今年のAlteonは「セキュリティにフォーカス」

Nortel NetworksでAlteon製品および無線LAN担当ビジネスリーダーを務めるピーター・セラリス氏が、今度のAlteon製品の方向性について語った。

» 2004年08月06日 12時13分 公開
[高橋睦美,ITmedia]

 「2004年はセキュリティにフォーカスした戦略をとっている。ディープパケットインスペクション技術を、Webトラフィックの制御やP2Pトラフィックのコントロール、SIPのロードバランスといった用途だけでなく、セキュリティの実現に大いに活用している」――

 カナダ・Nortel NetworksでAlteon製品および無線LAN製品統括ビジネスリーダーを務めるピーター・セラリス氏はこのように語り、引き続き、ハードウェアとソフトウェアの両面でAlteon製品群を強化していく方針を示した。

セラリス氏 同時期にリリースした「無線LAN製品でもセキュリティの強化を図った」と述べたセラリス氏

 市場に登場した当初はサーバの負荷分散といった意味合いから注目されたAlteon Application Switch製品だが、Nortelが今打ち出しているのは、「リアルタイムのインテリジェント・トラフィック・マネジメント」だ。その中で重要な役割を担うのが、ディープパケットインスペクション技術である。

 最近では、アプリケーションレベルのセキュリティの必要性から、多くのベンダーが同様に、ディープパケットインスペクション技術の実装を謳うようになった。だが「われわれの製品は、ディープパケットインスペクション技術を核にしており、ハードウェアベースで実装を行っている。その結果パフォーマンスに大きな差が出ており、ある調査会社の比較では他社製品の2〜4倍になった」(セラリス氏)。

 質的に見ても、パケット単位ではなくフロー/セッションベースのコントロールを実現し、帯域制限やシェーピング、スロットリング、切断などの措置をとることができるという。シグネチャに基づくパターンマッチングやトラフィック分析など複数の手法を組み合わせることで、「機械的な対応ではなく、トラフィックを総合的に見た上で柔軟な判断が下せる」(同氏)ことが特徴だとした。

 この結果、何が可能になるか。「数々のウイルスやワーム、攻撃からシステムを防御できるし、XmasScanやJOLTといった高度なDoS攻撃にも対応できる」(セラリス氏)。それも、キャリアが要求するような高いパフォーマンスでの処理が行えるという。

 「最近では、パッチが公開されるとそれがすぐリバースエンジニアリングされ、攻撃に悪用されるケースが増えている。そこで重要なのは、いかにすばやくシグネチャを配布し、迅速な対応を可能にするかだ」(同氏)。ゼロデイ状態での攻撃を防ぐためにも、現在、社内の専門部隊が作成/配布しているXMLベースのシグネチャ配布について、サードパーティとの連携を模索しているという。

IPSecとSSLの統合を実現

 VPNゲートウェイの機能も拡充を図る。具体的には、「IPSecとSSL、両方のVPN機能を統合しつつある」(同氏)。IPSec-VPNゲートウェイの「Contivity」でSSL-VPNをサポートする一方で、年内にはAlteon SSL VPN/VPN Gateway製品のソフトウェアを強化し、IPSec-VPN機能を追加する計画だ。

 このソフトウェアの新バージョン、Release 5.0では、他にもいくつかの機能追加が予定されている。VoIPトラフィックに対するQoSマーキング機能が加わるほか、マネージドサービスの提供を考えるキャリア/ISP向けに、バーチャルホスティングが追加される。これにより、顧客のドメインごとに異なるACLを設定するなど、柔軟なサービスが提供できるようになるという。

 また、昨年以降のワーム蔓延を受けて、リモートアクセス時にクライアント端末を検査し、OSのバージョンやパッチの適用状況がポリシーを満たしているかどうかをチェックする「検疫」機能が注目されている。NortelではIPSec-VPNゲートウェイのContivityで、「トンネルガード」という名称で検疫機能を実現してきたが、これがAlteon SSL VPNやVPN Gateway 3050にも統合される計画だ。

 さらに、「同時接続セッション数やスループットを大幅に強化した、VPN Gateway 3050の上位モデルも、2〜3四半期のうちにリリースする予定」(セラリス氏)といい、引き続き製品ラインナップと機能、両面での強化を進めていくという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ