このページの本文へ

競合他社の“次世代ファイアウォールもどき”との能力差を強くアピール

最大120Gbps!パロアルト次世代FWの最上位機種「PA-7050」

2014年02月14日 06時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 パロアルトネットワークスは2月13日、次世代ファイアウォール(NGFW)の最上位機種「PA-7050」の国内提供開始を発表した。PAシリーズ初のシャーシ型筐体で、ファイアウォールスループットは最大120Gbpsまで、脅威防御スループットも最大100Gbpsまで段階的にパフォーマンスを拡張できる。

パロアルトのPAシリーズ最上位機種となる「PA-7050」。シャーシ型で最大6枚までネットワーク処理カードを増設できる

 PA-7050は、トラフィックの監視によるアプリケーション識別、アプリケーション制御、IPS、アンチウイルス、クラウド型サンドボックス「WildFire」によるマルウェア分析といった脅威防御機能を備えた次世代ファイアウォール、PAシリーズの最上位機種。ソフトウェアには、他のPAシリーズ製品と同じ「PAN-OS」を搭載している。

 本体シャーシは6つのスロットを備え、ここに「ネットワーク処理カード」を追加していくことで、リニアにパフォーマンスが拡張していく設計。他のPAシリーズ製品とは異なり、本体内スイッチが複数のカードに処理を自動分散するロードバランシング機能、ログ処理をオフロードするための専用カード、および1.2Tbpsのバックプレーンを備えており、高いパフォーマンスを実現している。

 アプリケーション識別(App-ID)を含むファイアウォールのコア機能のみ有効の場合のスループット(ファイアウォールスループット)は、ネットワーク処理カード1枚あたり20Gbps、カード6枚で最大120Gbps。脅威防御機能も有効にした場合のスループット(脅威防御スループット)は、一方向トラフィックのみで最大100Gbps、双方向で最大60Gbpsとなっている。

他社NGFWの“つぎはぎアーキテクチャ”を痛烈に批判

 発表会に出席した米パロアルトネットワークスのソリューションディレクター、ダネル・オー(Danelle Au)氏は、攻撃の複雑化/高度化とトラフィックの増大を背景として、現在のデータセンター/企業ネットワークでは「セキュリティとパフォーマンスをより高いレベルで両立させる」ニーズが強まっていると説明。従来機種ではカバーしきれない領域でのPA-7050導入に期待を示した。

米パロアルトネットワークス ソリューションディレクター、ダネル・オー氏
社内-インターネット間(North-South)だけでなく、より広帯域が求められる内部ネットワークセグメント間やデータセンター内(East-West)トラフィックにも、セキュリティ適用ニーズが増えている

 具体的なターゲット領域として、金融業や医療機関といった高いセキュリティを求める業界での内部ネットワーク/データセンターや、大学、ラージエンタープライズ、サービスプロバイダーなどの広帯域を必要とする業界を挙げている。

 「従来の最上位機種(PA-5060)のスループットは20Gbps。ラージエンタープライズでも将来必要となるスループットを見越して、複数台のPA-5060ではなくPA-7050の導入を検討するケースが出てきている」(パロアルトネットワークス システムズエンジニア 植村悠輔氏)

 またオー氏は、競合他社がNGFWとして販売する製品はパフォーマンスの出ない「次世代ファイアウォール“もどき”」だと強く批判し、パロアルト製品のアーキテクチャ設計の優位性を強調した。

オー氏いわく、他社がNGFWと称する製品は脅威防御機能を“寄せ集め”“つぎはぎ”しただけのもので、パフォーマンスが出せない。一方のパロアルトは、高いパフォーマンスを出すために一からアーキテクチャ設計をした“レーシングカー”で、大きな違いがあると強調した
他社NGFWとのカタログスペック比較。ファイアウォールスループット(青)を100%とした場合、他社の脅威防御スループット(緑)は一気に2割以下まで低下するが、パロアルトでは8割以上のスループットを維持できるとした

 「他社のNGFWでは、製品内部で脅威防御機能がサイロ化しており、各機能を有効にするたびにパフォーマンスが落ちていく。各機能が相互に連携していないため、シャーシ全体でパフォーマンスのバランスをとることもできない」(オー氏)

カテゴリートップへ

ピックアップ