ごっついFireWallの裏側勉強会

 え×ぺ主催の「ごっついFirewallの裏側勉強会」に参加してきました。ウィルス対策や細かなコンテンツ、アリケーション管理といった強力なセキュリティ機能と容易な管理、高速性を兼ね備えたパロアルト社の次世代ファイアーウォールのお話です。

 ハードウェア的には管理、パケットの調査等の各機能ごとに専用のCPUまたはチップを使い(DOS対策などは専用のチップを使用。また一部にはFPGAも使っている)、ソフトウェアはセキュリティ対策部分を内製することで余分なオーバーヘッドをなくすこと、また通信内容のチェックの際にはツリー構造をしたチェック段階をへて、かつ階層の上には戻さないことで高速性を確保しているとのことです

 あまりこちらは詳しくないのですが、柔軟性と高速性をソフトウェアレベルで兼ね備えるにはどうしたらいいかといったウェブアプリケーションフレームワークなどにも通じる面があったり、管理画面のデザインなどもUIのデザインとして非常に参考になりました。

  • 創業者の自宅があるのでパロアルト
  • FireWallの方式
    • パケットフィルター
    • アプリケーションゲートウェイ
    • ステートパケットインスペクション
  • アプリケーションは飛躍的に進化
    • FireWallを突破するのが当たり前
  • 無意味になりつつある
  • セキュリティを回避するソフトが当たり前
  • ファイル共有が蔓延
  • コンシューマー向けアプリケーション
  • 既存のセキュリティ製品が意味ない
  • 機能増による機能劣化
  • 運用の複雑化
  • アプリケーション識別エンジン
    • データベースで
    • ポート番号に対応
  • SSLには中間者攻撃と同じ
  • アプリケーション識別
  • ユーザー識別
    • Activeディレクトリと連携
    • それ以外はWeb認証
  • コンテンツ
    • ファイルタイプ
    • 脅威防御
    • 文字列
  • ファイルベースではなくストリーミングベース
    • 複数あるものも同じ(制限はある)
  • 各機能に特化したハードウェアを統合
  • 機能のオンオフがパフォーマンスに影響しない
  • 管理画面
    • エクスポート
    • ユーザー単位での追跡
    • ポリシー作成はGUIベース。iTunes感覚
  • 矛盾点も検出
  • ポリシーはバージョン管理機能付き