NETSCREEN-IDPによる広範囲に及ぶ攻撃の検知 〜可用性を考慮した常時監視の実現〜
前回まで計3回にわたり、Netscreen-IDP(Intrusion Detection and Prevention)の機能・特徴をご紹介してきました。
特集
特集
繰り返しになりますがNetscreen-IDPでは「ステイトフルシグネチャ」や「プロトコル異常検知」など合計8種類の検知メカニズムを用いることで、より高い精度での不正トラフィックの検知を実現しております。
また、NWに対してFW同様に直接接続する形態(In-Line Mode)で導入することが可能であり、自ら不正なパケットやコネクションを遮断するという防御機能を実現しています。
このような特徴からNetscreen-IDPがここ最近益々巧妙になる不正侵入や攻撃から有効にリソースを守るセキュリティ製品の1つであることはお解り頂けたと思います。
今回はNetscreen-IDPのご紹介の最後と致しまして、製品特有の冗長機能及び、製品ラインナップをご紹介していきたいと思います。
現在、NW管理者またはセキュリティ管理者の方が、自らお使いになる製品を選定する際、製品の可用性に重点を置かれる事も多いのではないでしょうか。やはりNWダウンによるサービス停止が企業の死活問題に直結することも少なくない現在、安定してサービスを提供するために回線やNW機器の冗長化を施すことは必須と言っても過言ではないと思われます。
そう考えると冗長構成を全く組めない製品や、冗長構成の為にあまりにも高いコストを必要とする製品では魅力が半減してしまうのではないでしょうか?
私たちがこの特集でご紹介しているNetscreen-IDPも可用性を考慮する必要がある製品であります。
これは前記で説明したIn-Line Modeで導入する場合、FWやSWと同様に万が一の機器障害がトラフィックの停止に直結してしまうからであります。
この製品はハード・ソフト一体となったアプライアンス型なのでソフト型の製品と比べると故障率もかなり低く抑えられています。しかし精密なコンピュータ製品である以上100%故障しないという事も実際問題としてあり得ないことはご理解頂けると思います。
また製品のバージョンアップなどでマシンをリブートしている時間も全く無視は出来ないはずです。
<Netscreen-IDPの冗長構成について>
Netscreen-IDPでは高い可用性を考慮した設計が施されています。
この場合、複数台のNetscreen-IDPで冗長構成を形成していく訳ですが、この構成パターン(機能)もいくつか選択することが可能です。
(資料提供:NetScreen Technologies, Inc.)
ノックス株式会社
ソリューション営業部
鈴木 克利
http://www.nox.co.jp/
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》
