境界ファイアウォールとしてF5 BIG-IP 7200vを導入、 ファイアウォールを1台に統合することで、管理性と処理能力を高めるとともに より高度なDDoS攻撃への対応も可能に
F5ネットワークスジャパン合同会社(本社:東京都港区、代表執行役員社長:古舘正清、以下F5)は、国立大学法人 筑波大学(所在地:茨城県つくば市、学長:永田恭介、以下 筑波大学)が、学内ネットワークと学外ネットワークの境界に置かれるファイアウォール(以下 境界ファイアウォール)として、アプリケーション デリバリとセキュリティを提供する統合プラットフォーム「F5 BIG-IP 7200v」を導入したことを発表しました。これまでパフォーマンス確保のために複数の機器で負荷分散を行っていたファイアウォールをBIG-IP 7200vの導入で1台に統合することで、運用性の向上を実現しました。また、近年急増しているDDoS攻撃に対するより高度な対策や、DNSを狙った攻撃への対応も可能になることが期待されます。
今回のBIG-IP 7200vの導入は、2015年8月に実施された学内情報ネットワークのリプレースの一環として行われたものです。以前の学内ネットワークでは、学術情報ネットワーク(SINET)との境界にファイアウォールを2台設置し、その前後に負荷分散装置を置くことで、必要な処理能力(4Gbps)を確保していました。しかし、DDoS攻撃を受けた際には負荷分散装置の処理能力を超える負荷がかかることもあり、十分な対策とは言えない状況でした。また、これまでの攻撃は、特定の外部IPアドレスから複数の内部IPアドレスへの「1対N」の攻撃や、複数の外部IPアドレスから特定の内部IPアドレスを狙う「N対1」の攻撃だけでしたが、今後は、複数の外部アドレスから複数の内部アドレスを狙う「N対N」の攻撃も登場すると予測されていました。筑波大学では、このような攻撃に対応するため、シンプルな構成で高い処理能力を発揮する境界ファイアウォールに加え、IPアドレスやポート番号に基づくフィルタリングだけではなく、アプリケーション レベルでの対策が可能なソリューションを求めていました。
筑波大学は現在、境界ファイアウォールを1台のBIG-IP 7200vに統合しています。バックアップ用のBIG-IP 7200vを含めると2台構成になりますが、外部との境界を通過するパケットを常に1台のBIG-IPで処理し、負荷分散は行っていません。BIG-IP 7200vの最大スループットは40Gbpsであるため、この構成で十分な処理能力を確保できます。また、筑波大学では、DDoS攻撃への対応をより柔軟に行えることも高く評価しています。現在は、BIG-IP Advanced Firewall Manager(AFM)の機能を使用し、IPアドレス レベルでの静的な設定で対応していますが、今後は、BIG-IP Application Security Manager(ASM)によって、アプリケーション レベルでのDDoS検知や防御を実現していくことを検討しています。
また、筑波大学は、BIG-IPが装備するDNSプロキシ機能の活用も検討しています。筑波大学の学内ネットワークは複数のドメインに分かれており、DNSサーバも複数設置していますが、最近ではDNSを狙った攻撃も増えており、適切な更新が行われていないDNSサーバが存在すれば、攻撃のターゲットになる危険性が高くなります。DNSプロキシ機能を活用し、リゾルバを学内用と学外用に分けることで、DNSに対する攻撃も防御しやすくなります。
筑波大学 情報環境機構 学術情報メディアセンター ネットワーク研究開発部門 准教授の佐藤 聡氏は、BIG-IP 7200vの導入について次のように述べています。
「最近では、DoS攻撃やDDoS攻撃が増加していますが、今後これらの攻撃を防御するためには、F5が提供するアプリケーション レベルでの対策が必要になるはずです。BIG-IPはセキュリティに関するさまざまな機能を備えているので、これらをうまく活用することで、少ない管理者数でも安全性をさらに向上できると期待しています。」
こちらの事例の詳細は、下記URLをご参照ください。
https://f5.com/jp/solutions/customer-stories/big-ip-16816
F5のBIG-IP ハードウェア製品について詳しくは、下記URLをご覧ください。
https://f5.com/jp/products/platforms/appliances
F5のBIG-IP Advanced Firewall Managerについて詳しくは、下記URLをご覧ください。
https://f5.com/jp/products/modules/advanced-firewall-manager
F5のBIG-IP Application Security Managerについて詳しくは、下記URLをご覧ください。
https://f5.com/jp/products/modules/application-security-manager
F5ネットワークスについて
F5は、アプリケーションが、データセンター、クラウドサービス、従来型ネットワーク、SDNなど、あらゆるIT環境において、いつでも、どこからでも利用可能となる柔軟なソリューションを提供しています。F5のオープンで拡張性の高いフレームワークは、幅広いパートナーエコシステムとの協業を通じ、ITの適用範囲を広げ、最適なIT基盤の構築を可能にしています。また、F5のソリューションは、国内外のリーディング企業、サービスプロバイダー、公共機関のIT分野で広く採用され、最先端のクラウド、セキュリティ、モビリティ環境の実現に貢献しています。F5についてより詳しく知りたい方は http://f5.com/jp/ をご覧ください。また、ツイッターにて@F5Japanのアカウントから最新情報を発信しておりますので、是非フォローください。