「2002年には10Gbps対応ファイアウォール製品を投入」するノーテル
| 【国内記事】 | 2001.12.14 |
ノーテルネットワークスは先ごろ,ファイアウォールアプライアンス製品,「Alteon Switched Firewall(ASF)システム」の出荷を開始した。
これは,同社がこれまでアルテオンブランドで提供してきた高速Webスイッチング技術に加え,OSA(Open Security Architecture)と呼ばれる新たなアーキテクチャを元に開発された製品。ファイアウォール機能には,チェック・ポイント・ソフトウェア・テクノロジーズの「Firewall-1/VPN-1 Next Generation」を搭載している。
パフォーマンスと冗長性を高めるアーキテクチャ
ASFシステムは,「Accelerator」と「Director」という2つのコンポーネントから構成されている。DirectorにはFirewall-1のエンジンが搭載されており,新たなセッションに対し,ポリシーにしたがって当てはめるべきルールを見つけ出し,セッションを確立する役割を担う。一方Acceleratorは,Directorによって確立されたセッションに対し,各種ルールをワイヤスピードで適用する。
同製品はこのように,2つのコンポーネントの間でポリシーインスペクションとその後のトラフィック処理を分離したことにより,これまでにない高いパフォーマンスを実現した。従来どおりのファイアウォールの機能やNATなどをすべて提供しながら,スループットは最大で3.2Gbpsに上り,最大50万の同時セッションを処理できるという。
また,Acceleratorには最大で6台までDirectorを接続できる。この構成だけでも負荷分散と冗長化を図れるが,ネットワークの規模に応じて,Acceleratorそのものの冗長化も可能だ。これらコンポーネントはNAAP(Nortel Appliance Acceleration Protocol)を通じてリアルタイムに状態を確認し合い,どれか1つに障害が発生しても,セッションを維持することができる。
従来提供されてきたファイアウォールアプライアンス製品の場合,トラフィック増大に対応するには,新たにロードバランサなどを導入する必要があった。こうした構成に比べ,ASFシステムならばネットワークトポロジを簡素化し,しかも高い冗長性,拡張性を備えるというメリットがある。
 |
| Alteon Switched Firewall。下がAccelerator(2Uサイズ),上がDirector(それぞれ1Uサイズ)だ |
製品のリリースに先立ち,NTTコミュニケーションズではASFのベータテストを行ったそうだ。同社のウェイン・リー氏によれば,ストレステストの結果,ASFは十分な数値を示しただけでなく,「ほとんどプラグアンドプレイで使うことができ,非常に使いやすい。ハイアベイラビリティ構成も簡単に実現できた。スケーラブルで管理しやすい製品だ」という。
ノーテルネットワークスのプロダクトマーケティングディレクター,アンドリュー・クック氏は,「ファイアウォールの第1世代は,ソフトウェアベースの製品だった。第2世代は,ハードウェアと一体化したアプライアンス製品だが,これらはパフォーマンスが低く,拡張性がないという問題があった。これに対し我々は,“ファイアウォールアクセラレータ”というコンセプトに基づいて,第三世代のファイアウォール,つまりASFシステムをを開発した」と述べている。
「ノキアやネットスクリーン,シスコシステムズは強力な競合相手だが,我々の製品はまずパフォーマンスに優れ,拡張性が高い。しかも導入しやすく,既存のネットワークに透過的に導入できる。そしてコストも,より低い」(クック氏)
新スイッチングプラットフォームを基盤にさらなる高速化を
同製品の基盤となるOSAアーキテクチャは,ノーテルのスイッチングファブリックを最大限に活用するものだ。同社は今後も引き続き,OSAをベースにした新製品を投入していく。2002年にはIDS,アンチウイルスやURLフィルタリングなど,さまざまなセキュリティ機能を搭載した製品を開発,提供する計画だ。
並行して,さらなるパフォーマンスの向上も進める。
ノーテルでは来年後半に,新たなスイッチングプラットフォームを開発する予定だ。これを基盤にすれば,ファイアウォールのパフォーマンスは「今の2〜8倍。つまり10Gbpsのファイアウォールを実現する予定だ」(クック氏)という。同時に,単なる二重化ではなく,サービスごとに冗長化を図れるよう,フレキシブルなVRRPも実装していく計画だ。
また,ASFのような単体のアプライアンス製品だけでなく,同社のマルチレイヤスイッチ製品,「Passport8600/Alteon780」に組み込める,ブレードタイプの製品も提供する予定という。
「現在のファイアウォールはパフォーマンスが低く,拡張性にも欠けている。だが顧客が求めているのは,強力なセキュリティと高いパフォーマンスの両方であって,この2つをトレードオフしてはならない」(クック氏)
関連記事
関連リンク
[高橋睦美 ,ITmedia]
