PR

二木 真明氏 SSE エスシー・コムテクスカンパニー ネットワークソリューション第一事業部 セキュリティシステム部副部長
吉田 柳太郎氏 SSE エスシー・コムテクスカンパニー ネットワークソリューション第一事業部 セキュリティシステム部 セキュリティシステム営業第2課 NetSceenチーム チーム長

ブラウザのアクセスをさばけない

 A社が導入したファイアウォールは,ウイルス検知などの付加機能を備えたオール・イン・ワン型で,アクセス制御にアプリケーション・ゲートウエイ方式を採用した製品。同方式では,ファイアウォールがプロキシ・サーバーとして動作し,通信データをアプリケーション層までチェックする。このため,セキュリティ・ポリシーを細かく反映できる。A社は単にパケットの種類で制御する製品よりもセキュリティが高いと判断し選択した。

 A社はウィルスの攻撃から社内ネットワークを守るため,ファイアウォール側でデータをすべてダウンロードし検査した上で,ブラウザに受け渡すよう設定した。複雑な処理を1台でまかなうため,スループットが犠牲になる点はあらかじめ予想していた。

 ところが運用を始めてみると,想定していた以上にWebアクセスのスループットが落ちてしまった。エンドユーザーから「ファイルをダウンロードしようとすると,ブラウザがフリーズする」という声が上がってきた。

図1 A社はファイアウォールの負荷軽減を狙いキャッシュ・サーバーを追加
A社は「アプリケーション・ゲートウエイ方式」のファイアウォールを導入した。直後,パソコンからのWebアクセスの要求プロセスが滞留し,スループットが大幅に低下した。そこでキャッシュ・サーバーを設置して,ファイアウォールの処理負荷を軽減することにした。
 問題は,ファイアウォールが“データのダウンロードとウイルス検知を終えるまでブラウザに送信しない”という仕様だったこと。エンドユーザーはファイルのダウンロードがうまくいかない場合に,ブラウザの処理を止めて,再度ダウンロードを要求するという操作を繰り返していた。しかしファイアウォール側はその間にも,最初に実行した処理プロセスを続ける。この結果,大量のプロセスがファイアウォールに滞留した(図1[拡大表示]の上)。

キャッシュ・サーバーでデータ量絞る

 ウィルス検知をやめればファイアウォールの処理負荷を軽減できる。しかしA社は,セキュリティを弱めずにスループットを改善する方法を模索。最終的に,キャッシュ・サーバーを追加設置した(図1[拡大表示]の下)。

 具体的には,キャッシュ・サーバーをパソコンとファイアウォールの間に置き,拠点や本社のパソコンからのトラフィックをこのサーバーに集約。トラフィックを絞ってからファイアウォールに受け渡すよう設定した。

 ファイアウォールはセキュリティを強化するほど処理速度が犠牲になりやすい。中でもアプリケーション・ゲートウエイ型では,社内からのトラフィックと処理速度のバランスを取るなどチューニングが必要だ。