負荷分散や分散型サービス妨害(DDoS)攻撃対策などのアプライアンスを手がけるA10ネットワークスは12月7日、インターネット接続のセキュリティを高める用途に着目して機能をパッケージングしたアプライアンスの新製品「Thunder CFW(Convergent Firewall)」を発表した。
ウェブプロキシやDDoS攻撃対策といった既存の機能を組み合わせたほか、これまで同社が提供していなかったファイアウォール機能を新規に追加した。2016年第1四半期に出荷する。価格は未定。
A10ネットワークス ビジネス開発本部 マーケティング部長兼エバンジェリスト 高木真吾氏
「今までにない組み合わせでセキュリティ機能をパッケージ化した」。A10ネットワークスでマーケティング部長兼エバンジェリストを務める高木真吾氏は、Thunder CFWの立ち位置をこう説明する。ユーザーがセキュリティに求める要求を反映したという。
企業向けには、ウェブアクセス時の負荷をオフロードするなど既存の統合脅威管理(UTM)機器を補完する。通信事業者向けには、ファイアウォール機能とNAT機能とDDoS攻撃対策機能を1Uの小型筐体でまとめて提供する。
同社はこれまで、負荷分散の「Thunder ADC」、IPv4とIPv6を変換するNATの「Thunder CGN」、DDoS攻撃対策の「Thunder TPS」、という3種類のアプライアンスを提供してきた(図1)。今回のThunder CFWは、これらに次ぐ第4のアプライアンスとなり、セキュリティに特化させたものだ。Thunder ADCとThunder CGNが備える全機能とThunder TPSの一部の機能を組み合わせ、これに新機能のファイアウォール機能を追加している。
図1:A10が提供する製品
Thunder CFWが提供するセキュリティ機能は、大きく4つの用途で利用できる(図2)。社内から安全にインターネットにウェブアクセスするためのセキュアウェブゲートウェイの使い方、インターネットと社内ネットワークの境界に設置するエッジファイアウォールの使い方、データセンター内でサーバ群の手前などに設置するファイアウォールとしての使い方、データセンター間を安全に接続するIPsec VPNルータの使い方だ。
図2:Thunder CFWのセキュリティ機能
ファイアウォールを新規開発、既存のウェブプロキシなどと組み合わせ
新たに追加したファイアウォール機能は具体的には、ホスト間に論理的なセッションが存在するかどうかをアプリケーション層を含めた多階層で判別して外部からのSYNパケットを内部に通すステートフルインスペクション機能、ウェブアクセスのHTTPだけでなく、ほかのプロトコルも含めたアプリケーションゲートウェイ(プロキシ)機能を提供する。
ファイアウォール機能以外では、これまで提供してきた装置と共通。例えば、セキュリティ機能を備えたウェブアクセス用のウェブプロキシとして利用できる。URLのフィルタリング機能、SSLコネクションを仲介してSSL通信の内容を検閲する機能なども提供する。これ以外に、IPv4/IPv6変換機能やDDoS攻撃対策機能を備える。
Thunder CFWのハードウェアは、Thunder ADCなど既存製品と同様、高さ1Uのラックマウント型。最大の特徴は性能の高さで、1台で150Gbpsのスループット性能をうたう。レイヤ4以下のスイッチ処理を専用の特定用途向けIC(ASIC)で実行し、それより上位の機能を汎用CPUの対称型マルチプロセッシング(SMP)構成で高速に実行する仕組み。
Thunder CFWは、当初はハードウェアアプライアンスとして展開し、2016年内には仮想アプライアンスの提供も予定する。新しいセキュリティ機能も追加していくという。
