آموزش فورتی گیت

کمپانی Fortinet جهت بهبود عملکرد پردازش ترافیک در دستگاه های Fortigate ، سخت افزار مجزائی را به عنوان Secure Processing Units (SPU) قرار داده که وظیفه پردازش‌های امنیتی فشرده را از منابع پردازش اصلی (CPU) بر عهده دارد.

اکثر مدل‌های Fortigate دارای این سخت‌افزار شتاب‌دهنده تخصصی (SPU)  بوده  که در 3 نوع به شرح ذیل ارائه گردیده است :

• Content Processors – (CPs) : پردازشگرهای محتوای تخصصی که طیف وسیعی از فرآیندهای امنیتی مهم مانند اسکن ویروس، تشخیص حمله، رمزگذاری و رمزگشایی را بهبود می بخشد.

لازم به ذکر است تنها مدل‌های انتخابیFortigate  Entry-level شامل پردازنده CP نمی‌شوند.آموزش فورتی گیت-آموزش فورتی گیت-آموزش فورتی گیت

• (NP) ­– Network Processors: پردازنده های شبکه شامل دو نوع NPLites & NPs می باشد که برای ارائه سطوح بالائی از توان عملیاتی شبکه بهینه شده است.
• Security processors –  (SPs): پردازنده های امنیتی (SP) که عملکردهای امنیتی خاص را تسریع می کنند.

Processors – پردازشگرهای محتوا

 

قابلیت های پردازشگرهای محتوا (CPs) بر اساس مدل ها متفاوت است، نسخه های قدیمی CP شامل CP4-CP5-CP6-CP8 و نسخه های فعلی شامل CP9-CP9Lite-CP9XLite می باشد که به بررسی مدل ها می پردازیم.

Content Processors (CP9, CP9XLite, CP9Lite)

پردازنده‌های محتوای CP9، CP9XLite (موجود در SOC4) و CP9Lite (موجود در SOC3) به استثنای چند مورد که ذکر شده است عمدتاً از ویژگی‌های مشابهی پشتیبانی می‌کنند. تفاوت اصلی بین پردازنده ها ظرفیت و توان آنهاست، به عنوان مثال CP9 دارای شانزده موتور IPsec VPN است در حالی که CP9Xlite دارای پنج موتور و CP9Lite دارای یک موتور است. در نتیجه، CP9 می‌تواند  IPsec Vpn Session  بسیار بیشتری را نسبت به نسخه‌های Lite تسریع بخشد.

     CP9 Capabilities

پردازنده محتوای CP9 خدمات زیر را ارائه می دهد:

Flow-based inspection (IPS and application control) pattern matching acceleration with over 10Gbps throughput

IPS pre-scan/pre-match offload

IPS signature correlation offload

Full match offload (CP9 only)

High throughput DFA-based deep packet inspection

High performance VPN bulk data engine

IPsec and SSL/TLS protocol processor

DES/3DES/AES128/192/256 in accordance with FIPS46-3/FIPS81/FIPS197

MD5/SHA-1/SHA256/384/512-96/128/192/256 with RFC1321 and FIPS180

M S/KM Generation (Hash) (CP9 only)

HMAC in accordance with RFC2104/2403/2404 and FIPS198

ESN mode

GCM support for NSA “Suite B” (RFC6379/RFC6460) including GCM-128/256; GMAC-128/256

Key exchange processor that supports high performance IKE and RSA computation

Public key exponentiation engine with hardware CRT support

Primary checking for RSA key generation

Handshake accelerator with automatic key material generation

Ring OSC entropy source

Elliptic curve cryptography ECC (P-256) support for NSA “Suite B” (CP9 only)

Sub public key engine (PKCE) to support up to 4096 bit operation directly (4k for DH and 8k for RSA with CRT)

DLP fingerprint support

Configurable Two-Thresholds-Two-Divisors (TTTD) content chunking

 

     CP8 Capabilities

Flow-based inspection (IPS, application control etc.) pattern matching acceleration

High performance VPN bulk data engine

IPsec and SSL/TLS protocol processor

DES/3DES/AES in accordance with FIPS46-3/FIPS81/FIPS197

ARC4 in compliance with RC4

MD5/SHA-1/SHA256 with RFC1321 and FIPS180

HMAC in accordance with RFC2104/2403/2404 and FIPS198

Key Exchange Processor support high performance IKE and RSA computation

Public key exponentiation engine with hardware CRT support

Primarily checking for RSA key generation

Handshake accelerator with automatic key material generation

Random Number generator compliance with ANSI X9.31

Sub public key engine (PKCE) supports up to DH 2048 bit (group 14)

Message authentication module offers high performance cryptographic engine for calculating SHA256/SHA1/MD5 of data up to 4G bytes (used by many applications)

PCI express Gen 2 four lanes interface

Cascade Interface for chip expansion

     CP6 Capabilities

Dual content processors

FIPS-compliant DES/3DES/AES encryption and decryption

SHA-1 and MD5 HMAC with RFC1321 and FIPS180

HMAC in accordance with RFC2104/2403/2404 and FIPS198

IPsec protocol processor

High performance IPsec engine

Random Number generator compliance with ANSI X9.31

Key exchange processor for high performance IKE and RSA computation

Script Processor

SSL/TLS protocol processor for SSL content scanning and SSL acceleration

    CP5 Capabilities

FIPS-compliant DES/3DES/AES encryption and decryption

SHA-1 and MD5 HMAC with RFC1321/2104/2403/2404 and FIPS180/FIPS198

IPsec protocol processor

High performance IPsec Engine

Random Number generator compliant with ANSI X9.31

Public Key Crypto Engine supports high performance IKE and RSA computation

Script Processor

    CP4 Capabilities

FIPS-compliant DES/3DES/AES encryption and decryption

SHA-1 and MD5 HMAC

IPsec protocol processor

Random Number generator

Public Key Crypto Engine

Content processing engine

ANSI X9.31 and PKCS#1 certificate support

تعیین Content Processors  در واحد Fortigate

جهت پی بردن به نسخه  Content Processors در واحد FortiGate خود می توانید از دستور Get Hardware Status در CLI استفاده کنید که خروجی اطلاعات بصورت زیر می باشد:

get hardware status

Model name: FortiGate-100D

ASIC version: CP8

ASIC SRAM: 64M

CPU: Intel(R) Atom(TM) CPU D525 @ 1.80GHz

Number of CPUs: 4

RAM: 1977 MB

Compact Flash: 15331 MB /dev/sda

Hard disk: 15272 MB /dev/sda

USB Flash: not available

Network Card chipset: Intel(R) PRO/1000 Network Connection (rev.0000)

Network Card chipset: bcm-sw Ethernet driver 1.0 (rev.)

آموزش فورتی گیت–آموزش فورتی گیت–آموزش فورتی گیت–آموزش فورتی گیت

Version ASIC نمایانگر شماره مدل پردازنده محتوا می باشد.

Security Processors (SPs) – پردازشگرهای امنیتی

آموزش فورتی گیت

ماژول‌های پردازش امنیتی FortiGate (SP) مانند SP3 شامل XLP، XG2، XE2، FE8 و CE4 ، هم در سطح Interface و هم در سطح System کار می‌کنند تا با تسریع در پردازش امنیتی تخصصی، عملکرد کلی سیستم را افزایش دهند.

همچنین می توان SP را طوری پیکربندی کرد که IPS را در پردازش های فایروال نسبت به محیط‌های متخاصم پرترافیک مساعدت نماید.

آموزش فورتی گیت–آموزش فورتی گیت–آموزش فورتی گیت

پردازنده های SP دارای Engine IPS مختص خود هستند که شبیه به Engine IPS FortiOS است اما با محدودیت های زیر:

• Engine SP IPS از SSL deep inspection پشتیبانی نمی کند، هنگامیکه در یک Security Policy قابلیت SSL deep inspection را که شامل flow-based inspection یا IPS است فعال کنید، بارگذاری (offloading) به SP غیرفعال می شود و ترافیک توسط پردازنده های CPU و CP فورتی گیت پردازش می شود.
• Engine SP IPS قادر به پشتیبانی از FortiGuard Web Filtering نمی باشد، زمانیکه ویژگی FortiGuard Web Filtering flow-based را در یک واحد FortiGate با پردازنده SP فعال می کنید، پردازنده SP نمی تواند جستجوهای FortiGuard را انجام دهد و صفحات وب بارگیری نمی شوند.آموزش فورتی گیت–آموزش فورتی گیت–آموزش فورتی گیت

پردازنده های امنیتی زیر در دسترس هستند:

• The SP3 (XLP) is built into the FortiGate 5101B and provides IPS acceleration. No special configuration is required. All IPS processing, including traffic accepted by IPv4 and IPv6 traffic policies and IPv4 and IPv6 DoS policies is accelerated by the built-in SP3 processors.
• The FMC-XG2 is an FMC module with two 10 GB/s SFP+ interfaces that can be used on FortiGate 3950B and FortiGate 3951B units.
• The FortiGate 3140B also contains a built-in XG2 using ports 19 and 20.
• The ADM-XE2 is a dual-width AMC module with two 10 GB/s interfaces that can be used on FortiGate 3810A and FortiGate 5001A-DW systems.
• The ADM-FE8 is a dual-width AMC module with eight 1 GB/s interfaces that can be used with the FortiGate 3810A.
• The ASM-CE4 is a single-width AMC module with four 10/100/1000 Mb/s interfaces that can be used on FortiGate 3016B and FortiGate 3810A units.

آموزش فورتی گیت–آموزش فورتی گیت–آموزش فورتی گیت–آموزش فورتی گیت

قابل ذکر است اگر قابلیت IPS را برای ترافیک های عبوری از VDOM links فعال کنید و این ترافیک توسط SP processor بارگیری شود، ترافیک مسدود می شود و با غیرفعال کردن offloading SP  به ترافیک اجازه عبور داده می شود.

با استفاده از دستور زیر در CLI می توانید offloading را غیرفعال نمائید:

Config ips global

set np-accel-mode none

set cp-accel-mode none

end

     SP Processing flow

پردازنده های SP یک راه حل چندلایه مسیر سریع یکپارچه با کارایی بالا را برای حفاظت از نفوذ و عملکرد دیوار آتش ارائه می کنند. حفاظت چند لایه از بررسی ناهنجاری در سطح بسته شروع می شود تا اطمینان حاصل شود که هر بسته سالم و معقول است. بلافاصله پس از آن، مجموعه پیچیده ای از حفاظت از ناهنجاری بسته مبتنی بر رابط، حفاظت DDoS، حفاظت از نفوذ مبتنی بر سیاست، مسیر سریع فایروال و روش های مبتنی بر رفتار برای جلوگیری از حملات DDoS از بقیه سیستم استفاده می شود.آموزش فورتی گیت–آموزش فورتی گیتآموزش فورتی گیتآموزش فورتی گیتآموزش فورتی گیتآموزش فورتی گیت–آموزش فورتی گیت–آموزش فورتی گیت–

سپس بسته ها وارد یک سیستم حفاظت از نفوذ مبتنی بر رابط/سیاست می شوند، جایی که هر بسته در برابر مجموعه ای از امضاها ارزیابی می شود. نتیجه نهایی، جریان‌هایی از بسته‌های کاربر است که عاری از ناهنجاری و حملات هستند و وارد سیستم مسیر سریع برای ارسال مسیر سریع unicast یا multicast می‌شوند.

• نمایش اطلاعات مربوط به ماژول های Security Processing

با استفاده از دستور CLI زیر می توانید اطلاعات مربوط به ماژول های SP  نصب شده را نمایش دهید :

0	Number of proxied TCP connections
0	Number of working proxied TCP connections
0	Number of retired TCP connections
0	Number of valid TCP connections
0	Number of attacks, no ACK from client
0	Number of no SYN-ACK from server
0	Number of reset by server (service not supported)
0	Number of established session timeout
3 Seconds	Client timeout setting
3 Seconds	Server timeout setting

مشاهده وضعیت SSL acceleration

با استفاده از دستور زیر در CLI می توانید وضعیت Acceleration SSL را مشاهده کنید:

get vpn status ssl hw-acceleration-status

Acceleration hardware detected: kxp=on cipher=on

در اینجا kxp به معنای key exchange acceleration می باشد.

(NP) ­– Network Processors:   پردازنده های شبکه (NP7، NP6، NP6XLite، NP6Lite، NP4 ،NP2 و NP1)

یکی دیگر از پردازشگرهایی که بار ترافیک CPU را کاهش می دهد، پردازشگرهای شبکه یا همان FortiASIC network processors می باشد که در سطح Interface  کار می کند. مدل های فعلی شامل پردازنده های شبکه NP7، NP6، NP6XLite و NP6Lite و مدل های قدیمی تر شامل پردازنده های شبکه NP1 که بعنوان FortiAccel یا FA2 شناخته می شود و همچنین NP2، NP4 و NP4Lite می باشد.

بسته به مدل هر پردازنده میزان offloaded ترافیک، حداکثر توان عملیاتی و تعداد Interface های شبکه متقاوت می باشد.

• ویژگی های NP7

NP7 از بارگیری بیشتر ترافیک های IPv4 و IPv6، رمزگذاری IPsec VPN (از جمله Suite B)، رمزگذاری SSL VPN، ترافیک GTP، ترافیک CAPWAP، ترافیک VXLAN، ترافیک چندپخشی و تنظیم sessions NAT پشتیبانی می کند.

NP7 در FortiGate های دارای لایسنس برای پشتیبانی از فایروال های مقیاس بالا، راه اندازی offloads session،Carrier Grade NAT (CGN)، hardware loggin ، همگام سازی HA hardware session ، حفاظت از DoS و ارتباطات داده از پردازنده  FortiGate را شامل می شود. همچنین NP7 دارای حداکثر توان خروجی 200 گیگابیت بر ثانیه با استفاده از 2 اینترفیس 100 گیگابیت بر ثانیه می باشد.

• مقایسه ویژگی NP7 و SOC4 در 2 تجهیز فورتی گیت سری 40F و 1800F

• ویژگی های 6NP

NP6 از بارگیری بیشتر ترافیک های IPv4 و IPv6، رمزگذاری IPsec VPN، ترافیک CAPWAP، حفاظت DoS و ترافیک چندپخشی پشتیبانی می کند. NP6 دارای حداکثر توان خروجی 40-گیگابیت بر ثانیه با استفاده از چهار رابط 10 گیگابیتی‌ XAUI یا 4 اینترفیس گیگابیتی مستقل رسانه‌ای سریال  (QSGMII) یا 3 x 10 Gbps و x 1 Gbps XAUI16 یا اینترفیس های QSGMII می باشد.

• ویژگی های NP6XLite

NP6XLite یکی از اجزای Fortinet SOC4 است که از همان ویژگی‌های NP6 اما با توان عملیاتی کمی کمتر پشتیبانی می‌کند.

همچنین دارای ویژگی‌ها و پیشرفت‌های مدرنی مانند توانایی بارگذاری AES128-GCM و AES256-GCM رمزنگاری، برای ترافیک IPsec VPN و حداکثر توان خروجی 36-گیگابیت در ثانیه با استفاده از اینترفیس های زیر می باشد.

4x KR/USXGMII/QSGMII و x (1x) Reduced gigabit media-independent interface (RGMII) 2.

• ویژگی های NP6Lite

NP6Lite یکی از اجزای Fortinet SOC3 و شبیه به NP6 است اما با توان عملیاتی کمتر و برخی محدودیت‌های عملکردی (به عنوان مثال ترافیک CAPWAP را بارگذاری نمی‌کند). همچنین با استفاده از اینترفیس های x QSGMII 2 و x RGMII 2 دارای حداکثر توان خروجی 10-گیگابیت بر ثانیه است.

• ویژگی های NP4

NP4 از بارگذاری بیشتر ترافیک فایروال IPv4 و رمزگذاری IPsec VPN پشتیبانی می کند، دارای ظرفیت 20-گیگابیت بر ثانیه از طریق 2 اینترفیس 10

گیگابیت بر ثانیه است.

• ویژگی های NP4Lite

NP4lite مشابه NP4 است اما با توان عملیاتی کمتر (تقریباً نیمی از عملکرد) و برخی محدودیت‌های عملکردی.

• ویژگی های 2NP

NP2 از فایروال IPv4 و شتاب IPsec VPN پشتیبانی می کند، دارای ظرفیت 2-گیگابیت بر ثانیه از طریق 2 اینترفیس 10 گیگابیت بر ثانیه یا 4 اینترفیس 1 گیگابیت بر ثانیه است.

• ویژگی ها و محدودیت های 1NP

NP1 از فایروال IPv4 و شتاب IPsec VPN با ظرفیت 2-گیگابیت بر ثانیه از طریق 2 اینترفیس 1 گیگابیتی پشتیبانی می کند.

NP1 از فریم های بیشتر از 1500 بایت پشتیبانی نمی کند و اگر شبکه شما از فریم های jumbo استفاده می کند ممکن است لازم باشد MTU (حداکثر واحد انتقال) دستگاه های متصل به پورت های NP1 را تنظیم کنید. حداکثر اندازه فریم برای پردازنده های NP2، NP4، NP6 و NP7 9216  بایت می باشد.

برای هر دو پردازنده شبکه NP1 و NP2، پورت های متصل به یک پردازنده شبکه را نمی توان برای نصب Firmware توسط TFTP استفاده کرد.

 Accelerated sessions on FortiView All Sessions page ×

هنگام مشاهده جلسات در کنسول FortiView All Sessions، جلسات تسریع شده NP4/NP6/NP7 با نماد NP4، NP6 یا NP7 برجسته می شوند و راهنمای ابزار برای نماد، شامل نوع پردازنده NP و تعداد کل جلسات تسریع شده می باشد.

 NP session offloading in HA active-active configuration

پردازنده‌های شبکه می توانند عملکرد شبکه را در پیکربندی‌های Active-Active (load balancing) با دسترسی بالا (HA) بهبود بخشند، حتی اگر ترافیک از الگوهای بارگیری عمومی منحرف شود، شامل بیش از یک پردازنده شبکه در یک واحد فورتی‌گیت جداگانه است که باعث می شود هیچگونه الزامات بارگزاری اضافی اعمال نمی شود.

هنگامی که منابع پردازش اصلی واحد FortiGate، یک Session key را به پردازنده های شبکه خود ارسال می کند، پردازنده های شبکه در واحد اولیه می توانند ترافیک جلسه بعدی را به دیگر اعضای گروه هدایت کنند و بار تغییر مسیر ترافیک را در منابع پردازش اصلی واحد اولیه کاهش دهند.

از آنجایی که واحدهای فرعی ترافیک هدایت شده را دریافت می کنند، هر پردازنده شبکه در گروه  session offloading را مستقل از واحد اصلی ارزیابی و پردازش می کند. حالت های Session key هر پردازنده شبکه بخشی از ترافیک همگام سازی بین اعضای HA نیست.

 Configuring NP HMAC check offloading

بطور پیش فرض بررسی های کد احراز هویت پیام مبتنی بر هش (HMAC) در پردازنده‌های شبکه بارگزاری می شود.

برای غیرفعال کردن این قابلیت می توانید دستور زیر را وارد کنید:

Configure system global

set ipsec-hmac-offload disable

end

 Software switch interfaces and NP processors

FortiOS با گروه بندی دو یا چند اینترفیس فیزیکی FortiGate در یک اینترفیس مجازی یا سوئیچ نرم افزاری، از ایجاد یک Software switch پشتیبانی می کند. همه اینترفیس های موجود در این سوئیچ مجازی مانند اینترفیس یک سوئیچ سخت‌افزاری عمل می‌کنند، زیرا همگی دارای آدرس IP یکسان هستند و می‌توانند به یک شبکه متصل شوند.

Software switch یک group bridge متشکل از چندین اینترفیس است که CPU FortiGate جدول mac-port را برای این bridgeها نگهداری می کند. در نتیجه این دخالت CPU، ترافیک پردازش شده توسط اینترفیس Software switch به پردازنده های شبکه offload نمی شود.

  Disabling NP offloading for firewall policies

با استفاده از دستور زیر می توان بارگزاری NP را برای پالیسی های امینی خاص غیرفعال کرد:

For IPv4 security policies:

config firewall policy

edit 1

set auto-asic-offload disable

end

For IPv6 security policies:

config firewall policy6

edit 1

set auto-asic-offload disable

end

For multicast security policies.

config firewall multicast-policy

edit 1

set auto-asic-offload disable

end

 

 Disabling NP offloading for individual IPsec VPN phase 1s

با استفاده از دستور زیر می توان بارگزاری NP را برای interface-based IPsec VPN phase 1 غیرفعال کرد:

config vpn ipsec phase1-interface

edit phase-1-name

set npu-offload disable

end

از دستور زیر جهت غیرفعال کردن بارگذاری NP برای policy-based IPsec VPN phase 1 استفاده می شود:

config vpn ipsec phase1

edit phase-1-name

set npu-offload disable

end

The npu-offload option is enabled by default.

 

در دوره آموزش FortiGate چه چیز هایی را آموزش میبینید ؟

 

برای مطالعه جزئیات بیشتر در مورد ویژگی های پردازنده های شبکه و برای اطلاعات در مورد مدل های FortiGate با پردازنده های مختلف شبکه ، به معماری های FortiGate  مراجعه فرمائید.