国立大学法人 筑波大学は、キャンパス情報ネットワークのリプレースの一環として、これまでパフォーマンス確保のため複数機器で負荷分散していたファイアウォールもリプレースし、統合した。
統合によって運用性が向上したほか、機器を刷新したことでより高度なセキュリティの実現も可能になると期待されている。製品を提供したF5ネットワークスジャパンが発表した。
筑波大学では8月にキャンパス情報ネットワークのリプレースを実施しており、その一貫として、学内ネットワークと学外ネットワークの境界に置かれるファイアウォールもリプレースした。
以前のキャンパス情報ネットワークでは、学術情報ネットワーク(SINET)との境界にファイアウォールを2台設置し、その前後に負荷分散装置を置くことで必要な処理能力(4Gbps)を確保していたが、DDoS攻撃を受けた際には負荷分散装置の処理能力を超える負荷がかかることもあり、十分な対策とは言えない状況だったという。
また、これまでの攻撃は、特定の外部IPアドレスから複数の内部IPアドレスへの「1対N」の攻撃や、複数の外部IPアドレスから特定の内部IPアドレスを狙う「N対1」の攻撃だけだったのに対し、今後は複数の外部アドレスから複数の内部アドレスを狙う「N対N」の攻撃も登場すると予測され、その対策も求められていた。
筑波大学では、このような攻撃に対応するため、シンプルな構成で高い処理能力を発揮する境界ファイアウォールに加え、IPアドレスやポート番号に基づくフィルタリングだけではなくアプリケーションレベルでの対策が可能なソリューションを求め、アプリケーションデリバリとセキュリティを提供するF5の統合プラットフォーム「F5 BIG-IP 7200v」を今回新たに導入した。
BIG-IP 7200vは2台が導入されたが、これまでの負荷分散構成でなく2台中1台は単なるバックアップ用で、基本的に外部との境界を通過するパケットは1台のみで処理する。BIG-IP 7200vの最大スループットは40Gbpsあり、この構成で十分な処理能力を確保できるという。
BIG-IP 7200v導入前/導入後のネットワーク構成(SINET5への移行は2016年4月に実施予定) (F5提供)
筑波大学ではBIG-IP 7200vについて、DDoS攻撃への対応をより柔軟に行える点も高く評価している。現在はBIG-IP Advanced Firewall Manager(AFM)の機能を使用し、IPアドレス レベルでの静的な設定で対応しているが、今後は、BIG-IP Application Security Manager(ASM)によって、アプリケーションレベルでのDDoS検知や防御を実現していくことを検討しているとのこと。
そのほか、BIG-IPが装備するDNSプロキシ機能の活用も検討している。筑波大学の学内ネットワークは複数のドメインに分かれており、DNSサーバも複数設置しているが、最近ではDNSを狙った攻撃も増えており、適切な更新が行われていないDNSサーバが存在すれば、攻撃のターゲットになる危険性が高まる。
DNSプロキシ機能を活用すればリゾルバを学内用と学外用に分けることができ、DNSに対する攻撃も防御しやすくなると期待される。