Ihr werdet nicht glauben, was ich an der CPX erlebt habe. Da war dieser Typ von RnD und was dann passiert ist, war spektakulär.
Sorry fürs „Clickbaiting“. Es gibt da so eine Challenge, mit wer hat die meisten „Klicks“. Aber genug aus dem AVANTEC-Nähkästchen 🙂
Seit ein bisschen mehr als einem Jahr wird bereits über die Falcon-Karten gesprochen. Bereits an der letzten CPX wurde die Karte an einem Innovation Track Table vorgestellt. Wer das nicht kennt: Das sind meistens Leute von RnD an einem Tisch, die zeigen, woran sie gerade arbeiten. Interessierte können sich da dransetzen und sich das Produkt/Feature zeigen lassen. Das Coole daran ist, man kann in einem entspannten Rahmen den Leuten von RnD Löcher in den Bauch fragen. Auch dieses Jahr war wieder der gleiche Entwickler an einem dieser Tische, aber diesmal ohne Karte zum Anfassen. Bei der Frage, warum sie dieses Jahr nicht zum Anfassen dabei ist, musste er etwas beschämt gestehen, dass er es diesmal nicht geschafft hat, sie durch den Zoll zu bringen. Haha… Wer den Flughafen in Tel Aviv kennt, der glaubt’s ihm.
Mächtiger Boost
Spannend ist ja, wozu die Karten da sind. Die Falcon-Karten sollen den auf Intel basierenden Firewalls einen mächtigen Boost für SSL Inspection und Threat Prevention geben. Und ehrlich gesagt, haben die das bitter nötig. Die Konkurrenz entwickelt seit Langem zu dem Zweck relativ billige ASIC’s, welche mit rasender Performance punkten. Manager, welche sich strikt nach „TCO per protected Mbps“ orientieren, sehen Check Point schnell als relativ teuren Hersteller. Das Image haftet an und kommt auch nicht von ungefähr. Man könnte nun den Agony Meter und das GUI als „de facto Management Gold Standard“ (Quelle: GARTNER) herausstreichen. Es gibt sicher genügend Argumente, die für Check Point sprechen. Aber lassen wir die rosa Brille mal weg.
80% mehr Performance
Gemäss dem Typ von RnD soll eine Falcon Karte 80% mehr Performance für SSL und TP bringen. Das Coole daran: Der Traffic muss nicht mal durch die Karte durch. Das heisst, egal durch welches Interface der Traffic durchfliesst, er wird zur Verarbeitung zur Karte ausgelagert. Und noch besser – man soll mit fünf Kartenslots auch fünf Falcon-Karten einbauen können, welche ihren Performance Boost kumulieren können. Zukunftsmusik ist schon was Tolles. Ich bin sicher, da geht noch das eine oder andere Prozent für das „Clustern“ der Karten flöten. Unter welchen Umständen diese Werte erreicht werden, ist noch nicht bekannt. Aber auch so tönt’s meiner Meinung nach vielversprechend.
Echte Karten-Magie
Damit diese Magie mit den Falcon Karten funktioniert, musste Check Point kräftig an SecureXL rumschrauben.
In R80.20 wurde die Erzeugung von Templates und Connections zum fw_worker verschoben. Der fw_worker aktualisiert die SecureXL Connection Table nur wenn nötig. Das vereinfacht die Template-Erzeugung und verringert die benötigte Kommunikation zwischen SecureXL und dem fw_worker und verringert die Syncs zwischen den beiden. NAT Templates sind nun per default eingeschaltet und „complexe flows“, wie „partial connection logic“ und „delayed notifications“ sind nicht mehr nötig, wie vor R80.20. Das hat auch positiven Einfluss auf ClusterXL, da die Syncs nur noch auf fw_worker basieren.
Tolle Nebeneffekte
Das führt zu weiteren tollen Nebeneffekten, welche mit R80.20 bereits heute verfügbar sind. Allein durch diese „Magie“ soll R80.20 gegenüber R80.10 um 20% Performance-Gewinn bringen. Notabene ohne Falcon-Karten.
Ausserdem stellt sich beim Policy Push SecureXL nicht mehr ab und SecureXL muss auch für das Check Point-eigene Monitoring Tool „fw monitor“ nicht mehr ausgeschaltet werden. Wer kennt nicht den Moment in dem man troubleshooten möchte, SecureXL auschaltet, schnell zu „top“ wechselt und ganz stark hofft, dass einem die Kiste nicht um die Ohren fliegt?
Bleibt zu hoffen, dass Check Point diese Karten zu fairen Preisen verkauft. Oder noch besser, sie überall einfach einbaut. So ab den 6000ern, von mir aus im Bundle mit HPP. Die Marketing-Füchse werden sich sicher was einfallen lassen, da mach ich mir keine Sorgen. Wir werden sehen, wenn es heisst: „the falcon has landed“.
El Fulano
El Fulano ist Senior Security Engineer bei AVANTEC und Spezialist für Informationssicherheit. Ihn interessieren neben Technik auch Management und Recht. Er mag Science Fiction und Sport. Am liebsten beschäftigt er sich mit Firewalls und Advanced Threat Prevention.