ProxySGの新機能を解説するチン・リ(Qing Li)氏。慶應義塾大学の客員研究員として、SFC研究所で教鞭をとってもいるという
2月16日、ブルーコートシステムズは2009年11月に移転したばかりの汐留のオフィスにて、ProxySGのIPv6対応機能についての説明会を開催。米本社のチーフサイエンティスト&シニアテクノロジストであるチン・リ(Qing Li)氏による、IPv4とIPv6が混在する環境で生じる問題点などを解消する新機能について解説が行なわれた。
普及を始めているIPv6だが、IPv4がすぐになくなるわけではない。移行期間は非常に長く、10年から15年はかかってしまう。そのため、IPv6とIPv4が同じインフラ上で共存できることが必要となる。
このIPv4/6を共存させるための技術としてリ氏がまず挙げたのが、「トンネリング」と「NAPT-PTトランスレーション」、そして「アプリケーション・レイヤ・ゲートウェイ(ALG)」だ。
IPv6拠点同士を、IPv4ネットワーク経由で結ぶ「トンネリング
しかし、IPv6パケットをIPv4パケットでカプセル化するトンネリングは、両拠点がIPv6に対応済みの環境でしか利用できない。これに対し、NAPT-PTトランスレーションは、パケットヘッダーのIPv6アドレスをIPv4アドレスに書き換える。しかし、ペイロード部分は書き換え対象外のため、ペイロードにIPアドレスを埋め込むアプリケーションなどでは利用できない。
IPアドレスやポート、さらにプロトコル(IPv6/4)の変換を行なう「NAPT-PT(Network Address Port Translation - Protocol Translation )」
NAPT-PTトランスレーションより高度な機能を持つのがALGで、ヘッダーだけでなくペイロード部分のIPアドレスの変換も行なう。それでも対応ができないアプリケーションは存在する。たとえば、FTPはIPv4/6のNAT環境で利用するための拡張機能として「EPRT」コマンドが定義されている。ところが、古いタイプFTPソフトなどはEPRTに対応していないため、ALGであっても利用はできない。
ヘッダー部分に加え、ペイロード内のIPアドレスも変換する「アプリケーション・レイヤ・ゲートウェイ(ALG)」
こうした問題を解消するのが、ProxySGのOSの新バージョン「SGOS5.5」による「IPv6対応セキュアWebゲートウェイ・ソリューション」だという。NAPT-PTやALGは、サーバーとクライアントが通信を行なう間に割り込む形で、IPアドレスの変換を行なう。これに対し、ProxySGはプロキシとして動作する。つまり、クライアントとサーバーが直接通信を行なうのではなく、クライアントはプロキシと通信を行ない、サーバーとの通信はプロキシが行なう仕組みだ。
プロキシとして動作するIPv6対応セキュアWebゲートウェイ・ソリューションの仕組み
IPv4のクライアントはIPv4でProxySGと通信し、IPv6のサーバーはIPv6でProxySGと通信するため、クライアント/サーバーともにNAPT-PTやALGのような無理は生じない。
プロキシという仕組みである以上、IPやTCPレベルではなく、アプリケーションレベルでの対応が必要となる。この点もProxySGは万全で、リ氏によればメジャーなインターネットアプリケーションであるHTTPやHTTPS、SSL、DNS、SSH、FTP、TCPトンネリングに対応済み。さらに、動画配信などに使うRTSP(Real Time Streaming Protocol)、Windowsのファイル共有プロトコル「CIFS」、SOCKSなどにも対応予定で、現在はベータ段階という。
もちろん、ProxySGの売りである負荷分散やユーザー認証、スパイウェアやウイルスのスキャンなどの機能は、IPv4環境と同様にIPv6環境でも利用できる。
SGOS5.5の提供はすでに始まっており、ProxySGのサービス契約を結んでいるユーザーであれば、無償でアップデートが行なえる。
