DDoS Protector™アプライアンス

DDoS Protector™アプライアンスは、多層の防御技術により分散サービス妨害(DDoS)攻撃を素早く検知、遮断するDDoS攻撃対策専用のセキュリティ・ソリューションです。最大40Gbpsという優れたスループット性能を備えているため、ネットワーク・パフォーマンスへの影響も最小限に抑えることができます。

最近のDDoS攻撃では、従来のセキュリティ・ソリューションでは保護できない領域を攻撃する新しい手法が使われています。 これらの攻撃を受けた場合、企業活動の生命線であるネットワークやWebサービスが長時間にわたり麻痺状態に陥るおそれがあります。 DDoS Protectorは、企業の境界セキュリティを強化することにより、DDoS攻撃をブロックして被害の発生を未然に防ぎます。

概要

カスタマイズされた多層防御技術で幅広い攻撃に対応

  • 振る舞い分析に基づく保護技術により、複数のパラメータを基準化して、それに反する異常なトラフィックを遮断
  • 事前定義のシグネチャと自動生成されるシグネチャ
  • 高度なチャレンジ&レスポンス手法を採用

高速応答 - わずか数秒で攻撃に対処

  • ネットワークに対するフラッド攻撃やアプリケーション層への攻撃を自動的に防御
  • カスタマイズにより、特殊なネットワーク環境やセキュリティ要件にも対応
  • トラフィックをファイアウォールの手前で素早くフィルタリングし、ネットワークやサーバを攻撃から保護

あらゆるビジネス環境に柔軟に対応

  • 10種類のモデルをラインナップ
    • 低遅延(60マイクロ秒未満)
    • 高いパフォーマンス(最大40Gbps)
    • 最大24ポート(1GbE/10GbE x 20、40GbE x 4)
  • ネットワーク・トポロジの変更は不要(レイヤ2ブリッジをサポート)
  • あらゆる規模のネットワークに素早く導入可能

チェック・ポイントのセキュリティ管理ツールと統合

  • SmartEvent、SmartLog、SmartView Trackerを活用して、ネットワーク・セキュリティ全般やDDoS攻撃のステータスに関する最新および過去のデータを把握
  • Web UIまたはコマンドライン・インタフェースによるスタンドアロンのポリシー管理
  • DoS攻撃の発生時にはチェック・ポイントのセキュリティ・エキスパート・チームが迅速に対応

詳細

特徴

DDoS攻撃に対する多層防御

高度な技術を搭載し、先進のDoS検知/防御手法を採用したDDoS Protectorは、次のような巧妙なDDoS攻撃にも対処できます。

  • 脆弱性を利用するのではなく、サーバ・リソースを枯渇させる次のような攻撃
    • アプリケーションに対するDoS攻撃 - HTTPやSIPなどに対するフラッド攻撃
  • ネットワーク帯域を浪費させるDoS/DDoSフラッド攻撃
  • DDoS Protectorでは、カスタム・フィルタのリアルタイム更新により、新しいタイプの攻撃にも迅速に対応可能

高精度の攻撃防御
  • 最大20種類のパラメータを用いて、攻撃パターンごとにシグネチャをリアルタイム作成
  • 正規のトラフィックはブロックせず、攻撃のみを正確に判別して遮断
  • トラフィックが急増しても、正規のトラフィックと攻撃トラフィックをインテリジェントに識別

DDoS Protectorは、トラフィックが急激に増えた場合に本物のDDoS攻撃を識別できるほか、その場で作成される振る舞い分析に基づくリアルタイム・シグネチャを活用してDDoS攻撃を軽減します。また正規のトラフィックが急増した場合も、単純なレートベースの技術ではブロックされてしまいますが、DDoS Protectorなら通過が許可されます。


優れたパフォーマンス

DDoS攻撃では、短時間に膨大な量のパケットが送り付けられ、ネットワーク機器のCPUリソースが大量に消費されます。DDoS Protectorには、こうしたDDoS攻撃対策専用のハードウェア・アクセラレーション技術が搭載されており、最上位モデルでは、ネットワーク・トラフィックの検査と保護を最大限にした場合で40Gbpsという非常に優れたスループットが実現されています。DDoS攻撃を受けた場合でも正規のトラフィックへの応答速度は高い水準に保たれるため、一般ユーザによるアクセスが妨げられることはありません。


あらゆる環境に柔軟に対応

DDoS Protectorにはネットワークの規模に合わせた7つのモデルが用意されており、あらゆる環境に素早く導入できます。ローカル環境にインラインで、またはISP経由(あるいはその両方)で導入することが可能です。


ネットワーク・ベースの攻撃に対する防御

ネットワーク・レベルでのブルート・フォース・フラッド攻撃を効果的に検知、遮断

大規模ボットネットから攻撃を仕掛けてネットワーク・リソースを枯渇させ、サービス提供を妨害するという典型的なDDoS攻撃は、ネットワーク・フラッド攻撃の手段として現在でも効果的に機能します。DDoS Protectorは、この種の攻撃も素早く検知して遮断できます。


セキュリティ管理の統合

チェック・ポイントの統合セキュリティ管理ソリューションには、次の機能が含まれています。

  • SmartEvent
    脅威に関する情報をリアルタイムで管理できるセキュリティ分析ソリューションです。その場で対策を実施して、脅威や攻撃を直ちに遮断することができます。また数回クリックするだけで、概要を確認するビジネス・ビューからフォレンジック・ビューへと切り替えることが可能です。
  • SmartLog
    高機能なログ分析ソリューションです。複数の期間やドメインにまたがる数十億件ものログ情報から、予防的なセキュリティ対策に役立つ情報を一瞬で探し出すことができます。
  • SmartView Tracker
    包括的な機能を備えた監査ソリューションです。システムやセキュリティに関する問題のトラブルシューティング、法令遵守や監査を目的とする情報収集、ネットワークのトラフィック・パターンを分析するためのレポート生成などに利用できます。不審なネットワーク・アクティビティや攻撃が見つかった場合には、特定のIPアドレスからの接続を一時的または永続的に拒否することができます。

仕様

モデル

506

1006

2006

4412

8412

12412

10420

20420

30420

40420

導入先規模

エンタープライズ

データセンター

キャリア

パフォーマンス1
キャパシティ2

500Mbps

1Gbps

2Gbps

4Gbps

8Gbps

14Gbps

10Gbps

20Gbps

30Gbps

40Gbps

スループット3

500Mbps

1Gbps

2Gbps

4Gbps 

 

8Gbps

12Gbps

10Gbps

20Gbps

30Gbps

40Gbps

同時接続数(最大)

200万

400万

600万

対応可能なDDoSフラッド攻撃の規模(最大)

100万パケット/秒

1,000万パケット/秒

2500万パケット/秒

遅延

60マイクロ秒未満

リアルタイム・シグネチャ

18秒未満で検知、保護

検査ポート

10/100/1000
Copper Ethernet x 4
Gigabit Ethernet(SFP)x 2

10/100/1000 Copper Ethernet x 8
Gigabit Ethernet(SFP)x 4
10 Gigabit Ethernet(XFP)x 4

1 / 10 Gigabit Ethernet (SFP+) x 20
40 Gigabit Ethernet (QSFP+) x 4

管理ポート

10/100/1000 Copper Ethernet x 2
RS-232 x 1

ネットワーク・オペレーション

トランスペアレントL2転送

導入モード

インライン、SPANポート・モニタリング、コピー・ポート・モニタリング、
ローカル・アウトオブパス、アウトオブパスでの攻撃対策
(スクラビング・センターを使用)

トンネリング・プロトコルのサポート

VLANタグ、L2TP、MPLS、GRE、GTP

IPv6

IPv6ネットワークをサポート、IPv6に対する攻撃を遮断

ポリシー・アクション

遮断と報告、報告のみ

遮断アクション

パケット拒否、リセット(発信元、宛先、両方)、
一時停止(発信元、発信元ポート、宛先、宛先ポート、任意の組み合わせ)、
チャレンジ&レスポンス(HTTPおよびDNS攻撃)

ハイ・アベイラビリティフェイル・オープン/フェイル・クローズ

内部フェイル・オープン/フェイル・クローズ
(Copperポート)、
内部フェイル・クローズ(SFPポート)、
フェイル・オープン(SFPポート、オプション)4

内部フェイル・オープン/フェイル・クローズ
(Copperポート)、
内部フェイル・クローズ
(SFPおよびXFPポート)、
フェイル・オープン
(SFPおよびXFPポート、オプション)5

内部フェイル・クローズ
(SFP+およびQSFP+ポート)、
フェイル・オープン
(SFP+およびQSFP+ポート、オプション)5

クラスタ

アクティブ/パッシブ・クラスタ

電源
デュアル電源

オプション

あり - ホットスワップ対応

過負荷処理のための高度な内部メカニズム

あり

電源仕様(最大)

177W
(デュアル電源オプション:147W)

476W

634W

放熱量

604 BTU/h
(デュアル電源オプション:501 BTU/h)

1623 BTU/h

2162 BTU/h

オート・レンジング電源

100V-120V/200V-240V AC 47-63Hzまたは38-72VDC

寸法(W x H x D)

424 x 457 x 44mm

424 x 600 x 88mm

426 x 537 x 88mm

重量

15.9 lb/7.2 kg
(デュアル電源オプション:
19.2 lb/8.7 kg)

39.0 lb/18.0 kg

33.2 lb / 15.1 kg

動作温度

5 - 55 C

湿度(結露なきこと)

5% - 95%

安全性認定

EN 60950-1:2006, CB - IEC 60950-1, cTUVus

EN, UL, CSA, IEC #60950-1

EN 60950-1:2006, CB - IEC 60950-1, CCC, cTUVus

EMC

EN 55022, EN 55024, FCC Part 15B Class A

EN 55022, EN 55024, FCC Part 15B Class A

EN 55022, EN 55024,EN 61000-3-2, EN 61000-3-3 A

その他の認定

CE, FCC, VCCI, CB, TUV, UL/cUL, CCC, C-Tick, RoHS

CE, FCC, VCCI, CB, TUV, UL/cUL, CCC, C-Tick, RoHS

IEC 61000 4-2 to 4-6 ,
IEC 61000 4-8 & IEC 61000-4-11,
FCC Part 15B Class A, ICES-003, VCCI, C-Tick RoHS 6 Compliant

1 実際のパフォーマンスは、ネットワーク構成やトラフィックの種類などによって異なる場合があります。
2 キャパシティは、セキュリティ・プロファイルを設定せずに測定された最大トラフィック転送速度です。
3 スループットは、eCommerce保護プロファイルを使用し、
   振る舞い分析に基づくIPS保護とシグネチャに基づくIPS保護を有効にして測定されています。
4 SFPポートでの外部Fiberフェイル・オープン・スイッチは有償で追加できます。
5 SFP、XFP、SFP+、またはQSFP+ポートでの外部Fiberフェイル・オープン・スイッチは有償で追加できます。