White Paper セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408 745 2000 or 888 JUNIPER www.juniper.net ジュニパーネットワークス株式会社 〒163-1035 東京都新宿区西新宿 3-7-1 新宿パークタワー N棟35階 電話 03-5321-2600 FAX 03-5321-2700 URL http://www.juniper.co.jp Part Number: 200177-004 JP Nov 2008 セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 目次 目次… …………………………………………………………………………………………………………………………………… 2 エグゼクティブサマリー… …………………………………………………………………………………………………………… 3 はじめに… ……………………………………………………………………………………………………………………………… 3 SSG 500シリーズ… ………………………………………………………………………………………………………………… 4 目的特化型のプラットフォーム… …………………………………………………………………………………………… 4 ソフトウェア・アーキテクチャ… …………………………………………………………………………………………… 5 フローベース転送のメリット… ……………………………………………………………………………………… 6 LAN/WANの拡張性…………………………………………………………………………………………………………… 8 ScreenOSルーティングエンジン… ………………………………………………………………………………… 8 まとめ… ………………………………………………………………………………………………………………………………… 9 ジュニパーネットワークスについて… ………………………………………………………………………………………………10 Copyright ©2008, Juniper Networks, Inc. セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 エグゼクティブサマリー ネットワーク・セキュリティ強化に対するニーズの高まりを背景に、本社以外の拠点(地方営業所、支店、小規模の分散型オフィ ス)や中堅企業を対象としたネットワークサービス展開のあり方が大きく変わろうとしています。こうした流れを受け、拠点で 求められるセキュリティ、パフォーマンス、接続性の各要件に的確に対応できる新しいセキュリティソリューションが重視され つつあります。このホワイトペーパーでは、営業所などの拠点を取り巻く最近のビジネストレンドを紹介し、このような環境に 適したセキュリティ・アプライアンスのアーキテクチャについて解説します。 はじめに 帯域コストの低価格化に加え、生産性向上への意識の高まりもあって、企業各社は、従来の本支店間の社内回線の廃止あるいは 補完を目的に、インターネットに直接接続できる環境を地方営業所・支店に導入しています。インターネットに直接アクセス可 能になると、拠点側のパフォーマンスや接続環境は大きく向上し、本社側が保有する帯域や設備の全体的なコストの削減につな がります。しかし、アクセスが良くなる反面、攻撃を受けるリスクは増大します。たとえばエンドユーザーが私用のウェブメー ルを勝手にチェックしたり、それまでアクセス不可能だったウェブサイトにアクセスしたりするようになれば、ウィルスやワー ム、スパイウェアが拠点から入り込み、社内ネットワーク全体へと広がりかねません。 第2のトレンドは、内部攻撃や不正アクセスが頻発している点です。このため、ネットワーク上の任意の拠点に対して、誰でも、 どのようなトラフィックでも自由にアクセスできる従来のLAN環境について、企業は見直しを迫られています。CSI(Computer Security Institute)/FBIコンピュータ犯罪統計によれば、内部攻撃を1回以上受けたことがある企業は全体の56%に上ります。 今やネットワーク・セキュリティは、外部からの攻撃を防御するだけでなく、スパイウェアなどを駆使してネットワーク内部に 不正アクセスする悪質な従業員やハッカーの攻撃を阻止することも重要な柱となっています。 第3のトレンドとして挙げられるのは、WANインフラを支える重要な柱として企業のインターネット活用が進み、新しいアプ リケーション用の帯域確保にメトロイーサネットのような高速通信技術のニーズが高まっている点です。こうしたメトロイーサ ネットへの移行トレンドは市場成長率のデータからも明らかで、10/100Mbpsと1Gbpsのインタフェースの増加率がそれぞ れ52%、74%となっています(Infonetics社によるメトロイーサネット市場シェア調査、2005年10月)。 地方営業所・支店や中堅企業を取り巻くビジネストレンドから判断すると、「セキュリティ」、「パフォーマンス」、「接続性」の 3つに優れたシステムアーキテクチャが理想的なソリューションを提供します。このようなアーキテクチャであれば、以下の条 件をバランスよく満たすことができます。 ◦ネットワーク、アプリケーション、コンテンツのセキュリティや、ポリシーによるセキュリティ領域/ネットワークのセ グメント化など、高度な機能を備えたセキュリティ第一のアーキテクチャ ◦アプリケーションとペイロード(コンテンツ)に特化したセキュリティの処理に加えてネットワークレベルのセキュリティ も備え、WAN、LAN双方の速度に対応して内部・外部からの攻撃を防御する機能 ◦セキュリティとトラフィック・ルーティングの適用を瞬時に判断し、100Mbpsを超えるネットワーク・トラフィックで も処理 ◦将来新たなセキュリティ機能や接続方式が登場した場合でも移行パスを確保できるモジュール方式のI/Oアーキテクチャ Copyright ©2008, Juniper Networks, Inc. セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 SSG 500シリーズ ジュニパーネットワークスのSSG 500シリーズは、卓越したパフォーマンスのセキュリティ機能とLAN/WAN対応ルーティ ング機能を兼ね備えたプラットフォームという斬新な発想で開発された目的特化型のアプライアンスです。SSG 500はさまざ まな導入形態に対応しています。 ◦ネットワークレベルとアプリケーションレベルに対応するスタンドアロンのセキュリティソリューションとして、ワーム、 スパイウェア、トロイの木馬、マルウェアなどの攻撃を阻止 ◦セキュリティとルーティングの統合ソリューションとして、ハードウェアベース、ソフトウェアベースのWAN接続機能 をフルに活用可能 目的特化型のSSG500シリーズは、セキュリティ、パフォーマンス、WAN接続の各機能を搭載し、地方営業所や支店、中堅企 業、サービスプロバイダーなど、WANや社内の高速ネットワークの防御が必要な環境に最適なソリューションです。また、シ ステムやインタフェースは高度にモジュール化されているため、プラットフォームへの投資をムダにすることなく、長期的に有 効活用できます。 目的特化型のプラットフォーム ジュニパーネットワークスのファイアウォール/VPNプラットフォームの特長の1つに、セキュリティ専用に開発されたプラッ トフォームによる卓越したパフォーマンスのセキュリティ機能が挙げられます。このように目的特化型のプラットフォームでは、 セキュリティ専用プラットフォームと処理機能が完全に一体化されており、さらにセキュリティ専用OSで管理することでパ フォーマンスを余すところなく引き出します。SSG 500シリーズは、従来のジュニパーネットワークスのファイアウォール/ VPNアプライアンスと同様に、カスタム設計のハードウェア、高度な処理能力、セキュリティに特化したOSを組み合わせ、驚 異的なパフォーマンスを実現します。現在、SSG 500シリーズには、IMIX(インターネットミックス)トラフィックで 1Gbps以上の処理速度を実現する「SSG550M」と、同600Mbps以上の「SSG520M」があります。SSG 500シリーズ が搭載するファイアウォール機能のパフォーマンスを測定するに当たって、弊社では、お客様が実際に利用するネットワーク・ トラフィックに近い条件とするため、IMIXトラフィックを使用しました。IMIXトラフィックは、1種類のパケットサイズだけを 使用するパフォーマンステストの場合と比べて、最大5倍も厳しい条件となります。今回使用したIMIXトラフィックはUDPト ラフィックで、パケットサイズの内訳は、64バイトのパケットが58.33%、570バイトのパケットが33.33%、1518バイ トのパケットが8.33%でした。 SSG 500シリーズの心臓部には、カスタム設計されたセキュリティ専用ボードが採用されており、強力なプロセッサ、セキュ リティ専用コプロセッサ、最大1GBのRAMの連携でネットワーク・セキュリティのパフォーマンスを最大限に引き出します。 SSG 500シリーズではCavium CN1010 Nitrox Liteセキュリティコプロセッサを使用して、IP Security(IPSec)、VPN 暗号化、復号、および認証の処理を高速化します。特に高速処理されるのは以下の機能です。 1. IPSec VPNの暗号化と復号(DES、3DES、AES128、AES192、AES256) 2. IPSecパケット(SHA-1、MD5)認証ハッシュ値の計算 Cavium IPSec VPN コプロセッサ EPIMごとに 2.5Gbps 800 Mbps 2 Gbps EPIMごとに 2.5Gbps コンパクト フラッシュ SSG 550M プロセッサ Cavium IPSec VPN コプロセッサ EPIMごとに 2.5Gbps 800 Mbps 2 Gbps EPIMごとに 2.5Gbps PIM PIM PIM PIM PIM PIM EPIM or PIM EPIM or PIM EPIM or PIM EPIM or PIM EPIM or PIM EPIM or PIM Fixed 10/100/1000 アップグレード可能な DRAM SSG 520M プロセッサ アップグレード可能な DRAM コンパクト フラッシュ Fixed 10/100/1000 SSG 500シリーズのシステムアーキテクチャ Copyright ©2008, Juniper Networks, Inc. セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 SSG 500シリーズのハードウェアアーキテクチャは強力な汎用プロセッサとセキュリティ専用コプロセッサを使用していま す。アプリケーションレベルとコンテンツのセキュリティが強化されているため、メモリの搭載容量を増やすことで最近の多種 多様な攻撃にも効果的に対処できるようになり、パフォーマンスが大幅に向上します。 ジュニパーネットワークスは、カスタム開発ボードを採用する数少ないベンダーです。ボードの企画から設計まで社内で手がけ ることにより、セキュリティ機能の処理能力とスループットを最大限に高めています。他社製品の中には、PCのような汎用ボー ドを使用しているためにバス性能が乏しいものもあります。一方、SSG 500シリーズは、各インタフェース群あるいは個々の インタフェースカードに専用の高速バスを用意してトラフィックを効率的にCPUに渡すため、セキュリティとトラフィック・ ルーティングの処理が高速化されます。SSG 500シリーズのボードは、LAN-次世代WAN接続や、LAN間接続など、高度な パフォーマンスが求められるネットワークに最適な処理能力を発揮するよう設計されています。 ソフトウェア・アーキテクチャ ジュニパーネットワークスのScreenOSは、まったく新しく開発したセキュリティ専用のリアルタイムOSです。ハードウェア・ プラットフォームと連携しながらパフォーマンスを最大限に引き出します。ScreenOSには、ネットワークレベルとアプリケー ションレベルの攻撃を防御する各種アプリケーションが一体化されていると同時に、コンテンツ系の攻撃も阻止します。具体的 には次のようなセキュリティ・アプリケーションが搭載されています。 ◦ステートフル・インスペクション・ファイアウォールにより、アクセスコントロールを実行してネットワークレベルの攻 撃を阻止 ◦IPS(侵入検知防御システム)、またはディープ・インスペクション(DI)により、アプリケーションレベルの攻撃を阻 止 ◦アンチフィッシング、アンチスパイウェア、アンチアドウェアの各機能を備えたカスペルスキー社のスキャンエンジンを ベースとした最高クラスのアンチウィルス機能により、ウィルスやトロイの木馬などのマルウェアをネットワークに損失 を与える前に阻止 ◦シマンテック社との提携によるアンチスパム機能により、既知のスパムとフィッシングを防御 ◦Websenseを使用したウェブフィルタリングにより、既知の悪質なダウンロード・サイトや不適切なウェブ・コンテン ツへのアクセスを防止 ◦IPsec-VPNサイト間通信により、拠点間のセキュアな通信を実現 ◦DoS攻撃緩和機能 ◦H.323/SIP/SCCP/MGCP対応のアプリケーション・レイヤー・ゲートウェイ機能により、VoIPトラフィックを検査 および保護 ScreenOS コンテンツ・セキュリティ • アンチウィルス/スパイウェア/フィッシング • ウェブフィルタリング • アンチスパム • IPS(ディープ・インスペクション) コンテンツ・セキュリティ/UTM機能 • FW • IPSec VPN • DoS/DDoS • ユーザー認証 コンテンツ・セキュリティ/UTM機能 • バーチャリゼーション • LANルーティング • 導入モード • WANカプセル化 SSG目的特化型ハードウェア・プラットフォーム 固定 GE I/O Copyright ©2008, Juniper Networks, Inc. 管理/ モデム モジュール方式の WAN&LAN I/O • ソフトウェア・アップグレードにより提供される 統合UTMセキュリティ機能 • IPS(ディープ・インスペクション)、アンチウィルス (ア ンチスパイウェア、アンチフィッシングを含む)、アン チスパム、ウェブフィルタリングョン • ネットワークレベルの防御/アクセスコントロール • ステートフル・ファイアウォール、IPSec VPN、 NAT(ネットワークアドレス変換)、DoS防御(サー ビス拒否)、ユーザー認証 • 高度ネットワーキング/バーチャリゼーション機能 • バーチャリゼーション機能により、ネットワークをセ キュアなセグメントに区分 • ScreenOSモード (ルート/NAT/トランスペアレン ト)、ダイナミック・ルーティング、HA(高可用性) を卓 越したJUNOS WANカプセル化と組み合わせる セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 また、ScreenOSとハードウェア・プラットフォームが高度に統合されているため、パフォーマンス上のボトルネックが解消 されるほか、一部の従来型ソリューションに付き物だったセキュリティ上の欠陥も解消されます。ここに挙げた内蔵のセキュリ ティ・アプリケーションに加え、ScreenOSでは、複数のセキュリティゾーンを作成して、それぞれ専用のファイアウォール とポリシーを設定することもできます。セキュリティゾーンは、インタフェース、サブインタフェース、IPホスト/サブネット を論理的にグループ化したもので、セキュリティのアクセスコントロールや各種設定を共有可能なため、ネットワーク内部でセ キュリティ・コントロールを強化できます。このセキュリティゾーンは組織内のさまざまな場面で威力を発揮します。たとえば、 「設計ゾーン」といった名称のゾーンを作成し、ここに割り当てたインタフェースやIPホスト/ネットワークはすべてセキュリティ 条件やアクセスルールが共通になります。そして、製品開発や設計関連の文書を「設計ゾーン」に置いておくことで機密保持が 実現できます。このように、セキュリティゾーンを利用すれば、LAN内部のセキュリティにも簡単に対応できます。ジュニパー ネットワークスが業界に先駆けて開発したセキュリティゾーン技術と、LANの速度に対応する高度なパフォーマンスの組み合わ せにより、今、企業に求められる内部・外部からの攻撃を阻止する体制が手軽に実現できます。 フローベース転送のメリット ScreenOSは、ハードウェア・プラットフォームと連携しながら、いわゆるフローベース処理方式でセキュリティとトラフィッ クを高速に処理します。フローベース処理では、セッション状態に応じてパケットごとの判定処理を最小限に抑え、拠点側のソ リューションの全体的なパフォーマンスを高めます。フローベース処理の場合、送信元ゾーン、宛先ゾーン、送信元アドレス、 宛先アドレス、サービスタイプの5組によるマッチング方式でTCP/UDPレベルのトラフィックを検査し、新規トラフィックか 既存トラフィックかを判定します。新規トラフィックの場合、最初のパケットは、経路とポリシーのルックアップのために、低 速処理パスに回されますが、同じフローの後続パケットは最初のパケットで決定したアクションに基づき、高速処理パスに送ら れます。その後もトラフィックが最初のフローと一致している限り、同一の処理が実行されます。そしてまた新規トラフィック が現れると、再び最初のパケットで処理を判定するといった具合です。下の図では、フローベース転送の流れを表したもので、 最初のパケットでトラフィックフローを確立する一方、後続パケットは高速処理パスを通過していることがわかります。 ScreenOS Send Packets Layer 2 Encapsulation Optional Services (FW, AV, IPS, VPN, Etc.) Establish Flow Fast Path • Setup AV, DI, NAT, Etc. • Create Session • Perform Lookups: Policy Route, Pinhole, Etc. Session Lookup Session Lookup Screening Layer 2 Decapsulation Receive Packets ネットワーク・ トラフィック P1 最初のパケット P2 P3 P4 P... 後続のパケット Copyright ©2008, Juniper Networks, Inc. セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 従来の拠点向けデバイスでは、アトミック(不可分)転送という方式が用いられています。これは、経路とポリシーのルックアッ プをパケットごとに実行する方式です。これに対して、フローベース処理では、次の手順で処理します。 1.ファイアウォール:最初のパケットの処理後はファイアウォール実行中もパフォーマンスにほとんど影響がありません。 ルールセットが大量になっても、パフォーマンスにはしわ寄せが行きません。たとえば、50のルールがあるポリシーでも、 ルールが1つしかないポリシーと比べてパフォーマンス低下は見られません。 2. ルーティング:経路情報の変更がない限り、ルーティングテーブルのルックアップは、セッションごとに単一のルックアッ プに最小化され、トラフィックのルーティングを高速化します。ただし、経路情報が変更された場合にはセッションテー ブルが更新されます。 3. QoS(サービス品質)クラス分け:5組のルックアップの一部としてクラス分けを実行するため、スループットに影響が ありません。 4. NAT変換/PAT変換:NAT変換はセッションを認識できるため、パフォーマンスに一切影響がありません。 5. サービス割り当て:セッションが認識可能なため、アンチウイルス(AV)などの防御機能を指定したフローにきめ細か く適用できます。 6. HA(高可用性):フローベースのため、セッション情報はすべて単一のレポジトリに格納され、フェイルオーバー発生 時にステート情報の同期をすばやく実行します。 フローベース処理方式のソリューションは、セキュリティやサービスを迅速に適用できます。特に、本社やデータセンターに比 べてトラフィックパターンにあまり変化のない支店・地方営業所や分散型オフィスなどの環境では、高速処理の効果が顕著に表 れます。 ScreenOS Send Packets Layer 2 Encapsulation Optional Services (FW, AV, IPS, VPN, Etc.) Establish Flow Fast Path • Setup AV, DI, NAT, Etc. • Create Session • Perform Lookups: Policy Route, Pinhole, Etc. Session Lookup Session Lookup Screening Layer 2 Decapsulation Receive Packets HTTP 1.1 トラフィック TCP SYN TCP ACK TCP SYN/ACK 最初のパケット HTTP Response HTTP Get/Post HTTP Response... HTTP Get/Post... 後続のパケット 次にHTTP(ハイパー・テキスト・トランスファー・プロトコル)のトラフィックを例にフローベースのメリットを説明します。 上の図は最初のTCPパケットがフローを確立し、他の後続パケットは高速パスを通過することで高速処理を実現している様子で す。 Copyright ©2008, Juniper Networks, Inc. セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 LAN/WANの拡張性 接続方式にモジュール型アプローチを採用するSSG 500シリーズは、10/100/1000BaseTイーサネット・インタフェース ×4(固定)に加え、従来のLAN/WANインタフェースカード対応の拡張スロット×6を搭載し、LAN/WAN環境で圧倒的な拡 張性を発揮します。 SSG 1 550 M 2 3 SSG 1 520 M 2 3 1 固定10/100/1000インタフェース×4基 2 管理用ポートおよび補助ポート 3 WANまたはLANインタフェースカード用の拡張スロット×6基 固定LANインタフェース、I/O拡張スロット、ルーティングプロトコルを備えたSSG 500は、市販ファイアウォールの中でも 最高水準の拡張性を誇ります。エンドユーザーにとっては、SSG 500シリーズをセキュリティ専用デバイスとしても、セキュ リティデバイスとルーターの一体型デバイスとしても利用できる自由度の高さが大きなメリットです。 ScreenOSルーティングエンジン ジュニパーネットワークスのScreenOSルーティングエンジンは、約5年前に登場して以来、支店・営業所や分散型オフィス向 けの定評ある高性能ルーティングエンジンとして、ファイアウォールとルーターを融合したプラットフォーム導入を可能にする など、着々と実績を重ねてきました。ScreenOSのルーティング機能は、ジュニパーのファイアウォールを導入された世界各 地のお客様のもとで幅広い用途に活用されています。たとえば、送信用にBGP経路だけを使い、内部ルーティング対応に OSPFを使用といったシンプルな事例もあります。逆に、1万拠点も擁し、公衆インターネット回線でデータをやり取りする大 手金融機関の例もあります。 SSG 500シリーズの発売に際して、ScreenOSのルーティングエンジンに新たなWANカプセル化機能を追加し、WANハー ドウェア・インタフェースのサポート範囲を拡大しました。この結果、以前からサポートしているOSPFやBGP、RIP v1/2に 加え、新たにフレームリレー、マルチリンク・フレームリレー(MLFR)、ポイントツーポイント・プロトコル(PPP)、マル チリンク・ポイントツーポイント・プロトコル(MLPPP)、ハイレベル・データ・リンク制御手順(HDLC)にも対応しました。 SSG 500シリーズは、市販ファイアウォールの中で最多のルーティングプロトコルをサポートするなど、実績に裏打ちされた 圧倒的な独自性を誇っています。 Copyright ©2008, Juniper Networks, Inc. セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 まとめ ジュニパーネットワークスは、現在はもちろん、将来にわたってユーザーのニーズに対応できる目的特化型の高性能セキュリティ ソリューションを手がけ、数々の実績を重ねてきました。そして、新たにその伝統を受け継ぎ、SSG 500シリーズが誕生しま した。SSG 500シリーズは、支店・地方営業所レベルのセキュリティとルーティングを目的に、高性能プロセッサ、セキュリ ティ専用コプロセッサ、フローベースのセキュリティ専用OSの最適な組み合わせで新規に設計・開発されました。パフォーマ ンスを追求した技術でトラフィックのセキュリティ確保を最適に処理するSSG 500。支店・営業所レベルや中堅企業レベルの 環境に理想的な製品です。 Copyright ©2008, Juniper Networks, Inc. セキュア・サービス・ゲートウェイ 500シリーズ システムアーキテクチャ概要 ジュニパーネットワークスについて ジュニパーネットワークスは、ハイ・パフォーマンス・ネットワーキングのリーダーです。サービスおよびアプリケーションの 一元化されたネットワークにおける展開を加速するのに不可欠な、即応性と信頼性の高い環境を構築するハイ・パフォーマンス なネットワーク・インフラストラクチャを提供するジュニパーネットワークスは、お客様のビジネス・パフォーマンスの向上に 貢献します。ジュニパーネットワークスに関する詳細な情報は、以下のURLでご覧になれます。 http://www.juniper.co.jp/ 日本 米国本社 米国東海岸 アジアパシフィック ヨーロッパ、中東、アフリカ ジュニパーネットワークス株式会社 東京本社 〒163-1035 東京都新宿区西新宿3-7-1 新宿パークタワーN棟35階 電話 03-5321-2600 FAX 03-5321-2700 Juniper Networks, Inc. 1194 North Mathilda Ave Sunnyvale, CA 94089 USA Juniper Networks, Inc. 10 Technology Park Drive Westford, Massachusetts 01886-3146 USA Juniper Networks (Hong Kong) Ltd. 26/F Cityplaza One 1111 King’ s Road, Taikoo Shing, Hong Kong Juniper Networks Ireland Airside Business Park Swords, County Dublin Ireland 電話 978-589-5800 FAX 978-589-0800 電話 852-2332-3636 FAX 852-2574-7803 電話 35-31-8903-600 FAX 35-31-8903-601 西日本事務所 〒541-0041 大阪府大阪市中央区北浜1-1-27 グランクリュ大阪北浜 電話 888-JUNIPER (888-586-4737) または408-745-2000 FAX 408-745-2100 URL http://www.juniper.net URL http://www.juniper.co.jp Copyright© 2008, Juniper Networks, Inc. All rights reserved. Juniper Networks, Juniper Networks のロゴは、米国及びその他の国の Juniper Networks, Inc. の登録商標です。その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。これらの仕様はすべて予告なく変更さ れる場合があります。 本資料の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、ジュニパーネットワークスは一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。 200177-004 JP Nov 2008 10
© Copyright 2024 Paperzz
