Advanced Networking & Clustering Software Blade

Check Point Advanced Networking & Clustering Software Bladeを使用すると、複雑でトラフィック量の多いネットワークにおけるセキュリティの導入および管理を簡素化しながら、数Gbpsクラスのスループットが必要とされる環境のネットワーク・パフォーマンスとセキュリティを最大限に高めることができます。高度なネットワーク機能とクラスタリング機能を組み合わせたこのソリューションは、大規模企業やデータセンターなど、高いパフォーマンスとアベイラビリティが要求される環境に最適です。

概要

最高水準のパフォーマンスとアベイラビリティを実現する高度なネットワーク機能

  • 信頼性と耐障害性を高めるISP冗長化機能
  • 帯域の保証と遅延の制御を可能にするQoS(サービス品質)の優先順位付け
  • アプリケーションのロード・バランシング機能でトラフィック増大時のサーバ負荷を管理

ネットワーク・セキュリティとパフォーマンスを最大限に高める高度な技術

  • 負荷の高い複数のセキュリティ処理を高速化するSecureXL
  • 深いレベルでの検査のスループットを向上させるマルチコア・アクセラレーション技術CoreXL
  • ハイ・アベイラビリティとロード・シェアリングを実現して事業継続性を高めるClusterXL

Software Bladeアーキテクチャ™との統合

  • チェック・ポイントの既存のセキュリティ・ポリシー管理製品と完全統合
  • チェック・ポイントのすべてのセキュリティ・ゲートウェイに導入可能
  • 既存のセキュリティ・インフラストラクチャの活用により、時間とコストの節約が可能
高度なルーティング

Advanced Networking & Clustering Software Bladeを使用すると、業界標準のダイナミック・ルーティング・プロトコル(BGP、OSPF、RIPv1、RIPv2など)をセキュリティ・ゲートウェイ上で実行し、拡張性と耐障害性に優れたセキュアなネットワークを構築できます。OSPF、RIPv1、およびRIPv2を使用すると、単一の自律システム(例えば単一の部署、企業、サービス・プロバイダ)でダイナミック・ルーティングを行ってネットワーク障害を回避できます。BGPは、複数の自律システムが関与するより複雑なネットワークでのダイナミック・ルーティングを可能にします。例えば、2社のサービス・プロバイダを利用している場合や、ネットワークを複数のエリアに分けてそれぞれ別の管理者がパフォーマンスを最適化している場合にはBGPを使用します。


マルチキャスト・プロトコルのサポート

IP Applianceでは、IGMP、PIM-DM、PIM-SMなどのマルチキャスト・プロトコルもサポートされます。


暗号化トラフィックと非暗号化トラフィックの両方に対応したサービス品質の優先順位付け

Advanced Networking & Clustering Software Bladeでは、ERP、データベース、Webサービスなどビジネスにとって重要性の高いトラフィックを、それほど低遅延が求められない他のトラフィックよりも優先させることができます。例えば、VoIP(Voice over Internet Protocol)やビデオ会議といったストリーミング・アプリケーションの帯域を保証し、遅延を制御することができます。また、きめ細かい制御機能を備えているため、VPNトンネルを介してネットワーク・リソースにリモート・アクセスする場合を含め、特定の社員によるアクセスだけを保証したり優先的に処理したりといったことも可能です。


ISP冗長化

単一のセキュリティ・ゲートウェイまたはクラスタ化されたセキュリティ・ゲートウェイを冗長ISP(インターネット・サービス・プロバイダ)リンク経由でインターネットに接続することにより、インターネット接続の信頼性を高めることができます。この機能を使用するために高価なネットワーク・ハードウェアを別途導入する必要はなく、また専門知識も必要ありません。ロード・シェアリングとプライマリ/バックアップの2つのモードが用意されています。


柔軟性に優れたサーバ・ロード・バランシング

各接続リクエストは、あらかじめ定義されている5種類のロード・バランシング・アルゴリズムのいずれかに基づいて特定のサーバに転送されます。これらのアルゴリズムによって、大量のトラフィックの処理が特定のサーバに偏る事態を避けることができます。着信した各接続リクエストは、最も負荷の低いサーバに転送されます。


特許技術SecureXLによるセキュリティ・アクセラレーション

チェック・ポイントが特許を保有するセキュリティ・アクセラレーション技術SecureXLは、通常よりも早い段階でセキュリティ上の判断を下せるようにする特殊なデバイス層を作成することで、負荷の高いセキュリティ処理に伴う遅延を排除します。汎用サーバでも専用アプライアンスでも、ネットワーク・トラフィックが通過するシステムのパフォーマンスは、メモリやシステム・バス、CPU性能の影響を受けます。チェック・ポイントのセキュリティ・ゲートウェイは、SecureXLデバイス層を作成することによって、より低次のアプリケーション・レベルでセキュリティ上の判断を下せるようにし、パフォーマンスのボトルネックを排除します。

SecureXLを使用する場合、トランザクションの開始後にパケットに対するセキュリティ検査が従来の方法で行われ、そのパケットが安全であると確認されると、SecureXLデバイス層が残りのパケットに対する検査を引き継ぎます。この仕組みによって、ハードウェア設計に起因する遅延が排除されます。SecureXLは、チェック・ポイントのパートナーが提供する一部の「Secured by Check Point」アプライアンスと同様にネットワーク・プロセッサを使用してハードウェア層で実装することも、オープン・サーバ上のバーチャル・ソフトウェア層で実装することもできます。


特許技術CoreXLによるマルチコアCPUのサポート

チェック・ポイントのセキュリティ・ゲートウェイはマルチコアCPUに対応しています。これにより、単一システムの複数のコアでトラフィックを並列処理できるため、サーバ1台あたりの価格性能比を向上させることができます。マルチコアCPUとSecureXLのマルチスレッド対応セキュリティ・アプリケーション技術の組み合わせは、次世代セキュリティ・アクセラレーションであるアプリケーション層セキュリティの基盤です。


特許技術ClusterXLによるゲートウェイのクラスタリング

ハイ・アベイラビリティおよびロード・シェアリング機能を提供するClusterXLは、ネットワークの信頼性を高め、事業の継続性を強化します。複数の冗長ゲートウェイで構成されたクラスタ内でトラフィックを分散し、複数のマシンのコンピューティング能力を集約することで、全体的なスループットを向上させます。ゲートウェイやネットワークに障害が発生した場合は、指定したバックアップにシームレスに接続がリダイレクトされるため、常に事業の継続性を保つことができます。これにより、大規模環境において、ロード・バランシング専用のデバイスを別途導入することなく、ほぼリニアにパフォーマンスと信頼性を向上させることが可能になります。


Software Bladeアーキテクチャとの統合

Advanced Networking & Clustering Software Bladeは、Software Bladeアーキテクチャに完全に統合されています。Software Bladeアーキテクチャでは、要件の変化に合わせて迅速にセキュリティ機能を追加できるため、時間とコストの節約が可能です。

仕様

チェック・ポイントの数多くのアプライアンスで利用できるAdvanced Networking & Clustering Software Bladeは、Advanced Networking Software BladeとAcceleration & Clustering Software Bladeの機能を統合したSoftware Bladeです。Advanced Networking & Clustering Software Bladeを導入できないアプライアンスでは、引き続きAdvanced Networking Software BladeとAcceleration & Clustering Software Bladeを利用できます。サポートされるプロトコルおよび機能と、各アプライアンスで使用できるSoftware Bladeを次の表に示します。

機能詳細
サポートするインターネット・プロトコル
  • IPv4 RFC 791
  • ICMP RFC 792
  • ARP RFC 826
  • ICMP router discovery (server) RFC 1256
  • Router discovery v6 (ICMP v6) RFC 24661
  • CIDR RFC 1519
  • Static routes
  • Multicast tunnels1
  • IPv6 core RFCs1
  • VRRPv2 RFC 37681
  • VRRPv3 (IPv6) draft-ietf-vrrp-ipv6-spec-08.txt1
  • Requirements for IPv4 routers RFC 1812
  • Quality of service1
  • RFC 2474 (general diffserv PHB information)
  • RFC 3246 (EF behavior description)
  • RFC 2597 (AF behavior description)
  • Bootp/DHCP relay RFCs 951, 2131
  • Route aggregation and redistribution
  • Unnumbered Interfaces
  • Link negotiation IEEE 802.3ad
  • Flow control IEEE 802.3x
  • Private (RFC 1918) and public IP routing
  • VLAN 802.1Q transparent mode
ダイナミック・ルーティング・プロトコル
  • RIP RFC 1058
  • RIP Version 2 (with authentication) RFC 1723
  • RIPng (IPv6) RFC 20801
  • OSPFv2 RFC 2328
  • OSPF NSSA RFC 31011
  • OSPFv3 (IPv6) RFC 27401
  • BGP4 RFCs 1771, 1963, 1966, 1997, 2918
  • BGP4++ RFC 2545, 2858 (unicast IPv6)
マルチキャスト・プロトコル1
  • IGMPv2 RFC 2236
  • IGMPv3 RFC 33761
  • PIM-SM RFC 4601
  • PIM-SSM RFC 46011
  • PIM-DM RFC 3973
  • PIM-DM State Refresh draft-ietf-pim-refresh-02.txt1
  • DVMRP (multicast) RFC 10751
QoS(サービス品質)
最小帯域幅の割り当て WFQ(Weighted Fair Queuing)アルゴリズムをサポート。複数の接続にグループとして帯域幅を割り当て可能、接続ごとに帯域幅を割り当てることも可能
重み付け優先度 ビジネス要件別に定義された相対的な重要度に従って帯域幅を割り当て可能
帯域幅制限重要性の低いネットワーク・アプリケーションの帯域幅を制限
低遅延キューイング(LLQ)遅延の影響を受けやすいトラフィックの遅延を低減
サーバ・ロードバランシング 複数のサーバにネットワーク・トラフィックを分散。幅広いロード・バランシング手法(サーバ負荷、ラウンド・トリップ、ラウンド・ロビン、ランダム、ドメイン)とサーバの可用性チェック手法をサポート
差別化サービス(DiffServ)の統合 サービス・プロバイダは、VPNおよびIP WAN上の非暗号化トラフィックについて、エンドツーエンドのQoSを提供可能
ISP冗長化
複数のモードロード・シェアリングまたはプライマリ/バックアップ
1 IP Applianceで利用可能
機能詳細
SecureXLファイアウォール製品のサポート(Performance Pack)2 アクセス制御、暗号化、NAT、アカウンティングおよびロギング、接続/セッション数、一般的なセキュリティ・チェック、IPS機能、CIFリソース、TCPシーケンス検証、ダイナミックVPN
接続テンプレート接続を高速化
切断テンプレートリソースを最適化
サポートされるハイ・アベイラビリティ・モードアクティブ/パッシブとアクティブ/アクティブ
サポートされるアクティブ/アクティブ・モードマルチキャストとユニキャスト
クラスタ制御プロトコル・ポートUDP 8116
ステート同期ClusterXLおよびOPSECのサードパーティ製ハイ・アベイラビリティ(HA)ソリューションをサポート
Sticky Decision Function非同期接続をサポート
WAN同期同期ネットワークでサポート(遅延は100ミリ秒未満)
期間限定同期短期間の接続を同期する際のリソースを節約
サポートされる同期メンバー数最大5メンバー
VLANのサポート対応
ClusterXLファイアウォール製品のサポート2認証/セキュリティ・サーバ、ACEサーバとSecurID、IPS、シーケンス検証機能、UDPカプセル化、SAM、ISP冗長化、サードパーティ製VPNピア、オフィス・モードでのユーザごとのIP
アンチスプーフィングのサポート内部ネットワークの詐称防止
ClusterXL APIチェック・ポイント製品およびサードパーティ製品のClusterXLステータスのサポート
重要なデバイス構成インタフェース、同期ステータス、ファイアウォール・ポリシー・ステータス、ClusterXLプロセス・ステータス、ファイアウォール・プロセス・ステータス
ClusterXLの詳細な管理とステータス監視チェック・ポイントの管理ソリューションで提供
2 詳細については、リリース・ノートおよびユーザ・ガイドをご覧ください。

Advanced Networking & Clustering Software Bladeは、2011年以降に発表されたチェック・ポイントのほとんどのアプライアンスで使用できます。それ以外のプラットフォームに対しては、Advanced Networking & Clustering Software Bladeの機能は2つのSoftware Bladeで提供されます。各アプライアンスの対応状況を次の表に示します。

アプライアンス

サポートされるSoftware Blade

  • 12600
  • 12400
  • 12200
  • 4800
  • 4600
  • 4200
  • 2200
  • Advanced Networking & Clustering Software Blade
  • 61000
  • 21400
  • Power-1
  • IP Appliances
  • IAS
  • Advanced Networking Software Blade
  • Acceleration & Clustering Software Blade