SPU در فورتی گیت

راهنمای دریافت لایسنس ارزیابی رایگان VM فورتیگیت - ستاک فناوری ویرا
810 دیدگاه خود را بنویسید
فورتی نت

SPU در فورتی گیت

SPU مخفف Security Processing Unit است و واحدی است که در فایروال های فورتی گیت به منظور اجرای وظایف امنیتی و تسریع پردازش ترافیک شبکه با سرعت و کارآیی بالا طراحی شده است. SPU با استفاده از مدارهای تخصصی، می‌تواند وظایف پردازش امنیتی را سریع‌تر از CPU انجام دهد. این امر به بهبود عملکرد کلی فایروال و کاهش تاخیر در پردازش ترافیک منجر می‌شود.

SPU ها در فایروال‌های فورتیگیت برای تسریع طیف گسترده‌ای از وظایف امنیتی استفاده می‌شوند، از جمله:

  • آنتی ویروس
  • پیشگیری از نفوذ
  • کنترل برنامه
  • بررسی عمیق بسته (DPI)
  • محافظت در برابر وب
  • محافظت در برابر محتوای مضر

SPU ها نقش مهمی در عملکرد و امنیت فایروال‌های فورتیگیت ایفا می‌کنند. برخی از وظایف اصلی SPU عبارتند از:

  1. رمزنگاری و رمزگشایی: SPU قادر به انجام عملیات رمزنگاری و رمزگشایی برای ترافیک شبکه است. این فرآیند برای حفظ حریم خصوصی و امنیت ارتباطات مهم است.
  2. تشخیص و جلوگیری از تهدیدها: SPU می‌تواند ترافیک شبکه را تحلیل کرده و به دنبال الگوهای تهاجمی یا تهدیدات امنیتی بگردد. این به فورتی‌گیت امکان می‌دهد تا به طور فعال در تشخیص و جلوگیری از حملات سایبری و بدافزارها دخالت کند.
  1. مدیریت ترافیک و فیلترینگ: SPU به عنوان قلب دستگاه فورتی‌گیت وظایف مدیریت ترافیک و فیلترینگ را بر عهده دارد. این به معنای کنترل و مدیریت ترافیک شبکه، اعمال سیاست‌های امنیتی، ایجاد تونل‌های VPN و مسائل مشابه است.
  1. تجزیه و تحلیل ترافیک: SPU به تجزیه و تحلیل ترافیک شبکه کمک می‌کند تا مشکلات احتمالی مانند ترافیک ناهنجار، بار زیاد یا تهدیدات جدید را تشخیص دهد. این اطلاعات می‌تواند به مدیران امنیتی کمک کند تا برنامه‌های مناسب برای مقابله با این موارد ایجاد کنند.

انواع SPU

انواع مختلفی از SPU وجود دارند که بهبود کارایی امنیتی و پردازش ترافیک در شبکه را تضمین می‌کنند. فورتی گیت از سه نوع SPU استفاده می کند:

  • CP SPU (Content Processor SPU)

این نوع SPU برای پردازش محتوا و دستورات مرتبط با فیلترینگ، ضمانت امنیت و دستورات سیاست استفاده می‌شود. این شامل تشخیص و جلوگیری از تهدیدها، تشخیص بدافزارها و محتوای مخرب، اجرای سیاست‌های DLP و موارد مشابه است.

  • NP SPU (Network Processor SPU)

این نوع SPU برای مدیریت ترافیک شبکه و پردازش ترافیک IP استفاده می‌شود. این می‌تواند شامل تجزیه و تحلیل ترافیک، مدیریت کانکشن‌ها، ایجاد تونل‌های VPN و موارد مشابه باشد.

  • SP SPU (Security Processing Unit)

یک واحد پردازش تخصصی است که در فایروال‌های فورتی گیت برای تسریع وظایف امنیتی استفاده می‌شود. طراحی آن بر اساس معماری هسته‌ای است و می‌تواند وظایف امنیتی را به طور موازی انجام دهد که این امر به بهبود عملکرد فایروال و کاهش تاخیر در پردازش ترافیک منجر می شود.

پردازشگر محتوا یا Content processors در فورتی گیت (CP4, CP5, CP6, CP8 and CP9)

اکثر مدل‌های فورتی گیت حاوی SPU از نوع content processor یا CPs هستند که به بسیاری از فرایندهای مرتبط با امنیت سرعت می‌بخشند. Content Processorها در سطح سیستم کار می‌کنند و مسئولیت‌هایی که توسط CPU اصلی به آنها محول می‌شود را می‌پذیرند.

قابلیت‌های Content Processorها بسته به مدلی که دارند، متفاوت است. قابل ذکر است در فورتیگیت‌های جدیدتر، CP9 تعبیه شده است. نسخه‌های قدیمی‌تر CP هنوز هم در مدل‌های فعلی FortiGate استفاده می‌شود مانند CP4، CP5، CP6 و CP8.

– قابلیت‌های پردازشگر محتوای CP9

CP9 خدمات زیر را ارائه می‌دهد:

  • l Flow-based inspection (IPS, application control etc.) pattern matching acceleration with over 10Gbps throughput
  •  IPS pre-scan
  •  IPS signature correlation
  • Full match processors
  • High performance VPN bulk data engine
  •  IPsec and SSL/TLS protocol processor
  •  DES/3DES/AES128/192/256 in accordance with FIPS46-3/FIPS81/FIPS197
  •  MD5/SHA-1/SHA256/384/512-96/128/192/256 with RFC1321 and FIPS180
  •  HMAC in accordance with RFC2104/2403/2404 and FIPS198
  •  ESN mode
  •  GCM support for NSA “Suite B” (RFC6379/RFC6460) including GCM-128/256; GMAC-128/256
  • Key Exchange Processor that supports high performance IKE and RSA computation
  • Public key exponentiation engine with hardware CRT support
  •  Primary checking for RSA key generation
  • Handshake accelerator with automatic key material generation
  •  True Random Number generator
  • Elliptic Curve support for NSA “Suite B”
  •  Sub public key engine (PKCE) to support up to 4096 bit operation directly (4k for DH and 8k for RSA with CRT)
  •  DLP fingerprint support
  •  TTTD (Two-Thresholds-Two-Divisors) content chunking
  •  Two thresholds and two divisors are configurable
– قابلیت‌های پردازشگر محتوای CP8

CP8 خدمات زیر را ارائه می‌دهد:

  •  Flow-based inspection (IPS, application control etc.) pattern matching acceleration
  • High performance VPN bulk data engine
  •  IPsec and SSL/TLS protocol processor
  •  DES/3DES/AES in accordance with FIPS46-3/FIPS81/FIPS197
  •  ARC4 in compliance with RC4
  •  MD5/SHA-1/SHA256 with RFC1321 and FIPS180
  • HMAC in accordance with RFC2104/2403/2404 and FIPS198
  •  Key Exchange Processor support high performance IKE and RSA computation
  •  Public key exponentiation engine with hardware CRT support
  •  Primarily checking for RSA key generation
  •  Handshake accelerator with automatic key material generation
  • Random Number generator compliance with ANSI X9.31
  •  Sub public key engine (PKCE) to support up to 4096 bit operation directly
  • Message authentication module offers high performance cryptographic engine for calculating SHA256/SHA1/MD5 of data up to 4G bytes (used by many applications)
  •  PCI express Gen 2 four lanes interface
  •  Cascade Interface for chip expansion
– قابلیت‌های پردازشگر محتوای CP6

CP6 خدمات زیر را ارائه می‌دهد:

  • Dual content processors
  • FIPS-compliant DES/3DES/AES encryption and decryption
  • SHA-1 and MD5 HMAC with RFC1321 and FIPS180
  •  HMAC in accordance with RFC2104/2403/2404 and FIPS198
  • IPsec protocol processor
  • High performance IPsec engine
  •  Random Number generator compliance with ANSI X9.31
  •  Key exchange processor for high performance IKE and RSA computation
  • Script Processor
  • SSL/TLS protocol processor for SSL content scanning and SSL acceleration
– قابلیت‌های پردازشگر محتوای CP5

CP5 خدمات زیر را ارائه می‌دهد:

  • FIPS-compliant DES/3DES/AES encryption and decryption
  • SHA-1 and MD5 HMAC with RFC1321/2104/2403/2404 and FIPS180/FIPS198
  • IPsec protocol processor
  • High performance IPsec Engine
  •  Random Number generator compliant with ANSI X9.31
  • Public Key Crypto Engine supports high performance IKE and RSA computation.
  • Script Processor
– قابلیت‌های پردازشگر محتوای CP4

CP4 خدمات زیر را ارائه می‌دهد:

  •  FIPS-compliant DES/3DES/AES encryption and decryption
  •  SHA-1 and MD5 HMAC
  •  IPsec protocol processor
  •  Random Number generator
  •  Public Key Crypto Engine
  •  Content processing engine
  • ANSI X9.31 and PKCS#1 certificate support

تعیین Content Processor در دستگاه فورتی گیت در SPU

با استفاده از دستور get hardware status CLI می‌توانید به content processor روی دستگاه فورتی گیت خود پی ببرید. خروجی این دستور به این شکل است:

get hardware status
Model name: FortiGate-100D
ASIC version: CP8
ASIC SRAM: 64M
CPU: Intel(R) Atom(TM) CPU D525 @ 1.80GHz
Number of CPUs: 4
RAM: 1977 MB
Compact Flash: 15331 MB /dev/sda
Hard disk: 15272 MB /dev/sda
USB Flash: not available
Network Card chipset: Intel(R) PRO/1000 Network Connection (rev.0000)
Network Card chipset: bcm-sw Ethernet driver 1.0 (rev.)

Security Processors یا SPs در فورتیگیت

ماژول‌های پردازش امنیت فورتیگیت (SP) مانند SP3 که شامل XLP ، XG2 ، XE2 ، FE8 و CE4 می‌شوند، در هر دو سطح رابط (interface) و سیستم کار می‌کنند تا با تسریع در پردازش تخصصی امنیت، عملکرد کلی سیستم را افزایش دهند.

پردازنده‌های SP شامل IPS engine مخصوص به خود هستند که به جز در موارد زیر، شبیه به FortiOS IPS engine است.

  • SP IPS engine قادر به پشتیبانی از SSL inspection نیست. زمانی که SSL deep inspection را برای یک سیاست امنیتی شامل flow-based inspection یا IPS فعال می‌کنید، بارگیری (offloading) در SP غیرفعال می‌شود و ترافیک توسط پردازنده‌های CPU و CP فورتی گیت پردازش می‌شود.
  • SP IPS engine قادر به پشتیبانی از FortiGuard Web Filtering نیست. زمانی که flow-based FortiGuard Web Filtering بر روی دستگاه فورتیگیت با پردازنده SP فعال شود، پردازنده‌ی SP نمی‌تواند جستجوی Fortiguard را انجام دهد و صفحات وب، لود (load) نمی‌شوند.

Network processors (NP6, NP6Lite, and NP4) در فورتی گیت

پردازنده‌های شبکه‌ی FortiAsic در سطح interface کار می‌کنند تا با تخلیه‌ی ترافیک از CPU اصلی، به جریان ترافیک سرعت بخشند. مدل‌های فعلی شامل پردازنده‌های شبکه‌ی NP6 و NP6Lite هستند.

مدل‌های قدیمی‌تر FortiGate شامل پردازنده‌ی شبکه NP1 (که تحت عنوان FortiAccel یا FA2 نیز معروف هستند) و همچنین پردازنده‌ی شبکه‌ی NP4 می‌باشند.

میزان ترافیک بارگیری شده، حداکثر توان و همچنین تعداد رابط‌های شبکه که توسط هر یک پشتیبانی می‌شوند، بسته به مدل پردازنده متفاوت است.

  • NP6 از بارگیری بیشتر ترافیک IPV4 و IPV6، رمزگذاری IPSec VPN، ترافیک CAPWAP و ترافیک چندگانه پشتیبانی می‌کند.
  • NP6Lite مشابه NP6 است اما دارای برخی محدودیت‌های عملکردی است و همچنین توان عملیاتی آن کمتر است. به عنوان مثال NP6Lite نمی‌تواند ترافیک CAPWAP را بارگیری کند.

حداکثر توان NP6Lite معادل 10 Gbps با استفاده از رابط‌های 2x QSGMII و 2x Reduced gigabit media-independent interface (RGMII) می‌باشد.

  • NP4 از بارگیری بیشتر ترافیک فایروال و رمزگذاری IPSec VPN پشتیبانی می‌کند. ظرفیت NP4 معادل 20 Gbps از طریق رابط‌های 2×10 Gbps می‌باشد.
  • NP4Lite مشابه به NP4 است اما دارای برخی محدودیت‌های عملکردی است و همچنین توان کمتری در مقایسه با NP4 دارد و می‌توان گفت توان آن تقریبا نصف توان NP4 است.
  • NP2 از IPv4 firewall و IPsec VPN acceleration پشتیبانی می‌کند. NP2 با استفاده از رابط‌های 2×10 Gbps interfaces or 4×1 Gbps دارای ظرفیتی معادل 2Gbps است.
  • NP1 از IPv4 firewall و IPsec VPN acceleration با ظرفیت 2Gbps پشتیبانی می‌کند. ظرفیت NP1 با رابط‌های 2×1 Gbps معادل 2Gbps است.
  • NP1 از فریم‌های بزرگ‌تر از 1500 بایت پشتیبانی نمی‌کند. در صورتی که شبکه‌ی شما از jumbo frame استفاده می‌کند، ممکن است لازم باشد MTU مربوط به دستگاه‌های متصل به پورت‌های NP1 را تنظیم کنید. حداکثر  frame size برای NP2، NP4 و NP6 معادل 9216 بایت است.
  • برای پردازنده‌های شبکه‌ی NP1 و NP2 از پورت‌های متصل به پردازنده‌های شبکه نمی‌توان برای نصب firmware توسط TFTP استفاده نمود.

Content Processor فورتی گیت

نوشتن دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌های مطالب

مطالب مرتبط

جدیدترین مطالب