|
 お客様は、どのような場合にパフォーマンスの向上のメリットを享受できますか?
SmartDefense
のデフォルト設定を有効にした場合、ファイアウォールと侵入防御のパフォーマンスが向上しています(この両機能のスループットは、それぞれ12Gbps
と5Gbps)。ほとんどのお客様の場合、SmartDefense の設定を有効にできるようにすることが、境界セキュリティのパフォーマンスを向上させるうえでの最重要ポイントになります。
お客様が使用している回線が専用線T1か、速くても
T3(45 Mbps)といった環境でも、今回のパフォーマンス向上の恩恵を受けることはできますか?
T3
回線を使用している場合、すべての SmartDefense 設定を有効にすることにより、境界で最も高いレベルの防御を実現できます。またネットワークの主流は、今後2〜3年のうちに
Gigabit Ethernet から 10G Ethernet へと移り始めることにも注目する必要があります。今後に備え、高いセキュリティ機能を高速ネットワークに対応できるようにしておくことで、これらの機能が将来的にボトルネックになることを回避できます。
VPN-1
のパフォーマンス向上はどのように実現されているのですか?
セキュリティ機能のパフォーマンスが向上した要因は、主に次の3つです。
- セキュリティ・アクセラレーション技術の SecureXL など、VPN-1 に搭載されている技術の継続的な改良。R65
ではこの結果として、R62 に比べ、同等のハードウェア上で 20% のパフォーマンス向上を実現しています。
- CPU のマルチコア化とバス転送速度の向上。これにより、プラットフォームでより効率的にセキュリティ処理を行えるようになりました。
- Intel の新プラットフォームに搭載される BIOS の特定の変更に関する同社とチェック・ポイントの共同作業。これによって、セキュリティ・スループットの向上が可能になりました。
最大のスループット性能が得られるサポート・プラットフォームにはどのようなものがありますか?
現在のところ、検証が終了しているのは
IBM 3650 シリーズのみですが、他のサーバ・ベンダーからも、近日中に対応プラットフォームがリリースされる予定です。基本的には、デュアルコアの
Intel Xeon プロセッサ5100シリーズを搭載したプラットフォームであれば、相当のパフォーマンス向上を見込むことができます。
Crossbeam
や Nokia のアプライアンスでもパフォーマンスは同じように向上しますか?
Crossbeams
と Nokia では、アクセラレーション効果を得るために、すでにハードウェア・レベルで SecureXL が使用されていることを認識する必要があります。また、どちらも
Intel アーキテクチャを採用しているため、両ベンダーとも、新プラットフォームを採用したアプライアンスをリリースする可能性があります。Intel
の新テクノロジを採用した新しいモデルが投入されれば、さらなるパフォーマンス向上が見込まれます。Crossbeam と
Nokia のリリース予定については、各社の担当者にお問い合わせください。
管理プラグインはどのようなものが提供されますか?
VPN-1
R65 のリリースと共に、Connectra を集中管理するための管理プラグインが提供されます。これにより、統一セキュリティ・アーキテクチャがさらに拡張されます。今後は、新機能のリリースに合わせて、対応するプラグインも提供される予定です。
管理プラグインはどのように配布されることになりますか?
管理プラグインは、基本的にゲートウェイのアップデートと共に配布される予定です。新製品に対応する管理プラグインは、独立したパッケージとして提供される可能性があります。
R65
にアップグレードしなくても管理プラグインを利用できますか?
管理プラグインを利用するには、まず
R65 にアップグレードする必要があります。R65 にアップグレードすることで、管理サーバに対し必要な管理機能のみ追加できるよう変更が可能となります。これにより、新しい機能を検証したり、最新技術を導入したりするために必要な時間を短縮することができます。
OPSEC
パートナーの製品でも管理プラグインを利用できますか?
現在のところ、管理プラグインはチェック・ポイントのソリューション専用となっています。
VPN-1
UTM に搭載される URL フィルタリング技術はどのベンダーが提供するものですか?
VPN-1
UTM と UTM-1 には、SurfControl 社の URL フィルタリング技術が搭載されます。
URL
フィルタリングのアップデートはどのように行われますか?
URL
フィルタリングのアップデートは、ウイルス・シグネチャのアップデートと同様に、SmartDefense サービスを通じて提供されます。
Nokia
アプライアンスで UTM 機能はサポートされますか?
サポートされます。VPN-1
の IPSO バージョンで、アンチウイルスや URL フィルタリングを含むすべての UTM 機能がサポートされる予定です。IPSO
バージョンは、一般出荷日の約2週間後にリリースされる予定となっています。
Integrity
と VPN-1 はどのように連携するのですか?
ユーザが
VPN-1 ゲートウェイを越えるアクセスを試みると、VPN-1 ゲートウェイは、Integrity Server に対し、そのユーザが認可を受けているかどうかを問い合わせます。ユーザが認可を受けていない場合は、管理者によって定義されたアクションが実行されます。
Integrityによって、ユーザがポリシーを遵守していないことが報告された場合、どのようなアクションを実行できますか?
ユーザのアクセスを拒否するか、あるいはユーザを追跡することができます。アクセスを拒否する場合は、HTTP
経由か電子メールでその旨を通知することができます。
Integrity
をインストールしていないゲストはどのように扱われますか?
管理者は、ホワイト・リストを作成することで、Integrity
によるポリシー遵守チェックなしでアクセスを許可するゲストを指定できます。また、エンドポイント・セキュリティの実施をモニタ専用モードで行うと、アクセスをブロックせずに誰がポリシーを遵守していないのかをチェックすることができます。
VPN-1
が今回よりサポートする Intel vPro テクノロジとは、どのような技術ですか?
Intel
vPro テクノロジは、PC をリモート管理できるようにするための技術で、PC の所有コストの低減を可能にします。vPro
テクノロジを利用すると、リモートから PC の監査や管理を行ったり、OS 障害時の Out-of-band での診断を行なえます。
VPN-1
と vPro テクノロジはどのように連携するのですか?
VPN-1
R65 では、先進の管理技術である vPro テクノロジを搭載した Intel の NIC と連携して動作することができます。ピア・ツー・ピアによるファイル共有などの特定の振る舞いを定義したルールを作成することで、ゲートウェイによってその振る舞いが検出された場合に、該当するエンドポイントをネットワークから切り離すことができます。InterSpect
との違いは、該当するエンドポイントを特定のセグメントに隔離するのではなく、ネットワークから切り離すことができるという点です。R65
では、振る舞いルールはテキスト・ファイルで定義します。
vPro
テクノロジを使用すれば、それ以外のエンドポイント・セキュリティは不要になるのですか?
いいえ。VPN-1
と vPro テクノロジを統合することで、管理者は、セキュリティ・ポリシーに違反しているエンドポイントをより強力に制御できるようになりますが、Integrity
などのエンドポイント・セキュリティ・スイートと同じレベルのセキュリティが提供されるわけではありません。PC が vPro
テクノロジを搭載している場合でも、ワームやウイルスへの感染を防止するには、Integrity などのセキュリティ・ソフトウェアを使用する必要があります。
VPN-1
でブリッジ・モードはサポートされますか?
R65
では、ブリッジ・モードをサポートします。R65 の VPN-1 ゲートウェイは、レイヤ2ファイアウォールとして導入することもできます。つまり、IP
アドレスやネットワークのルーティング構成を変更することなく、ネットワークにインラインで配置することが可能です。この場合、VPN-1
はいわば「不可視」のファイアウォールとして動作することになります。
VPN-1
R65 は、内部セキュリティとどのように関係するのですか?
ブリッジ・モードに対応し、エンドポイント・セキュリティの実施機能が追加されたことで、VPN-1
は、組織の内部セキュリティ戦略を補完する役割を果たせるようになりました。VPN-1 ゲートウェイが内部ネットワーク環境で利用可能となり、5
Gbps という侵入防御スループットを実現し、さらに既存のセキュリティ環境内で管理可能になったことは、多くの環境において、内部ネットワークのセキュリティを強化するデバイスとしても利用可能になったことを意味します。
VPN-1
でフェイル・オープン NIC はサポートされますか?
現在のところ、SecurePlatform
ベースの VPN-1 ではフェイル・オープンNICはサポートされていません。
ClusterXL
の信頼性向上はどのように実現されているのですか?
R65では、ClusterXL
でインタフェースのボンディングがサポートされるようになりました。これにより、完全にメッシュ型のトポロジを採用してハイ・アベイラビリティを実現することが可能になります。これまで、各ゲートウェイはその背後にある1台のスイッチに接続されていました。そのため、スイッチに障害が発生した場合、すべてのトラフィックは別のゲートウェイに再ルーティングされていました。R65では、各ゲートウェイは複数のスイッチに接続することができるため、1台のスイッチに障害が発生しても、トラフィックは別のゲートウェイを通ることなく残りのスイッチに再ルーティングすることができます。
SecureClient
Mobile はサポートされますか?
SecureClient
Mobile は VPN-1 R65 でサポートされており、VPN-1 R65 を通じて管理することができます。SecureClient
Mobile は、Internet Security Suite メディア・パックにも含まれています。
R65
では、サービス妨害攻撃対策としてどのような強化が行われていますか?
VPN-1
R65 では、サービス妨害攻撃対策として、主に次の2つの強化が行われています。
- SYNCookie: 既存の SYNDefender の拡張機能である SYNCookie
により、メモリを浪費することなく SYN フラッド攻撃に対処できるようになります。SYN フラッド攻撃の可能性があるトラフィックが検出された場合、VPN-1
は、SYN のやり取りが完了するまで、コネクション・テーブルでその接続を追跡することを中止します。
- アグレッシブ・エージング: サービス妨害攻撃が検出された場合、VPN-1
は、規定の時間が経過するのを待たずに古いアイドル接続の破棄を開始します。これにより、ゲートウェイのメモリが浪費されることを防止でき、不正な接続によって正規の接続が確立できなくなるといった状態をなることを防ぐことができます。
|
一般事項