Check Point 软件刀片架构性能革新
Check Point 软件刀片架构性能革新
Check Point 软件刀片架构性能革新
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
<strong>Check</strong> <strong>Point</strong> 软件刀片架构的全新增强功能保证性能显著提升
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
目录<br />
执行摘要 …………………………………………………………………………………………3<br />
<strong>Check</strong> <strong>Point</strong> 软件刀片架构性能增强 …………………………………………………4<br />
SecureXL:已知流量的轻量化优化通路 ……………………………………………4<br />
一般通路:改善 IPS、AV 和 URL 过滤性能 …………………………………………7<br />
CoreXL:借助多个 CPU 核心的强大性能 ……………………………………………9<br />
提升性能的负载分担技术 ……………………………………………………………… 10<br />
<strong>Check</strong> <strong>Point</strong> 设备:专为提升性能而构建 ………………………………………… 11<br />
结语 …………………………………………………………………………………………… 14<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 2
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
执行摘要<br />
在 IT 行业中,对更高安全性的需求始终在不断提高。多种因素驱使着对更高安全保护<br />
的需求,包括政府和行业法规、既要为客户数据和知识产权保密又要允许对资源的必要<br />
访问的需求,以及为客户和用户提供全天候网络服务的职责。<br />
但是,在增强网络安全保护时,IT 管理员必须始终考虑这些保护可能对业务关键系统<br />
和网络造成的性能影响。<strong>Check</strong> <strong>Point</strong> Software Blade Architecture 拥有独特的产品<br />
定位,通过一个功能全面、性能优越、便于在任何网络环境中实施和管理的解决方案,<br />
为客户提供最佳的安全功能。<br />
<strong>Check</strong> <strong>Point</strong> 的软件刀片架构是一个集成化解决方案,可以确保公司在享受最新安全保<br />
护技术的同时,不会对性能产生丝毫影响。软件刀片架构采用全新的设计理念,造就一<br />
款模块化、可管理的平台,其中包含一些性能更卓越的功能组件。在需要新的安全或管<br />
理功能时,通过添加其它软件刀片,轻松实现增强安全保护和提高性能的双重需求,并<br />
且将停机时间降至最低。<br />
客户获取软件刀片架构所有性能优势的最佳途径是选择‘交钥匙式’的 <strong>Check</strong> <strong>Point</strong><br />
设备上实施此安全解决方案。成熟的 <strong>Check</strong> <strong>Point</strong> 设备产品组合涵盖所有细分市场的<br />
多种型号。每台设备均经过精细加工,可充分体现本文提到的 <strong>Check</strong> <strong>Point</strong> 性能技术<br />
优势。另外,<strong>Check</strong> <strong>Point</strong> 始终坚持提供可扩展解决方案(可以满足客户不断增长的需<br />
求)的理念,我们的大部分 <strong>Check</strong> <strong>Point</strong> 设备均可以通过安装特定的 <strong>Check</strong> <strong>Point</strong> 硬<br />
件(如数据加速 (ADP) 模块、加密加速模块或更多网络接口卡)实现现场升级。客户<br />
如今可购买 <strong>Check</strong> <strong>Point</strong> 设备,并且确信设备可以满足伴随其业务增长而增加的网络<br />
需求。<br />
本文深入概述 <strong>Check</strong> <strong>Point</strong> 软件刀片架构的独特性能技术。本文将阐明这些技术如何<br />
协同工作以显著改善性能(与旧版 <strong>Check</strong> <strong>Point</strong> 软件相比),并且证明:借助创新的<br />
<strong>Check</strong> <strong>Point</strong> 软件刀片架构,公司可实施综合性安全解决方案(包含可轻松扩展以满足<br />
其未来安全需求的 <strong>Check</strong> <strong>Point</strong> 设备),从而实现最佳的总拥有成本。<br />
softwareblades<br />
来自 <strong>Check</strong> <strong>Point</strong><br />
独立。<br />
模块化。<br />
集中管理。<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 3
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
<strong>Check</strong> <strong>Point</strong> 软件刀片架构性能增强<br />
最新 <strong>Check</strong> <strong>Point</strong> 软件刀片架构的性能在以下方面得到增强:<br />
• 改进 SecureXL 连接建立速度和吞吐量加速<br />
• 在所有 <strong>Check</strong> <strong>Point</strong> 设备上提供 SecureXL(高速通路),包括 UTM-1 设备、IP<br />
Appliance 和 Power-1 ,从而大大提升防火墙和 IPS 的性能<br />
• 通过发展 <strong>Check</strong> <strong>Point</strong> 流式技术(Medium Path),防病毒和 URL 过滤性能大大提<br />
升<br />
• 新增强型 <strong>Check</strong> <strong>Point</strong> CoreXL ,智能利用多核心 CPU 架构,从而加速防火墙、IPS<br />
和应用程序控制处理<br />
• 改良型 ClusterXL ® 负载分担技术,设计为与 CoreXL 搭配使用,从而获得扩展性最<br />
佳的安全网关负荷均衡效果<br />
• 借助 <strong>Check</strong> <strong>Point</strong> SecurePlatform HCC,单一网关有超过 5 百万个并发会话,容<br />
量得以提升<br />
SecureXL:已知流量的轻量化优化通路<br />
<strong>Check</strong> <strong>Point</strong> SecureXL 是一项成熟的技术,可以使客户轻松提升性能。随着 R71 的发<br />
布,现可用于整个系列的 <strong>Check</strong> <strong>Point</strong> UTM-1、Power-1 和 IP 设备。通过轻量化代码<br />
通路和获得专利的开放式 API,使得流量加快、延迟减少,并且连接和处理速度加快。<br />
SecureXL 允许防火墙卸载已知以及以前已验证的连接,从而通过安全网关为<br />
SecureXL 设备上的更高效代码提供更高效的通路(使用软件或专门的硬件(如 <strong>Check</strong><br />
<strong>Point</strong> ADP 模块)实施),进而转发流量。<br />
此技术避免防火墙针对通过安全网关的每个数据包做决策。因为高速流量已经过检查且<br />
已被防火墙接受,并且流量现已被 SecureXL 设备转发,所以防火墙自身现在可以投入<br />
更多可用的资源来处理需要深入检查的流量。<br />
借助 <strong>Check</strong><br />
<strong>Point</strong> HCC 可<br />
以处理超过 5<br />
百万个会话<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 4
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
通过 SecureXL 加速吞吐量<br />
SecureXL 通过自己的 API 与防火墙和其它应用程序通信。为使流量加速,SecureXL<br />
会了解通信流量是否已经过防火墙安全策略的验证。信息以五元组的形式传输给<br />
SecureXL,即由来源和目标 IP 地址、来源与目标端口以及协议构成。<br />
为实现高速吞吐量,SecureXL 将五元组信息存储在其单独的连接表中。以后所有与<br />
SecureXL 连接表中条目相匹配的数据包均由优化的 SecureXL 设备自身转发(在操作<br />
系统内核的驱动程序级别或 IP 设备的专用硬件 ADP 模块上运行)。在 CPU 利用率方<br />
面,此方式比通过防火墙通路发送数据更轻松,因此 SecureXL 在大多数情况下可以使<br />
吞吐量大大提升。<br />
连接卸载<br />
通过 SecureXL 加速连接<br />
在加快连接速度方面,SecureXL 使用相同的五元组,但其遮蔽来源端口并将信息作为<br />
模板储存在单独的表中。与 SecureXL 连接表相反,模板表中的条目在所触发的连接关<br />
闭后仍会保持一段时间。在模板存在于 SecureXL 表中期间,使用相同协议之相同主机<br />
之间的相同方向上的新连接完全由 SecureXL 处理,而不需要防火墙对其加以验证。<br />
即使 SecureXL 正在基于模板做决策,管理员仍保留对于网络中流量的完全可见性,因<br />
为 SecureXL 会通过 API 给防火墙发送一则消息,提供有关新连接的信息以用于记录或<br />
其它目的。<br />
主机<br />
初始数据包<br />
连接设置 建立的通路流<br />
连接表<br />
SecureXL<br />
设备<br />
连接表<br />
防火墙<br />
SecureXL API<br />
设备驱动程序<br />
执行<br />
借助 SecureXL 架构加速通信流量<br />
主机<br />
连接表<br />
SecureXL<br />
设备<br />
连接表<br />
防火墙<br />
SecureXL API<br />
设备驱动程序<br />
执行<br />
后续的加速<br />
数据包<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 5
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
借助 SecureXL 而获得的总体性能<br />
对于大多数客户而言,只要在软件中启用 SecureXL 或在 <strong>Check</strong> <strong>Point</strong> IP 设备中安<br />
装 ADP 模块,SecureXL 便会立即降低 CPU 占用率。这样便有能力处理更多的网络<br />
流量,并通过延长设备的有效使用寿命降低 <strong>Check</strong> <strong>Point</strong> 系统的总拥有成本。使用<br />
<strong>Check</strong> <strong>Point</strong> SecurePlatform 命令行的“fwaccel”工具,可以轻松查看 SecureXL 如<br />
何改变系统中的通信流量。<br />
显示 SecureXL 高速流量的 ‘fwaccel’ stats 输出示例<br />
一旦流量流过 SecureXL,性能立即得以提升。下表显示 SecureXL 开启前后,两个不<br />
同 <strong>Check</strong> <strong>Point</strong> 设备的吞吐量增益。<br />
启用 SecureXL 后观察到的吞吐量提升<br />
SecureXL<br />
将性能提升<br />
150%<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 6
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
一般通路:改善 IPS、AV 和 URL 过滤<br />
性能<br />
以前,通过 <strong>Check</strong> <strong>Point</strong> 防火墙的数据包只有两种方式可以通过网关。视规则库和其它<br />
既有的安全保护措施而定,流量由 SecureXL 在快速通路中处理,或者当需要进行更复<br />
杂和耗用资源更多的决策时,转发到防火墙。现在借助 <strong>Check</strong> <strong>Point</strong> 安全网关 R71,<br />
则有第三种选择(又称为一般通路),其通过提升可在快速通道中处理的流量来改进<br />
性能。<br />
R71 一般通路使 IPS 和防病毒吞吐量显著提升<br />
借助 R71 的一般通道,客户可以放心地启动更多 IPS、URLF 和 AV 保护而不必担心性<br />
能会下降。从而获得更安全的网络环境,并进一步提高客户期望 <strong>Check</strong> <strong>Point</strong> 系统可<br />
以带来的投资回报。由于 R71 只是一个简单的软件版本升级,因此管理员不必升级或<br />
添加更多硬件,而从此项投资中受益。R71 安装后,系统中便会有一般通路且已完全<br />
实施,而无需更多的配置。<br />
全新的一般通<br />
路使防病毒吞<br />
吐量提升近<br />
600% 之多<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 7
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
一般通路架构概述<br />
全新的 <strong>Check</strong> <strong>Point</strong> 一般通路拥有多个线程,专门设计用于利用多个 CPU 核心。通过<br />
在 SecureXL 所形成的加速背景环境中,允许进行 IPS、AV 和 URLF 所需的多项高级处<br />
理,从而提高性能。在 R71 中,SecureXL API 已经得到扩展,可允许 SecureXL 直接<br />
调用防火墙内核中的 IPS 函数,因此避免由 CPU 环境切换为完全的防火墙内核这一耗<br />
时的过程。<br />
若要理解此功能如何提升性能,请参考以下显示 R71 IPS 引擎的图表。<br />
系统 CPU<br />
调度器<br />
SecureXL<br />
防火墙<br />
IPS<br />
防火墙<br />
IPS<br />
防火墙<br />
IPS<br />
调度器<br />
SecureXL<br />
防火墙<br />
IPS<br />
防火墙<br />
IPS<br />
防火墙<br />
IPS<br />
<strong>Check</strong> <strong>Point</strong> IPS 引擎架构<br />
内存<br />
NIC<br />
NIC<br />
CMI – 最终决策<br />
高速检查 PM – 第二层<br />
模式匹配器 (PM) – 第一层<br />
CMI – 保护和上下文匹配<br />
协议分析器<br />
IPS 一体化数据流<br />
CoreXL/PSL<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 8
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
图示的底部是 IPS 引擎的第一层,称为被动数据流化库 (PSL)。PSL 保证 IPS 引擎的随<br />
后层可以接收到有序而干净的数据包流以进行协议分析和模式匹配。在此之前,PSL<br />
层仅能接收已转发到防火墙的数据包。现在,借助 R71 中的一般通路,PSL 可以直接<br />
从 SecureXL 设备接收数据包,而无需将数据包转发到防火墙。下图显示 <strong>Check</strong> <strong>Point</strong><br />
R71 安全网关处的部分 fwaccel stats 输出。在此屏幕截图中,PXL 代表 PSL 加速,并<br />
且其清晰表明一般通道中处理了多少数据包。将此信息与通过 fwaccel stats 命令所获<br />
得的数据统计相比较,可以轻松看出通过防火墙处理的数据包与通过一般通路加速处理<br />
的数据流之比。<br />
显示一般通路中所处理流量的 ‘fwaccel stats’ 输出<br />
有关 IPS 层内部运作的详细说明以及有关 PSL 的详细信息,请参阅《<strong>Check</strong> <strong>Point</strong> IPS<br />
Engine Architecture(<strong>Check</strong> <strong>Point</strong> IPS 引擎架构)》白皮书,可从 http://www.<br />
checkpoint.com/whitepapers 下载。<br />
CoreXL:借助多个 CPU 核心的强大<br />
性能<br />
CoreXL 是第一个设计用于在流量必须由防火墙处理时,利用多个 CPU 核心提升性能<br />
的技术。一些特定的流量一律由防火墙处理,其中包括符合 SecureXL 加速要求的数<br />
据流中的第一个数据包以及选定的 IPS、AV 和 URL 过滤保护。借助 CoreXL,曾经局<br />
限于单一 CPU 核心的防火墙内核现在能够以多个内核模块运行,而每个实例均分配给<br />
其自身的 CPU 核心。这样一来,通信流量的负荷便由 <strong>Check</strong> <strong>Point</strong> 设备中的所有可用<br />
CPU 核心分担,因此可以同时进行并行处理。<br />
IPS 建议配置文件,流量在 8-CPU 系统中混合处理<br />
CoreXL 使<br />
IPS 性能提升<br />
150%<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 9
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
系统以智能方式完成所有这些防火墙实例的负载平衡,每个实例均维持其自身的状态<br />
信息以避免因资源冲突而可能导致的性能问题。可以在硬件中添加更多 CPU 来提升性<br />
能,从而使系统易于扩展以满足不断增长的网络需求。<br />
提升性能的负载分担技术<br />
<strong>Check</strong> <strong>Point</strong> R71 以 <strong>Check</strong> <strong>Point</strong> ClusterXL 和 <strong>Check</strong> <strong>Point</strong> IP 集群的形式提供灵活<br />
的高可用性和负载分担解决方案。这些技术为客户另辟蹊径,使其能够扩展现有的<br />
<strong>Check</strong> <strong>Point</strong> 装置以满足不断增长的性能和安全需求。<strong>Check</strong> <strong>Point</strong> 负载分担解决方案<br />
为客户提供以下优势:<br />
• 可扩展性和降低总拥有成本 – 客户可以仅以两个集群成员实施 <strong>Check</strong> <strong>Point</strong> 负载分<br />
担技术,而在流量负载增长时,通过添加成员来利用现有的投资<br />
• 易于部署 – <strong>Check</strong> <strong>Point</strong> 负载分担解决方案可以单播、多播或转发模式部署,以适应<br />
现有的网络基础设施<br />
• 高可用性—如果一个集群成员停机,流量会自动并透明地重新分配给剩余的集群成<br />
员以保证正常运行时间<br />
• 无缝升级 – 如果管理员希望添加新的 <strong>Check</strong> <strong>Point</strong> 软件,可以一次只升级一个集群<br />
成员,以避免停机<br />
����<br />
�����<br />
�����<br />
������<br />
����<br />
典型的 <strong>Check</strong> <strong>Point</strong> 集群拓扑<br />
�� ��<br />
�����<br />
�����<br />
��� ���<br />
����<br />
�����<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 10
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
<strong>Check</strong> <strong>Point</strong> ClusterXL 智能负载分担<br />
ClusterXL 为高流量提供一个在多个 <strong>Check</strong> <strong>Point</strong> 网关间智能分配流量的方法。此架构<br />
具有近似于线性的可扩展性以及大幅提升的可靠性。此网关集群可以位于单一物理位<br />
置,也可分散部署并通过内部骨干网相连,从而允许集群的成员位于多个物理位置,以<br />
增加冗余并保证业务连续性。无论位于内部网络或外部网络,网关均通过交换网络彼此<br />
相连。这样可以使安全状态信息在集群成员间快速而有效地同步。此状态同步信息可以<br />
确保在一个网关不可用时,其它网关可以继续传递流量,而不会对用户造成干扰。<br />
<strong>Check</strong> <strong>Point</strong> IP 集群<br />
IP 集群是一项成熟的负载分担解决方案且可用性很高,提供给所有在其环境中运行 IP<br />
Appliances 的 <strong>Check</strong> <strong>Point</strong> 客户。不需要更多的许可费用或 Software Blade(IP282<br />
除外)。集群成员间的通信通过一个专用的集群同步网络完成,而网络出于安全和性<br />
能的原因独立于生产流量网络。<br />
<strong>Check</strong> <strong>Point</strong> ClusterXL 的典型性能扩展优势与 IP 集群解决方案写在下表中。数字表示<br />
节点添加至 <strong>Check</strong> <strong>Point</strong> 集群解决方案后的性能倍数:<br />
2 节点 3 节点 4 节点<br />
UDP 吞吐量 2.0x 2.42x 2.51x<br />
IPS 吞吐量 1.73x 2.50x 3.27x<br />
IPS 处理速率 1.53x 2.17x 2.85x<br />
VPN 吞吐量 1.9x 2.7x 3.5x<br />
有关 <strong>Check</strong> <strong>Point</strong> IP 集群的更多技术详情,请下载《Clustering on <strong>Check</strong> <strong>Point</strong><br />
IP Appliances(<strong>Check</strong> <strong>Point</strong> IP 设备的集群)》,网址:http://www.checkpoint.<br />
com/whitepapers。<br />
<strong>Check</strong> <strong>Point</strong> 设备:专为提升性能而<br />
构建<br />
<strong>Check</strong> <strong>Point</strong> 为客户提供一整套专门设计用于利用 <strong>Check</strong> <strong>Point</strong> 软件刀片架构<br />
和性能技术的设备。除非常低端的产品线外,所有 <strong>Check</strong> <strong>Point</strong> 设备均采用<br />
SecureXL、CoreXL、一般通路和负载分担集群技术,如 ClusterXL 或 IP 集群。<strong>Check</strong><br />
<strong>Point</strong> 设备专门用于为客户提供可扩展的统包选项,以用于实施强健的 <strong>Check</strong> <strong>Point</strong> 安<br />
全解决方案。<br />
<strong>Check</strong> <strong>Point</strong><br />
集群解决方案<br />
提升性能和可<br />
靠性<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 11
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
针对高端应用的 <strong>Check</strong> <strong>Point</strong> Power-1 和 IP 设备<br />
对于企业边界、核心或大型分支机构的安全需求,<strong>Check</strong> <strong>Point</strong> 的整个 Power-1 和<br />
IP 设备产品线拥有超过九个设备型号。高端产品线拥有需求最苛刻企业、电信公<br />
司、MSP 以及其它需要高带宽的组织所要求的一流性能和安全保护能力。它们通过<br />
<strong>Check</strong> <strong>Point</strong> 软件刀片架构以及诸多硬件(包括网络接口卡和加速模块)升级提供最大<br />
化的扩展能力,以适应各种连接和吞吐量要求。<br />
<strong>Check</strong> <strong>Point</strong> Power-1 设备集 <strong>Check</strong> <strong>Point</strong> 防火墙、IPsec VPN、IPS、高级网络和<br />
ClusterXL 负载分担技术于一身。可以通过 <strong>Check</strong> <strong>Point</strong> 软件刀片架构和各种附加型网<br />
络接口卡对 Power-1 设备进行现场升级,以实现最大化的投资回报。<br />
<strong>Check</strong> <strong>Point</strong> Power-1 设备规格<br />
Power-1<br />
11085<br />
Power-1<br />
11075<br />
Power-1<br />
11065<br />
Power-1<br />
9075<br />
Power-1<br />
5075<br />
10 GbE 端口 最多四个 最多四个 最多四个 最多四个 最多两个<br />
10/100/1000<br />
端口<br />
最多 18 个 最多 18 个 最多 18 个 最多 18 个 最多 18 个<br />
防火墙吞吐量 30 Gbps 20 Gbps 15 Gbps 16 Gbps 9 Gbps<br />
IPS 吞吐量 15 Gbps 12 Gbps 10 Gbps 10 Gbps 7.5 Gbps<br />
VPN 吞吐量 4.5 Gbps 4 Gbps 3.7 Gbps 3.7 Gbps 2.4 Gbps<br />
并发会话 120 万 120 万 120 万 120 万 120 万<br />
扩展选项<br />
软件刀片、<br />
扩展网卡、<br />
ClusterXL<br />
软件刀片、<br />
扩展网卡、<br />
ClusterXL<br />
软件刀片、<br />
扩展网卡、<br />
ClusterXL<br />
软件刀片、<br />
扩展网卡、<br />
ClusterXL<br />
软件刀片、<br />
扩展网卡、<br />
ClusterXL<br />
<strong>Check</strong> <strong>Point</strong> 的 IP 设备包括四个面向企业的型号。Power-1 产品线与 IP 设备产品线之<br />
间的一大区别在于:IP2455、IP1285 和 IP695 可以接受可选的数据加速 (ADP) 硬件<br />
加速模块,这些模块设计用于处理卸载的 SecureXL 流量,以提升多数企业环境中的<br />
性能。除提升吞吐量外,ADP 模块还可以显著降低单播和多播网络环境中的数据包延<br />
迟。<br />
<strong>Check</strong> <strong>Point</strong> Power-1 11075<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 12
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
<strong>Check</strong> <strong>Point</strong> 高端 IP 设备 规格<br />
*<br />
IP2455 IP1285 IP695 IP565 IP395<br />
10 GbE 端口 最多十个 最多十个 最多六个 — —<br />
10/100/1000<br />
端口<br />
防火墙吞吐<br />
量(无 ADP/<br />
ADP)<br />
最多 32 个 最多 28 个 最多 16 个 最多 12 个 最多 8 个<br />
11/30 Gbps<br />
10.3/17.5<br />
Gbps<br />
7.2/11.7<br />
Gbps<br />
7 Gbps* 3 Gbps*<br />
IPS 吞吐量 9 Gbps 7 Gbps 4 Gbps 2.9 Gbps 2.9 Gbps<br />
VPN 吞吐量<br />
(无 ADP/<br />
ADP)<br />
8.3/1.9<br />
Gbps<br />
8.3/1.9<br />
Gbps<br />
3.3/1.9<br />
Gbps<br />
1.7 Gbps* 677 Mbps*<br />
并发会话 100 万 100 万 100 万 100 万 100 万<br />
扩展选项<br />
软件刀片、<br />
ADP、<br />
NIC、<br />
IP 集群<br />
软件刀片、<br />
ADP、<br />
NIC、<br />
IP 集群<br />
软件刀片、<br />
ADP、<br />
NIC、<br />
IP 集群<br />
软件刀片、<br />
NIC、<br />
IP 集群<br />
针对中档应用的 <strong>Check</strong> <strong>Point</strong> UTM-1 和 IP 设备<br />
软件刀片、<br />
NIC、<br />
IP 集群<br />
对于中档安全市场,<strong>Check</strong> <strong>Point</strong> 的 UTM-1 产品线有四个型号,IP 设备产品线有两个<br />
型号。随着配有软件刀片架构的 <strong>Check</strong> <strong>Point</strong> R71 的发布,所有 UTM-1 型号现在均以<br />
防火墙软件刀片的基础价格提供 SecureXL。<br />
<strong>Check</strong> <strong>Point</strong> 中档 UTM-1 和 IP 设备规格<br />
10/100/1000<br />
端口<br />
UTM-1<br />
3076<br />
UTM-1<br />
2076<br />
UTM-1<br />
1076<br />
UTM-1<br />
576<br />
IP295 IP282<br />
10 8 6 6 最多 8 个 6<br />
防火墙吞吐量 4.5 Gbps 3.5 Gbps 3 Gbps 2.5 Gbps 1.5 Gbps 1.5 Gbps<br />
IPS 吞吐量 4 Gbps 2.7 Gbps 2.2 Gbps 1.7 Gbps 1.4 Gbps 1.4 Gbps<br />
VPN 吞吐量 1.1 Gbps<br />
450<br />
Mbps<br />
350<br />
Mbps<br />
300<br />
Mbps<br />
1.0 Gbps 1.0 Gbps<br />
并发会话 110 万 110 万 110 万 640,000 900,000 900,000<br />
扩展选项<br />
软件刀<br />
片、<br />
ClusterXL<br />
软件刀<br />
片、<br />
ClusterXL<br />
软件刀<br />
片、<br />
ClusterXL<br />
软件刀<br />
片、<br />
ClusterXL<br />
软件刀<br />
片、<br />
NIC、<br />
IP 集群<br />
**IP565 和 IP395 无法适应 ADP 模块。对于这些型号,仅报告非 ADP 的吞吐量。<br />
软件刀<br />
片、<br />
NIC、<br />
IP 集群<br />
<strong>Check</strong> <strong>Point</strong> IP 2455<br />
<strong>Check</strong> <strong>Point</strong> UTM-1 3076<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 13
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
适用于小型或分支办事处的 <strong>Check</strong> <strong>Point</strong> 设备<br />
除以上所示的高端和中档设备外,<strong>Check</strong> <strong>Point</strong> 还包括一整套适用于小型或分支办事处<br />
的产品线。这些型号范围从 Safe@ 和 UTM-1 Edge 设备(适用于吞吐量为 190 Mbps<br />
的防火墙)到 UTM-1 276(适用于吞吐量为 1500 Mbps 的防火墙,配有六个软件刀<br />
片,拥有最多可以管理两个 <strong>Check</strong> <strong>Point</strong> 网关的能力)。<br />
另外 <strong>Check</strong> <strong>Point</strong> 产品线还新添一个全新的 80 系列安全网关,以嵌入式的软件刀片架<br />
构版本运行。SG82 型号具有 1500 Mbps 的防火墙吞吐量。其易于部署并具有配置选<br />
项,且由一个外部 <strong>Check</strong> <strong>Point</strong> SmartCenter 或 Provider-1 管理服务器管理。<br />
有关所有 <strong>Check</strong> <strong>Point</strong> 安全和管理设备的详细信息,请参见最新的设备比较表,<br />
网址:http://www.checkpoint.com/products/downloads/appliances/<br />
appliance-comparison-chart.pdf。<br />
结束语<br />
软件刀片架构允许 <strong>Check</strong> <strong>Point</strong> 提供目前市场上最灵活且性能最高的安全解决方案。<br />
因为 <strong>Check</strong> <strong>Point</strong> 软件刀片系统设计具有随网络安全需求增长而同时扩展性能和功能<br />
的能力,具有最大化的投资回报以及所有企业型中可能最低的总拥有成本。软件刀片架<br />
构通过基于软件的轻松添加新软件刀片方式提供可以不断提升的安全保护功能。此外,<br />
通过本白皮书中所述的成熟技术,<strong>Check</strong> <strong>Point</strong> 提供最有效的性能提升解决方案,因此<br />
管理员不必再面临安全与性能的两难抉择。<br />
回顾一下 <strong>Check</strong> <strong>Point</strong> 软件刀片架构解决方案的以下主要优势:<br />
• 基于软件或 IP 设备 ADP 模块的 SecureXL,可以加速吞吐量和连接•<br />
• CoreXL,利用多核心硬件最大化防火墙处理速度•<br />
• 一般通路,使 IPS、AV 和 URL 过滤性能实现突破<br />
• <strong>Check</strong> <strong>Point</strong> 活动-活动型负载分担解决方案,如 ClusterXL 和 IP 集群,可以实现高<br />
可用性以及简化系统能力的扩展<br />
如果管理员将这些先进的功能整合在一起并在网络流量增长时予以实施,<strong>Check</strong> <strong>Point</strong><br />
解决方案便显得愈发游刃有余。若将不同的性能解决方案整合在一起,性能增益便会产<br />
生累加效果。<br />
• 如果综合利用 SecureXL 和 CoreXL,SecureXL 提供的高速通路会释放剩余的防火墙<br />
内核实例以进行更深入的数据包检查<br />
• 如果将 ADP 添加到 IP 设备,SecureXL 功能便会转到一个专门的硬件模块,从而释<br />
放主系统 CPU 核心以处理更多流量<br />
<strong>Check</strong> <strong>Point</strong><br />
软件刀片架<br />
构为安全而打<br />
造,面面俱到<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 14
<strong>Check</strong> <strong>Point</strong> <strong>软件刀片架构性能革新</strong><br />
• 一般通路通过一个强大的新型 SecureXL API 极大提升 IPS、AV、URL 过滤和其它先<br />
进安全功能的速度<br />
• 当用于负载分担集群拓扑时,以 R71 功能(如 SecureXL、CoreXL 和一般通路)运<br />
行的系统甚至可以处理更大的流量负荷<br />
• <strong>Check</strong> <strong>Point</strong> 先进的性能技术,再搭配软件刀片架构,为客户提供目前市场上最灵活<br />
且可扩展的安全解决方案<br />
© 2 0 1 0 C h e c k Po i n t 软 件 技 术 有 限 公 司 。 保 留 所 有 权 利 。<br />
分类:[无限制] — 面向所有人 | 15
关于 <strong>Check</strong> <strong>Point</strong> 软件技术有限公司<br />
<strong>Check</strong> <strong>Point</strong> 软件技术有限公司 (www.checkpoint.com) 是全球互联网保护领域的<br />
领头羊,是唯一一家提供单一管理框架下统一的网络、数据和端点全面安全保护的供<br />
应商。<strong>Check</strong> <strong>Point</strong> 针对所有类型的威胁为客户提供坚实的保护,降低安全复杂度并<br />
减少总体拥有成本。<strong>Check</strong> <strong>Point</strong> 的 FireWall-1 及其获得专利的状态检测(Stateful<br />
Inspection)技术在业界首屈一指。现在,<strong>Check</strong> <strong>Point</strong> 正努力推广软件刀片架构,不断<br />
开拓创新。动态软件刀片架构提供安全、灵活且简单的解决方案,这些解决方案可完全自<br />
定义以满足任何组织或环境的具体安全需求。<strong>Check</strong> <strong>Point</strong> 客户包括数以万计的各种规模<br />
的企业和组织,其中包括所有《财富》100 强公司。<strong>Check</strong> <strong>Point</strong> 获奖的 ZoneAlarm 解<br />
决方案保护成千上万消费者免受黑客、间谍软件和身份盗用的威胁。<br />
CHECK POINT 办事处<br />
世界总部<br />
5 Ha’Solelim Street<br />
Tel Aviv 67897, Israel<br />
电话:972-3-753 4555<br />
传真:972-3-624-1100<br />
电子邮件:info@checkpoint.com<br />
美国总部<br />
800 Bridge Parkway<br />
Redwood City, CA 94065<br />
电话:800-429-4391; 650-628-2000<br />
传真:650-654-4233<br />
URL:http://www.checkpoint.com<br />
©2003–2010 <strong>Check</strong> <strong>Point</strong> 软件技术有限公司。保留所有权利。<strong>Check</strong> <strong>Point</strong>、Abra、AlertAdvisor、Application Intelligence、<br />
<strong>Check</strong> <strong>Point</strong> DLP、<strong>Check</strong> <strong>Point</strong> Endpoint Security、<strong>Check</strong> <strong>Point</strong> Endpoint Security On Demand、<strong>Check</strong> <strong>Point</strong> 徽标、<br />
<strong>Check</strong> <strong>Point</strong> Full Disk Encryption、<strong>Check</strong> <strong>Point</strong> Horizon Manager、<strong>Check</strong> <strong>Point</strong> Media Encryption、<strong>Check</strong> <strong>Point</strong> NAC、<br />
<strong>Check</strong> <strong>Point</strong> Network Voyager、<strong>Check</strong> <strong>Point</strong> One<strong>Check</strong>、<strong>Check</strong> <strong>Point</strong> R70、<strong>Check</strong> <strong>Point</strong> Security Gateway、<br />
<strong>Check</strong> <strong>Point</strong> Update Service、<strong>Check</strong> <strong>Point</strong> Web<strong>Check</strong>、ClusterXL、Confidence Indexing、ConnectControl、Connectra、<br />
Connectra Accelerator Card、Cooperative Enforcement、Cooperative Security Alliance、CoreXL、DefenseNet、DLP-1、<br />
DynamicID、Endpoint Connect VPN Client、Eventia、Eventia Analyzer、Eventia Reporter、Eventia Suite、FireWall-1、<br />
FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、Hybrid Detection Engine、IMsecure、INSPECT、INSPECT XL、<br />
Integrity、Integrity Clientless Security、Integrity SecureClient、InterSpect、IP Appliances、IPS-1、IPS 软件刀片、IPSO、<br />
软件刀片、IQ Engine、MailSafe、More, Better, Simpler Security 徽标、MultiSpect、NG、NGX、Open Security Extension、OPSEC、<br />
OSFirewall、<strong>Point</strong>sec、<strong>Point</strong>sec Mobile、<strong>Point</strong>sec PC、<strong>Point</strong>sec Protector、Policy Lifecycle Management、Power-1、<br />
Provider-1、PureAdvantage、PURE Security、puresecurity 徽标、Safe@Home、Safe@Office、Secure Virtual Workspace、<br />
SecureClient、SecureClient Mobile、SecureKnowledge、SecurePlatform、SecurePlatform Pro、SecuRemote、SecureServer、<br />
SecureUpdate、SecureXL、SecureXL Turbocard、Security Management Portal、SiteManager-1、Smart-1、SmartCenter、<br />
SmartCenter Power、SmartCenter Pro、SmartCenter UTM、SmartConsole、SmartDashboard、SmartDefense、<br />
SmartDefense Advisor、SmartEvent、Smarter Security、SmartLSM、SmartMap、SmartPortal、SmartProvisioning、<br />
SmartReporter、SmartUpdate、SmartView、SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、<br />
SmartWorkflow、SMP、SMP On-Demand、SofaWare、软件刀片架构、softwareblades 徽标、SSL Network Extender、<br />
Stateful Clustering、Total Security、totalsecurity 徽标、TrueVector、User<strong>Check</strong>、UTM-1、UTM-1 Edge、UTM-1 Edge Industrial、<br />
UTM-1 Total Security、VPN-1、VPN-1 Edge、VPN-1 MASS、VPN-1 Power、VPN-1 Power Multi-core、VPN-1 Power VSX、VPN-1 Pro、<br />
VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 UTM、VPN-1 UTM Edge、VPN-1 VE、VPN-1 VSX、<br />
VSX-1、Web Intelligence、ZoneAlarm、ZoneAlarm Antivirus、ZoneAlarm DataLock、ZoneAlarm Extreme Security、<br />
ZoneAlarm ForceField、ZoneAlarm Free Firewall、ZoneAlarm Pro、ZoneAlarm Internet Security Suite、ZoneAlarm Security Toolbar、<br />
ZoneAlarm Secure Wireless Router、Zone Labs 和 Zone Labs 徽标是 <strong>Check</strong> <strong>Point</strong> 软件技术有限公司或其分公司的商标或注册商标。<br />
ZoneAlarm 是 <strong>Check</strong> <strong>Point</strong> 软件技术有限公司的产品。此处提及的所有其它产品名称是其各自所有者的商标或注册商标。本文档中介绍的<br />
产品受 5606668、5835726、5987611、6496935、6873988、6850943、7165076、7540013 和 7725737 号美国专利保护,可能也受<br />
其它美国专利、外国专利或正在申请的专利保护。<br />
2010 年 11 月 17 日