SP3アーキテクチャ

パロアルトネットワークスの次世代ファイアウォールは高いスループットと少ない遅延によるネットワークセキュリティを実現する独創的なシングルパスパラレルプロセッシング(SP3)アーキテクチャをベースに前例の無い技術と機能を実装しています。
パロアルトネットワークスは現在のセキュリティインフラストラクチャに存在する性能の問題をSP3アーキテクチャと2つの主なコンポーネントによって解決しています。

• シングルパスソフトウェア
• パラレルプロセッシングハードウェア

結果として現在の高性能ネットワークが必要とする高いスループットとトランザクション処理、ネットワークセキュリティの最高のコンビネーションの製品が実現できました。

シングルパスソフトウェア

パロアルトネットワークスのシングルパスソフトウェアは次世代ファイアウォールの重要な2つの機能を実現するためにデザインされています。まず最初の機能として、シングルパスソフトウェアは、処理を1パケット毎に実行することです。パケットが処理される毎に、ポリシーの検索、アプリケーションの識別と復号、全ての脅威パターンとコンテンツパターンに対するシグネチャーマッチングが一回だけ実行されます。この方法により複数の機能を一台で実行する際のオーバーヘッドを大幅に削減できます。2番目の機能としてシングルパスソフトウェアにおけるコンテンツスキャンニングはストリームベースであり、脅威を検知するために独自のシグネチャーマッチングエンジンを使用していることです。複数回のスキャンニングが必要なマッチングエンジンとシグネチャーのセットを分けて使う方法やスキャンの前にファイルのダウンロードが必要なファイルプロキシを使う方法に比べ、次世代ファイアウォールで使用されているシングルパスソフトウェアはコンテンツのスキャンを1回だけ行うことによって遅延を回避することが出来るのです。
このシングルパスによるトラフィック処理によって、全てのセキュリティ処理を実行しながら、高いスループットと少ない遅延を実現できます。同時にエンタープライズネットワークセキュリティとして単一でシンプルかつ操作が容易な管理機能を提供します。

パラレルプロセッシングハードウェア

パロアルトネットワークスのSP3アーキテクチャの重要なコンポーネントはハードウェアです。パロアルトネットワークスの次世代ファイアウォールはパラレルプロセッシングハードウェアを使うことでシングルパスソフトウェアを高速に実行出来るのです。まず、データとコントロールプレーンを分離して設計が行われました。これによりひとつの処理が他に影響を与えないようになります。例えば、管理者がCPUに高い負荷がかかるレポートを生成する場合においても、通過するパケットの処理を妨げないような処理が、データとコントロールプレーンを分離することによって可能になります。
次にパラレルプロセッシングハードウェアにおいて重要な要素は、ハードウェアが様々な機能を実行する分離可能で特殊なプロセッシンググループによって調和されていることです。

• ネットワーキング：ルーティング、フローの検出、状態の検出、NATなどの処理はネットワークに特化したハードウェアが担当
• User-ID, App-IDとポリシーは全てマルチコアで実装され暗号復号、非圧縮に特化したセキュリティエンジンが担当
• Content-IDによるコンテンツ分析はこれに特化した専用のスキャンニングエンジンが担当
• コントロールプレーンでは、HDDとメモリを持った専用の管理処理用プロセッサがコンフィグの管理とロギングやレポーティングを、上記のデータプレーンの専用プロセッサに干渉することなく実行

シングルパスソフトウェアとパラレルプロセッシングハードウェアのコンビネーションによる完全に独創的なネットワークセキュリティは、パロアルトネットワークスの次世代ファイアウォールによって実装され、エンタープライズネットワークにおいて可視化と制御を高いレベルで実行することが可能になりました。