レイヤ7スイッチでなにができるか？

セキュリティ、IP課金、QoS

ブロードバンド時代を目前に控え、米国のネットワークベンチャーが続々と日本進出を図っている。「AppSwitch」というレイヤ7スイッチを扱うトップレイヤーネットワーク（以下トップレイヤ）もその1つ。アプリケーションを認識するスイッチでなにができるか？　日本法人であるトップレイヤーネットワークスジャパンの中田雄介氏にAppSwitchの効能についてうかがった。

トップレイヤーネットワークスジャパン マーケティングマネージャ 中田雄介氏

[編集部] AppSwitchは具体的にはどんな機能を持っているのでしょうか？

[中田氏] AppSwitchの機能は「e-Application Control」という3つのフレームワークから構成されています。1つ目は「Addptive Security」というセキュリティ機能です。これは主にファイアウォールやIDS（不正侵入検知装置）の機能を補完するもので、現在米国でもっとも受けている機能です。AppSwitchは「フローミラー」という機能で、フロー自体のカーボンコピーを作ることができます。これでIDSに投げることで広帯域になってもきちんと不正検知が行なえます。また、ファイアウォールのロードバランシングと冗長化をとることができます。

10/100BASE-TX×12ポート、1000BASE-FX×2ポートを搭載した「AppSwitch 3502」コンパクトフラッシュにアプリケーション設定データが入っている点もユニーク

[編集部] ファイアウォールとして使うことはできないのですか？

[中田氏] 一応、ファイアウォールの認定もとっているのですが、侵入検知装置とか、他のファイアウォールとかと補完させる使い方のほうが、AppSwitchの本筋ですね。ユニークなものとしては「デコイサーバ（おとりサーバ）」の機能があります。これはアタックをかけられているサーバのおとりとして動作する機能 です。AppSwitchは正常なフローに対してはサーバの方にリダイレクトするのですが、Synに対してAckが返ってこないとか、レスポンスが不規則であったとか、いうセッションはおとりのサーバに誘いこむ動きをします。ハッカーからは実際のサーバに侵入しているように侵入しているように見えるのですが、実際はセッションのログがとられているのです。
　2つ目の「Measurement and Management」は、IP課金をするための生データを提供する機能です。チップセットがレイヤ7で動作することを想定して作られていますので、セッションのデータを持ちながら、誰がどのアプリケーションをどれだけ使ったか、詳細なデータをとることができます。ただ、あくまで生データを出力する機能なので、課金自体はサービスプロバイダやポータルなどで行なってもらいます。アプリケーションごとに帯域保証や利用制限をかけることも可能です。3つ目が「Application Traffic Management」という負荷分散と帯域制御をあわせた機能です。

[編集部] 最近のレイヤ4〜7スイッチはこうした機能がメインのようですが。

[中田氏] はい。われわれは「SecureQoS」という言い方をしますが、これは「アプリケーションが本来の使い方をされている」ことを意味します。たとえば、RealPlayerなどのアプリケーションをポート番号で認識しているレイヤ4のスイッチの場合、HTTPに埋め込まれているアプリケーションの制御は不可能です。AppSwitchの場合、128ビットのペイロードを見ることで、400以上のアプリケーションを認識します。DDOSなどもアプリケーションとして認識していますので、これらをブロックすることができます。また、HTTP以外のアプリケーションのロードバランシングをとれるというのもAppSwitchの特徴的なところです。

(NETWORK MAGAZINE編集部)

• セキュリティ、IP課金、QoS
• AppSwitchの事例と製品