PR

国内で,ギガビット・ファイアウォールの新製品が2つ発売された。カナダのノーテル・ネットワークスと米サーブゲートの製品である。どちらも,フィルタリング・ルールの検索処理を軽くすることで高スループットを実現している点が特徴。データセンターのようにフィルタリング・ルールが多様化し,トラフィックが集中する場合でも,ギガビット・イーサネット・インタフェースをフルに生かせるだけの処理能力を実現した。

(河井 保博=kawai@nikkeibp.co.jp)

 ギガビット・イーサネットの伝送能力をフルに生かせるファイアウォール製品が,国内に2つ登場した。カナダのノーテル・ネットワークスが開発した「Alteon Switched Firewall System」と,米サーブゲートの「SG2000」である。

 ギガビット・ファイアウォールは他社からも製品が販売されているが,これらの2製品は,内部処理を簡略化し,高いスループットを実現する。例えば,Switched Firewallは最高3.2Gビット/秒という高スループットを誇る。もう一方のSG2000は,パケット長に依存せず,ほぼどんなトラフィックに対してもギガビット・クラスのスループットが得られるという。

 ファイアウォールの内部処理は,パケット・フィルタリングアプリケーション・ゲートウエイによる中継・拒否の処理と,フィルタリング・ルールを検索する処理の2つに大別できる。このうち,性能劣化の原因になりやすいのはルール検索処理だ。

 ファイアウォール上では,受け付けたパケットがどのルールに適合するかをリアルタイムに判断する必要がある。ルール数が増えると,ルール検索処理が重くなり,性能が劣化しやすい。特に,データセンターなど多くのトラフィックが集中する場面では,フィルタリング・ルールはどうしても膨大になる。ルール検索処理に時間がかかると,せっかくのギガビット・インタフェースも効果がない。そこでノーテルやサーブゲートは,ルール検索処理を軽くする仕組みを実現した。

ルール検索をできるだけ省略

図1●カナダのノーテル・ネットワークスのSwitched Firewall Systemの仕組み
同社のロード・バランサをベースにしたAcceleratorとイスラエルのチェック・ポイント・ソフトウエア・テクノロジズのFireWall-1を搭載したDirectorの2つで構成される。コネクション確立/切断時のみFireWall-1に問い合わせ,通常のトラフィックについてはパス・スルーになる。AcceleratorとDirectorの間は独自に開発したNAAP(ノーテル・アプライアンス・アクセラレーション・プロトコル)を使う。

 ノーテルのSwitched Firewallは,従来のファイアウォールと違って2種類の機器で構成される。1つはフィルタリング/中継装置の「Switched Firewall Accelerator」。もう1つは,ファイアウォールの心臓部となるアプライアンスの「Switched Firewall Director」である(図1[拡大表示])。

 Acceleratorは,同社のロード・バランサ「Alteon AceSwitch 184」をDirectorと連携するように拡張した機器。通過を許すコネクションの情報を蓄積するキャッシュを搭載し,Directorと情報をやり取りするための独自プロトコルNAAP(ノーテル・アプライアンス・アクセラレーション・プロトコル)を実装する。Directorには,イスラエルのチェック・ポイント・ソフトウエア・テクノロジズ製品であるFireWall-1を搭載している。

 Acceleratorは,受け付けたパケットがSYNパケット(コネクション確立要求)であれば,Directorに問い合わせる。Directorは,送信元/あて先IPアドレスなどをもとにフィルタリング・ルールを検索し,通過の可否を判断。結果をAcceleratorに通知する。通過させる場合は,Acceleratorはキャッシュにコネクション情報を書き込み,パケットをサーバー側へ中継する。

 以後,FINパケット(コネクション切断要求)を中継するまでキャッシュの情報を維持。この間,AcceleratorはDirectorに問い合わせることなくデータ・パケットを中継する。つまり,ルール検索処理をできるだけ省略してパス・スルーさせることで高速転送を実現している。

独自アルゴリズムで高速検索

図2●米サーブゲートのSG2000が持つ機能の概要
独自開発した検索アルゴリズムでフィルタリング・ルール検索を高速に実行できる。また,セッションごとのルールをキャッシュするため,2回目以降のルール検索処理はより軽く,高速になる。バーチャル・ゲートウエイは,1台を仮想的に複数台のファイアウォールに見せる機能で,データセンターなどでは各顧客別に独立したファイアウォールとして提供できる。

 一方,サーブゲートのSG2000は,ネットワーク・プロセッサを搭載し,レイヤー3のデータ転送処理を高速化した製品。ルール検索に,「ファーストファイアウォールポリシー検索アルゴリズム」という独自手法を使い,高速処理を実現した(図2[拡大表示])。

 このアルゴリズムは特許出願中で,詳細は明らかにされていないが,概念的にはデータベースのインデックスのようなものを使って検索対象をあらかじめ絞り込む手法のようだ。同社によれば,ルール数が数千に増えた場合でも,検索対象を100分の1程度に抑えられるという。さらに,一度検索処理を実行したコネクションに対しては,ルールをキャッシュ。より高速に処理できる。これらの高速処理により,パケット・サイズによらずギガビット/秒級のスループットが得られる。