~いま改めて「FortiGateとは何か」を語る~
【第5回】SPU(Security Processing Unit)
SPU(Security Processing Unit)とは
FortiGateのハードウェア技術を語る上で欠かせないのが「SPU」の存在です。SPUは機器に内蔵されているチップの一種で、ネットワークやセキュリティに関する様々な処理をCPUに代わって行う装置です。
これにより、CPUが本来の役割であるシステム運用のための処理にリソースを割けるようになり、全体のパフォーマンスが向上します。
フォーティネット社はSPUを独自開発しています。業界トップレベルの高パフォーマンスを提供するFortiGateの根幹を支えている技術がSPUです。2023年2月6日には最新版SPUの「SP5」が発表されました。
一部SPUを搭載しない(CPU処理のみの)機種も存在します。各機種が搭載しているSPUの種類については機器のデータシートを確認してください。
Fortinetのニュースリリースで「SP5」発表(2023年2月6日)
フォーティネット、ネットワーキングとセキュリティのコンバージェンスをあらゆるネットワークエッジで加速させる最新のASICを発表。
かつてフォーティネット社では、SPUのことを「ASIC(エーシック)」と呼んでいました。ASIC(Application Specific Integrated Circuit)とは、ある特定の機器や用途のために設計・製造される集積回路(IC)のことを指します。ドキュメントによっては現在もASICの名前で記述されている場合がありますが、基本的にSPUのことを指すと考えていただいて結構です。
SPUの種類
FortiGateのSPUには、NP/CP/SPの3種類あります。
| 種類 | 説明 | ||
|---|---|---|---|
| ネットワークプロセッサ(NP) |  |
一般的なネットワーク関連プロセスを高速化します。 | |
| NP7 | NPの最新版です。 | ||
| NP7Lite | SP5に内蔵される制限付きモデルです。 | ||
| NP6 | 1世代前のNPです。 | ||
| NP6XLite | SOC4に内蔵される制限付きモデルです。 | ||
| NP6Lite | SOC3に内蔵される制限付きモデルです。 | ||
| コンテンツプロセッサ(CP) |  |
一般的なセキュリティ関連プロセスを高速化します。 | |
| CP10 | CPの最新版です。 | ||
| CP9 | 1世代前のCPです。 | ||
| CP9XLite | SOC4に内蔵される制限付きモデルです。 | ||
| CP9Lite | SOC3に内蔵される制限付きモデルです。 | ||
| CP8 | 2世代前のCPです。 | ||
| セキュリティプロセシングユニット(SP) |  |
NPとCP、およびCPUを一体化したものです。 | |
| SP5 | NP7LiteとCP10が内蔵されます。 | ||
| SOC4 | NP6XLiteとCP9XLiteが内蔵されます。 | ||
| SOC3 | NP6LiteとCP9Liteが内蔵されます。 | ||
NPやCPは主にミドルレンジ以上で採用され、SPは主にエントリーレベルで採用される傾向があります(一部ミドルレンジでもSPが採用されることがあります)。NPやCPの末尾に「XLite」「Lite」が付いているものは、処理容量やスループット等のパフォーマンスが抑えられた制限付きモデルで、SPの内部に含まれます。
ハードウェアオフロードとnTurbo
FortiGateは内部に搭載されたSPUによってCPUにかかる負荷を軽減し、全体の処理を高速化しています。ネットワークやセキュリティの処理がSPU(NP/CP/SP)に渡ることをFortiGateでは「オフロード(offload)」または「オフローディング(offloading)」と呼びます。かつては「ASIC処理」などとも呼ばれていました。
基本的にセキュリティ(UTM)に関連する処理を必要とするトラフィックはCPへ送られ、必要としないトラフィックはNPへ送られますが、「nTurbo(エヌターボ)」がFortiGateに搭載されている場合、フローベースのUTMセッションに限り、NPにオフロードできます(実際の処理はNPではなくnTurbo側で行われます)。nTurboはフローベースのセキュリテイ検査をオフロードするためのSPUで、NP6またはSOC3以上であれば利用できます。
ハードウェアオフロードがサポートされる機能
ここでは代表的な機能を紹介します。さらに詳細を知りたい場合は、Fortinet Document Libraryで「Hardware Acceleration」を参照してください。
| 機能 | NP7 | NP7Lite (SP5) |
NP6 | NP6XLite (SOC4) |
NP6Lite (SOC3) |
|---|---|---|---|---|---|
| IPv4トラフィック | 〇 | 〇 | 〇 | 〇 | 〇 |
| IPv6トラフィック | 〇 | 〇 | 〇 | 〇 | 〇 |
| IPsec VPN暗号化 | 〇 | 〇 | 〇 | 〇 | 〇 |
| GTPトラフィック | 〇 | 〇 | × | × | × |
| GREトンネルトラフィック | 〇※1 | 〇※1 | × | × | × |
| CAPWAPトラフィック | 〇 | 〇 | 〇 | 〇 | × |
| VXLANトラフィック | 〇 | 〇 | × | × | × |
| マルチキャストトラフィック | 〇 | 〇 | 〇 | 〇 | 〇 |
| NAT(44/66/64/46) | 〇 | 〇 | 〇 | 〇 | 〇 |
| 40Gbpsインターフェース | 〇 | 〇 | × | × | × |
| 100Gbpsインターフェース | 〇 | × | × | × | × |
| DoS防御 | △※2 | △ | × | × | × |
NP6XLite/NP6LiteはNP6よりもスループットが低く抑えられたモデルです。
※1. ループバックインターフェースを介したトラフィックはオフロード対象外です。
※2. ハイパースケールライセンスを適用することで、さらに機能強化されます。
ハイパースケールライセンス適用時
ハイパースケールライセンスは、データセンター等の大規模システム向けのオプションライセンスです。NPの性能を最大限に引き出します。
ハイパースケールライセンスのサポート対象は、NP7搭載モデルの中のさらにハイエンドモデルに限定されています。詳しくはFortinet Document Libraryで「Hyperscale Firewall Release Notes」を参照してください。
| ハードウェア オフロード対応 |
NP7 | NP7Lite (SP5) |
NP6 | NP6XLite (SOC4) |
NP6Lite (SOC3) |
|---|---|---|---|---|---|
| セッション設定 | 〇 | × | × | × | × |
| キャリアグレードNAT(CGN) | 〇 | × | × | × | × |
| ロギング | 〇 | × | × | × | × |
| HAセッション同期 | 〇 | × | × | × | × |
| DoS防御 | 〇 | × | × | × | × |
著者
関連ソリューション
-
GIGAスクール構想対応
ネットワークソリューションFortinet製品を活用したGIGAスクール構想に対応するソリューションをご提供いたします。 -
従業員のテレワークを支援する
大規模リモートアクセスFortinet製品を活用したリモートアクセスに対応するソリューションをご提供いたします。 -
セキュアSD-BranchセキュアSD-BranchはFortiGate、FortiSwitch、FortiAPで構成されるセキュアネットワークソリューションです。 -
OTセキュリティOTセキュリティソリューションを提供します。資産の可視化とセグメンテーションによりサイバー脅威を軽減します。 -
ゼロトラストセキュリティFortinet製品を活用したゼロトラストセキュリティに対応するソリューションをご提供いたします。 -
Threat Feed 配信サービスFortiGateで安全にローカルブレイクアウトを実現する方法をご提供いたします。
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。- Cloud / SaaS
- Network Security
- OT Security