可視化とアプリケーション制御で
エンタープライズ市場を狙う
これに対して、新世代ファイアウォールを謳うパロアルトのPAシリーズは750を超えるアプリケーション、ユーザー、そしてコンテンツを識別し、ユーザーのポリシーに従って遮断・制御ができる。簡単にいえば、同じ80番ポートを使ったHTTPの通信でも、Facebookなのか、GoogleAppsなのか、YouTubeなどかをきちんと識別できるということだ。誰が、どんなアプリケーションで、なにを見ているのかを完全に可視化することが可能になる。
ポートに依存しない、ギガビットに対応する、アプリケーションを可視化するなど、次世代のファイアウォールへの要件
これを実現するには「まずTCPをアセンブルし、おもにトラフィックパターンからアプリケーションを識別します。この際には、たまねぎの皮をむくように、SSLの複合化やプロトコルヘッダのデコードを行ない、もっとも重要なデータ部分を取り出し、アプリケーションやユーザー、コンテンツの情報を取得します」(ズーク氏)といった作業を行なうという。こうした複雑な処理を行なっても、複数のエンジンを組み合わせるUTMと異なり、単一のエンジンで処理を行なっているため速度は落ちない。しかも、マルチコアCPUにプログラマブルなFPGA、ハードウェアアクセラレータを組み合わせた処理機構により、高いパフォーマンスを実現している。
単一のエンジンで、アプリケーションやユーザー、コンテンツを識別し、ポリシーを基に制御を行なう
こうした処理でアプリケーション、ユーザー、コンテンツなどを可視化してみると、ユーザーがやりたい放題となっているネットワークの状況が浮き上がるという。ズーク氏は「実際に試用してもらうと、いろんなアプリケーションが検知され、これは導入しなければ!とつながる場合も多いようです」(ズーク氏)とのこと。
先日は、ソフトウェアの新バージョン「PAN-OS 3.0」をリリースし、QoSやSSL-VPN、IPv6対応などの機能も強化。現状は、中小企業よりもエンタープライズや官公庁などをターゲットにしており、取材の同日には信州大学という大型の国内ユーザー事例まで公開された。
日本市場では「日立システム&サービスやネットワンシステムズなどエンタープライズ市場に強いベンダーと組むことで、充実したサポートを提供できます。また、マニュアルのローカライズやダブルバイトのサポートなども提供していく予定です」(パルアルトネットワークス 社長 金城盛弘氏)といった展開を行なっていくという。
UTMと同等もしくはそれ以上の深い精査を単一のエンジンで実現し、ファイアウォールを定義し直したパロアルト。同社の次世代ファイアウウォールは、2000年のファイアウォール・VPNアプライアンスの登場、2005年のUTMの登場に続く3つめの大きな波となるのか? 既存のベンダーとの戦いも含めて、そのチャレンジを見守りたい。
