トップレイヤーネットワークスジャパン マーケティングマネージャ 中田雄介氏 |
[編集部]
AppSwitchは具体的にはどんな機能を持っているのでしょうか?
[中田氏]
AppSwitchの機能は「e-Application Control」という3つのフレームワークから構成されています。1つ目は「Addptive Security」というセキュリティ機能です。これは主にファイアウォールやIDS(不正侵入検知装置)の機能を補完するもので、現在米国でもっとも受けている機能です。AppSwitchは「フローミラー」という機能で、フロー自体のカーボンコピーを作ることができます。これでIDSに投げることで広帯域になってもきちんと不正検知が行なえます。また、ファイアウォールのロードバランシングと冗長化をとることができます。
10/100BASE-TX×12ポート、1000BASE-FX×2ポートを搭載した「AppSwitch 3502」コンパクトフラッシュにアプリケーション設定データが入っている点もユニーク |
[編集部]
ファイアウォールとして使うことはできないのですか?
[中田氏]
一応、ファイアウォールの認定もとっているのですが、侵入検知装置とか、他のファイアウォールとかと補完させる使い方のほうが、AppSwitchの本筋ですね。ユニークなものとしては「デコイサーバ(おとりサーバ)」の機能があります。これはアタックをかけられているサーバのおとりとして動作する機能 です。AppSwitchは正常なフローに対してはサーバの方にリダイレクトするのですが、Synに対してAckが返ってこないとか、レスポンスが不規則であったとか、いうセッションはおとりのサーバに誘いこむ動きをします。ハッカーからは実際のサーバに侵入しているように侵入しているように見えるのですが、実際はセッションのログがとられているのです。
2つ目の「Measurement and Management」は、IP課金をするための生データを提供する機能です。チップセットがレイヤ7で動作することを想定して作られていますので、セッションのデータを持ちながら、誰がどのアプリケーションをどれだけ使ったか、詳細なデータをとることができます。ただ、あくまで生データを出力する機能なので、課金自体はサービスプロバイダやポータルなどで行なってもらいます。アプリケーションごとに帯域保証や利用制限をかけることも可能です。3つ目が「Application Traffic Management」という負荷分散と帯域制御をあわせた機能です。
2つ目の「Measurement and Management」は、IP課金をするための生データを提供する機能です。チップセットがレイヤ7で動作することを想定して作られていますので、セッションのデータを持ちながら、誰がどのアプリケーションをどれだけ使ったか、詳細なデータをとることができます。ただ、あくまで生データを出力する機能なので、課金自体はサービスプロバイダやポータルなどで行なってもらいます。アプリケーションごとに帯域保証や利用制限をかけることも可能です。3つ目が「Application Traffic Management」という負荷分散と帯域制御をあわせた機能です。
[編集部]
最近のレイヤ4~7スイッチはこうした機能がメインのようですが。
[中田氏]
はい。われわれは「SecureQoS」という言い方をしますが、これは「アプリケーションが本来の使い方をされている」ことを意味します。たとえば、RealPlayerなどのアプリケーションをポート番号で認識しているレイヤ4のスイッチの場合、HTTPに埋め込まれているアプリケーションの制御は不可能です。AppSwitchの場合、128ビットのペイロードを見ることで、400以上のアプリケーションを認識します。DDOSなどもアプリケーションとして認識していますので、これらをブロックすることができます。また、HTTP以外のアプリケーションのロードバランシングをとれるというのもAppSwitchの特徴的なところです。