Interview:「NG」でアーキテクチャを一新するチェック・ポイント
| 【国内記事】 | 2001.08.08 |
先週リリースされたチェック・ポイント・ソフトウェア・テクノロジーズ(チェック・ポイント)の新たなフラグシップ製品,「Next Generation」(NG)は,管理のしやすさや,これまでの3倍から10倍というパフォーマンスの高さが特徴となっている。
だが,そうそう簡単にパフォーマンスの向上が実現されるはずはない,というのが素朴な疑問だ。そこでNGにはどういった変更が加えられているのか,先ごろセミナーのために来日したチェック・ポイントの上級副社長,マリウス・ナハト氏に聞いた。
eWEEK 今回はアーキテクチャが一新されたということですが,具体的には何がどのように変わっているのでしょう?
ナハト おっしゃるとおり,NGでは従来のFirewall-1/VPN-1とは全く異なるカーネルアーキテクチャを採用しました。
これまでは,Firewall-1/VPN-1や(帯域制御製品の)FloodGate-1が,それぞれ別々のモジュールとして提供されてきました。したがってパケットの分類・分析は,モジュールごとに2度行われるようになっており,あまり効果的ではありませんでした。これはまた,システムの安定性にも影響をもたらしており,クラッシュしやすいという問題がありました。
これに対してNGではアーキテクチャが整理され,図のようにクリーンなシステムになっています。パケットの分析も,コネクションテーブルも1つだけです。このためパフォーマンスが向上しただけでなく,安定性も高まりました。またサードパーティー製の製品向けのインタフェースも明確なものになりました。しかも,カーネル中で動作する重要なサービスについてはWatchDogが常に監視するようになっています。
もう1つ,このアーキテクチャによって,システムの拡張が容易になったことも特徴です。ソフトウェアモジュールを追加することで,容易に機能の入れ替えや追加が行えるようになります。
eWEEK どういった機能が追加されるのでしょう?
ナハト 重要なモジュールの1つに,「User Authority」があります。これは,ユーザー認証を行うことにより,アプリケーションレベルのセキュリティを実現するものです。
しかも複数のFirewall-1/VPN-1の間で,透過的な認証を行えるようになっています。例えばシステムのゲートウェイ部にVPN-1が,また,機密情報を格納しているデータベースの前に,内部ファイアウォールとしてもう1つFirewall-1が導入されており,データベースそのものも保護されているとしましょう。こうしたときにも,一度ゲートウェイ部分でユーザー認証を行えば,その情報がFirewall-1/VPN-1の間でやり取りされるため,再度認証を行う必要はありません。いわゆるシングルサインオンを実現します。
また,DiffServやWFQ(Weighed Fair Queueing)に対応したQoS機能も統合されました。管理者が設定したポリシーに沿って,VPNと統合されたQoSが実現できます。
さらに,リアルタイムモニタリング機能も,このアーキテクチャに沿って提供されます。トラフィックを分析し,例えばどのユーザーがどのアプリケーションを使っているのか,今どういった事態が発生しているのかを,レポートの形で管理者に提供できます。
eWEEK 今回の発表では,他にもNGの特徴として,管理のしやすさやクライアント側ソフトウェアへの機能追加も挙げられていましたね。
ナハト もちろんです。容易に管理できるかどうかは非常に重要な問題です。
NGではSecure Updateによって,最新パッケージへのアップデートが素早く,一元的に行えるようになりました。また,Firewall-1/VPN-1をリモートから監視できるだけでなく,「SecureClient」と連携し,適切なセキュリティ設定が行われているかどうか確認することもできます。
例えば,私がアクセスするときとセールス担当者がアクセスするときでは,異なるポリシーが設定されるべきですよね。このように,だれにどういったポリシーを適用すべきかを設定し,そのマシン上でポリシーに沿った適切なセキュリティ設定がなされているか,また最新のシグネチャを利用しているかどうかといったことを確認できます。もしシグネチャが古いものであれば,最新のものにアップデートしない限りファイル共有を許可しない,ということも可能です。またそうした際には,管理者に警告が届くようになっています。
eWEEK こうした複雑な処理を行うとなると,やはりパフォーマンスへの影響が心配です。専用のASICやネットワークプロセッサを利用するほうが,さらにパフォーマンスが高まるのではないでしょうか?
ナハト VPN処理や暗号処理の場合,専用ASICを作りやすいことは確かでしょう。ですがわれわれは,だれもが利用できるオープンシステム,オープンなハードウェアを基にして製品を提供していきます。Pentium IIIは強力なプロセッサですから,例えば秋葉原で買ってきたPCでも,ソフトウェアが適切に書かれていれば高いパフォーマンスを実現できます。
シンプルであることが重要です。そして,NGのアーキテクチャは,非常にシンプルでクリアなインタフェースを提供しています。
また,より高いパフォーマンスを実現するという意味では「SecureXL API」も重要です。Firewall-1/VPN-1はSecureXL APIを通じてサードパーティー製品と連携し,ギガビットクラスのパフォーマンスを実現します。現に,ノキアの「IP740」は,このアーキテクチャを利用し,2Gbps近くのスループットを達成しました。
このとき,サードパーティー製のデバイスとホスト側のFirewall-1/VPN-1モジュールソフトウェアとの間で,コネクションテーブルがミラーリングされます。デバイスが新たなセッションを認識すると,SecureXL APIを通じてホスト側のソフトウェアと通信を行います。そこでホスト側は,パケットを分析してこのセッションがどのように取り扱われるべきかを判断し,デバイスに知らせます。それ以降のパケットはホストを通らず,すべてデバイス側で処理されますので,高速な処理が実現できるのです。
関連記事
チェック・ポイントの新製品「Next Generation」,いよいよ国内出荷開始
関連リンク
[高橋睦美 ,ITmedia]
