می کند:
- سطح ورودی
- میان رده
- سطح پیشرفته
هر دسته از CPU و FortiASIC های مختلف و همچنین تعداد متفاوتی از آنها استفاده می کند.
انواع FortiASIC
پردازنده های شبکه
پردازنده های شبکه NP در سطح اینترفیس کار می کنند تا با تخلیه بار ترافیک از پردازنده اصلی، پردازش ترافیک را تسریع کنند. مدل های مدرن حاوی NP4 و NP6 هستند. مدلهای قدیمی FortiGate شامل NP1 (همچنین به عنوان FortiAccel یا FA2 نیز شناخته می شوند) و NP2.
در حال حاضر پردازنده های NP6 جدیدترین هستند و می توانند ترافیک و خدمات زیر را بارگیری کنند:
– IPv4 and IPv6 traffic, NAT64 and NAT46 traffic
– Link aggregation (LAG) (IEEE 802.3ad) traffic
– TCP, UDP, ICMP and SCTP
– IPsec VPN traffic, as well as IPsec encryption / decryption (including SHA2-256 and SHA 2-512)
– Unencrypted IPsec traffic
– IPS based on anomalies, checksum offload and packet fragmentation
– SIT and IPv6 Tunnelling sessions
– Multicast traffic (including Multicast inside IPsec)
– CAPWAP traffic
– Shaping traffic and priority queuing
– Syn proxying
– Traffic passing through Inter-VDOM link
– IPS
– Application Control
– CASI
– Flow-based antivirus
– Flow-based web filtering
پردازنده های محتوا
پردازنده های محتوای (CP) با وظایفی که CPU تعریف می کند در سطح سیستم کار می کنند. مدل های جدید FortiGate (2000E ، ۲۵۰۰E ، ۶۰۴۰E) حاوی CP9 هستند. نسخه های قدیمی تر CP4 ، CP5 ، CP6 هستند ، در حالی که مدل های فعلی FortiGate از CP8 استفاده می کنند.
CP8 می تواند کارهای زیر را بارگیری کند:
– Flow-based inspection IPS, Application Control, Cloud Access Security Inspection (CASI), Web Filtering, DLP, and Antivirus
– High performance VPN bulk data engine
– IPsec and SSL / TLS protocol processor
– DES / 3DES / AES in accordance with FIPS46-3 / FIPS81 / FIPS197
– ARC4 in compliance with RC4
– MD5 / SHA-1 / SHA256 with RFC1321 and FIPS180
– HMAC in accordance with RFC2104 / 2403/2404 and FIPS198
– Key Exchange Processor support high performance IKE and RSA computation
– Public key exponentiation engine with hardware CRT support
– Primarily checking for RSA key generation
– Handshake accelerator with automatic key material generation
– Random Number generator compliance with ANSI X9.31
– Sub public key engine (PKCE) to support up to 4096 bit operation directly
– Message authentication module offers high performance cryptographic engine for calculating SHA256 / SHA1 / MD5 of data up to 4G bytes (used by many applications)
– PCI express Gen 2 four lanes interface
– Cascade Interface for chip expansion
پردازنده های SOC (system-on-a-chip)
پردازنده های SOC در مدل های جدیدتر از گروه Entry Level استفاده می شوند. هدف از معماری SoC ترکیب چندین پردازنده در یک تراشه و ساده سازی سخت افزار کلی است. SOC پردازنده های CP ، NP ، RISC را با هم ترکیب می کند.
در حال حاضر ، SOC نسخه ۲ وجود دارد، که ترافیک توصیف شده در بخش NP و CP را بارگیری می کند.
بارگیری (Offloading)
روند تخلیه جلسه (session unloading) در چندین مرحله انجام می شود. بسته اول هر جلسه جدید همیشه به پردازنده می رسد. اگر NP از ویژگی های امنیتی درخواستی که باید اجرا شوند پشتیبانی کند، CPU دستورالعملی را برای NP ارسال می کند که می تواند این جلسه را مدیریت کند. همه بسته های بعدی برای جلسه “مسیر سریع fast path ” به NP هدایت می شوند. سرانجام ، پس از آخرین بسته TCP ، “FIN” (پایان) یا “RST” (تنظیم مجدد) NP جلسه را به CPU بازمی گرداند تا جلسه بسته شود. در غیر این صورت، اگر NP از ویژگی های امنیتی درخواستی پشتیبانی نکند همه بسته های این جلسه باید توسط پردازنده اصلی پردازش شوند.
مدلهای رده بالای FortiGate با دو یا چند NP6 از طریق Integrated Switch Fabric (ISF) به طور فیزیکی به هم متصل شده اند که امکان دور زدن پردازنده مرکزی را برای ارتباط بین همه اینترفیس ها و پردازنده های NP6 را فراهم می کند. به این ترتیب حتی اگر پورت های ورودی و خروجی متعلق به یک پردازنده NP نباشند نیز ترافیک مورد نظر تخلیه می شود.
مطالب زیر را حتما بخوانید
-
بهروش های پیکربندی FortiGate برای امنیت بیشتر
2.52k بازدید
-
محصولات فورتی نت و راهکارهای امنیتی FortiNet + دمو آنلاین محصولات
2.3k بازدید
-
مدارک فورتی نت (Fortinet Certification)
2.47k بازدید
-
فورتی نت Security Fabric چیست؟
2.32k بازدید
-
۶ قابلیت مهم ۶.۲ Fortinet FortiOS که باید بدانید
2.31k بازدید
-
فایروال FortiGate
3.67k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.