Tweet

ロギングを別のコアに割り当て性能と両立

マルチコアを生かした処理性能を実演、チェック・ポイント

2010/12/16

　チェック・ポイント・ソフトウェア・テクノロジーズは12月10日、東陽テクニカと共同で「チェック・ポイント パフォーマンス・ツアー」を開催した。この中で同社は、「IP Appliance」および「Power-1」の実機を用いたパフォーマンステストを実演し、実環境に導入した際に高いパフォーマンスを引き出すポイントを解説した。

　Power-1はチェック・ポイントが開発し、一方IP Applianceは同社が買収した旧ノキアのセキュリティ・アプライアンス部門が開発してきた企業向けのセキュリティアプライアンスだ。ファイアウォールのほかVPN、不正侵入防御（IPS）といったセキュリティ機能を1つのハードウェアで提供する。

　2010年4月にリリースした最新バージョン「Check Point R71」では、アクセラレーション技術の「SecureXL」を強化してパフォーマンスをさらに向上させたほか、アンチウイルスやURLフィルタリングについても高速に処理できるようにした。また並行して、「CoreXL」技術によるマルチコア対応も推進している。今回のパフォーマンステストではこれらの機能に加え、ハードウェアアクセラレータの「ADP」や、同時接続数を強化する機能拡張「HCCバージョン」を組み合わせた場合の性能を検証した。

　テストに利用した機器は、ハイエンド向けの「IP 2455」および「Power-1 11095」だ。試験は、香港チェック・ポイントのセキュリティ・コンサルタント、ルイス・チャン氏が担当した。

　Power-1 11095のパフォーマンス試験では、同時にHTTPコネクションをどのぐらいまで張ることができるかを検証した。チャン氏によると、それ以前のバージョンではファイアウォールのみでも120万コネクション程度が限界だった。これに対しHCCを搭載すれば、同時にNATやIPSを動作させても同時280万コネクション程度まで対応可能だという。テストではそれを上回る負荷を掛け、メモリ使用率94％で同時接続数が約410万〜420万という状態でもパケットロスが生じない様子を実演した。

　また、コアごとに異なる処理を割り当てることでスループットが向上する点もメリットだという。ファイアウォールをはじめとするセキュリティ処理に2つのコアを、ロギングに別のコアを割り当てることで負荷を分散し、パフォーマンスの低下を抑える仕組みだ。「前の機種ではすべての機能をオンにすると、そうでない場合に比べて20％のパフォーマンスしか出なかった。しかしこの新バージョンでは、どのコアにどのデーモンを割り当てるかを設定でき、IPSやNAT、ログといった機能をオンにしても、低下するパフォーマンスが20％程度にとどまる」（チャン氏）。

　IP 2455の試験では、スループットを検証。特に、ハードウェアアクセラレータのADPカードを装着することで、CPUの使用率を抑えながらパフォーマンスを確保できることを実演した。ADPはまた、遅延を抑える役割も果たす。「20％の負荷を与えたときでも平均レイテンシは0.02ミリ秒程度。4.2Gbps＋4.2Gbpsで95％の負荷を掛けても、レイテンシは0.02ミリ秒のままだ」（チャン氏）。

　チャン氏によると、遅延を抑えるという特徴から「ADPは、音声や動画など、リアルタイム性に優れたアプリケーションに適している」という。一方で、NAT環境のアクセラレーションはサポートしていないため、NAT環境にはHCCによるアクセラレーションが適していると述べた。

　チャン氏はまた、ASICベースのソリューションは設計に制約があり、柔軟性に欠けると指摘。「マルチコアで並列処理を行い、目的別に振り分けることでパフォーマンスを高めていくことができる。新しいセキュリティ技術への対応も用意だ」と説明している。