このページの本文へ

前へ 1 2 次へ

レイヤ7スイッチでなにができるか?

2001年02月22日 00時00分更新

文● NETWORK MAGAZINE編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

NETWORK MAGAZINEロゴ
ブロードバンド時代を目前に控え、米国のネットワークベンチャーが続々と日本進出を図っている。「AppSwitch」というレイヤ7スイッチを扱うトップレイヤーネットワーク(以下トップレイヤ)もその1つ。アプリケーションを認識するスイッチでなにができるか? 日本法人であるトップレイヤーネットワークスジャパンの中田雄介氏にAppSwitchの効能についてうかがった。



TopLayer トップレイヤーネットワークスジャパン マーケティングマネージャ 中田雄介氏
[編集部] AppSwitchは具体的にはどんな機能を持っているのでしょうか?
[中田氏] AppSwitchの機能は「e-Application Control」という3つのフレームワークから構成されています。1つ目は「Addptive Security」というセキュリティ機能です。これは主にファイアウォールやIDS(不正侵入検知装置)の機能を補完するもので、現在米国でもっとも受けている機能です。AppSwitchは「フローミラー」という機能で、フロー自体のカーボンコピーを作ることができます。これでIDSに投げることで広帯域になってもきちんと不正検知が行なえます。また、ファイアウォールのロードバランシングと冗長化をとることができます。
TopLayer
10/100BASE-TX×12ポート、1000BASE-FX×2ポートを搭載した「AppSwitch 3502」コンパクトフラッシュにアプリケーション設定データが入っている点もユニーク
[編集部] ファイアウォールとして使うことはできないのですか?
[中田氏] 一応、ファイアウォールの認定もとっているのですが、侵入検知装置とか、他のファイアウォールとかと補完させる使い方のほうが、AppSwitchの本筋ですね。ユニークなものとしては「デコイサーバ(おとりサーバ)」の機能があります。これはアタックをかけられているサーバのおとりとして動作する機能 です。AppSwitchは正常なフローに対してはサーバの方にリダイレクトするのですが、Synに対してAckが返ってこないとか、レスポンスが不規則であったとか、いうセッションはおとりのサーバに誘いこむ動きをします。ハッカーからは実際のサーバに侵入しているように侵入しているように見えるのですが、実際はセッションのログがとられているのです。
 2つ目の「Measurement and Management」は、IP課金をするための生データを提供する機能です。チップセットがレイヤ7で動作することを想定して作られていますので、セッションのデータを持ちながら、誰がどのアプリケーションをどれだけ使ったか、詳細なデータをとることができます。ただ、あくまで生データを出力する機能なので、課金自体はサービスプロバイダやポータルなどで行なってもらいます。アプリケーションごとに帯域保証や利用制限をかけることも可能です。3つ目が「Application Traffic Management」という負荷分散と帯域制御をあわせた機能です。
[編集部] 最近のレイヤ4~7スイッチはこうした機能がメインのようですが。
[中田氏] はい。われわれは「SecureQoS」という言い方をしますが、これは「アプリケーションが本来の使い方をされている」ことを意味します。たとえば、RealPlayerなどのアプリケーションをポート番号で認識しているレイヤ4のスイッチの場合、HTTPに埋め込まれているアプリケーションの制御は不可能です。AppSwitchの場合、128ビットのペイロードを見ることで、400以上のアプリケーションを認識します。DDOSなどもアプリケーションとして認識していますので、これらをブロックすることができます。また、HTTP以外のアプリケーションのロードバランシングをとれるというのもAppSwitchの特徴的なところです。

前へ 1 2 次へ

カテゴリートップへ

最新記事
最新記事

アスキー・ビジネスセレクション

ASCII.jp ビジネスヘッドライン

ピックアップ