목차/05. 성능·가속·가상화 기능

05성능·가속·가상화 기능성능·가속·가상화 기능

방화벽이 얼마나 빠르게, 얼마나 크게 확장되는지 를 좌우하는 기술들과, 한 장비를 여러 방화벽으로 쪼개는 가상화를 한데 모은 장입니다. 대부분 자세한 튜닝은 R82 Performance Tuning 관리자 가이드나 전용 가이드로 넘기고, 여기서는 각 기능이 무엇을 하는지 를 잡습니다.

이중화와 부하 분산 — ClusterXL

ClusterXL 은 동일한 게이트웨이 여러 대를 묶는 소프트웨어 클러스터 솔루션입니다. High Availability 클러스터는 장애 시 백업 게이트웨이로 투명하게 페일오버 해 연결·VPN을 지키고, Load Sharing 클러스터는 모든 멤버가 활성화되어 신뢰성과 성능을 함께 높입니다.

!ClusterXL 구성 *① 내부 네트워크 ② 내부망 스위치 ③ ClusterXL을 켠 Security Gateway들 ④ 외부망 스위치 ⑤ 인터넷*

대역폭 관리 — QoS

QoS 는 정책 기반 대역폭 관리 솔루션입니다. ERP·DB·웹 같은 업무 트래픽을 우선시하고, VoIP·화상회의에 대역폭을 보장하며 지연을 통제합니다. 계층적 WFQ(Weighted Fair Queuing) 알고리즘 으로 대역폭을 정밀 배분하며, 암호화·비암호화 트래픽 모두에 동작합니다.

!QoS 구성 *① SmartConsole ② Security Management Server ③ QoS 정책 ④ QoS 블레이드를 켠 Security Gateway ⑤ 인터넷 ⑥ 내부 네트워크*

QoS는 워낙 내용이 많아 별도의 Check Point R82 QoS 관리자 가이드 로 자세히 다룹니다.

가속 — SecureXL·CoreXL·Multi-Queue·HyperFlow

SecureXL 은 게이트웨이를 지나는 트래픽을 가속 하는 가장 기본적인 가속 기술입니다. CoreXL 은 멀티코어 성능을 끌어내는 기술 로, 방화벽 커널을 여러 벌 복제해 각 CPU 코어에서 하나씩 돌립 니다. 복제된 인스턴스(CoreXL Firewall Instance)는 각각 완전하고 독립된 검사 커널 로 같은 인터페이스·같은 정책으로 동시에 트래픽을 처리하며, 코어 수에 거의 선형으로 성능이 확장 됩니다(관리·토폴로지 변경 불필요). CoreXL 인스턴스는 SecureXL 인스턴스와 함께 동작합니다.

Multi-Queue 는 한 걸음 더 나갑니다. 기본적으로 네트워크 인터페이스 하나는 큐 하나를 한 CPU가 처리 하므로, 가속에 쓸 수 있는 코어 수가 트래픽 처리 인터페이스 수를 넘을 수 없 습니다. Multi-Queue는 한 인터페이스에 여러 큐를 둬 여러 코어를 가속에 동원 합니다(SecureXL이 켜져 있어야 작동 — 기본값).

HyperFlow(R81.20+)는 elephant flow(대용량 연속 연결, 예: 큰 ISO 다운로드) 를 다룹니다. HyperFlow가 없으면 게이트웨이는 한 elephant 연결을 CPU 코어 하나로만 검사 해, CPU 사용률이 오르면 처리량이 떨어집니다. HyperFlow는 검사 작업을 잘게 쪼개 여러 코어에 분산 해, Threat Prevention 블레이드가 켜진 상태에서도 대용량 연결의 처리량을 높이고 응답 시간을 개선합니다. User Space Firewall(USFW)에서만, 필요할 때만(CPU 여유가 있을 때만) 자동으로 작동 하며, 전체 처리량이 elephant 연결보다 우선합니다(수동 코어 할당은 불가, 임계값으로 활성/비활성만 제어). 기본은 대기(standby) 모드로, 무거운 연결이 감지되면 활성화됩니다.

콘텐츠 적응·프록시 — ICAP·HTTP(S) Proxy

ICAP(Internet Content Adaptation Protocol) 는 투명 프록시를 확장하는 가벼운 HTTP 유사 프로토콜 로, 보통 바이러스 검사·콘텐츠 필터에 쓰입니다. 게이트웨이는 ICAP Client(메시지를 ICAP 서버로 보내 콘텐츠 적응 요청)·ICAP Server(받은 메시지를 적응 처리)·또는 둘 다 로 설정할 수 있어, 토폴로지 변경 없이 서드파티 ICAP 장비와도 연동됩니다(단, Scalable Platforms는 ICAP Server 미지원).

HTTP/HTTPS Proxy 는 게이트웨이를 호스트 사이의 중개자로 만듭니다. 직접 연결을 막고 클라이언트↔프록시, 프록시↔목적지 두 연결로 분리 합니다. Transparent 모드는 클라이언트 설정 없이 지정 포트·인터페이스의 트래픽을 가로채 고, Non Transparent 모드는 클라이언트에 프록시 서버·포트를 설정 해야 합니다.

가상화 — VSX

VSX(Virtual System eXtension) 는 한 하드웨어에서 여러 가상 방화벽을 돌리는 제품입니다. 각 Virtual System은 자기 네트워크를 보호하는 게이트웨이로 동작하고, VSX Gateway는 목적지 네트워크를 보호하는 Virtual System으로 트래픽을 보냅니다.

!물리 네트워크 vs VSX 가상 네트워크 *① 인터넷 ② 라우터 ③ VSX Gateway(각 Virtual System이 물리 게이트웨이와 같은 보안·네트워킹 기능을 수행) ④ Warp Link(Virtual System과 Virtual Switch를 잇는 가상 인터페이스) ⑤ Virtual Switch(모든 Virtual System을 인터넷 라우터에 연결) ⑥ 네트워크들*

물리 환경에서는 네트워크마다 물리 게이트웨이를 따로 두지만, VSX는 하나의 VSX Gateway·클러스터가 여러 독립 네트워크를 가상으로 정의·보호 합니다. VSX 역시 별도의 Check Point R82 VSX 관리자 가이드 로 자세히 다룹니다.