SSL-VPN装置を開発する米Aventailは今後1週間以内に、SSL-VPN装置のファームウェアの新版「ASAP V8.5」を出荷する。SSLによるIPSecの置き換えが狙い。今後出荷するSSL-VPN装置のE-1500とE-750につき、新ファームウェアを組み込むほか、既存ユーザーは無償でアップグレードできる。
- 写真左は、米Aventail 日本セールスディレクターの田中一成氏、写真中央は、米Aventail 製品管理・マーケティング副社長のサラ・ダニエル氏、写真右は、米Aventail アジア太平洋運営ディレクターのリチャード・チン氏
ファームウェア新版のASAP V8.5では新たに、スマートトンネリングと呼ぶ機能と、適応型アクセスと呼ぶ機能を追加した。米Aventailの製品管理・マーケティング副社長のサラ・ダニエル氏は、上記の追加機能によって、SSL-VPN装置でありながら「IPSec-VPN装置を置き換えることができる」と語る。
スマートトンネリングは、アプリケーション・プロトコルをHTTPSでカプセル化するもの。クライアントPCとSSL-VPNの間の通信にHTTPS(SSL化したHTTP、ポート番号は標準で443)を使いつつ、クライアントPCとサーバとの間で任意のクライアント/サーバ型アプリケーションを使えるようにする。
なお、同社のSSL-VPN装置はスマートトンネリングとは別にSOCKSサーバ機能も備えており、SOCKSクライアントとの間で同様の処理を実行できる。SOCKSとHTTPSの両者でカプセル化が可能である。
適応型アクセスは、NAT(アドレス変換)機能である。あらかじめプールしておいたIPアドレス群をクライアントPCごとに割り当てる。クライアントPCからサーバへアクセスする際と、反対にサーバからクライアントPCへアクセスする際に、SSL-VPN装置がNAT変換する。変換用のIPアドレスはクライアントごとに1対1で予約しておく必要はなく、プールしておいた複数のIPアドレスのうちの1個をその都度割り当てる。
適応型アクセスにより、サーバからクライアントPCへ発信するパケットを正しくクライアントPCへ届けられるようになる。IPアドレスやSYN/ACKフラグなどパケットに含まれるヘッダ情報からでは分からないクライアントとサーバの関係をテーブル化して管理するからだ。パケットのデータ部分にIPアドレスを埋め込むタイプのアプリケーションを利用できるようになる。
