Bekanntlich ist es in der Nacht effizienter, grosse File Transfers wie ISO-Abbilder von virtuellen Betriebssystemen oder sehr grosse Downloads zu managen. Um solche Terabytes an Daten in Minuten statt Stunden sicher zu übertragen, müssten die Firewalls jedoch praktisch zu jederzeit ihre CPU-Core-Zuweisungen automatisch ändern können. Ein neues Feature namens «HyperFlow» von Check Point auf den Security Gateways R81.20 ist nun in der Lage, grosse TCP-Netzwerk-Links auf mehr als einem CPU-Kern parallel verarbeiten zu können. Zudem verteilt die Funktion die gesamte Inspektionsaufgabe in kleineren Aufgaben an die verfügbaren Kerne. Was ist von dieser Neuerung zu halten?

Ein Beispiel, das man bei Firewalls schon kennt, ist Dynamic Balancing. Die Funktion verteilt den Netzwerkverkehr intelligent auf verschiedene Firewall-Instanzen. Bei praktisch null Traffic-Verlust sind dazu keine manuelle Konfiguration und keine Reboots nötig. Bei sehr grossen TCP Flows geraten Firewalls, beispielsweise bei nur einem aktiven Core, jedoch meist an ein Limit beim Durchsatz.

Dynamic Balancing for CoreXL


Sehr grosse TCP-Datenströme schneller inspizieren

Sogenannte «Elephant Flows» bestehen in der Regel aus einer Vielzahl von Bytes und TCP- bzw. UDP-Verbindungen. Es handelt sich meist um eine Netzwerk-Session bzw. einen sehr grossen Flow über einen Netzwerk-Link. Ein typisches Beispiel ist ein sehr grosses File wie eine ISO-Datei eines Linux-Betriebssystems, welches via http, https, FTP oder NFS durchgeschleust wird. Diese Daten beanspruchen meist deutlich mehr Netzwerk-Kapazität im Vergleich zu anderen Datentransfers. Vor der Version 81.20 würde eine Firewall dazu nur einen Core beanspruchen können, um den Elephant Flow zu inspizieren. Darüber hinaus nimmt der Datendurchsatz allmählich ab, wenn die CPU-Auslastung auf dem Security Gateway zunimmt.

Dadurch benötigt das Security Gateway weniger Zeit bei der Überprüfung grosser Datenströme. Die CPU-Kerne werden automatisch erkannt und dynamisch den Hauptaufgaben eines Security Gateways zugewiesen. Die Reaktionszeit der CoreXL-Firewalls wird dadurch verbessert.

Standardmässig ist die HyperFlow-Funktion bei den Check Point Appliances aktiviert, welche die Systemanforderungen erfüllen. Das Feature wird jedoch nur dann aktiviert, wenn es benötigt wird und die gesamte CPU-Auslastung dies zulässt. Allgemein arbeitet HyperFlow im Standby-Modus und wird ausgelöst, wenn ein sehr hoher Workload erkannt wird. Das heisst: Die Funktion schaltet sich erst dann wieder in den Passiv-Modus, wenn der grosse Datendurchsatz auf den Firewalls stattgefunden hat.


Ab wann ist HyperFlow verfügbar?

HyperFlow ist bei den Check Point Firewalls ab der Version R81.20+ verfügbar.

HyperFlow für Check Point


Fazit

Besonders in grossen Netzwerken dominieren Elephant Flows. Diese können über einen bestimmten Zeitraum einen unverhältnismässigen Anteil der gesamten Bandbreite bei den Security Gateways von Firewalls einnehmen. Das Feature HyperFlow von Check Point ist mit Sicherheit eine gute Ergänzung und ergibt Sinn bei sehr hohen Datendurchsätzen. Der gesamte Durchsatz bei Firewalls hat jedoch immer Priorität gegenüber sogenannten Elephant Flows.


Weiterführende Links