ソリューションプロファイル： DDoS プロテクション

ソリューションプロファイル | DDoS プロテクション
DDoS プロテクションアーキテクチャの構築
分散型サービス拒否（DDoS）攻撃は、絶えず変化しています。目的がサービス停止であること
は変わりませんが、攻撃者がますます高度になり、攻撃がますます巧妙化しています。攻撃の
動機もさらに金銭的または政治的になり、標的にされた犠牲者の被害もさらに深刻化してい
ます。
以前、DDoS 攻撃はレイヤ 3 ∼ 4 に集中し、ネットワークファイアウォールがその防御の要と
して機能していました。これに対し、攻撃者は、スタックを上げ、SSL およびアプリケーション
層の攻撃に切り替え、リソースを対象とするようになりました。
従来のネットワークファイアウォールでは、これらの攻撃の量と技術に対応できません。これ
らのファイアウォールは、処理するトラフィックの状況を把握できないので、多層攻撃を防御
できません。
クラウド型のスクラビングサービスは、大規模な大量攻撃に対抗するツールとして開発されま
した。しかし、あらゆる DDoS 攻撃を対して、包括的に防御することはできません。アプリケー
ションサーバを標的とした攻撃（ビジネスロジック攻撃など）や DNS サーバを標的とした攻
撃だけでなく、SSL 暗号化通信に隠された攻撃も軽減するには、強力なオンプレミスセキュ
リティが必要です。
F5 多層アーキテクチャ: 全層保護
壊滅的な被害を与える可能性のある DDoS 攻撃と向かい合い、多くの金融業界の顧客や企業
は、DDoS を防ぐためにそのネットワークを再設計することが必須となりました。F5 は、この
ようなお客さまと協力することで、2 層間に F5 セキュリティ製品を含む DDoS プロテクショ
ンアーキテクチャを開発しました。第 1 層は、DNS およびレイヤ 3 とレイヤ 4 の DDoS 攻撃
を防御します。ネットワーク攻撃への対策を分離することで、第 2 層は、その CPU リソースを
使用して上位層のアプリケーションプロトコルを保護できます。この戦略の効果はすでに、F5
の数か所のカスタマデータセンタで証明されています。
この多層アーキテクチャにより、第 2 層のアプリケーション層は、第 1 層と独立して拡張でき
ます。また、第 2 層内で、異なるコードバージョン、プラットフォーム、およびセキュリティポリ
シーを使用できます。たとえば、F5 の Web アプリケーションファイアウォールの新しいポリ
シーを第 2 層の単一のスタンドアロンユニットに導入できます。次に、第 1 層は、新しいポリ
シーが検証されるまで、1 % のトラフィックを第 2 層に送信できます。
中小企業は、IT への投資の価値を最大限に高めるようとして、単一の統合型セキュリティプ
ラットフォームを統合します。F5 は、このような企業向けに、DNS や SSL など、レイヤ 3 ∼ 7
の DDoS 攻撃を防御する、コスト効率に優れた一層ソリューションを提供します。
主な機能
• スケールおよびパフォーマンス : 最大
57,600 万の同時接続、640 Gbps のス
ループット、および 1 秒あたり 800 万の
接続に対応します。
• インテリジェンスおよびコンテキスト: 着
信接続の異常なレイテンシーを監視し、
攻撃者と有効なユーザを区別します。
• 全層保護: ネットワーク、DNS、SSL お
よびアプリケーションのすべての層で
DDoS セキュリティを確保します。プロト
コル（UDP、TCP、SIP、DNS、HTTP およ
び SSL）だけでなく、アプリケーションも
保護します。
• 動的な脅威の軽減: F5 iRules を使用し
て、ゼロデイの動的なセキュリティコンテ
キストを作成します。
主な特長とメリット
• ネットワークインフラストラクチャを保
護: 専用のハードウェアおよびフルプロキ
シアーキテクチャにより、攻撃をネット
ワークに到達する前に軽減します。
• ブランドの評判を維持: 顧客は常に Web
アプリケーションを介してビジネスを行
うことができます。
• 標的型攻撃を防御: 幅広い DDoS 攻撃ベ
クトルに対応し、巧妙化する攻撃を軽減
します。
• コストを削減 : D D o S プロテクション
サービスを既存の F5 プラットフォームで
統合することで、OpEx コストを削減でき
ます。
ソリューションプロファイル | DDoS プロテクション
詳細について
ソリューション
F5 の DDoS 対策ソリューションの詳
細については、以下の参照資料をご覧
になるか、f5.com の検索機能をご利用
ください。
F5 の DDoS ソリューションのコンポーネントは、アプリケーションレベルでも効果的に機能
し、拡張性に優れた高性能フルプロキシアーキテクチャをサポートします。また、これらのコ
ンポーネントは、埋め込み型として、ミラーポートのトラフィックをサンプリングまたは監視す
るのではなく、すべてのユーザ接続を検査するため、本質的なセキュリティを提供します。これ
により、世界中の F5 の顧客は、10 年以上に渡り毎日 DDoS に対処しています。通常、F5 は、
DDoS 攻撃に対処し、可用性を保証する唯一のソリューションとして位置付けられます。
ソリューション
F5 DDoS Protection
F5 の DDoS 対策ソリューションは、以下に示す F5 セキュリティポートフォリオのインテリ
ジェントで拡張性に優れた各コンポーネントの本質的なセキュリティに基づいています。
製品
• 高性能ネットワークファイアウォール機能: SYN フラッドおよび ICMP フラッドなどの
ネットワーク層を標的とした DDoS 攻撃を防御します。
BIG-IP Advanced Firewall Manager
• 業界をリードする Web アプリケーションファイアウォール: アプリケーションレベルでも
効果的に機能することで、HTTP ベースの攻撃を検知および軽減します。
BIG-IP Global Traffic Manager
BIG-IP Application Security Manager
BIG-IP Local Traffic Manager
• フルプロシキ DNS アーキテクチャ: すべての DNS リクエストを検証し、すべての DNS レ
スポンスを提供しつつ、DNS DDoS フラッドを軽減します。
ホワイトペーパー
• F5 のアプリケーションデリバリコントローラ: 高性能かつ高容量の暗号オフロードハー
ドウェアにより SSL DDoS 攻撃を吸収することで、SSL リソースを保護します。
The DDoS Threat Spectrum
Mitigating DDoS Attacks with
F5 Technology
• F5 は、iRules® のスクリプト言語によるその豊富なデータプレーンプログラミングに基づ
REFERENCE
ARCHITECTURE: DDoS Protection
き、ゼロデイ攻撃を防御してきた長年に渡る経験があります。
CONTENT TYPE: Architecture Diagram
AUDIENCE: IT Director/Security Engineer
CUSTOMER SCENARIO: Enterprise Data Center
次世代
ファイアウォール
第2層
第1層
ネットワーク攻撃:
ICMP フラッド、
UDP フラッド、
SYN フラッド
マルチ ISP
戦略
企業ユーザ
SSL 攻撃:
SSL 再ネゴシエーション、
SSL フラッド
金融サービス
正規ユーザ
E-コマース
ISPa/b
DNS 攻撃:
DNS アンプ攻撃、
クエリフラッド、
ディクショナリ攻撃、
DNS ポジショニング
DDoS
攻撃者
クラウド
スクラビング
サービス
ネットワーク
および DNS
HTTP 攻撃:
スロー POST、
Slowloris、
再帰的 POST/GET
アプリケーション
IPS
脅威インテリジェンスの情報
スキャナ
匿名
プロキシ
匿名リクエストボットネット
サブスクライバ
戦略的な制御ポイント
攻撃者
二層 DDoS 対策アーキテクチャにより、スケールセキュリティコンポーネントの効率性と柔軟性が向上します。
合同会社
東京本社
〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階
TEL 03-5114-3210 FAX 03-5114-3201
西日本支社
〒530-0012 大阪府大阪市北区芝田 1-1-4 阪急ターミナルビル 16 階
TEL 06-7222-3731 FAX 06-7222-3838
www.f5networks.co.jp
©2013 F5 Networks, Inc. All rights reserved.F5、F5 Networks、および F5 のロゴは、米国および他の所定の国における F5 Networks, Inc. の商標です。その他の F5 の商標は f5.com に記載されています。本文中に記載されているその他の製品、サービス、または社名
はすべて各所有者の商標であり、明示または黙示を問わず、F5 が承認または認知するものではありません。1013 SOLP-SEC-11851-ddos-protection 1013

Download Report