SecureXL是一项专利技术,由带有API的软件包组成,用于加速多个密集型安全操作。除IPS外,SecureXL还可以加速Check Point状态检查防火墙执行的操作。通过SecureXL API,此防火墙可以将对这些操作的处理工作转移到特殊模块“ SecureXL设备”上,该模块是性能优化的软件模块。
在启用SecureXL的网关中,防火墙首先使用SecureXL API查询SecureXL设备并发现其功能。然后,防火墙实施一项策略,该策略确定防火墙将处理哪些会话的哪些部分,以及哪些部分应卸载到SecureXL设备。当尝试通过网关建立新会话时,防火墙会检查每个新会话的第一个数据包,以确保安全策略允许连接。在检查数据包时,防火墙确定会话所需的行为,然后防火墙可以根据其策略将部分或全部会话处理工作转移到SecureXL设备。此后,SecureXL设备直接检查属于该会话的适当数据包。 SecureXL设备实现了进一步分析和处理流量所需的安全逻辑。如果识别出异常,则向其咨询防火墙软件和IPS引擎。另外,SecureXL提供了一种模式,该模式允许完全在SecureXL设备中完成连接设置,从而提供极高的会话速率。
多核CPU中的SecureXL将集成IPS的性能影响降至最低
通过优化的网络接口驱动程序和具有SecureXL功能的软件或硬件设备中的多线程代码,可以实现性能。与未经加速的解决方案相比,这些功能的组合将吞吐量提高了三倍。最终结果是市场上最佳的性价比。在多核系统中,可以分配一个或多个处理器来执行SecureXL处理,并在独立核上运行的IPS和防火墙内核实例之间分配非加速数据包。 SecureXL使集成的IPS和防火墙能够调整并在安全性和性能要求之间达到最佳平衡。
那是来自Checkpoint“解决集成IPS的性能障碍”

More explain from //www.cpug.org/forums/miscellaneous/10418-securexl-templates-rulebase.html

人们喜欢对模板感到困惑。因此,我对此进行了解释(顺便说一句,这是吉姆和电话男孩所说的话的长篇):
首先,您必须了解SecureXL是硬件或软件层,可以比防火墙内核更快地转发数据包,这是因为它是网关操作系统(例如perf pack或Nokia IPSO)中经过优化的高效代码,或者是基于网络处理器的硬件卡。
SXL模板通过减少转发初始SYN,SYN-ACK,ACK数据包所需的时间来加速TCP连接的建立。这为您提供了更高的连接建立速率,如果您进行大量的HTTP连接,这非常重要。它可以通过在SecureXL模块中创建一个与规则库中的接受规则匹配的“模板”来实现。
当建立TCP连接时,无需通过“慢速路径”将三种方式的握手数据包发送到防火墙内核。它通过SXL设备以“快速路径”发送,因此您可以快速建立TCP会话并提高连接建立速率。
任何需要防火墙内核(F2F-前向2防火墙)检查三种方式握手的保护(例如安全服务器或syn防御程序)都将禁用模板,因此我们在这里担心syndefender。
一旦完成三种方式的握手,模板就不再对连接的性能产生任何影响。 SXL可加速其余数据包,前提是防火墙内核无需检查它们。有一些智能防御保护,可以有选择地禁用SXL加速。这样的示例是ASCII Only HTTP RESPONSES,它禁用了服务器到TCP连接的客户端(S2C)端的加速。然后,连接的一侧由SXL设备转发,另一侧由防火墙内核转发。看起来很奇怪,但这很正常。
其他保护不太具体,例如TCP序列验证。此保护要求防火墙内核检查每个TCP数据包,因此您对任何TCP连接都没有SecureXL加速(我应该以我为例进行说明,我相信TCP序列验证程序现在也已在Performance Pack中实现。 )。
因此,回到您的问题,支持的功能列表详细列出了与常规SXL加速兼容的功能类型(即在建立连接后转发数据包)。
不支持的功能列表列出了那些将禁用SXL模板的功能。
更改配置以使模板正常工作的唯一原因是因为您需要较高的连接建立速率。

哦,很有趣:
fwaccel版本
FireWall-1版本:NG,具有IPSO 3.8,修补程序833 –内部版本004的应用智能(R55)HFA_08
加速设备:诺基亚IPSO
加速器版本1.0
FireWall-1 API版本:2.12NG(16/10/2003)
加速器API版本:2.12NG(16/10/2003)
fwaccel统计
加速器状态:开
模板:由FireWall-1从规则#855开始禁用
加速器功能:计费,NAT,密码学,路由,
HasClock,模板,VirtualDefrag,GenerateIcmp,
空闲检测,排序,TcpStateDetect,
AutoExpire,DelayedNotif,McastRouting“

通过 网络安全

发表评论