Stellen Sie sich Ihr Computernetzwerk wie ein Haus mit vielen Zimmern vor. Ihr Netzwerk hat Türen und Fenster (genannt Ports), die den Verkehr passieren lassen. Ein Teil dieses Verkehrs ist gut (wie E-Mails und Webseiten), während ein anderer Teil schlecht ist (wie Viren und Hacker-Angriffe). Unser Offloader hilft dabei, den schlechten Verkehr draußen zu halten und den guten Verkehr schnell hereinzulassen. Der Offloader arbeitet, indem er jedes Paket untersucht, das in Ihr Netzwerk gelangt. Er prüft, ob der Verkehr aufgrund etablierter Verbindungen ins Netzwerk gelangen darf. Wenn der Verkehr erlaubt ist, wird er an den entsprechenden Raum (genannt Server) weitergeleitet.

Der VT AIR XDP/eBPF Offloader unterscheidet sich von anderen Firewalls, da er sehr schnell und effizient ist. Er kann Verkehr extrem zügig verarbeiten. Das bedeutet, dass Ihr Netzwerk selbst bei hohem Verkehrsaufkommen schneller und reibungsloser läuft. Darüber hinaus kann der VT AIR XDP Offloader viele verschiedene Arten von Verkehr verarbeiten, einschließlich Webseiten, E-Mails, Videos und mehr. Dies macht ihn zu einer vielseitigen Lösung zum Schutz Ihres Netzwerks vor allen Arten von Bedrohungen. Insgesamt ist der VT AIR XDP Offloader ein leistungsstarkes Werkzeug, das dazu beiträgt, Ihr Netzwerk sicher und reibungslos am Laufen zu halten, während es auch schnelle und effiziente Paketverarbeitungsfähigkeiten bietet.

Durch die Verwendung von XDP und eBPF können Sie signifikante Leistungsverbesserungen gegenüber iptables/nftables erzielen. Der VT AIR XDP Offloader bietet einen 5-mal schnelleren Throughput als iptables/nftables, was ihn zu einem überzeugenden Zusatz für Netzwerkumgebung mit hohen Geschwindigkeiten macht.

Darüber hinaus kann der VT AIR XDP Offloader SNAT (Source Network Address Translation), DNAT (Destination Network Address Translation) und Routing händeln. SNAT und DNAT sind Techniken, um die Quell- bzw. Zieladressen von Netzwerkpaketen zu modifizieren, während Routing die Funktion ist, die die Pakete zwischen verschiedenen Netzwerken lenkt. Durch Unterstützung dieser Funktionen bietet unser Offloader flexible und leistungsstarke Netzwerk-Filterfunktionen.

Erläuterung:

1. iptables ist ein häufig verwendetes Firewall-Programm in Linux, das eine Reihe von Regeln verwendet, um den Datenverkehr basierend auf Kriterien wie Quell- und Ziel-IP-Adressen, Ports und Protokollen zu filtern. Obwohl iptables eine ausgereifte und zuverlässige Technologie ist, kann es aufgrund des Overheads bei der Verarbeitung von Regeln in der Software für Hochgeschwindigkeitsnetzwerke zum Flaschenhals werden.
2. nftables ist ein Netzwerkpaketfilter-Framework (Firewall) in Linux, wekches das alte iptables-System ersetzt. Es wurde entwickelt, um eine flexiblere und effizientere Methode zum Filtern und Verarbeiten von Netzwerkverkehr bereitzustellen.

XDP (eXpress Data Path) wurde so entwickelt, dass es sehr effizient und ohne unnötige Zusatzbelastung arbeitet. Dadurch eignet sich XDP besonders für Anwendungen, bei denen es auf eine schnelle Verarbeitung von Netzwerkdaten ankommt, wie zum Beispiel Netzwerkfilterung und Firewalling. Mit anderen Worten, XDP ist eine Technologie, die es ermöglicht, Netzwerkdaten auf eine effiziente und performante Weise zu verarbeiten, um die Sicherheit und Leistung von Netzwerken zu verbessern. Im Vergleich zum Kernel bietet XDP zusätzlich die Möglichkeit, auf Netzwerkdaten auf einer sehr niedrigen Ebene, direkt in dem Netzwerktreiber, zuzugreifen und sie zu bearbeiten, was eine noch schnellere Verarbeitung und eine höhere Flexibilität bei der Netzwerkdatenverarbeitung ermöglicht.

Durch die Kombination von XDP (eXpress Data Path) und eBPF (extended Berkeley Packet Filter) kann ein Programm geschrieben werden, das die Filterung von Netzwerkverkehr an den NIC-Treiber (Network Interface Card) auslagert, um eine schnellere Verarbeitung und bessere Leistung zu ermöglichen. Hierbei wird das eBPF-Programm direkt an den NIC-Treiber angehängt, um Netzwerkdaten auf einer sehr niedrigen Ebene zu verarbeiten. eBPF wird verwendet, um die Logik für den Netzwerkverkehr zu implementieren. Auf diese Weise kann die Verarbeitung von Netzwerkdaten direkt in dem NIC-Treiber durchgeführt werden, ohne dass die Daten den gesamten Linux Kernel durchlaufen müssen, was zu einer schnelleren Verarbeitung und einer besseren Leistung führt. Vorteil: Durch die Kombination von XDP und eBPF können somit flexible und leistungsstarke Netzwerkprogramme erstellt werden.

Zusammenfassend ist der VT AIR XDP Offloader eine smarte Technologie, die bedeutende Vorteile gegenüber traditionellen Firewall-Lösungen bietet. Durch Auslagerung von Netzwerkverarbeitung auf den NIC Treiber mithilfe von XDP und eBPF kann unser Offloader eine Vielzahl von Netzwerkverkehrsszenarien bewältigen und dabei eine hohe Leistung und geringen Overhead aufrechterhalten. Der VT AIR XDP Offloader unterstützt sowohl TCP- als auch UDP-Verkehr, SNAT, DNAT und Routing sowie VLAN-, QinQ- und PPPoE-Verbindungen. Dies macht es zu einer vielseitigen Lösung für verschiedene Netzwerkumgebungen. Darüber hinaus ist der VT AIR XDP Offloader fünfmal schneller als iptables/nftables, was eine signifikante Steigerung der Netzwerkleistung und des Durchsatzes ermöglicht.

VT AIR verwendet nftables als Firewall-Backend. nftables ist ein Netzwerkpaketfilter-Framework (Firewall) in Linux, das das alte iptables-System ersetzt. Es wurde entwickelt, um eine flexiblere und effizientere Methode zum Filtern und Verarbeiten von Netzwerkverkehr bereitzustellen.

Nachdem ein Flow (conntrack state) in nftables erstellt wurde, springt unser VT AIR XDP Offloader ein. Dieser erhält die notwendigen Daten eines Pakets, indem es seine Flow Daten aus dem Kernel holt. Es kann diese dann verarbeiten, indem es die Quell-IP (SNAT), die Ziel-IP (DNAT) ändert und auch das Routing-Ziel bestimmt und das Paket an die korrekte Netzwerkschnittstelle versendet. Alle diese Schritte werden sehr effizient ausgeführt, unmittelbar nachdem das Netzwerkpaket den Netzwerktreiber erreicht hat, und ermöglichen daher eine sehr schnelle Paket Weiterleitung mit Firewall-Schutz.

Der VT AIR XDP Offloader ist ein fester Bestandteil der VT AIR Firewall Lösung.  VT AIR ist die leistungsstarke Next Generation Firewall für das Business. Die smarte Technologie aus Deutschland verbindet perfekt die Vorzüge aus der bewährten Enterprise-Welt mit den unbestrittenen Vorteilen aus der Linux-Welt. 

RSS oder empfängerseitige Skalierung ist eine Technik, die bei der Netzwerkverarbeitung verwendet wird, um eingehenden Netzwerkverkehr auf mehrere CPUs in einem System zu verteilen. Durch die Verteilung der Arbeit zur Verarbeitung von Netzwerkpaketen auf mehrere CPU-Kerne ermöglicht RSS eine deutliche Steigerung des Netzwerkdurchsatzes und reduziert das Risiko von Netzwerkengpässen. Dies liegt daran, dass RSS eine viel größere Anzahl von Paketen verarbeiten kann, als eine einzelne CPU , was zu einer linearen Geschwindigkeitssteigerung führt, wenn die Anzahl der CPUs zunimmt.

Darüber hinaus reduziert RSS die Belastung eines einzelnen CPUs und vermeidet eine Überlastung, die zu Paketverlusten und Netzwerkverlangsamungen führen kann. Insgesamt ist RSS ein wichtiges Werkzeug für Hochgeschwindigkeitsnetzwerke, das eine effiziente und effektive Verteilung des Netzwerkverkehrs auf mehrere CPUs ermöglicht, was zu einer schnelleren und zuverlässigeren Netzwerkleistung führt. Ohne RSS könnten wir Netzwerkpakete nur auf einem einzigen CPU verarbeiten.

VT AIR verlässt sich stark auf die Fähigkeit der Netzwerkkarte, den eingehenden Netzwerkverkehr auf alle verfügbaren CPUs in der Hardware zu verteilen, bevor er den Netzwerktreiber trifft. Dadurch kann unser XDP-Programm auf allen verfügbaren CPUs parallel laufen, um die gesamte Rechenleistung des Geräts voll auszunutzen und die beste Paketverarbeitungsgeschwindigkeit zu erhalten.

Firewalling ist ein kritischer Aspekt der Netzwerksicherheit, und die Wirksamkeit einer Firewall hängt weitgehend von ihren Paketverarbeitungsfähigkeiten ab. Die Rate, mit der er Firewall Pakete verarbeiten kann, wird normalerweise in Paketen pro Sekunde (pps) gemessen, und diese Metrik wird häufig als Indikator für die Leistung einer Firewall verwendet. Wenn es um Netzwerkgeschwindigkeiten geht, müssen mehrere wichtige Faktoren berücksichtigt werden, darunter die maximale und minimale Paketgröße und die IMIX-Paketgröße (Internet Mix).

Die maximale Paketgröße bezieht sich auf das größte Paket, das über das Netzwerk übertragen werden kann, während die minimale Paketgröße das kleinste Paket ist, das übertragen werden kann. Die IMIX-Paketgröße hingegen ist ein gewichteter Durchschnitt der Paketgrößen basierend auf realem Netzwerkverkehr. Die maximalen und minimalen Paketgrößen können sich erheblich auf die Netzwerkgeschwindigkeit auswirken, da größere Pakete mehr Daten pro Zeiteinheit übertragen können, aber auch länger für die Verarbeitung benötigen. Andererseits können kleinere Pakete schneller verarbeitet werden, können aber möglicherweise nicht so viele Daten pro Zeiteinheit übertragen.

Die IMIX-Paketgröße wird normalerweise verwendet, um eine genauere Darstellung des realen Netzwerkverkehrs bereitzustellen, wodurch sichergestellt werden kann, dass eine Firewall in der Lage ist, eine Vielzahl von Netzwerkverkehrsszenarien zu bewältigen.Insgesamt ist es wichtig, die maximalen, minimalen und IMIX-Paketgrößen zu kennen, um Netzwerkgeschwindigkeiten genau zu messen und die Leistungsfähigkeit einer Firewall zu bestimmen.

Wir haben unseren VT AIR XDP Offloader gegenüber einer normalen nftables Firewall getestet. Für den Test haben wir drei verschiedene Geräte auf drei verschiedenen Architekturen verwendet.

Gleichzeitig war, die zum Erreichen dieser Geschwindigkeiten verwendete CPU–Leistung, weitaus geringer:

Der VT AIR XDP Offloader kann nicht nur den Netzwerkverkehr beschleunigen, sondern auch DDoS-Angriffe mit sehr hoher Effizienz blockieren. Er ist zudem in der Lage, DDoS-Verkehr mit sehr hohen Raten zu blockieren. Dies ist eine wichtige Fähigkeit für Netzwerke, die einem hohen Risiko von DDoS-Angriffen ausgesetzt sind, wie z. B. solche, die kritische Infrastrukturen, beliebte Websites oder andere hochwertige Ziele hosten. Durch die Verwendung unseres Offloaders zur Blockierung von DDoS-Angriffen können Netzwerkbetreiber dazu beitragen, ihre Netzwerke reibungslos zu betreiben und teure Ausfallzeiten zu vermeiden.

XDP ist bei Firewalls wichtig, da es eine Hochleistungsdatenpfad-Technologie ist, die den Netzwerkverkehr direkt im Netzwerktreiber verarbeitet. Dies führt zu einer erheblichen Reduzierung der Latenzzeit und erhöht die Durchsatzrate.

Genau das war unser Ziel, als wir die Entwicklung des VT AIR XDP Offloader gestartet haben. Wir wollten eine schnellere und effizientere Verarbeitung des Netzwerksverkehrs ermöglichen und gleichzeitig die Sicherheit des Netzwerks untermauern. In Zeiten von zunehmender Cyber-Kriminalität ist Sicherheit das zentrale Element. Die VT AIR XDP-Netzwerkbeschleunigung ermöglicht der Firewall einen fünfmal höheren ­Datendurchsatz bei gleichzeitigem hohem Schutz. Wir folgen damit konsequent unserer Mission: we protect your company value!