Solution - ソリューション -

次世代ファイアウォール搭載UTM&VPNルーターからの新機能

従来からの「ステートフル・パケット・インスペクション」機能をはじめ、次世代ファイアウォールで必要不可欠となるセキュリティエンジン「アプリケーションコントロール(DPI)」 「Webコントロール(URLフィルタリング)」「IPレピュテーション(IPアドレスブラックリスト)」()「IDS / IPS」を新たに搭載し、外部からの脅威や 社内からの情報漏洩等を防ぎ、安全なインターネット接続環境を構築できます。

 UTM機能対応機種:AR3050S、AR4050S

機能比較

新ARシリーズと既存ARシリーズとのセキュリティ機能比較
セキュリティー機能 新ARシリーズ 既存ARシリーズ
アプリケーションコントロール(DPI)※1
Webコントロール(URLフィルタリング)※1
(ACL方式)
IPレピュテーション(IPブラックリスト)※1
アンチ・ウィルス / アンチ・マルウェア※1
アンチ・スパム※1
(予定)
IDS / IPS
(IDSのみ)
ステートフル・パケット・インスペクション IPv4 & IPv6 IPv4


  ※1 UTM機能対応機種:AR3050S、AR4050S(別途、フィーチャーライセンスが必要となります。)

ファイアウォールの定義

ファイアウォールのルール設定

従来のARシリーズでは「インターフェース」「アドレス、ポート」「プロトコル」でファイアウォールのルール設定を行っておりましたが、 新ARシリーズでは「エンティティー」と「アプリケーション」で定義を行うため、より柔軟に使いやすくなりました。

エンティティー(通信主体)

ゾーン(任意のネットワーク範囲)、ネットワーク(サブネットの集合)、ホスト(単一アドレスの集合)などIP/IPv6アドレスの集合 として表現可能な情報です。ファイアウォール、NAT、Webコントロールの各機能において、送信元、宛先の指定に使用いたします。

アプリケーション

SMTP、SSH、HTTP、IMAPSのように、IPプロトコルタイプ、TCP/UDPポート、ICMPタイプ/コードの組み合わせで表現可能な情報です。 ファイアウォール、NATの各機能において、通信の種類(アプリケーション)を指定するために使用いたします。

Firmwareルール適用

新ARの方式 従来の方式
送信元エンティティー エンティティー定義 始点IPv4/v6アドレス
宛先エンティティー 終点IPv4/v6アドレス
アプリケーション定義 始点TCP/UDPポート番号
終点TCP/UDPポート番号
IPプロトコル番号
ICMPタイプ/コード

APPコントロール

アプリケーションコントロール(DPI = ディープパケットインスペクション)は、パケットのデータ部分を検査し、通信内容(レイヤー7)にもとづいてどのアプリケーションのトラフィックであるかを判別し、破棄やログ出力、QoS処理等が実行可能です。

APPコントロール
14カテゴリ、1,587アイテムのアプリケーションを検出可(2016年12月時点)
アプリケーション・カテゴリー一覧
Collaboration
(コラボレーション)
Database
(データベース)
File Transfer
(ファイル転送)
Games
(ゲーム)
Mail
(メール)
Messaging
(メッセージング)
Networking
(ネットワーキング)
Network Monitoring
(ネットワーク監視)
Social Networking
(ソーシャルネットワーク)
Web Services
(Webサービス)
Proxy
(プロキシー)
Streaming Media
(ストリーミングメディア)
Remote Access
(リモートアクセス)
VPN and Tunneling
(VPN&トンネリング)
アプリケーション一覧表を公開し、<生産性指数>や<リスクレベル指数>にてアプリケーションの選択が可
<生産性指数>
レクリエーションまたはビジネスで使用される
アプリケーションであるかを
ランク付けされた指数である。
<リスクレベル指数>
アプリケーションを使用した結果「望ましくない」
「意図しない」動作を起こす可能性がある
アプリケーションの指数です。
1 レクリエーションで主に使用されるアプリケーション 1 リスクなし
2 レクリエーションで比較的多く使用されるアプリケーション 2 リスク小
3 レクリエーションおよびビジネスで同等に使用されるアプリケーション 3 リスク中-悪用される可能性がある。
4 ビジネスで比較的多く使用されるアプリケーション 4 リスク高-情報漏洩やマルウェアの可能性がある。
5 ビジネスで主に使用されるアプリケーション 5 リスクが非常に高い-検出回避やファイアウォールを透過する可能性がある。
ケーススタディ
ファイアウォールで特定アプリケーションをブロック

WinnyやShareなどのファイル交換アプリケーションやゲーム等の特定のアプリケーションだけをファイアウォールでブロック(または透過)して情報漏洩のリスクを抑えたり作業効率の低下を防ぐことができます。

ファイアウォールで特定アプリケーションをブロック
QoSで特定アプリケーションの優先制御/帯域制御

Net MeetingやSkypeなどの音声/画像アプリケーション等を快適に使用するために優先制御が可能です。また、アプリケーション毎に帯域制御を行い、かつDSCP値を書き替えフレッツ光ネクスト プライオを利用することでAR-AR間で帯域確保が可能になります。

QoSで特定アプリケーションの優先制御/帯域制御
PBR(ポリシーベースルーティング)で特定アプリケーションをルーティング(回線振り分け)※1

帯域保証型のIP-VPNとインターネットVPNの回線二重化構成時、重要度の低いアプリケーションやレスポンスを求めないアプリケーションをベストエフォート回線を用いて構築したインターネットVPNへ振り分けることが可能です。

PBRで特定アプリケーションをルーティング(回線振り分け)

※1 2017年夏対応予定

Procera Networks Inc.
Procera Networks Inc.(US)
通信事業者、サービスプロバイダー、ネットワーク装置ベンダー等を中心に、DPI技術を利用して、ネットワークトラフィックの識別・可視化とポリシーコントロールを行い、ネットワークの体感品質の向上により加入者・接続ユーザー体験の最適化を実現する最先端のソリューションを提供しています。

Webコントロール

Webコントロール(URLフィルタリング)機能は、クライアントがアクセスしようとしているWebサイトをカテゴリーに分類し、カテゴリーごとにアクセスの禁止 ・許可を制御する機能です。

Webコントロール

常に最新・高精度なデータベースを提供するため、“新しいURLの追加”に加え“既存URLデータの定期的な見直し”も実施します。また、分類カテゴリも日本のインターネット文化や 最新のWeb脅威に最適化を図ります。

  • データベース更新頻度は1日3回以上。
    緊急性を要する場合、即時に反映させ、緊急配信する機能も備えております。
  • 時代の情報ニーズ・脅威に最適化されたカテゴリー
    21分類/92カテゴリー
  • 脅威情報サイトの分類
    脅威情報サイトに関する情報を収集しており、悪意のあるサイトにアクセスしないようにすることでマルウェア(ウイルス/ランサムウェア)の侵入・感染等を防ぐことが 可能です。
  • 時代の情報ニーズ・脅威に最適化されたカテゴリー
    21分類/92カテゴリーにわたり、対応しております。
  • 世界14か国言語の情報収集
    日本語、英語、中国語以外にスペイン語、イタリア語、ドイツ語、フランス語、スカンジナビア語群、ポーランド語、ロシア語、オランダ語、ギリシャ語、 ポルトガル語、ルーマニア語の情報にも対応しております。
カテゴリー/分類一覧
アダルトマテリアル
・ポルノ、アダルトサイト
・ヌード、アダルトグッズ
・グラビア、写真集
・性教育、性の話題
犯罪、暴力
・暴力、猟奇描写
・犯罪、武器凶器
・麻薬、薬品薬物
・カルト、テロリズム
自殺、家出
・自殺
・家出
不正IT技術
・ハッキング、クラッキング
・不正プログラム配布、
 リンク集
・違法ソフト、反社会行為
・フィッシング詐欺
・クラッシャーサイト
・迷惑メールリンク
ショッピング
・コンピューターサプライ
・オフィスサプライ
・オークション
・オンラインショッピング
・ポイントサービス
・クーポン総合サイト
コミュニケーション
・出会い
・Webメール
・チャット
・メールマガジン
・会員向け掲示板
・ソーシャルブックマーク
・IT情報掲示板
・掲示板
・SNS
・ブログ
情報サービス
・ニュース
・画像、動画検索エンジン
・ポータル
・地図、位置情報
・検索エンジン
・プロバイダー
・ホスティング
ギャンブル
・ギャンブル
・懸賞、くじ
アルコール、タバコ
・アルコール
・タバコ
主張
・誹謗、中傷
・主張
・いたずら
宗教
・宗教
求人情報
・求人情報
結婚相談、斡旋
・結婚相談、斡旋
金融、経済
・消費者金融・個人ローン
・不動産
・オンライントレード
・インターネットバンキング
・金融・投資情報
・保険商品
・クレジットカード、
 オンライン決済、
 電子マネー
エンターテイメント
・芸能
・映画、演劇
・音楽
・TV、ラジオ
・漫画、アニメ
・ゲーム
・スポーツ
・占い、超常現象
・ライブカメラ
・動画配信
・音楽配信
・電子書籍、小説投稿サイト
・趣味、同好
地域情報
・旅行、観光
・アミューズメント施設
・旅客鉄道
・グルメ
・タウン情報
ツール、
Webアプリケーション
・オンラインストレージ
・メッセンジャー
・P2Pファイル共有
・スケジューラ
・グループウェア
・RSSリーダー
・Webアプリケーション
・総合ソフトウェア
 ダウンロード
・アップローダー
・製品サポート、
 修正プログラム
・Web翻訳・URL変換
・プロキシ情報
行政、教育
・政府・自治体
・学校、教育施設
・軍事・防衛関連
企業
・上場企業
脅威情報サイト
・脅威情報サイト ※1
その他
・緊急
・特殊
※1 本カテゴリに含まれるデータは、株式会社FFRI様をはじめとしたデジタルアーツ株式会社様の提携先により
    収集および分析された情報により構成されています。最新情報は、以下をご参照ください。

IPレピュテーション

IPレピュテーション(IPアドレスブラックリスト)は、好ましくないIPアドレスのリスト(IPレピュテーションデータベース)をもとに、特定の送信元または宛先のパケットを制御する機能です。マルウェア(ウイルス/ランサムウェア)の感染経路となるWebサイトの閲覧や、ファイルのダウンロードを防ぐ事が可能です。

IPレピュテーション

アンチ・ウィルス

ストリームベースのアンチ・ウィルス(マルウェアプロテクション)を搭載し、全てのTCP/UDPに対しマルウェア(ウイルス・ランサムウェア等)の脅威情報が含まれていないか検疫します。シグネーチャーは厳選された最新の脅威情報でPC等のエンドポイントに搭載されたウィルス駆除ソフトウェアで検出できないセロデイ・ウィルスを防除するのに最適です。

アンチ・ウィルス
Kaspersky lab UK Limited
Kaspersky lab UK Limited(UK)
世界最高検知率を誇るアンチ・ウィルスソフトベンダー。フランスやドイツでは売上No.1を獲得し、アメリカ国防省やロシア国防機関、NATO等の軍事機関で高く評価されている。

ネットワーク構築のご質問などお気軽にご相談ください。

アライドテレシスの"旬"な情報をお届けします。

関連リンク
イベント・セミナー

PAGE TOP