목차/03. SecureXL — 개념과 동작

03SecureXL — 개념과 동작SecureXL — 개념과 동작

SecureXL게이트웨이를 지나는 트래픽을 가속해 처리량(throughput)과 연결 처리 속도를 끌어올리는 Check Point의 성능 가속 기술입니다. 방화벽이 패킷 하나하나에 대해 처음부터 끝까지 전체 보안 검사를 반복하면 CPU가 금세 한계에 부딪히는데, SecureXL은 이미 한 번 검사해서 통과시킨 연결과 같은 부류의 트래픽을 "빠른 경로(fast path)"로 흘려보내 이 부담을 크게 덜어 줍니다. 이 장에서는 SecureXL이 어떤 기능을 가속하는지, Connection Template이라는 가속의 핵심 장치가 무엇인지, R82에서 패킷이 커널 모드(KPPAK)로 어떻게 흐르는지, 그리고 정책 설치 중에도 가속이 유지되고 세션률이 높아져도 확장되는 원리를 차례로 풀어 둡니다. 실제로 켜고 끄고 분석하는 방법은 SecureXL 구성에서 이어집니다.

SecureXL이 가속하는 기능들

SecureXL은 특정 기능 하나만 빠르게 하는 것이 아니라, 게이트웨이가 하는 폭넓은 종류의 작업을 두루 가속 합니다. 원문이 나열한 가속 대상을 항목별로 풀어 보면 다음과 같습니다.

  • Access Control — 규칙 기반의 접근 제어 처리.
  • Encryption(암호화) — 트래픽 암·복호화 처리.
  • NAT — 주소 변환 처리.
  • Software Blades — 아래의 여러 Software Blade 트래픽이 가속됩니다.
  • Policy installation(정책 설치) — 정책을 게이트웨이에 내리는 과정.
  • Accounting and logging(어카운팅·로깅) — 트래픽 집계와 로그 기록.
  • Connection/session rate(연결/세션률) — 초당 새로 맺어지는 연결·세션의 처리량.
  • General security checks(일반 보안 검사) — 공통적으로 수행되는 보안 점검.
  • ClusterXL High Availability and Load Sharing — ClusterXL의 고가용성과 부하 분산.
  • TCP Sequence Verification(TCP 시퀀스 검증) — TCP 순서 번호 검증.
  • Dynamic VPN(동적 VPN) — 동적으로 구성되는 VPN 트래픽.
  • Passive streaming(패시브 스트리밍) — 트래픽을 수동적으로 들여다보는 스트리밍.
  • Active streaming(액티브 스트리밍) — 트래픽에 능동적으로 개입하는 스트리밍.

가속되는 Software Blades

위에서 "Software Blades"로 묶은 항목을 펼치면, 다음 Blade들의 트래픽이 SecureXL로 가속됩니다.

Software Blade비고
Firewall기본 방화벽 처리.
IPS features침입 방지 기능.
Application Control애플리케이션 제어.
URL FilteringURL 필터링.
Anti-Virus안티바이러스.
Anti-Bot안티봇.
Identity Awareness신원 인식. 단, SecureXL은 Identity Agent에서 오는 트래픽에 대해서는 Connection Template을 만들지 않 습니다.
VPN Site-to-Site사이트 간 VPN.
HTTPS InspectionHTTPS 검사.
QoS서비스 품질 제어.

Connection Templates — 가속의 핵심

SecureXL이 빨라지는 비결의 중심에 Connection Templates(연결 템플릿) 기능이 있습니다. 이 기능은 같은 출발지 IP 주소에서, 같은 목적지 IP 주소의, 같은 목적지 포트로 향하는 새 연결이 수립되는 속도를 가속 합니다.

동작 방식은 이렇습니다. 가속 효과를 최대로 끌어내기 위해, Security Appliance의 Firewall만이 활성 연결(active connections)로부터 Rule Base(규칙 기반)에 따라 이 Connection Template을 생성 합니다. 한 번 템플릿이 만들어지면, 그와 같은 부류(같은 출발지 IP·목적지 IP·목적지 포트)에 속하는 다음 연결들은 전체 검사를 처음부터 다시 거치지 않고 템플릿을 통해 곧장 빠르게 수립됩니다. 그래서 초당 맺어지는 새 연결이 많은 환경일수록 효과가 큽니다.

SecureXL Packet Flow in Kernel Mode (KPPAK)

R82의 SecureXL은 커널 모드(KPPAK, Kernel Mode SecureXL Packet flow) 로 동작합니다. SecureXL의 동작 모드에 대한 자세한 내용은 SecureXL 구성을 참고하세요.

아래 그림은 NVIDIA ConnectX 100G 카드가 없는 Security Appliance 에서 SecureXL이 커널 모드(KPPAK)로 동작할 때, 패킷이 일반적으로 흐르는 경로를 보여 줍니다.

SecureXL 커널 모드(KPPAK) 패킷 흐름
SecureXL 커널 모드(KPPAK) 패킷 흐름

NVIDIA ConnectX 100G 카드가 없는 Security Appliance에서 SecureXL이 커널 모드로 동작할 때의 일반적 패킷 흐름

Policy Installation Acceleration — 정책 설치 중 가속 유지

정책을 게이트웨이에 새로 내리는 과정에서도 가속은 계속 켜진 채로 유지 됩니다. 즉 정책 설치(policy installation) 중에 SecureXL이 멈추지 않고 계속 실행되며 활성화 상태를 유지 합니다.

이렇게 정책 설치 동안에도 가속이 끊기지 않기 때문에, Security Gateway의 CPU에 걸리는 부하가 줄어 듭니다. 정책을 자주 설치하는 환경에서 설치 시점마다 성능이 출렁이는 일을 막아 주는 셈입니다.

Scalable Performance — 높은 세션률에서의 확장성

마지막으로 확장성 측면입니다. R80.20 이상 버전 에는 높은 세션률(high session rate) 상황에서의 SecureXL 확장성이 개선 되어 있습니다.

그 결과, CoreXL SND 코어 수에 대한 제한이 더 이상 존재하지 않 게 되었습니다. 예전에는 세션률이 높을 때 SND(Secure Network Distributor) 코어 수에 제약이 따랐지만, 이제는 그 한계가 사라져 더 많은 코어로 자유롭게 확장할 수 있습니다. CoreXL과 SND 코어에 대한 자세한 내용은 CoreXL 개념을 참고하세요.

정리하면, SecureXL은 Connection Template으로 같은 부류의 연결을 빠른 경로로 처리하고, 커널 모드(KPPAK)로 동작 하며, 정책 설치 중에도 가속을 유지하고 높은 세션률에서도 확장됩니다. 이렇게 CoreXL과 함께 게이트웨이 성능을 끌어올립니다. 실제로 켜고 분석하는 방법은 SecureXL 구성에서 이어집니다.