F5 Networks V9 Report A Broadband-Testing Report First published September 2004 (V1.0) Published by Broadband-Testing La Calade, 11700 Moux, Aude, France Tel : +33 (0)4 68 43 99 70 Fax : +33 (0)4 68 43 99 71 E-mail : [email protected] Internet : http://www.broadband-testing.co.uk ©2004 Broadband-Testing All rights reserved. No part of this publication may be reproduced, photocopied, stored on a retrieval system, or transmitted without the express written consent of the authors. Please note that access to or use of this Report is conditioned on the following: 1. The information in this Report is subject to change by Broadband-Testing without notice. 2. The information in this Report, at publication date, is believed by Broadband-Testing to be accurate and reliable, but is not guaranteed. All use of and reliance on this Report are at your sole risk. Broadband-Testing is not liable or responsible for any damages, losses or expenses arising from any error or omission in this Report. 3. NO WARRANTIES, EXPRESS OR IMPLIED ARE GIVEN BY Broadband-Testing. ALL IMPLIED WARRANTIES, INCLUDING IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NON-INFRINGEMENT ARE DISCLAIMED AND EXCLUDED BY Broadband-Testing. IN NO EVENT SHALL Broadband-Testing BE LIABLE FOR ANY CONSEQUENTIAL, INCIDENTAL OR INDIRECT DAMAGES, OR FOR ANY LOSS OF PROFIT, REVENUE, DATA, COMPUTER PROGRAMS, OR OTHER ASSETS, EVEN IF ADVISED OF THE POSSIBILITY THEREOF. 4. This Report does not constitute an endorsement, recommendation or guarantee of any of the products (hardware or software) tested or the hardware and software used in testing the products. The testing does not guarantee that there are no errors or defects in the products, or that the products will meet your expectations, requirements, needs or specifications, or that they will operate without interruption. 5. This Report does not imply any endorsement, sponsorship, affiliation or verification by or with any companies mentioned in this report. 6. All trademarks, service marks, and trade names used in this Report are the trademarks, service marks, and trade names of their respective owners, and no endorsement of, sponsorship of, affiliation with, or involvement in, any of the testing, this Report or Broadband-Testing is implied, nor should it be inferred. 目 次 はじめに................................................................................................................................. 1 ネットワーキング改革 ................................................................................................ 1 バージョン 9 の重要性と先進性 – エグゼクティブサマリー....................................................... 3 テストの詳細 – バージョン 9 のレイヤ 7 機能テスト ................................................................. 6 テストの概要 ............................................................................................................. 6 ベンダー別の機能概要 .............................................................................................. 6 機能テスト ............................................................................................................... 12 分析 ........................................................................................................................ 18 総評..................................................................................................................................... 27 付録 1:新しい BIG-IP 製品シリーズ..................................................................................... 28 BIG-IP バージョン 9 のオプション ............................................................................. 28 付録 2:主な機能の概要....................................................................................................... 29 Universal Inspection Engine(UIE)と iRule ............................................................ 29 iControl ..................................................................................................... 29 最適化とアクセラレーション......................................................................... 30 セキュリティ機能の概要 ........................................................................................... 33 ロードバランシングとアプリケーションスイッチング .................................................... 36 フォールトトレランス ................................................................................................. 37 図の一覧 図 1 – バージョン 9 の GUI – レッドライン統計 .................................................................................................................................................................... 13 図 2 – Cisco CSM の「GUI」 .............................................................................................................................................................................................. 14 図 3 – BIG-IP システムを使ったレートシェーピング ............................................................................................................................................................. 16 図 4 – iControl SOAP/XML インターフェーステスト ........................................................................................................................................................... 17 図 5 – バージョン 9 の GUI – メイン設定画面..................................................................................................................................................................... 18 図 6 – UIE と iRule の Windows Messenger ログインテスト ............................................................................................................................................... 21 図 7 – iRule によるエラーコードウェブページのリダイレクト................................................................................................................................................... 22 図 8 – ヘッダのクローキングテスト – iRule 適用前 .............................................................................................................................................................. 22 図 9 – ヘッダのクローキングテスト – iRule 適用後 – ヘッダ情報なし .................................................................................................................................... 23 図 10 – 圧縮ポリシーテストで使った iRule .......................................................................................................................................................................... 24 図 11 – コンテンツスプーリング ........................................................................................................................................................................................... 25 図 12 – F5 BIG-IP 6400................................................................................................................................................................................................... 28 図 13 – F5 BIG-IP バージョン 9 の UIE ............................................................................................................................................................................ 29 図 14 – iControl の仕組み ................................................................................................................................................................................................ 30 Broadband-Testing について Broadband-Testing はヨーロッパ屈指の独立したネットワークテスト施設・コンサルティング組織 で、ブロードバンドおよびネットワークインフラストラクチャ製品を専門としています。 フランス南部を拠点に、幅広い実験、実演、および会議の施設を提供しています。さらに、ヨー ロッパ、東南アジア・太平洋地域、米国におけるベンダーとエンドユーザ組織を対象に、広範で専 門的な IT、ネットワーキングおよび開発サービスを提供しています。 Broadband-Testing は、以下の機関と提携しています。 • NSS Network Testing Laboratories(セキュリティ製品テスト専門) • Broadband Vantage(ブロードバンドコンサルティンググループ) • Limbo Creatives(特注ソフトウェアの開発) Broadband-Testing Laboratories は、ネットワーキング、通信、セキュリティハードウェアおよ びソフトウェアの、ベンダーとエンドユーザのために完全に独立したテストを実施しています。 また、承認計画の実施により、エンドエンドユーザによる承認済み製品の購入検討と決定を支援 しています。 最新のネットワーク関連テクノロジについての詳細な調査報告書、記事と白書を含む実験結果は、 Broadband-Testing ウェブサイトhttp://www.broadband-testing.co.ukで無償提供しています。 フランス南部のムーにあるカンファレンスセンターは、セールストレーニング、一般セ ミナーや製品発表に理想的な場所にあり、また Broadband-Testing は、セールス、マー ケティングおよびテクニカルドキュメント用のテクニカルライティングサービスを提供 するだけでなく、製品開発用のドキュメンテーションおよびテスト施設も備えています。 Broadband-Testing Consultancy Services は、ネットワーク設計、戦略プランニング、イン ターネットコネクティビティ、製品開発支援など幅広いコンサルティングサービスを提供しています。 Broadband-Testing F5 V9 Report はじめに ネットワーキング改革 ネットワークベンダーによるプレゼンテーションではネットワーキングの歴史を説明 するスライドを誰でも一度は見たことがあるでしょう。 イーサネット誕生から始まり、現在のルーティング、そしてスイッチングへと続きま す。さて、つぎに登場するのは何でしょうか。その答えは、すでに目の前にありま す。レイヤ 7(L7)トラフィック管理と呼ばれるものです。レイヤ 7 は数年前に登場 していますが、これがネットワーキングトラフィックの管理方法を変える革命的手段 であることがようやく認識され始めています。これは、ルーティングが初めて導入さ れた時と同様の、重要な変化と言えます。現在のネットワーキングインフラストラク チャでは、ネットワーキングが誕生して以来の問題を解決することはできません。 つまり、ISV(独立系ソフトウェアベンダ)の言い分に反して、ネットワークアプリ ケーショントラフィックがネットワークを認識せず、ネットワークとの親和性に欠け、 ネットワーク上で動くように設計されていないということです。 このような問題が存在しないとすれば、エンタープライスソフトウェアアクセラレー ション製品の巨大な市場も存在しないはずです。さらに興味深いことに、この 2∼ 3 年間で、レイヤ 7 トラフィック管理市場に多数のベンダーが参入しています。 データ圧縮を中心に、このアプリケーションだけに注力する程のベンダーも見られ ます。しかし、レイヤ 7 ですべてのアプリケーションデータを操作し、アプリケー ションサービスおよびネットワークサービスと直接対話できるようにするのに、真に 必要とされているものは何なのでしょうか。 現在、ネットワーキングの革命的変化が起こっています。その結果、ネットワーキン グがソフトウェアテクノロジに姿を変え、ハードウェアの寿命制限や利用できる帯 域幅テクノロジの限定がなくなります。つまり、物理的な制約から解放され、ネット ワーキングの可能性が無限に広がります。これが真にユビキタスな開発プラット フォームを実現し、これによりネットワークの継続的変更と開発が可能になり、物理 的追加と変更による現在のような影響を受けることがなくなります。ハードウェアは、 ネットワークロジックの単なる拡張部分に過ぎません。インテリジェントなネットワー クが、ハードウェア上で動作するアプリケーションおよびサービスと連携して、ハー ドウェアを直接管理します。ネットワーキングの未来は、すでに始まっているので す。 このレポートの目的 このレポートは、F5 ネットワークスの BIG-IP®バージョン 9 リリースのさまざまな 機能をテストするためのものです。これに伴い、多様で非常に難易度の高い一連 のテストが作成されました。すべてのテストは、実際のシナリオ、アプリケーションと データにもとづくものです。したがって、このテスト結果は、ネットワーク管理者はも ちろん、トラフィック管理の問題を日常的に処理するすべての人々にとって大いに 役立ちます。F5 は、アプリケーションとサービスを統合したインテリジェンスとトー タルネットワーキングの推進というアプローチをとり、研究所でのテストも、このアプ ローチを重視しています。F5 は、膨大な人時を費やしたプロジェクトの一端として 競合製品の機能を社内でテストしており、Broadband-Testing は、この徹底的な 内部テストの結果も検証しています。つまり、ネットワーキングの未来を左右する 重要なテストには、万全な体制で取り組まなければなりません。このレポートは軽 率になることなく、真実のみをお伝えします。 Page 1 Broadband-Testing F5 V9 Report Page 2 Broadband-Testing F5 V9 Report バージョン 9 の重要性と先進性 – エグゼクティブサマリー F5 は、バージョン 9 で、製品アーキテクチャを完全かつ徹底的に再開発していま す。その結果、新たな製品シリーズである BIG-IP 1500、3400 および 6400 IP アプリケーションスイッチのほか、さらに重要なことに、現在はもちろん将来も十分 に活用できるレイヤ 7 アーキテクチャが導入されました。F5 は、新リリースで全体 的な機能とパフォーマンスレベルを再定義するため、既存の自社製品シリーズと 競合企業の製品シリーズを慎重に検討しました。その結果、以下のエリアで業界 をリードしています。 TM/OS:新しい BIG-IP システムの中核となるのが、革命的な新アーキテクチャ、 TM/OS(Traffic Management / Operating System)です。これは、統合化さ れたアプリケーションインフラストラクチャサービスが、ビジネスアプリケーションの 配布を安全化・最適化するために唯一であろうシステムを、F5 が開発、提供する ものです。TM/OS 搭載の BIG-IP システムは、アプリケーションの流動性、全体 的なコントロールと完全な柔軟性を提供し、絶えず変化する多様なアプリケーショ ンのニーズという、現在の IT スタッフが直面している問題を解決できます。 TM/OS は、市場の中で全く類を見ないアーキテクチャなのです。 システム評価:これほど充実した重要な統計への即時アクセスを提供するベン ダーは、他にはありません。デバイスとネットワークの容量を簡単に把握できるた め、アップタイムを最大限に高めることができます。 管理:F5 は GUI を完全に再開発し、ブラウザに依存しない、非常に使いやすい GUI を実現しています。最も重要な特長として、製品の全機能にアクセスできる 点が挙げられます。 プロファイルを使ってセキュリティ、最適化、または配布のアプリケーションポリ シー(詳細については後述)を標準化し、繰り返し利用できます。その結果、管理 コストを削減し、管理を簡素化できます。さらに、完全に独立した管理専用ポート とインターフェースにより、真の「完全自動」管理機能を提供しています。 UIE と iRule – インバウンドトラフィックとアウトバウンドトラフィックのコントロー ル:F5 は、Universal Inspection Engine(UIE)と iRule を再設計し、すべて の双方向 IP トラフィックフローの詳細な検査を可能にしました。SSL 終端やヘル スモニタリングなど、デバイスの他の機能のパフォーマンスに影響を与えることもあ りません。 iRule のパワーは、F5 が提供するすべてのアプリケーションインフラストラクチャ サービスを、あらゆるアプリケーションセッション中にいつでも呼び出せる機能にあ ります。iRule は、イベント駆動型の完全なリレーショナルプログラミング言語で、 ポリシーの定義と実施における卓越した柔軟性を提供します。 アプリケーションレベルセキュリティ:iRule を利用して、あらゆる種類の悪質な攻 撃をアプリケーション層でブロックできるようになりました。プロトコルのサポートや 検査の複雑さを気にする必要はありません。 レートシェーピング:BIG-IP システムは、アプリケーションの種類とユーザの種類 を組み合わせることにより、ネットワークトラフィックをコントロールできます。これに より、ネットワークをさらにきめ細かく微調整し、ミッションクリティカルなアプリケー Page 3 Broadband-Testing F5 V9 Report ションを最優先して必要な帯域幅を確保すると同時に、他のアプリケーションの速 度を制限しサービスのクオリティ向上やセキュリティ強化を図ることができます。 Page 4 Broadband-Testing F5 V9 Report Open API:F5 は、iControl® API を拡張し、イベント機能を追加しています。こ れは、イベントをもとに、iControl がウェブサービス利用者に情報を発行する機能 です。さらに、この API は主要な開発フレームワークと言語をすべてサポートし、 独自の iRule と直接連携するほか、DevCentral(http://devcentral.f5.com/) ウェブサイトで独自の開発コミュニティをサポートします。 クライアント(コネクション)の集約:バージョン 9 は、コンテンツスイッチング機能を 使った非常に柔軟で安全な方法でコネクションを集約します。 柔軟なネットワーキング:F5 は、最高位の VLAN とトランキングのサポートを組 み合わせ、真の柔軟性を備えたネットワーキングをいち早く提供しています。 iRule を使ったレイヤ 7 のパケットフィルタリングオプションは、他社の追随を許し ません。レイヤ 4 では、IPSec VPN などすべての IP トラフィックをバランスする卓 越した機能を発揮します。 認証モデル:バージョン 9 の高度な認証プロキシ機能は、他のレイヤ 7 製品ベン ダーを超える幅広い機能性を提供し、LDAP、TACACS、Radius、HTTPS のほ か、OCSP クライアント証明書を含むさまざまな SSL セキュリティをサポートします。 圧縮ポリシー:F5 は、Pool、VLAN または iRule による圧縮機能を追加し、圧縮 機能の単なるオン/オフではなく、すべてのユーザタイプと状況に応じた真の最適 化を実現しています。 セキュアなポリシー:バージョン 9 では cookie の柔軟性をさらに高め、iRule の 機能セット全体を拡張して、cookie 暗号化などの機能を追加しています。アプリ ケーションとプロトコルの組み合わせにかかわらず、ステートフルとステートレスの 両方に対応しています。さらに、cookie のみならず、すべての IP コンテンツを指 定して暗号化できます。 コンテンツスプーリング:バージョン9では、BIG-IP システムがクライアント要求に 対する完全なサーバ応答を受け入れてバッファリングできるため、サーバは関連リ ソースを即時に解放しながらも、BIG-IP デバイスは、利用可能な帯域幅に適した 速度でクライアントにサービスを提供することができます。 暗号化ストレージ:BIG-IP システム独自の機能のひとつに、埋め込まれた情報 を必要に応じて選択し、AES 暗号を使って暗号化・復号化する機能があります。 Page 5 Broadband-Testing F5 V9 Report テストの詳細 – バージョン 9 のレイヤ 7 機能テスト テストの概要 今回の機能テストでは、BIG-IP 6400 プラットフォームを使ってバージョン 9 コー ドを調べ、テスト全般を通じて F5 の主要競合ベンダーと機能セットを比較しまし た。いずれのプラットフォームもテスト実施日の時点で最新のもので、現行のソフト ウェアリリースを使用しました。ここでは主に、BIG-IP ソフトウェアの完全な書き変 えにより、F5 がレイヤ 7 ネットワーキングの世界をどこまで進歩させたかという点 に着目しています。 また、テストを機能と分析の 2 つの論理的カテゴリーに分けました。機能のカテゴ リーではテストした機能の実装具合を評価し、分析のカテゴリーではデータコンテ ンツタイプのテスト結果を分析しています。まず、簡単な機能比較表をご覧くださ い。 ベンダー別の機能概要 機能:システム評価 ベンダー 特性 F5 充実:全機能の監視が簡単。 Cisco CSS 統計情報なし。現在の CPU/メモリ使用量のみを表示。 Cisco CSM GUI は HTML 駆動型 CLI のみ。特徴なし。 NetScaler 制限あり:CPU 使用量とメモリ使用量の表示は便利だが、完全な診断と トラブルシューティングに必要なレベルの情報を提供しない。 履歴情報 が皆無で、容量プランニングには使えない。 Nortel 一元化されたシステム評価機能なし。 Radware 統計情報なし。現在の CPU 使用量のみを GUI で表示。履歴情報な し。 Redline 制限あり:基本ネットワーク、CPU、メモリステータスの 3 つのアイコンあ り。オン/オフ状態の表示のみで、理由の表示なし。テストの結果、システ ム評価機能が頭痛の種であることが判明。CPU アイコンが理由もなく赤 くなり、GUI に新オブジェクトが作成される。 機能:管理 ベンダー F5 Cisco CSS Cisco CSM NetScaler Nortel Radware Redline 特性 堅牢な UI に完全な機能セットを装備。 HTML 駆動型 CLI と大差ない程度の GUI。時代遅れのテクノロジ。 GUI は単なる HTML 駆動型 CLI。まったくの時間の無駄。 制限あり:平均以上だが、統計と設定が個別のインターフェース上にあ る。Java を使用しており、信頼性とパフォーマンスの問題あり。オンライン ヘルプなし。 GUI は HTML 駆動型 CLI と大差ない程度。非論理的で CLI にさえ 劣る。オンラインヘルプなし。 外観は基本的。用語が非常に難解で、統合型のオフラインヘルプがない。 ナビゲーションがセクション分割されておらず、1 ページが長すぎる。ビ ジュアルキューやオンライン/オフラインヘルプもない。 Page 6 Broadband-Testing F5 V9 Report 機能:アプリケーションレベルセキュリティ ベンダー 特性 F5 完全な HTTP/TCP/UDP トラフィック検査機能。iRule が威力を発揮。 Cisco CSS HTTP のみ、UDP なし。Slammer を検出できず、SIP リクエストの検査も不 可能。 Cisco CSM HTTP のみ、UDP なし。Slammer を検出できず、SIP リクエストの検査も不 可能。 NetScaler HTTP のみ、UDP なし。Slammer を検出できず、SIP リクエストの検査も不 可能。 Nortel アドオンモジュールの Security Pack が必要。 Radware 機能を近付けるには、高価なアドオンが必要。 Redline HTTP のみ、UDP なし。Slammer を検出できず、SIP リクエストの検査も不 可能。 機能:レートシェーピング ベンダー 特性 F5 レイヤ 4∼レイヤ7のオプションが充実。 Cisco CSS 機能なし。 Cisco CSM 統合型レートシェーピング機能なし。アドオン CAT モジュールが必要で、 レイヤ 3 以下の情報に限定されている。 NetScaler 機能なし。 Nortel IP アドレス、VLAN、ポート、仮想サーバ、URL パス、cookie のレート シェーピングが可能。アドオンモジュールが必要。双方向または「借用」イン テリジェンスなし。 Radware ポート、VLAN、Src/Dest IP、コンテンツ(借用決定をトリガー)のレート シェーピングが可能。アドオンモジュールが必要。双方向または「借用」イン テリジェンスなし。 Redline 機能なし。 機能:Open API ベンダー 特性 F5 iControl を通じて広範な開発フレームワークと言語をサポート。 Cisco CSS XML ドキュメントを使った製品の HTTP 設定ができる。真の API ではない。 Cisco CSM XML ドキュメントを使った製品の HTTP 設定ができる。真の API ではない。 NetScaler API を提供するが、F5 の DevCentral のような開発者サポートサイトはなし。 Nortel 機能なし(または機能を提供する明白な予定なし)。 Radware 機能なし。 Redline 機能なし。 機能:クライアント(コネクション)の集約 ベンダー 特性 F5 充実した設定オプションで完全サポート。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler サポートするが設定オプションなし。 Nortel 機能なし。 Radware 機能なし。 Page 7 Broadband-Testing F5 V9 Report Redline サポートするが設定オプションなし。 Page 8 Broadband-Testing F5 V9 Report 機能:VLAN/トランキング実装 ベンダー 特性 F5 IEEE 仕様 VLAN を完全サポート。トランキングを完全サポート。最大 4094 の VLAN にハードウェア ASIC で対応。 Cisco CSS トランキング機能なし。最大 128 の VLAN をサポート。 Cisco CSM トランキング機能あり。最大 512 の VLAN をサポート。 NetScaler 802.3AD トランキングをサポート(LACP サポートなし)。4094 の VLAN を 完全サポートし、ソフトウェアで対応。 Nortel トランキング機能あり。最大 255 の VLAN をサポート。 Radware トランキング機能なし。VLAN タグをサポート。 Redline 機能なし。 機能:パケットフィルタリング ベンダー 特性 F5 広範なレイヤ 2∼レイヤ 7 フィルタリング。完全な iRule プログラマティック コントロール。 Cisco CSS レイヤ 3 とレイヤ 4 のみ。基本的な ACL を使用。 Cisco CSM Catalyst IOS を利用すれば可能。レイヤ 3 とレイヤ 4 ACL のみ。 NetScaler ACL はレイヤ 3 情報のみをサポート。HTTP 検査機能を使ったレイヤ 7 でのトラフィック拒否が可能。 Nortel レイヤ 4 とレイヤ 7 の文字列検査。プログラミング可能なオプションなし。 Radware レイヤ 4 とレイヤ 7。プログラミング可能なオプションなし。 Redline AppRules を使ったクライアント IP の検査が可能だが、フィルタリングには 程遠い。パケットベースフィルタ、レイヤ 4 情報もなし。 機能:TCP・UDP を除く IP トラフィック-IPSec VPN のロードバランシング ベンダー 特性 F5 完全サポート。 Cisco CSS 機能なし。 Cisco CSM サポート可能。 NetScaler 機能なし。 Nortel サポート可能だが、設定が非常に複雑。 Radware WSD サポートなし。ただし、Fireproof アドオンによるサポート可能。 Redline 機能なし。 機能:UIE と iRule ベンダー 特性 F5 方向とフィルタリングの決定で全種のトラフィックをサポート。高度な完全正 規表現、双方向トラフィック検査、完全プログラマティックロジック、リスト比較 をサポートし、データの任意変更が可能。 Cisco CSS HTTP のみで、正規表現やプログラマティックロジックをサポートしない。双 方向トラフィック検査なし。データ変更は不可能。 Cisco CSM HTTP のみで、正規表現やプログラマティックロジックをサポートしない。双 方向トラフィック検査なし。データ変更は不可能。 NetScaler HTTP のみで、正規表現やプログラマティックロジックをサポートしない。双 方向トラフィック検査なし。リスト照合のサポートなし。データ変更は不可能。 Nortel プログラミングやマルチポリシーの組み合わせをサポートしない基本的な ルールセット。 Radware 柔軟な検査ルールだが、データを変更やプログラマティックロジックがな い。 Redline 条件ベースだが、プログラマティックではない。要求と応答を処理し、デー タ変更可能。 Page 9 Broadband-Testing F5 V9 Report 機能:プログラミングの可能性と新 TCL 構文の柔軟性 ベンダー 特性 F5 完全なプログラミングが可能。 Cisco CSS 基本的な条件リスト以上のプログラマティックロジックなし。変数/ループなし。 Cisco CSM 基本的な条件リスト以上のプログラマティックロジックなし。変数/ループなし。 NetScaler HTTP のみ。基本的な AND/OR 以上のプログラマティックロジックなし。変数 /ループなし。 Nortel プログラマティックロジックなし。変数/ループなし。非常に基礎的。 Radware セキュリティ検査機能はすぐれているが、データ変更は不可能。プログラマ ティックロジックなし。 Redline HTTP のみ。F5 に近いが、基本的な AND/OR 以上のプログラマティックロ ジックなし。変数/ループなし。 機能:インバウンド・アウトバウンド イベントベースでの判断 ベンダー 特性 F5 インバウンドとアウトバウンドの完全なコントロールで、コンテンツ書き変えが可 能。 Cisco CSS 機能なし。 Cisco CSM HTTP 応答コードをもとにサーバを使用不能としてマークできるが、これ以上 の機能はない。 NetScaler 機能なし。 Nortel 機能なし。 Radware 機能なし。 Redline HTTP 応答検査とある程度のコンテンツ書き変えは可能だが、パターン照合 や暗号化機能はない。 機能:コンテンツマスキング用のペイロードコンテンツ書き変え ベンダー 特性 F5 リソースクローキングとコンテンツの変更に伴うコンテンツ浄化が可能。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler 機能なし。 Nortel 機能なし。 Radware 機能なし。 Redline パターン照合機能なし。データの追加/前方付加/置き換えのみが可能。 ヘッダ削除によるリソースクローキングが可能。 機能:ヘッダまたはペイロードへの事前定義文字列の挿入 ベンダー 特性 F5 任意コンテンツの挿入と、機能セットの使用(プロキシ認証使用時など)との 結合が可能。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler 機能なし。 Nortel 機能なし。 Radware 機能なし。 Redline 認証機能と統合されていないが、文字列の挿入は可能。 Page 10 Broadband-Testing F5 V9 Report 機能:認証モデル 特性 ベンダー さまざまな方法を使った完全な認証プロキシ機能(OSCP は F5 特有)。 F5 機能なし。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler 機能なし。 Nortel 機能なし。 Radware LDAP/RADIUS のプロキシ認証が可能。TACACS や OSCP のサポート Redline なし。 機能:圧縮ポリシー ベンダー 特性 F5 完全に調整できる圧縮機能(Pool、VLAN、iRule パラメータなど)。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler HTTP 検査にもとづく無効化オプションがあるが、動的な設定やルールに もとづくレベル調整ができないため、真のクライアント認識とはいえない。 Nortel 機能なし。 Radware 機能なし。 Redline 圧縮機能が組み込まれているが、まったく設定できない。 機能:セキュアポリシー ベンダー 特性 F5 cookie の暗号化が可能。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler 機能なし。 Nortel 機能なし。 Radware 機能なし。 Redline 機能なし。 機能:コンテンツスプーリング ベンダー 特性 F5 データベースコンテンツのスプーリングとデータベースレコードロッキングの管 理が可能。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler TCP バッファリングは可能だが、設定できるのはバッファサイズのみ。 Nortel 機能なし。 Radware 機能なし。 Redline HTTP 応答をバッファリングできるが、まったく設定できない。 機能:暗号化ストレージ ベンダー 特性 F5 埋め込まれた情報を選択して暗号化/復号化できる。 Cisco CSS 機能なし。 Cisco CSM 機能なし。 NetScaler 機能なし。 Nortel 機能なし。 Radware 機能なし。 Redline 機能なし。 Page 11 Broadband-Testing F5 V9 Report 機能テスト システム評価 ここでは、レイヤ 7 デバイスのステータスを簡単に確認し、デバイスとネットワーク の健全性を即時に評価する機能を比較しました。 この新しいバージョン 9 の GUI では、レイヤ 7 スイッチのすべての主要システム コンポーネントとトラフィックの状態を非常に明確に把握できます。メモリと CPU の 使用量と同時に、新規接続/アクティブな接続とスループットが 1 ページにグラフィ カルに表示されます。さらに、デバイスのほぼ全要素の統計を利用できるほか、色 分けされたステータスディスプレイが GUI の各ページに表示されます。 競合ベンダーの評価 一部のレイヤ 7 競合製品(特に NetScaler)のユーザインターフェースには有用 な情報が表示されるものの、F5 GUI のように詳しい情報を即時に提供するもの はありません。NetScaler の統計ダッシュボードの大きな問題は、メインの設定画 面とは別のルートでアクセスしなければならないことです。そのため、2 つのブラウ ザを開いておく必要があります。今年初めに当施設の研究所でこの製品をテスト した際にも、同じ問題が発生しました。 Redline の GUI には 3 つのアイコンがあり、ネットワーク、CPU、メモリに注意を 払う必要があるかどうかを示していますが、基本的な「Yes」または「No」の表示の みで、詳細を調べるには CLI を使う必要があります。さらに、CLI を調べるたびに 動きが停止する点が気になりました。Radware は CPU 使用量を表示するのみ で、他の情報はほとんど提供していません。ただし、Nortel と Cisco はさらに貧 弱です。両社とも製品ラインの旧式化が著しく、更新の気配もありません。Alteon (Nortel)も Cisco CSM 製品も全く情報を示さず、Cisco CSS は現在の CPU/メ モリ使用量の表示のみという期待はずれの結果となりました。 結論:デバイスを最初に設定した後にネットワーク上で問題が発生した場合、重 要な管理データに即時にアクセスすることにより、時間とコストを節約できます。デ バイスの主要コンポーネントのステータスを即時に表示する機能は必要不可欠で あり、すべてのベンダーが提供すべきものです。 Page 12 Broadband-Testing F5 V9 Report 図 1 – バージョン 9 の GUI – 統計情報 管理 F5 は、管理 GUI を詳しく調べ、バージョン 9 のインターフェースを再設計するに あたり、新たな管理機能を追加しています。特に注目に値するのが、「プロファイ ル」というコンセプトです。通常、大規模な構成には、2 つの重要な問題がつきも のです。まず、すべてのオブジェクトでトラフィック管理の属性を繰り返し設定しな ければならないこと。そして、各オブジェクトの設定変更が非常に面倒であるという ことです。プロファイルを利用すれば、任意のいかなる数でも標準トラフィックポリ シーを定義し、任意のあらゆる仮想サーバにも自由に適用できます。顧客はまた、 プロファイルを使って、多数の異種アプリケーションのトラフィック設定を変更でき ます。その結果、構成管理を集中的にコントロールしながら、簡単にローカルおよ びリモート展開できるようになります。この上なくシンプルな方法といえます。 Page 13 Broadband-Testing F5 V9 Report さらに F5 は、管理をいっそう強化するための重要な機能を 2 つ提供しています。 第一に、完全な「自給自足」型の専用管理ポートの提供により、管理の「完全自動 化」を実現しています。そのため、デバイスの問題が発生した場合でも、管理イン ターフェースに確実にアクセスできます。第二に、前述の「インテリジェントな設定 同期化」機能です。この機能のおかげで、冗長ペア構成で両方のデバイスを誤っ て同期化し、間違った設定を適用してしまう心配がなくなります。 図 2 – Cisco CSM の「GUI」 競合ベンダーの評価 競合ベンダーとなる NetScaler の GUI は、全体的に使いやすいものの、大量の 情報を繰り返し追加する場合は処理が非常に遅くなります。旧世代の F5 イン ターフェースに匹敵するもので、それなりの評価はできますが、F5 のインター フェースはすでに進化しています。 Redline の GUI は工夫に欠けます。たとえば、ナビゲーションのページがセク ション分割されておらず、設定ページが長すぎるため、エントリーを見落としがち です。 Radware の用語は、あまりに難解です。WSD とは何か、全くわかりません。 Nortel はベーシックで古臭く、直観性に欠けます。Cisco は CLI に頼るしかな い、という感じです。 結論:CLI の代わりになる完全な(少なくとも完全に近い)機能性を提供しなけれ ば、GUI を開発する意味がありません。ブラウザベースインターフェースの開発に おける努力の欠如は、恥ずべき事態です。これらの製品の値段の高さを考える と、許しがたい行為といえます。特に Cisco と Nortel には要注意です。顧客は彼 らにまさにお金を「だまし取られて」いるのです。 Page 14 Broadband-Testing F5 V9 Report アプリケーションレベルセキュリティ ここでは、「一般的」な分散サービス拒否攻撃のみならず、非常に特定的な攻撃 を防止するセキュリティ防御のレベルに着目します。 バージョン 9 では、カスタマイズされた非常に幅広い防御メカニズムを作成する手 段を iRule が提供します。たとえば、MyDoom や SQL Slammer ワームなどの 攻撃をブロックできます。データフローに含まれる要素について十分な情報があ る限り、悪質な要素を識別する iRule を作成し、任意の数のアクションを実行でき ます。ブロックはオプションのひとつに過ぎません。 コーディングサンプル 1:F5 ネットワークスの iRule sql_slammer_protect when CLIENT_DATA { if { [UDP::payload] contains "SQL"} { log local0. "SQL access detected from [IP::remote_addr]" discard } else { log local0. "SQL connection from [IP::remote_addr]" } } コーディングサンプル 2:Nortel(アドオン製品 – コードの一部のみ) /c/slb/real 100 ena rip 30.30.30.100 addport 80 addport 5060 addport 1434 /c/slb/real 101 ena rip 30.30.30.101 addport 80 addport 5060 addport 1434 競合ベンダーの評価 Cisco の防御メカニズムは HTTP 攻撃のみを対象にしたもので、UDP を考慮し ていません。そのため、明白な限界があります。Nortel と Radware はセキュリ ティツールを提供できますが、いずれも高価なアドオンで、標準装備されていませ ん。さらに悪いことに、上記の Nortel の例では、必要なコードが非常にわかりにく いだけでなく、iRule と同じ結果を得るためにはサンプルよりもずっと大量のコー ディングが必要です。はるかに使いやすい言語である iRule なら、わずか数行の コードで済みます。NetScaler と Redline も、少なくとも現時点では HTTP のみ に焦点をあてているようです。 結論:現在の世界は、純粋な HTTP 環境ではありません。セキュリティ機能を提 供するからには、TCP/IP 環境全体をカバーするのが当然です。さもなければ、 攻撃の絶好のターゲットになってしまいます。 Page 15 Broadband-Testing F5 V9 Report レートシェーピング これまでのレイヤ 7 デバイスのさまざまな機能は「オン」「オフ」式でしたが、レート シェーピング機能を利用すると、アプリケーションとクライアントの種類をもとに、 データトラフィックとコネクションの非常に特定的で限定的なコントロールを提供 できるようになります。今回、バージョン 9 コードをテストするため、「高速」と「低 速」の 2 つのクライアントに対応するアプリケーションを模造し、iRule を使って後 者の転送速度を制限しました。その後、それぞれの模造クライアント用の 2 つの HTTP ファイル転送を実行し、作成済みの iRule を使って BIG-IP デバイスにト ラフィックフローをコントロールさせました。意図したとおり、「低速」クライアントは、 「高速」クライアントと同じファイルをあらかじめ定義された低速で転送しました。そ の様子を、トラフィックフローユーティリティを使って監視しました。 クライアント 図 3 – BIG-IP システムを使ったレートシェーピング 競合ベンダーの評価 レイヤ 7 製品の競合ベンダーの中では、Nortel と Radware が最良の結果を収 めました。 Nortel は IP アドレス、VLAN、物理ポート、仮想サーバ、URL パスまたは cookie にもとづくレートシェーピング機能を提供し、Radware は物理ポート、 VLAN、ソース/デスティネーション IP アドレスのほか、帯域幅の判断をトリガーす るすべてのコンテンツに対応しています。しかし、いずれも設定の複雑さが気にな ります。Radware の場合は、奇妙な用語と構文が問題の原因になっています。 こういった問題は簡単に修正できるはずで、ネットワーキングに対してこのような 「魔術的」アプローチをとった製品が 21 世紀にいまだリリースされている事実に驚 くばかりです。エンジニアを失業させないための策略か、コンサルタントを儲けさ せるためのたくらみでしょうか。 他の製品のうち、Cisco の CSM はレイヤ 4 に限定されており、NetScaler も Redline もレートシェーピング機能を提供している気配はありません。 結論:インターネットベースの単純な最適化を超えるトラフィック管理機能を追求 し、クライアント向けに特化された真のエンドツーエンド帯域幅コントロールを可能 にするための手法は、ひとつしかありません。F5 はバージョン 9 でこのアプロー チを採用し、クライアント単位の真の双方向フロー管理を実現しています。 他社の場合、製品を追加購入しなければならず、余計な導入コストがかかるだけで なく、管理と統合の問題に悩まされることになります。これでは意味がありません。 Page 16 Broadband-Testing F5 V9 Report Open API F5 が iContrl によって真のオープン API を提供していることは、経験的にわ かっています。ここでは、サードパーティアプリケーションが送信したアラートに対 応させるだけでなく、アラートの結果であるアクションを呼び出させることにより、 iControl の柔軟性をテストしました。その手段として、人気が高まりつつある SOAP/XML インターフェースを中心としたアプリケーションを模造しました。 3) iControl アプリケーションが BIG-IP にサーバ D の動的比 率値の調整を命じ、役割縮小 によって新規着信トラフィック を減少させる。 1) Topaz が ア プ リ ケ ー ションの応答性を確定 するチェックを実行。 2) サーバ D の反応が遅いことを Topaz が確認。サーバ/アプリケーションに問 題があり、是正措置が必要であることを iControl アプリケーションに伝達。 図 4 – iControl SOAP/XML インターフェーステスト 図 4 では Mercury Interactive Topaz を使っていますが、実際は任意の数の ネットワーク管理アプリケーションを利用できます。この例では、iControl の命令 がサーバ D の動的比率を 4 から 3 に設定しなおします。 競合ベンダーの評価 NetScaler は API を提供しているものの、 柔軟性に関しては新生 iControl の 足元にもおよびません。Cisco も、HTTP を使った製品設定用の XML ドキュメン トのサポートという形で、限定的なオープンアクセスを提供しています。 他の製品には API 機能はないようです。ファイルをディレクトリに FTP 転送する 機能を API と見なすならば話は別ですが、これには無理があります。専売機能は ご法度のはずのネットワーク業界ですが、これでは F5 が独走状態です。 結論:レイヤ 7 製品の機能の無限ともいえる拡張性を無視するわけにはいきませ ん。Broadband-Testing 研究所では、請求や SLA モニタリングなど、真の価値 を提供する多数の iControl ベースアプリケーションを非常に短時間で作成でき ました。 Page 17 Broadband-Testing F5 V9 Report 分析 ユーザインターフェース BIG-IP デバイスの設定と管理という優れた特長が管理インターフェースそのもの、 ウェブベースシステムであることは、昔から変わっていません(ただし、CLI の代用 も可能です)。 図 5 – バージョン 9 の GUI – メイン設定画面 バージョン 9 では膨大な数の機能が追加されているため、GUI 自体が完全に再 設計され、BIG-IP 製品の機能セット全体へのアクセスを可能にしています。これ は傑出した特長です。 GUI の操作は一貫的で、オンラインヘルプを常時利用でき、それぞれのトピック (たとえば仮想サーバ)が画面全体に拡大表示され、メニューバーにすべてのサ ブオプションが一覧表示されます。各オプションには、ドロップダウン式のサブメ ニューが設定されています。 表示アイテムの数がウェブページの「標準」サイズを超えると、GUI が自動的に ページを追加作成するため、ひとつの画面をスクロールしながら膨大な数のエン トリーを確認する必要がなくなります。このような工夫が、卓越した GUI の秘訣な のです。 Page 18 Broadband-Testing F5 V9 Report Broadband-Testing – 過去における GUI の観察 われわれはこれまで、ウェブベースのインターフェースを信用しないことが少なくあ りませんでした。これには正当な理由があります。機能性に限界があるものや、信 頼性に欠けるものが多かったからです。ベンダーの GUI が、ネットワーク上で設 定する自社スイッチを検出できなかったことさえありました。一方、当施設内で使っ ているサードパーティツールである Deltalert がこのスイッチを見つけただけでな く、スイッチの管理までこなしました。 F5 の場合、GUI を真剣にとらえる姿勢がこの新バージョンにも反映されていま す。 事実、過去そして現在のベンダーの失敗には、以下の 2 つがあります。 - 堅牢で信頼性の高いインターフェースを作るための真剣な努力を怠っている ため、ユーザはインターフェースが正常に動作するという確信を持てません。 その結果、重要な設定変更を行う場合も、インターフェースが正しく作成され ていることを祈らなければなりません。また、GUI が故障を繰り返すケースも あります。 - GUI に安定性と信頼性はあるものの、機能が皆無に等しいため、CLI が唯 一の現実的なオプションになってしまいます。 GUI に関してすべてのベンダーに言いたいことは、 「きちんと作らなければ意味がない」 ということです。100%信頼できないインターフェースを使ったネットワーク設定ほ ど大変なものはありません。ネットワーク管理者に聞いてみてください。GUI を信 頼して使い始めた後に、必要な設定の半分もできないことを悟るのも悲惨です。 CLI を使って最初からやり直す羽目になります。 クライアント(コネクション)の集約 F5 は、前述のとおり、非常に柔軟なクライアント集約ツールである OneConnect を提供しています。このツールは、コンテンツスイッチングで特に活躍します。 OneConnect を使うと、BIG-IP デバイスが同一コネクションでそれぞれの要求を 処理し、異なるバックエンドサーバに要求をダイレクトできます。バージョン 9 は、 要求単位でのコンテンツスイッチングを完全サポートしています。 クライアントが HTTP 1.0 を利用する場合や、通常はサーバサイドのコネクション プーリングを許可しない通信方法を利用する場合に、OneConnect を利用して サーバサイドコネクションを開いておくこともできます。BIG-IP デバイスがコネク ションプーリングによるサーバの利益確保につとめ、(HTTP KeepAlive 機能な どの)クライアント互換性がない場合でも TCP オーバーヘッドを削減するため、こ れは貴重な機能といえます。 Page 19 Broadband-Testing F5 V9 Report 競合ベンダーの評価 NetScaler と Redline Networks の両社はクライアント集約機能を提供している ものの、オン/オフモードしかありません。Cisco、Radware と Nortel は、この機能 をまったく提供していないようです。 結論:TCP 最適化は良いことですが、実世界ではクライアント要求の速度と帯域 幅の可用性が大きく異なるため、これらの条件に合わせて集約機能をカスタマイ ズする必要があります。さもなければ、効率を向上させるはずが、逆に効率低下を 招く結果になります。 柔軟なネットワーキング F5 は、バージョン 9 で、レイヤ 7 デバイス最高の VLAN/トランキングサポートの コンビネーションを提供しています。テスト時の設定も非常に簡単で、パケットフィ ルタリングとの組み合わせでさらなる威力を発揮します。バージョン 9 ではファイア ウォールパケットフィルタが大幅に強化され、非常に柔軟で統合化された境界セ キュリティメカニズムとして機能します。パケットフィルタはレイヤ 4 で動作し、BIGIP システムに到達するトラフィックの種類を調べ、防御の最前線として機能します。 ユーザは、グローバル定義されたデフォルトアクションを設定できるほか、パケット フィルタルールを利用して、指定した種類のトラフィックを処理するための特定の ルールを設定できます。 パケットフィルタエンジンに組み込まれた高度なコントロール機能には、分類可能 なルール評価、多数の重要な ICMP メッセージを自動的に受託するオプション、 「信頼済み」トラフィックを許可するオプション、またソース IP アドレス、MAC アド レスとイングレス VLAN を定義する機能が含まれます。さらに、フィルタ内のレー トクラスを使って、イニシエーションレートシェーピングも実行できます。統計につ いては、各ルールのインスタンスカウントを利用できます。 競合ベンダーの評価 F5 と同じ VLAN/トランキングサポートのコンビネーションを提供するベンダーは いません。レイヤ 4 でのパケットフィルタリングは一般的ですが、F5 の iRule の柔 軟性と比べると、レイヤ 7 のパケットフィルタリングは基本的なものに過ぎません。 Nortel と Cisco は TCP/UDP IP 以外のトラフィックのロードバランシングを提供 していますが、Nortel は方法が非常に複雑で使いにくく、Cisco は iRule のよう な柔軟性に欠けます。 結論:ネットワークの各ポイントでトラフィック管理を定義する機能と、絶えず続く高 価なアップグレードを避けるための重要な柔軟性が不足しています。 Page 20 Broadband-Testing F5 V9 Report UIE と iRule iRule の柔軟性と UIE のパフォーマンスをテストするため、SIP over UDP と HTTP を含む複数タイプのトラフィックを処理するテストを作成しました。クライアン トアプリケーションとして Windows Messenger を利用し、トラフィックの方向と通 過中のトラフィックのアプリケーションフィルタリングを決定する iRule を作成して 適用しました。さらに、有効なログインを持つユーザと持たないユーザの 2 人を作 成し、後者はタイムアウト設定しました。テストを実行すると、すべて予想通りに動 作しました。 有効なログイン: 要求に完全対応 ユーザ 1 ユーザ 1 サーバ 無効なログイン: 接続がタイムアウト ユーザ 2 図 6 – UIE と iRule の Windows Messenger ログインテスト 競合ベンダーの評価 本レポートで有力ベンダーと見なした各社のうち、応答トラフィックに対応して任意 データ(ただし HTTP のみ)を変更できる真のルールを備えているのは Redline のみです。F5 があらゆる IP をサポートするのに対し、Cisco は HTTP トラフィッ クの読み取りは可能ですが、正規表現やプログラマティックロジックはサポートして いません。また、冗長さも気になります。Nortel の方法も非常にぞんざいで、複数 ポリシーの組み合わせもないため、実行可能な最も複雑なアクションは URL ベースのレートシェーピングになります。 Radware の検査ルールオプションははるかに柔軟ですが、データの変更ができ ず、インターフェースは条件または条件グループにもとづき、 真のプログラミング インターフェースとはいえません。NetScaler には iRule に匹敵するものはなく、 HTTP/要求のみが重視されています。 iRule スタイルの開発をサポートするベンダーもいません。F5 は、iRule 開発者 のために iControl と同様のコミュニティサイトを DevCentral に追加し、アイデア の共有とコードライブラリの作成を可能にしています。これこそ、レイヤ 7 アプリ ケーション開発に対する真剣な注力といえます。 結論:F5 は、iRule と iControl の組み合わせにより、データ操作の無限に近い コントロールを顧客に提供しています。このコンビネーションの威力は絶大です。 ネットワークトラフィックを完全にコントロールするできるため、ネットワーキングが開 発言語に姿を変えます。こうして、アプリケーションとネットワーキングの完全統合 が実現するのです。 Page 21 Broadband-Testing F5 V9 Report インバウンド・アウトバウンドのイベントベース決定 iRule をインバウンドおよびアウトバウンドフローに適用する方法とモニター機能 の強力さを実証するため、クライアント要求が届き、BIG-IP システムがこれをダイ レクトし、サーバがエラーコードを返すというシナリオを設定しました。BIG-IP デ バイスがエラーコードをリッスンし、もしコードを検出した場合は別のサーバプール にリダイレクトします。このテストでは、2 つのサーバ/プールを作成し、サーバ 1 に デフォルト送信するという基本的なエラーコードシナリオを採用しました。また、 iRule がクライアント要求をリダイレクトする際には、サーバ 2 に送信しました。下 の図をご覧ください。 サーバエラー 図 7 – iRule によるエラーコードウェブページのリダイレクト その後、コンテンツマスキング用のペイロードコンテンツの書き換えを有効にする ことにより、バージョン 9 のリソースクローキング機能とコンテンツ浄化機能を組み 合わせる方法を実演してみました。ここでは、2 つの方法を使いました。まず、社 会保障番号(SSN)を使い、実際の番号を空白文字で隠そうとするシナリオです。 その後、ウェブサーバがヘッダに製品の詳細を含むデータを返し(攻撃に絶好の 材料です)、このデータをクローキングして完全に隠すシナリオを採用しました。 それぞれのケースでシナリオを作成し、テストを実施しました。iRule によるデータ フロー管理の実行後、ウェブコンテンツモニターを使ってヘッダ情報に含まれる (または含まれない)データを調べました。下のスクリーンショットは、iRules 適用 前と適用後のヘッダ情報を示しています。適用後はデータが一切表示されておら ず、完全なデータセキュリティを達成しています。これは非常に有用な機能の好 例です。この機能は適用が簡単なだけでなく、膨大な数のシナリオに今すぐ適用 できます。 図 8 – ヘッダのクローキングテスト – iRule 適用前 Page 22 Broadband-Testing F5 V9 Report 図 9 – ヘッダのクローキングテスト – iRule 適用後 – ヘッダ情報なし 競合ベンダーの評価 HTTP 応答の検査と一部のコンテンツの書き換えが可能な競合ベンダーは、 Redline のみです。しかし、パターン照合はできず、暗号化機能もないため、この テストには対応できませんでした。プログラマティックなインターフェースもありませ ん。Cisco の CSM 製品は、HTTP 応答コードをもとにサーバを使用不可能とし てマークできますが、これが限界です。コンテンツの書き換えについては、 Redline にはパターン照合機能がなく、単にデータの追加/前方付加/置き換えし かできないという制限があります。 そのため、SSN をルールにハードコーディングすれば検索と置き換えによって番 号を隠せますが、柔軟性が大幅に低下します。リストもサポートしていません。 結論:例えば、ネットワークトラフィックや潜在的な問題などを識別するだけでは意 味がありません。重要なのは、対策を講じることです。コンテンツ書き換え機能と iRule の柔軟性を備えたバージョン 9 では、観察結果を活用し、潜在的問題に対 して自動的に対応できます。ネットワーキングの世界では、「プリエンプティブマ ネージメント」と、「リアクティブ」の反対の「プロアクティブ」な対応の重要性が叫ば れていますが、これを支援するベンダーは非常に少ないのが現状です。 これは、IDS(侵入検知システム)に代わって IPS(侵入防止システム)が登場した セキュリティ業界に似ています。IPS は、アラームを生成するだけでなく、対策を 講じることができます。セキュリティといえば、ヘッダに含まれる大量のネットワー ク、OS、アプリケーション情報がインターネット上で飛び交っている事実を考える と、リソースクローキング機能の貴重さがわかります。 この機能が企業を救うといっても過言ではないでしょう。まさに死活問題です。こ のようなタスクの自動化で、「人的エラー」という要素を排除できます。その結果、 企業の巨額のコスト発生を防ぐことができるのです。 認証モデル 前述のとおり、BIG-IP システムの認証プロキシ機能は非常にユニークです。ここ では、この機能を LDAP、TACAS 、Radius を含むさまざまな認証サーバと多種 多様なプロトコルを使ってテストしました。その結果、問題は一切発生しませんで した。 Page 23 Broadband-Testing F5 V9 Report 競合ベンダーの評価 特筆に価するベンダーは Redline のみです。Redline 製品は LDAP と RADIUS のプロキシ認証が可能ですが、TACACS と OSCP をサポートしていません。OSCP サポートは、動的な CRL アップデートを提供する F5 のみの特長です。 結論:認証は、ネットワークサーバに多大な負担をかけます。そのため、認証をオ フロードする機能は多大な価値を提供し、高価なサーバを 1 年おきにアップグ レードする必要もなくなります。1 つの認証サービスをサポートするなら、いっその ことすべての認証サービスをサポートすべきでしょう。 圧縮ポリシー 圧縮テストでは、F5 インプリメンテーションの柔軟性に着目しました。それぞれの プールと VLAN に合わせて圧縮を完全にカスタマイズできるほか、iRule パラ メータを使ったさらにきめ細かなカスタマイズが可能です。ここでは、データスト リームの圧縮性に応じて、レベルの異なる圧縮を選んで有効にするルールを使い ました。以下はこのルールです。 set_compress_gzip_level when HTTP_REQUEST { set gzip_param "gzip_level=high" set gzip_level_set 0 if {[HTTP::uri] contains $gzip_param } { set gzip_level_set 1 } } when HTTP_RESPONSE { if {$gzip_level_set == 1 } { COMPRESS::enable COMPRESS::gzip level 9 } } 図 10 – 圧縮ポリシーテストで使った iRule 競合ベンダーの評価 Nortel、Radware と Cisco は、圧縮機能を一切提供していません。Redline の 場合、圧縮は主要な機能ですが、設定が不可能なために柔軟性に欠けます。 NetScaler は、HTTP 検査をもとに圧縮を無効化できますが、iRule に相当する 機能を使った動的な設定はできません。ここで重要なのは、クライアントを認識す る機能です。圧縮済みのデータを再度圧縮しようとすれば、パフォーマンスが低 下する可能性が高くなり、厳密には最適化を達成できなくなってしまいます。 結論:圧縮機能の追加によってトラフィックが高速化するケースもあれば、低速化 するケースもあります。たとえば、多数の zip ファイルを圧縮すると、速度がてき面 に低下します。これは当研究所で何度も実証している事実です。そのため、圧縮 するトラフィックフローを選択する機能は、ネットワーク最適化に欠かせない要素と いえます。わかりきったことですが・・・。 Page 24 Broadband-Testing F5 V9 Report セキュアなポリシー ここでは、昔ながらの「使用前」と「使用後」のテクニックを使って、 F5 独自 の cookie 暗号化機能をテストしました。作成したルールは以下のとおりです。ご覧の とおり非常にシンプルです。 when HTTP_RESPONSE { HTTP::cookie encrypt "MyCookie" "password" } when HTTP_REQUEST { HTTP::cookie decrypt “MyCookie” “password” } これだけで cookie 情報を暗号化できました。先にも言いましたが、これは F5 環 境特有の機能であるため、「USP」(Unique Selling Point:独自のセールスポイ ント)そのものといえます。 コンテンツスプーリング このテストでは、データベースコンテンツをスプーリングし、これがデータベースレ コードロックに与える影響を調べました。システム模造には、WAPT ツールを使い ました。コンテンツのスプーリングはまったく問題なく、セッション全体でデータの 完全性を維持できました。 高速フロー 応答 BIG-IP システム 図 11 – コンテンツスプーリング 競合ベンダーの評価 NetScaler はスプーリングではなく TCP バッファリングを実行できますが、設定で きるのはバッファサイズのみのため、効果が極端に制限されます。同様に、 Redline も HTTP 応答をバッファリングできますが、設定は一切できないようで す。その他のベンダーは、この機能をまったく提供していません。 結論:ここでも、基本的なトラフィックコントロール機能と、それぞれのフローとアプ リケーションレベルでトラフィックを最適化する能力が問われます。つまり、この作 業をきちんとこなす能力です。これができなければ、非常に効率的な要素と非効 率的な要素が混在し、ネットワークのバランスが崩れてしまいます。 Page 25 Broadband-Testing F5 V9 Report 暗号化ストレージ これも F5 独自の機能です。このテストでは、AES 暗号化標準を使った複雑な iRule を作成し、社会保障番号(SSN)を検索して置き換えました。いずれのケー スでも、データの暗号化に成功しました。金融、ヘルスケアや政府機関などのセ キュリティに敏感な産業では、昔から HIPPA、米国企業改革法(SarbanesOxley)や FIPS などの厳密なセキュリティ標準への準拠を義務付けられてきまし た。現在は、こういった条件が、インターネットでビジネスを運営するすべての組織 と企業にも適用されるようになっています。 カリフォルニア州法案第 1031 号などの法案は、ユーザの個人情報が組織のシス テムから抽出された場合の厳罰の適用を規定しています。BIG-IP システムは、 企業によるセキュリティ規制準拠を可能にしながら、パフォーマンスを大幅に低下 させることなく高度なセキュリティを実現する、市場で唯一の製品です。 競合ベンダーの評価 特筆に値するベンダーなし。 結論:エンドツーエンドの暗号化が非常に重要です。 Page 26 Broadband-Testing F5 V9 Report 総評 このレポートの冒頭で、F5 がアプリケーションネットワーキングの本質そのものの 改善に取り組んでいると宣言しました。 大胆な発言に聞こえるかもしれませんが、われわれはそう信じています。久しく待 望されているアプリケーションネットワーキング革命ですが(「進化」とは異なりま す)、革命といえども平和的に進めることができます。バージョン 9 の iRule と iControl 機能を組み合わせれば、じっくりと時間をかけて、ネットワークを完全に 再設計できます。バージョン 9 は真のマイグレーションキットを提供し、IPv6、エン タープライズソフトウェアアプリケーション間での移動、また認証サーバとサービス の変更に対応します。さらに、従来は変更が困難であったシナリオでも、改善に向 けた変更を可能にします。 現在、ネットワーキングにおける重要性という点では、ソフトウェアがハードウェアを 追い越しつつあります。F5 の場合、1500、3400 と 6400 はハードウェア製品で すが、多大な注目を集めているのは、その上で動作するソフトウェアのバージョン 9 コードリリースです。F5 は、ソフトウェアを徹底的に再設計することにより、ネット ワーキングのあり方を変えるための機会を自社とユーザの双方に提供しています。 特に、iControl が実現する製品のオープン性が際立っています。そうすることで、 未来のアプリケーションを構築するための非常に広範なネットワーク基盤を提供し、 競合ベンダーを引き離しています。 レイヤ 7 製品をお探しの方に、自信を持ってバージョン 9 リリースをお勧めします。 特に、レイヤ 7 テクノロジには縁がないと信じていた方には絶好の機会です。ネッ トワークに接続するすべてのユーザにとって、このテクノロジの機能が必ず役に立 つはずです。さらに、価格設定も魅力的なことから、レイヤ 7 市場のさらなる拡大 が期待できます。 ネットワーキングの未来は目の前にあります。 Page 27 Broadband-Testing F5 V9 Report 付録 1:新しい BIG-IP 製品シリーズ 最初の BIG-IP 製品は、シンプルな概念にもとづくゲートウェイ的な製品で、イン ターネットトラフィックおよびロードバランシングデバイスの管理に対する単刀直入 なアプローチを採用したものでした。その後 F5 は、BIG-IP シリーズを拡充して まずスイッチを追加し、完全で徹底的な再開発を経て、バージョン 9 と新しいハー ドウェアプラットフォームを完成させました。 BIG-IP バージョン 9 のオプション バージョン 9 コードは、多数の新機能と同様、新しい BIG-IP 製品すべてに共通 です。この新機能には、統合型の LCD ディスプレイとキーパッドや、管理専用 ポートを使った完全自動管理などが含まれます。 エントリーレベルの製品である BIG-IP 1500 はポート4基(Copper Gigabit)を 搭載したデバイスで、Fibre Gigabit ポート 2 基(オプション)、ハードディスクと PCI アドインカードスロット1基も備えています。BIG-IP 3400 は BIG-IP 1500 と 同じ 1U 構成ですが、Copper Gigabit ポート 8 基の搭載でポート密度を 2 倍に したデバイスで、Fibre Gigabit ポート 2 基のオプションも利用できます。また、 ハードドライブに Compact Flash ドライブを追加してログ機能を強化し、新しい Packet Velocity ASIC 2 の搭載でレイヤ 4 パフォーマンスのオフロードと高速 化を可能にしています。 図 12 – F5 BIG-IP 6400 シリーズ最上位の製品である BIG-IP 6400 は、BIG-IP 3400 の全機能を拡張 した 2U 構成のデバイスで、デュアルプロセッサ、Copper Gigabit ポート 16 基、 Fibre Gigabit ポート 2 基(さらに 2 基の追加が可能)、フィールドアクセス可能 な Compact Flash とハードディスクのほか、充実した内部拡張オプションとホット スワップ対応の冗長 PSU を備えています。 バージョン 9 の成功の秘訣は、前世代の BIG-IP 製品の主要コンポーネントに新 たな機能を追加し、F5 製品の特長である機能性を大幅に拡張していることです。 新機能の多くは顧客のリクエストと市場の動向に応じたもので、特にシステムの 「頭脳」である iRule と iControl の機能性を充実させています。 基本的な技法については、F5 の手法に慣れているユーザなら全く心配はいりま せん。実際のサーバプールの前面に仮想サーバ(VIP)を作成し、レイヤ 4 で ロードバランシング、レイヤ 7 でトラフィック管理ルールをそれぞれ適用します。 バージョン 9 では、すべてが改善されています。前回のレポートでお伝えしたとお りの卓越した管理機能さえも完全に改造し、GUI ですべての新機能をコントロー ルするための新たなインターフェースを追加しています。このインターフェースは、 F5 ならではの素晴らしいものです。詳しくは後で説明します。 Page 28 Broadband-Testing F5 V9 Report 付録 2:主な機能の概要 Universal Inspection Engine(UIE)と iRule F5 は、前世代の BIG-IP 製品で UIE を導入しましたが、今回は UIE を大幅に 強化しています。BIG-IP システムは、クライアントをサーバサイドフローから切り 離し、各接続デバイスとの最適化された通信を維持します。システム間の通信を 変換することにより、インフラストラクチャのスケーラビリティを向上させ、アプリケー ションのパフォーマンスを改善します。 また、BIG-IP に対するすべてのシステム接続とアプリケーション接続の効率が向 上します。この独立したコントロールが、低レベルネットワーク(TCP セグメンテー ションなど)から高レベルサービス(高度な暗号を使った内部セキュリティの強化な ど)へのフロー単位の最適化を可能にします。これは、一方向の会話のみをリッス ンするネットワークモニタ/アナライザ(あまり便利ではない)と、双方向の会話をリッ スンするネットワークモニタ/アナライザとの違いに似ています。 TM/OS 高速アプリケーションプロキシ クライアント サイド サーバ サイド 図 13 – F5 BIG-IP バージョン 9 の UIE F5 は、UIE の長所を活用するために iRule を作成しました。iRule は簡素化さ れた統合型プログラミング言語で、管理者がダイレクト、フィルタ処理または保持を 希望するアプリケーショントラフィックを定義します。ここでも、F5 は iRule の構文 セットを大幅に拡充して、TCP、UDP、HTTP ペイロードなどの大量のネットワー クデータを検査し、その結果に応じてトラフィック管理を決定するほぼ無限の機能 を提供しています。 トラフィック処理を最適化するための個々の iRule を定義し、BIG-IP 構成の一部 として作成したすべての VIP で利用できます。たとえば、アプリケーションの種類、 カテゴリーや優先順位をもとにトラフィックの送信先と送信のタイミングを決定し、 最高速の応答を可能にします。複数の iRule を連続利用することもできます。F5 は、iRule のセットを利用して BIG-IP 製品の全要素、構成、トラフィック処理機能 と決定機能を定義する方向に動いているようです。真のインテリジェントネットワー キングがここにあります。 iControl iRule と iControl の組み合わせが、素晴らしい相乗効果を生み出します。 iControl は SOAP/XML を 基 盤 と す る オ ー プ ン API ( Application Programming Interface)で、機能拡張によってサードパーティ製のネットワーク 構成要素をコントロールできます(具体例は後で紹介します)。iControl を利用す ると、アプリケーションやサーバの状態に合わせてネットワークフローを調整し、 サードパーティ製アプリケーションと BIG-IP システム間の通信自動化を促進でき ます。その結果、マニュアル介入の必要性がなくなります。 Page 29 Broadband-Testing F5 V9 Report 応 答 命 令 アプリケーション アプリケーション iControl を利用することで、F5 ネットワーキングデバイスの機能がすべてのアプ リケーションにプログラマティックにアクセスできるようになります。ウェブベースア プリケーションが分散管理に最適な場合もありますが、ウェブインターフェースに は制限があり、最小限のクライアントサイドコードを使うことによって最適化できま す。iControl は、この種のアプリケーションの開発を簡単にします。最初は CORBA インターフェースを使って開発されましたが、完全な再開発によって現 在は.NET および Java フレームワークもサポートしています。iControl は、開発 者が選択したツールの利用を可能にするように設計されています。たとえば F5 は、Microsoft® .NET の完全なインターフェースサポートを提供する唯一のネッ トワーキング企業であるため、現在は Microsoft エンタープライズテクノロジが基 盤のウェブサービスをサポートする主要パートナーとなっています。 図 14 – iControl の仕組み F5 は、iControl を通じて、トラフィック管理方法を外部ソースに公開しています。 機能の呼び出しには、F5 iControl SDK(Software Development Kit)で指定 された SOAP/XML を利用します。F5 は、iControl SDK を無償で配布していま す。この SDK は API(1,600 を超える方法)の使い方を提供し、WSDL を完全 にサポートしています。さらに、Microsoft、BEA®、Oracle®の主要開発ツールと の統合により、アプリケーション作成を高速化できます。iControl のもうひとつの 特長として、パブリッシュ/サブスクライブモデルの提供が挙げられます。たとえば、 iRule を設定する「命令」と、iRule をロードする「応答」の組み合わせが考えられ ます。 F5 は、開発者を強力に支援するため、幅広いサンプルアプリケーションコードとド キュメントを提供し、DevCentral 開発者プログラムでバックアップしています。さ らに、iControl コミュニティ専用の完全なウェブサイトも利用できます。F5 デバイ スで操作できるすべての機能を、iControl でプログラマティックに実行できるよう になりました。さらに重要な特長として、Visual Studio .NET を使って、iControl の プ ロ グ ラ マ テ ィ ッ ク な 利 用 を 合 理 化 す る 機 能 が 挙 げ ら れ ま す 。 Visual Studio .NET は、現在世界中で最も広く普及している開発環境でもあります。 iControl があれば、F5 製品のほぼすべての GUI/CLI 機能を、すべての外部ア プリケーションでプログラマティックに実行できます。F5 の API が、他のアプリ ケーションに対してネットワークデバイスをソフトウェアのように表示するため、真の ソフトウェアネイティブなインテグレーションが実現します。さらに、SOAP/XML over HTTPS の統合的なサポートにより、高速性と利便性という特性にセキュリ ティが加わります。 最適化とアクセラレーション OneConnect F5 は 、 ネ ッ ト ワ ー ク と サ ー バ の TCP オ ー バ ー ヘ ッ ド を 削 減 す る た め 、 OneConnect™を開発しました。OneConnect はコネクション集約テクノロジで、 ユーザとウェブシステム間の HTTP トラフィック用の最小限の TCP 接続を統合 および維持することにより、ラテンシー、帯域幅、またサーバ/ネットワークの問題を Page 30 Broadband-Testing F5 V9 Report 解決するために設計されています。クライアントサイドからの要求の数と種類に左 右されることはありません。 OneConnect は、要求された各オブジェクトのために開閉が必要な TCP セッショ ンの数を最小化することにより、ユーザとサーバのオーバーヘッドを削減します。 これにより、ユーザとサーバのインタラクションに必要なネットワーク往復の数を最 小化します。その結果、ネットワーク上の TCP コネクションが減少し、他のタスク に充てるバックエンドサーバの容量が増加するため、帯域幅コストが削減されます。 実際、OneConnect は、サーバへの最も少数のオープンコネクションを使って多 数の HTTP 要求への対応を試みることにより、リソースを最適化します。その過程 で、数百万のクライアントコネクションを数百のサーバサイドコネクションに統合し、 サ ー バ の 負 荷 を 低 減 さ せ ま す 。 バ ー ジ ョ ン 9 で は 、 BIG-IP シ ス テ ム が HTTP/1.0 を HTTP/1.1 に変換する機能を追加して、このテクノロジをさらに強 化しています。F5 は、HTTP のサポートに加え、ユニバーサルコネクションプーリ ング機能を実装してバックエンドサーバとアプリケーションから TCP 処理をオフ ロードし、サーバのパフォーマンスをさらに拡大しています。 圧縮 BIG-IPバージョン9に追加された圧縮機能は、希望する圧縮レベルに応じて代価を 支払う仕組みになっています。さらに重要な特徴として、圧縮を完全に設定できる機 能が挙げられます。そのため、単なるオン/オフを超えた細かな設定が可能です。 BIG-IPシステムの卓越したインテリジェンスを利用して、RTTやMS、JAVAスクリ プトをもとに、最も重要なユーザとアプリケーション(URI/URL、MIME、レイヤ7 ルール、クライアント認識)に圧縮を集中適用できます。この機能は、超低帯域幅 から超高帯域幅のクライアント接続を利用する多様なユーザがいる場合に、特に 重要になります。F5によれば、この機能がアプリケーションのパフォーマンスを最 大3倍に向上させ、最大80パーセントの帯域幅節約を実現します。 レートシェーピング バージョン 9 のもうひとつの新機能であるレートシェーピングは、トラフィックの制 限、優先順位決定と借用を可能にします。これは、優先度の高いアプリケーション とトラフィックのための十分な帯域幅を確保し、高速なサービスを維持します。 BIG-IP システムのユーザは、トラフィックとアプリケーションの限界を定義し、 これ らのリソースのスパイクとバーストの許容速度をコントロールし、待ち行列の作成に よってトラフィックの種類の優先順位を決定できるほか、特定の種類のトラフィック による他の種類のトラフィックからの借用が可能な関係を定義できます。 レートシェーピング機能を使って、共有リンクやネットワークセグメントのトラフィック/ 帯域幅の使用をシェーピングすることや、サーバプールに送信されるトラフィック をシェーピングすることができます。この機能は、低帯域幅 WAN リンクのトラ フィック動作のコントロールに特に役立ちます。アプリケーション、プロトコルおよび ユーザ単位で機能を有効化し、ネットワーク上の実際のトラフィック、その動作と他 のトラフィックへの影響を確定できるためです。 コンテンツスプーリングバッファリング サーバの負荷は、多数のクライアントを異なる速度で同時に処理する必要性のた め、頻繁に増加してしまいます。BIG-IP システムのバージョン 9 では、コンテンツ スプーリングが導入されています。この機能を使うと、完全なサーバ応答の受け入 れとバッファリングが可能になるため、サーバは関連リソースを即時に解放できま す。その後、BIG-IP デバイスが、データ受信と同じ高速でクライアントにデータを Page 31 Broadband-Testing F5 V9 Report 送信します。その結果、サーバは最適な速度でデータを送信し、クライアントは最 適な速度でデータを受信できるようになります。 Page 32 Broadband-Testing F5 V9 Report IPv6 ゲートウェイ BIG-IP システムは、IPv6 クライアントトラフィックを IPv4 ノードトラフィックに変換 し、さらにこれを IPv4 クライアントトラフィックに変換できます(この逆も可能です)。 また、IPv6 ノードと IPv4 ノードを同一のプールに混在させることも可能です。さら に、IPv6 および IPv4 仮想サーバを使ってトラフィックをこのプールにダイレクト できるため、マイグレーションに理想的です(下記を参照)。 IPv4-IPv6 – マイグレーションツールとしての BIG-IP デバイス IPv4 から IPv6 への移行は大変な作業です。 膨大な量の作業に加えて、ほとんどのシステムの大幅な再構築が必要になりま す。特にアジアと政府各部門内で IPv6 の需要が増大している現在、IPv6 のサ ポートは次世代の IP アドレス空間への移行を望む顧客にとって重要な条件で す。BIG-IP システムは、移行を橋渡しする重要なソリューションとして本領を発揮 します。BIG-IP は IPv6 と IPv4 のエンドポイントを仮想化するため、実際の環境 で両方のアドレススキームを同時にサポートでき、徹底的なアップグレードを実行 する必要がなくなります。また、仮想サーバ内で IPv6 および IPv4 サーバノード が混在できるため、十分な時間をかけた新プロトコルへの移行が可能になります。 応答エラー処理 バージョン 9 では、BIG-IP デバイスが標準の 404 エラーやカスタムサーバエ ラーの 900 エラーなどのあらゆるサーバ応答コードを調べ、サーバ応答の観察結 果をもとに決定を下すことができます。顧客は、iRule を使って実行するアクション をカスタマイズできます。たとえば、要求を別のロケーションにリダイレクトすること や、要求のロードバランシングを再実行して、有効なコンテンツとともにサーバ プールに返すことができます。この方法は、モニタリング機能の作成により、多数 の正規ユーザを数分間停止したままのリソースにダイレクトするという一般的な問 題を解決します。このモニタリング機能がすべてのエラーを確認し、是正措置を講 じて、エラーがユーザに送信される前に要求を再分配します。 セキュリティ機能の概要 SSL バルク暗号化アクセラレーション バージョン 9 では、SSL バルク暗号化と鍵交換が最適化されたハードウェアにオ フロードされています。SSL には、鍵交換とトラフィックの暗号化/復号化という 2 つの主要な要素があります。ほとんどの SSL アクセラレーションテクノロジの機能 は、特殊なハードウェアを使った鍵交換の高速化に限定されています。F5 の新し いハードウェアは、鍵交換と暗号化/復号化の両方を高速化します。これはバルク 暗号化と呼ばれ、SSL スループット向上と容量拡大を可能にします。 プロトコル浄化 バージョン 9 では、TM/OS(Traffic Management Operating System)アプリ ケーションプロキシを通じて、完全なネットワーク攻撃バリアを提供しています。そ のため、BIG-IP システムが完全な仲介役として機能し、通信を浄化して攻撃パ ターンと例外を探します。その後、サーバとアプリケーションが消費するトラフィック をクリーンアップします。この方法により、さまざまなサービス拒否(DoS)攻撃と全 種類の変形パケット攻撃を確実に防止します。さらに、iRule を使ってすべての攻 撃を検出し、ブロックできます。 Page 33 Broadband-Testing F5 V9 Report また、大幅に強化されたファイアウォールフィルタが非常に柔軟で統合性の高い 境界セキュリティメカニズムとして機能し、防御の最前線として活躍します。 インテリジェント SNAT iSNAT(Intelligent Secure Network Address Translation)は SNAT の一 種で、指定されたパケットデータをもとに、BIG-IP システムが元のクライアント IP アドレスにマッピングする変換アドレスを選択します。iRule で SNAT をコントロー ルおよび使用できるため、通常のネットワークマッチングを超えた高度な柔軟性が 実現します。 リソースクローキング インターネット上では、ヘッダに含まれるまさに大量のネットワーク情報が送信され ています。この情報は、ネットワークテロリストにとって絶好の攻撃材料になります。 たとえば、ウェブサーバは、ページ要求ステータスに応じたステータスコード「403 – アクセス禁止」などを返します。さらに、ウェブサーバアプリケーションの詳細をク リアテキストで返すことも頻繁にあります。もうひとつの例として、データベースエ ラーが挙げられます。ハッカーがエラー生成に成功した場合、ウェブアプリケー ションがクエリ実行とともにデータベースによって返されたエラーメッセージを表示 します。 ハッカーは、このエラーメッセージから、データベーススキーマの情報とアプリケー ションがクエリを生成する方法についての情報を抽出できます。さらに、この情報 を利用して、悪意のあるクエリを生成する入力を考案できます。このような攻撃を 阻止するためには、BIG-IP バージョン 9 を設定して、応答ヘッダ全体、または ウェブサーバ、重要なライブラリやアプリケーションを作成した言語などの情報を 含むヘッダの部分をブロックします。 IIS や Apache サーバの利用をあえて宣伝 したいというユーザはほとんどいないでしょうが、一般的にサーバヘッダにはこの 種の情報が含まれています。以下はその例です。 Server: Microsoft-IIS/5.0 Server: Apache/2.0.49 (Unix) PHP/4.3.6 Server: Apache/1.3.26 (Unix) PHP/4.1.2 mod_ssl/2.8.10 OpenSSL/0.9.6b) もうひとつの方法として、ソースコードコメントの削除が挙げられます。開発者は、 ソースコードにメモを記入して、トラブルシューティングの促進、コードのコメントア ウトや、開発メモ、改訂履歴、コードのさまざまな仕組みに関する情報の記録に利 用しています。ウェブページコードとコメントはブラウザで簡単に表示できるため、 この情報にアクセスして悪用することも簡単です。BIG-IP システムは、ソースコー ドのコメントを削除し、ユーザによるコメント表示を禁止します。 アドバンストクライアント認証 HTTP トラフィックがデバイスに送信された場合、BIG-IP システムがサードパー ティ認証デバイスと連携してログイン情報を確認します。認証ポリシーはさまざま なトラフィックの種類に応じてカスタマイズでき、ルールを使って適用するか、認証 プロファイル内で適用します。 選択的なコンテンツ暗号化 BIG-IP システムの選択的暗号化機能が、データの全体的、部分的、条件的な 暗号化を可能にします。また、任意の iRule イベントと連携してあらゆる数のアク ションをトリガできるため、パフォーマンスが向上し、リソースへの影響が低減しま す。たとえば、ビジネスパートナー、VLAN や他のパブリックトラバーサルに対し Page 34 Broadband-Testing F5 V9 Report て暗号化するコンテンツの選択や、コンテンツの暗号化が必要な部分のみの選 択などが可能です。 Page 35 Broadband-Testing F5 V9 Report cookie の暗号化と認証 cookie は現代のインターネットに欠かせない要素ですが、さまざまな脆弱性をは らんでいます。ハッカーは、cookie の脆弱性を悪用して、保護されたシステムにア クセスしたり、ユーザ ID を偽造したり、アプリケーション攻撃を実行したりできます。 BIG-IP システムのバージョン 9 は、正規ユーザに透過的に配布される cookie と その他のトークンの暗号化によってさまざまな攻撃を防止します。また、すべての ステートフルアプリケーション(e コマース、CRM、ERP などの多数のビジネスクリ ティカルなアプリケーション)に対応し、ユーザアイデンティティの全体的な信頼性 を高めます。 cookie 暗号化のシナリオ セッションのハイジャック – 多くの cookie は、アプリケーションやシステムに対す るユーザ認証に利用する情報(JSession ID など)を含んでいます。ハッカーは、 ネットワークをスニッフィングし、この ID を使って別の接続を確立することにより、 有効なユーザ ID を使ってセッションに便乗します。HTTP がステートレスなため、 アプリケーションは 2 人の異なるユーザが実際に接続していることを確認できず、 正規ユーザと偽のユーザに入り口を提供してしまいます。BIG-IP システムは、 cookie の暗号化によってすべての ID を暗号化し、正規ユーザのシステム接続 のみを許可します。 cookie の不正変更 – 上記ハイジャックと同様に、ハッカーは cookie をキャプ チャして他の有効な ID と正規 cookie を探し出し、システムのハッキングに利用 します。基本的には、アプリケーション内部で cookie が改変または不正変更され たかどうかを識別する方法はありません。コンテンツの暗号化により、ハッカーが cookie を読むことや変更することが一切不可能になります。 機密情報の漏洩 – cookie が内部 IP アドレスやその他の絶対参照を含むケース が多いため、ハッカーの攻撃ターゲットになります。BIG-IP システムは、この情報 の暗号化に加え、すべての機密情報を cookie から取り除き、cookie に含まれる 情報の引き渡しを防ぐことができます。 コンテンツ保護 アプリケーションセキュリティの重要な条件は、最も機密性の高い情報を確実に保 護することです。TM/OS と強力な iRule を搭載した BIG-IP システムは、情報を 確実に保護するコンテンツフィルタリングポリシーを定義するためのカスタマイズ 可能なツールキットを提供します。これを利用して機密情報を識別およびブロック し、情報漏洩を防ぐことができます。 ロードバランシングとアプリケーションスイッチング レイヤ 4 とレイヤ 7 の組み合わせが、大いに注目されています。これに伴い、 BIG-IP デバイスのロードバランシング機能の重要性がさらに高まっています。た とえば、ファイアウォールのロードバランシングは BIG-IP システムのための非常 に一般的なアプリケーションであり、多大な成功を収めています。「業界標準」のラ ウンドロビンモードと重み付けラウンドロビン/レシオモードに加えて、これに代わる さらに複雑で動的なモードが多数存在します。たとえば、バージョン 9 では監視 ロードバランシングモードを拡張し、スローランプ属性を追加しています。 ノードがオンライン状態になると、オープンしたコネクションの数が平均未満である ことを条件に、BIG-IP デバイスがラウンドロビンよりも高率でのトラフィック送信を Page 36 Broadband-Testing F5 V9 Report 徐々に開始します。この方法により、ランプアップをスムーズに実行し、新規導入 したノードのトラフィック急増を防ぎながら、ノードのサービス参加と不参加を切り 替えることができます。 ヘルスモニタリング BIG-IP システムの傑出した機能のひとつに、モニタリング機能があります。サー バとアプリケーションの健全性と可用性をテストし、ウェブシステムの機能低下を防 ぎます。バージョン 9 では、多数の新しいモニタリング機能が追加されており、 サービスベースのモニタリング、指定データベースのモニタリングや SOAP モニタ リングが可能です。さらに、モニタリングをプール属性として使うことにより、さらに 自然で柔軟性の高い構成が可能になります。 サービスベースモニタリングの実践 – パフォーマンスモニタリング WMI などのパフォーマンスモニタリングは、ターゲットシステムの健全性を報告せ ず、動態比率ロードバランシングのためのメトリクスを計算し、システムが「UP」状 態であることを報告するのみです。この機能を使った場合、WMI モニタリングの 役割はサーバからのメトリクス取得に限定されます。一方、BIG-IP HTTP モニタ リングは、サーバの健全性を表明できるほか、有効サーバの統合をサポートしま す。共有サービスを個別にモニタリングして無効化することにより、1 つのサービス が停止した場合にサーバ全体が停止することを防ぎます。その結果、1 つのサー ビスやアプリケーションで障害が発生しても、他のアプリケーションがサーバの利 用を継続できるようになります。 パーシステンス BIG-IP デバイスのパーシステンス処理は特許テクノロジであり、製品シリーズ全 体のもうひとつの重要なセールスポイントでもあります。バージョン 9 では、「ユニ バーサルパーシステンス」の技法を拡張しています。その結果、新しくなった iRule と UIE エンジンを使って、 アプリケーションフロー内のすべての値をもとに パーシステンスを割り当て、追跡し、記録することが可能になりました。 フォールトトレランス BIG-IP 製品の最大のセールスポイントのひとつに、充実したフォールトトレランス 機能があります。さらに、バージョン 9 では、重要な機能が追加されています。冗 長ペアのコントロールされた同期化により、両方の BIG-IP デバイスの設定を常 に最新の状態に保つだけでなく、2 台のデバイスを誤って同期化し、間違った設 定を適用することを防ぎます。 BIG-IP システムは、フェイルセーフオプションとして、常に「ベスト」な設定を推奨 します。多数のフォールトトレラント設定の中には、アクティブ/アクティブモード、 フェイルオーバ用コネクション情報のミラーリングや、ネットワークベースのフェイル オーバなどのオプションがあります。 Page 37
© Copyright 2024 Paperzz