ルーター

UTM & VPNルーターポータル

「Accessibility（接続性）」「Security（安全性）」「Availability（可用性）」に優れた次世代ファイアウォール搭載VPNルーター&UTMです。AT-SESCと連携することでネットワーク全体のセキュリティが向上し、さらにAMF／AWCで有線／無線機器が統合管理できる、ユニファイド・ネットワーク・アプライアンスとして利用することが可能です。

Basic
（基本機能）
Accessibility
（接続性）
Security
（安全性）
Availability
（可用性）

ARシリーズの特長

Basic（基本機能）

インターネット接続や拠点間接続等に必要機能を満載し、あらゆる場面で使用できる基本機能を搭載。

Accessibility（接続性）

光回線はもちろんモバイル回線等様々な回線と接続でき、盗聴・改竄・成りすまし防止のためのVPNや、他社製品との相互接続検証を実施済みのためどんな環境でも最適なネットワークを構築できます。

VPN

IPsec

AR4050Sでは拠点間接続 IPsec通信の同時接続数が1,000セッションまで可能です。これにより他社のミドルレンジルータと同等の拠点数を集約できAR4050Sを中心として1,000拠点までの多拠点接続が可能になります。

セッション数	AR4050S	AR3050S	AR2050V	AR2010V	AR1050V
IPsec (IKEv1/v2)	1,000	100	100	100	16
L2TPv3	256	256	100	100	–
L2TPv2	20	20	20	20	–
Open VPN	1,000	100	100	100	10

企業向けVPNルータでは必須機能のIPsecを一新。最新プロトコル・ハッシュア関数・強度な暗号アルゴリズムを搭載し、より強固で安全なVPNネットワークを構築することが可能になります。また、プロファイル形式を採用し複雑な設定を簡素化いたしました。

Config Example設定例

L2TP／PPPoE

・L2TPv3に対応: L2フレームをIP（UDP）でトンネリングするL2TPv3に対応。Ethernetフレームのトンネリング（L2TPv3 Ethernet Pseudowire）により、拠点間のL2接続（ブリッジ接続）に使います。また、トランスポートモードIPsecを併用した通信内容の暗号化と認証にも対応しています。

・PPPoE AC／L2TP LAC機能にも対応: PPPoE AC／L2TP LAC機能にも対応。配下のPCをPPPoEを用いてサービスプロバイダー側のL2TP LNSで認証が可能になり、PPPoE端末の終端をカスタマーエッジ側ででき負荷分散が可能になります。インターネットアパート／ホテル等の各戸の認証等で使用可能です。

VNE Service （IPv6 IPoE + IPv4 over IPv6）

各仮想固定通信事業者（VNE）では、IPv6ネットワークを利用したIPv4サービスを開始（または開始予定）いたしました。
そこでARシリーズでも各種VNE事業者が提供するIPv6 IPoE + IPv4 over IPv6サービスに対応いたしました。

NTT NGN／IPv6サービス

・フレッツ・v6オプション対応: NTTが提供するフレッツ光ネクストのIPv6 （IPoE）に対応。回線に割り当てられるIPv6アドレスで網内通信が可能になるため、インターネットを経由せずセキュアで高速な通信が可能になります。
・フレッツ光ネクストプライオ: NTTのフレッツ光ネクストの帯域優先機能「フレッツ光ネクストプライオ」に対応。比較的安価で利用可能な本サービスをARでも利用可能になり、TV会議で利用する音声通信や画像通信などの帯域確保が可能になります。

パブリッククラウド VPN: クラウドサービスが提供する仮想ネットワークにVPNで接続し強度な暗号でセキュリティーを高めるトンネル通信が可能となり、コストを下げるとともにクラウドサービスをあたかも自社の専用サーバのように利用可能です。

パブリッククラウドサービス一覧

USBモデム／移動体データ通信サービス: NTTドコモやソフトバンク等の移動体データ通信サービスに対応したUSBモデムを使用して通信が可能です。高速でかつ対応エリアが広がった移動体データ通信サービスを使うことで、バックアップ回線としての用途や、災害時の仮設設備からのアクセス等で利用可能です。

接続検証済みUSB型データ通信端末

モバイルアクセス

モバイルアクセスに“OpenVPN”を採用し、外出先から社内リソースに安全にアクセスすることが可能です。RDP（リモートデスクトップ）を使えば持出PCに情報を入れて持ち運ぶ必要はないため、PC紛失などによる情報漏洩防止に効果があります。

オープンソフトウェアであるOpenVPNクライアントソフトウェアと動作検証を実施済み。

・マルチプラットフォーム: Windows 7／8.1／10、MacOS X、iOS8、 Android 4.4
・無償利用GPL（General Public License）: 公開ソフトウェアのため、この条件下の元であればクライアントソフトの利用料は必要ありません。
・共通ポリシーでの運用: マルチプラットフォームのため、異なるOS間でも共通ポリシーで運用が可能。
・各種証明書で、より強固な通信が可能: CA証明書やサーバー証明書にも対応し、より強固は通信で運用することが可能。

接続検証済みVPNクライアント

グローバル共通モデル: 日本仕様含むグローバル共通モデルで、世界各国仕様をワンモデルで実現。日本国内の拠点間接続だけでなく、海外拠点間を接続するグローバルネットワークの構築が可能です。

・日本で一括購入または現地購入可能。
・グローバルで同一レベルのSE駐在。
・グローバル共通のHW／SW共通品質。
・AR4050Sの定格ラベルにはVCCIやCEをはじめ世界各国の認定を取得しております。（KCはAR2010Vのみ。）

ダイナミックDNS

固定のIPアドレスが割り当てられなくても、特定のホスト名（FQDN）を利用できます。ダイナミックDNSは、ISPより割り当てられたIPアドレスに変更があった場合などに、インターネット上に存在するダイナミックDNSサーバーに対し通知し、DNSデータベースを更新します。これにより、ダイナミックDNSサーバーが常に最新の情報を保持でき、またサーバーに登録されたホスト名から接続したいルーターのIPアドレスを検索できるようになるため、固定IPアドレスを持たないルーターへのアクセスが可能です。

ルーターは起動時に自身のWAN側のIPアドレスをサーバーに登録し、その後IPアドレスが変更されたときには、自動的に登録アドレスを更新します。これにより、サーバーはつねにルーターのホスト名に対応する最新のIPアドレスを保持することができます。
インターネットVPNを構築際は少なくとも1つの拠点に固定グローバルIPアドレスが必要ですが、D-DNSサービスを利用すれば、VPNの接続先をIPアドレスではなく、D-DNSサービスサイトに登録したホスト名（FQDN）で指定できるようになります。これにより、すべての拠点が動的IPアドレスの場合でも、インターネットVPNを構築できるようになります。

接続検証済みダイナミックDNSサービス

Security（安全性）

強固なセキュリティエンジンを搭載し、外部からの脅威や社内からの情報漏洩等を防ぎ、安全なインターネット接続環境を構築できます。

セキュリティエンジン

次世代ファイアウォールARシリーズに新たにセキュリティ機能を追加！
外部からの脅威や社内からの情報漏洩等を防ぎ、安全なインターネット接続環境を構築できます。

APPコントロール（Sandvine)	アドバンスドIPレピュテーション（ラック）
アプリケーションを判別し、”脅威アプリ”や”生産性の伴わないアプリ”をフィルター。	ラック社にて収集された脅威情報サイトのIPアドレスブラックリスト。攻撃防御、情報漏洩防止が可能。
Webコントロール（Opentext）	IDS／IPS（Allied Telesis）
83以上のカテゴリーに分類されたURLのデータベースをもとに、Webブラウザーからのアクセス禁止・許可をコントロール。	ステートフル・インスペクション型ファイアウォール／ゾーンベース（Allied Telesis）
IPレピュテーション（Emerging Threats）	アドバンスドIPS（Emerging Threats）
33カテゴリに分類された脅威情報サイトのIPアドレスブラックリスト。攻撃防御、情報漏洩防止が可能。	サービス妨害（DoS）や不正アクセスと思われる異常なイベントを検出、侵入を防止。時々刻々と変わる攻撃者の侵入方法に対して50カテゴリー、6万を超えるパターンを網羅し、より広範な攻撃、侵入に対処。

ステートフル・インスペクション型ファイアウォール（ゾーンベース）: 通信（セッション）の状態や流れを監視・記憶し、許可されたアプリケーションのセッションのみをオープンする方法でネットワーク・アクセスを制御するように設計された「穴のない」セキュリティ・システムです。許可されたアプリケーションが使用中の間だけ必要なポートをオープンし、未使用のポートは閉じたままにしておきます。正常なセッションが終了すればすぐにポートをクローズします。これにより外部からの疑わしいアクセスは簡単に識別することができ、内部ネットワークへは通しません。さらにゾーン（任意のネットワーク範囲）、ネットワーク（サブネットの集合）、ホスト（単一アドレスの集合）などの集合情報単位で設定ができ、ネットワーク設計にあった制御が可能です。

Deep Packet Inspection（APPコントロール）

アプリケーションコントロール（DPI = ディープパケットインスペクション）は、パケットのデータ部分を検査し、通信内容（レイヤー7）にもとづいてどのアプリケーションのトラフィックであるかを判別し、破棄やログ出力、QoS処理等が実行可能です。

・QoSで特定アプリの優先制御／帯域制御: Net MeetingやSkypeなどの音声／画像アプリ等を快適に使用するために優先制御が可能です。
また、アプリ毎に帯域制御を行い、かつDSCP値を書き替えフレッツ光ネクストプライオを利用することでAR-AR間で帯域確保が可能になります。

・ファイアウォールで特定アプリをブロック: WinnyやShareなどのファイル交換アプリやゲーム等の特定のアプリだけをファイアウォールでブロック（または透過）して情報漏洩のリスクを抑えたり作業効率の低下を防ぐことができます。

・PBR（ポリシーベースルーティング）で特定アプリをルーティング（回線振り分け）: 帯域保証型のIP-VPNとインターネットVPNの回線二重化構成時、重要度の低いアプリやレスポンスを求めないアプリをベストエフォート回線を用いて構築したインターネットVPNへ振り分けることが可能です。
さらに、特定の決まったアプリは拠点から直接アクセスすることで、従来通りのセキュリティを保ちながらセンター側のトラフィックの削減が可能です。

アプリケーションコントロール機能（DPI）において、約2,000個のアプリに対応したSandvine社のDPIシグネチャーに加え、243個の標準シグネチャーにも対応し、用途に応じ選択が可能になりました。

ファイアウォールでアクセス許可／不許可
セッションログに判別済みアプリを記載
QoSによるトラフィック制御
ポリシーベースルーティングで回線制御
SD-WANロードバランスで複数VPN回線のトラフィック分散

・標準シグネチャーで判別可能な主なアプリケーション: Amazon、appleicloud、appleitunes, Atmf（AMF）、dropbox、Facebook、google、hotmail、linkedin、ms_onedrive、msn、netflix、office365、pop3、pptp、skype、twitter、windowsupdate、その他各種プロトコル等計243件
Sandvine社DPIシグネチャー

アプリケーション・カテゴリー一覧（14カテゴリー）
Collaboration （コラボレーション）	Database （データベース）	File Transfer （ファイル転送）	Games （ゲーム）
Mail （メール）	Messaging （メッセージング）	Networking （ネットワーキング）	Network Monitoring （ネットワーク監視）
Social Networking （ソーシャルネットワーク）	Web Services （Webサービス）	Proxy （プロキシー）	Streaming Media （ストリーミングメディア）
Remote Access （リモートアクセス）	VPN and Tunneling （VPN＆トンネリング）

アプリケーション一覧表を公開し、＜生産性指数＞や＜リスクレベル指数＞にて　アプリケーションの選択が可能です。

＜生産性指数＞

レクリエーションまたはビジネスで使用されるアプリケーションであるかをランク付けされた指数である。

レクリエーションで主に使用されるアプリケーション
レクリエーションで比較的多く使用されるアプリケーション
レクリエーションおよびビジネスで同等に使用されるアプリケーション
ビジネスで比較的多く使用されるアプリケーション
ビジネスで主に使用されるアプリケーション

＜リスクレベル指数＞

アプリケーションを使用した結果「望ましくない」「意図しない」動作を起こす可能性があるアプリケーションの指数です。

リスクなし
リスク小
リスク中 – 悪用される可能性がある。
リスク高 – 情報漏洩やマルウェアの可能性がある。
リスクが非常に高い – =検出回避やファイアウォールを透過する可能性がある。

アプリケーション一覧詳細
ライセンス購入はこちら

※本機能をご利用するには
APPコントロールライセンスをご購入ください

URL Filtering （WEBコントロール）

Webコントロール（URLフィルタリング）機能は、クライアントがアクセスしようとしているWebサイトをカテゴリーに分類し、カテゴリーごとにアクセスの禁止・許可を制御する機能です。

常に最新・高精度なデータベースを提供するため、“新しいURLの追加”に加え“既存URLデータの定期的な見直し”も実施します。また、分類カテゴリも日本のインターネット文化や最新のWeb脅威に最適化します。

・Opentext: 83以上のカテゴリーに分類された URLのデータベースをもとに、Webブラウザーからのアクセス禁止・許可をコントロールする機能です。
クラウド上のビッグデータ分析基盤（AWS／Hadoop／Cassandra）で稼動する脅威評価エンジンに機械学習を用いているため、瞬時に大量の脅威評価を処理することが可能です。

DigitalArts

・データベース更新頻度は1日3回以上: 緊急性を要する場合、即時に反映させる緊急配信機能あり。
・時代の情報ニーズ・脅威に最適化されたカテゴリー: 21分類／92カテゴリー
・脅威情報サイトの分類: 脅威情報サイトに関する情報を収集しており、悪意のあるサイトにアクセスしないようにすることでマルウェアの侵入・感染等を防ぐことが可能です。
・世界14か国言語の情報収集: 日本語、英語、中国語以外にスペイン語／イタリア語／ドイツ語／フランス語／スカンジナビア語群／ポーランド語／ロシア語／オランダ語／ギリシャ語／ポルトガル語／ルーマニア語の情報にも対応。

カテゴリー／分類一覧

ライセンス購入はこちら

※本機能をご利用するには
APPコントロールライセンスをご購入ください

アドバンスドIPS: 侵入防御（IPS）機能は、サービス妨害（DoS）や不正アクセスと思われる異常なイベントを検出、侵入を防止する機能です。
アドバンスドIPSは、IPSの基本機能に加えて、時々刻々と変わる攻撃者の侵入方法に対してさらに幅広く対応することができます。50カテゴリー、6万を超えるパターンを網羅し、より広範な攻撃、侵入に対処することが可能です。

IPレピュテーション: IPレピュテーション（IPアドレスブラックリスト）は、好ましくないIPアドレスのリスト（IPレピュテーションデータベース）をもとに、特定の送信元または宛先のパケットを制御する機能です。

カテゴリー一覧（LAC）

カテゴリー一覧（Emerging Threats）

IPレピュテーションは、ラック社およびEmerging Threats社の両方を併用することでより強固なセキュリティ環境を構築できます。

ライセンス購入はこちら

※本機能をご利用するには、IPレピュテーション／
アドバンスドIPレピュテーションライセンスをご購入ください

SESC(AMF-SEC コントローラー)連携

ARシリーズは、VPNルーター機能に加えファイアウォール、IPS／IDS、IPレピュテーションなどのセキュリティ機能も搭載した次世代型ファイアウォールです。このARシリーズで検知された脅威情報をAMF-SECコントローラー「AT-SESC」と連携し、エッジ・スイッチや、無線LANアクセスポイントを制御することでそれらに接続されたユーザー端末、IP電話、プリンター、複合機、POS端末、医療機器、MC機器、その他IP対応デバイスを動的に管理・運用することが可能です。

連携可能なセキュリティー機能一覧

・IPレピュテーション（IPアドレスブラックリスト）※1

IPアドレスの分類リストをもとに、特定のIPアドレスを送信元または宛先とするパケットを制御する機能です。下記カテゴリーのものがAT-SESCと連携が可能です。

・ファイアウォール

ARシリーズには、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフル・インスペクション型のファイアウォールが搭載されています。それに加え下記検出可能な攻撃をAT-SESCと連携が可能です。

※1 別途アニュアルライセンスが必要になります。

インターネット・アクセス・ログ（閲覧履歴）の取得

インターネットにアクセスした際の全てのセッション情報のアクセスログが取得できます。取得情報は、IPアドレスやポート番号等の他にDPI機能と連携することでアプリケーション情報も取得可能です。
企業の情報漏洩対策や、学校やインターネットカフェなどの履歴管理として利用可能です。このログを蓄積しておくことにより情報漏洩などの事故が起こった際の確認手段の一つとして使用することができます。

・ログ情報で取得可能な情報: セッション開始日時　・セッション終了日時　・ファシリティー　・ログレベル　・NAT前の送信元IP、宛先IP　・NAT後の送信元IP、宛先IP　・プロトコル　・バイト数／パケット数　・ポート番号　・アプリケーション名
・アプリケーション名も判別可能: DPIエンジンと組み合わせることで識別したアプリケーション名もトレースできます。ファイル転送やゲーム、メール、SNSなど約2,000ものアプリケーションも判別できるため、追跡する際とてもお役に立てます。
・外部メモリーにもログが保存可能: ARシリーズにはSDHCカードスロットまたはUSBポートが装備されており、SDHCカードやUSBメモリに直接ログ情報を記録することが可能になります。Syslogサーバと比較すると記憶容量は少ないが、設備投資を最小限に抑えつつ情報漏洩対策を行うことが可能になります。

Availability（可用性）

クラウド化が進みWAN接続のダウンタイムを最小限にすることが重要です。機器冗長や回線冗長に対応し、機器交換時のメンテナンスも簡単・安全に実施可能です。

AWC対応無線LANコントローラー: ARシリーズは、AWC（Autonomous Wave Control）に対応します。1台のARシリーズで5APまで標準で搭載可能です。小規模ユーザーでも無線コントローラーが導入可能になります。

バイパスポートによる冗長

WAN回線１本で機器冗長が可能なシステムです。従来の機器冗長システムではそれぞれの機器にWAN回線を接続する必要がありました。本システムを用いることで回線費用を大幅に削減しつつ機器冗長が可能になり可用性が向上します。

・バイパスポートで機器冗長
・機器交換時もダウンタイムを最小限に: 機器交換の際、WANアクセス（インターネットなど）を止めることなく機器交換が可能です。また、通常構成（スタンバイからマスタへ）への切戻し時も自動復旧／手動切り替えが可能であり、回線切断／接続の最小限のダウンタイムで復旧可能です。
・ゼロタッチ・コンフィグレーションでの機器交換: 機器交換の際、AMF（Allied Telesis Management Framework）や外部メモリブート（USBメモリ／SDカード）機能を使用してコマンド等を入力せずにコンフィグレーション・ファームウェア等が復旧可能です。

2つのWANポートのそれぞれに対して、1系統ずつバイパスポートを備えており、バイパスポートを利用した冗長構成を組みWAN回線を有効利用しつつ機器冗長が可能です。

通常時

機器AをVRRP（マスタ）とし、機器Bのバイパスポート／WANポートを経由してWAN回線に接続します。

機器Aが異常時

機器Aの異常時は機器BがVRRPによりマスタになります。その際機器BのWAN／バイパスポート間の接続がCPU／WANポートに切替り、機器BでWAN回線に接続します。

AMF-WAN

複数のWAN回線を利用してトラフィック負荷を分散させつつ回線冗長を行いWAN回線を効率よく使用することが可能です。
通常時は複数回線をアクティブーアクティブで利用し、かつ転送効率の良い回線を選択して新規セッションを結び複数回線を効率よく利用することが可能です。
回線障害時はもう一方の回線を利用してインターネット接続を継続します。

・メリット: 回線帯域を有効利用可能。
複数回線を全てアクティブ回線として利用可能。
回線障害時はアクティブ回線で接続継続。
ブロードバンドと移動体データ通信など回線帯域が異なる場合でも利用可。

Case1：インターネットアクセス

2本の回線をACT-ACTで利用し回線帯域を増加。
①各回線のジッター、レイテンシー、パケットロスを監視して回線状況を評価します。
② ①の評価結果を基に状態の良い回線にセッションを張ります。

Case2：拠点間接続

ACT-ACTで回線冗長。回線状態の良い回線にセッションを振り分け。

Case3：アプリケーション振分け

特定のアプリは拠点から直接インターネットへ。
③ DPIと併用できアプリケーション単位でロードバランスが可能になります。
④ FQDNを用いての振り分けも可能です。

*DPIによるWAN-LBは、当該アプリの初回セッションは振り分け対象になりません。DPI学習機能により2回目以降のセッションが対象になります。
*DPIによるWAN-LBは、Web Proxy／SOCKS Proxyを利用している場合は機能しません。
*1 DPIは未対応。

AMF-WAN