4 BIG-IP v9.xldapactive Directory (AD) RADIUSTACACS+ BIG-IP 4 BIG-IP GUI CPU WAN Optimization ModuleWOM WOM BIG-IP BIG-IP SSL Logical Volume Manager B

本資料は、

BIG-IP

®

_v10

_{で提供される新機能と機能強化を紹介するために作成されたものです。この資料は、分かりやすいように以}

下のカテゴリに分けられています。

TMOS

TM_{アーキテクチャ̶}

_P1

BIG-IP

®

_{Local Traffic Manager}

TM_̶

_P

BIG-IP

®

_{Application Security Manager}

TM_̶

_P

BIG-IP

®

_{WebAccelerator}

TM_̶

_P

WAN

アプリケーション・デリバリ・サービス̶

P10

注意 「新規」列のチェックマーク（4）は新機能の追加を、プラス記号（＋）は既存機能の強化を表しています。

TMOS

アーキテクチャ

機能

新規

機能：解説

お客様のメリット

モジュラ・アプリ ケーション・インフ ラストラクチャ・ サービス ＋

TMOS

では、効率が高いプラグインデザインが採用され、よ り多くのサービスがコアに組み込まれています。

■

BIG-IP Application Security Manager

（以下、

BIG-IP ASM

）と

BIG-IP WebAccelerator

（以下、

WebAccelerator

）の統合の強化 ■

2

つ以上のモジュールによる個別設定 セキュリティとアクセラレーションの統合により、

Web

アプ リケーションの保護とアプリケーションの安定性が確保され ます。 モジュールの統合により、ハードウェア、電力、スペース、冷 却のコストが

50%

以上削減されます。 評価ライセンス ＋ 評価目的のために

BIG-IP

全体のライセンスを再取得するので はなく、モジュール単位で個別にライセンスを追加できるの で、有効期限が切れてもライセンスを再取得する必要があり ません。ライセンス期限が切れるとモジュールの機能が停止 しますが、そのモジュールを使用するよう設定されている既 存の仮想サーバが影響を受けることはありません。トラフィッ クはライセンスが切れたモジュールを迂回し、プールメンバー 間で負荷が分散されるようになっています。

リスクを回避しつつ、

WebAccelerator

、

BIG-IP ASM

、

WAN

Optimization Module

、

Protocol Security Module

を本番 環境でお試しいただけます。 リソース・ プロビジョニング 4

BIG-IP

によって、ユーザは、デバイス上で動作する各製品に 割り当てるシステムリソース（

RAM

、

CPU

、ディスク）の量を 決めることができます。導入した製品モジュールに対して、リ ソースの割り当て方法を個別に選択できるため、リソースを細 かく制御し、お客様独自のニーズに応じて

BIG-IP

を調整する ことが可能です。 システムリソースの細かな管理が可能なので、個別のニーズに 応じて

BIG-IP

環境をカスタマイズしていただけます。アプリ ケーションの具体的なニーズに応じて、セキュリティ、アクセ ラレーション、トラフィック管理に割り当てるリソース量を増 やすかどうかを決めることができ、インフラを

1

つのプラット フォームに統合して、トラフィック管理、トラフィック・アク セラレーション、アプリケーション・セキュリティを一元管理 することが可能です。

BIG-IP

®

_{v10 -}

_{新しい機能とメリット}

Aug 2009

2

機能

新規

機能：解説

お客様のメリット

リモート認証 4

BIG-IP v9.x

では、認証・承認に

LDAP

、

Active Directory (AD)

、

RADIUS

、

TACACS+

が用いられます。いずれもネットワーク 上のほかのデバイスへのアクセス管理に使用される一般的な システムであり、これらを

BIG-IP

に統合することで、管理者 はシステムごとにアカウントを分けて管理しなくてもすみます。 管理権限および個人のアクセス権限の追加や削除を容易に行 うことができます。外部認証システムへの変更が瞬時に適用 されるので、管理の時間、手間、エラーの発生が減り、セキュ リティが向上します。 この機能のベータテストを実施したあるお客様はこう話して います。「現在、

BIG-IP 1

台につき

0

のアカウントを作成し て、管理者に完全な制御権を与え、またユーザがアクセスで きるものを制限する必要があります。

TACAS

と

RADIUS

が サポートされれば、いくつかのロールを定義して、それらのロー ルにユーザを割り当てることができ、管理のオーバーヘッドが 大きく削減されます」 ダッシュボード 4 ダッシュボードはグラフィカル・レポートエンジンであり、

BIG-IP

の

GUI

から新しいウィンドウを開き、

CPU

使用量、メ

モリ使用量、接続、スループットに関するリアルタイム情報 と履歴情報を表示します。履歴情報は、時間、日、週、月ご

とに確認することが可能です。

WAN Optimization Module

（

WOM

）が導入されている場

合は、

WOM

のパフォーマンスもあわせて表示されます。こ れらの統計情報には、利用帯域幅、最適化の利用状況、リモー ト・エンドポイント数などが含まれます。 リアルタイム・ダッシュボードにより、

BIG-IP

の現在の状態を ひと目でチェックできるようになり、管理者は設定変更の結 果を即座に確認できます。履歴情報は拡張計画を立てるのに 役立ち、アプリケーションを追加導入する際のリソース確保を 可能にします。 ネットワーク管理者として、インフラが稼働しているかどうか 知る必要があります。

BIG-IP

を起動させ、マシンの容量が

10%

なのか

90%

なのか一目で見分けられなければなりま せん。新しいアプリケーションの導入を計画している場合は 特にそうです。

BIG-IP

がもう

1

台必要か、それとも今あるも ので足りるのかを見極める必要があります。 管理セキュリティ ＋

BIG-IP

のセキュリティを確保するために、以下の機能が備わっ ています。 ■カスタマイズされた法律上の注意事項とセキュリティ・ログ イン・バナーを表示する ■管理セッション・タイムアウトを実行する ■

BIG-IP

からのセキュアなログアウトを可能にする ■監査・記録の要件を満たす ■

_SSL

証明書が読み取られたり変更されたりしないよう、安 全に保護する デバイスレベルのセキュリティポリシーを企業全体のポリ シーの一部として管理していただけます。今回の機能強化に より、

BIG-IP

は要件の変更にも柔軟に対応できるようになり ました。 会社の法務担当者として、誰かが

BIG-IP

にログインするごと に、「これは会社の財産であり、不適切な使い方をした場合、 処罰の対象になります」という注意事項を伝える必要があり ます。さらには、実際に誰がデバイスを使用し、どのような 変更を行ったのかについても記録できれば助かります。そう することで会社が決めたセキュリティ義務を果たすことができ るからです。これらのポリシーは少なくとも年に

1

度ほど変更 されると考えられます。

システム管理の強化 ＋

Logical Volume Manager

はディスクのパーティショニン グを可能にします。 ■クイックリブートで本番システムをアップグレードできるよ うになっており、稼働を続けながら新しいリリースをインス トールすることが可能です。 ■必要に応じて前のバージョンに容易にフェイルバックでき ます。 ■ボリュームを追加して複数のバージョンをサポートすること が可能です。 ハイアベイラビリティ・ウィザード̶ピアツーピア（シャーシ 間）のフェイルオーバ設定を半自動化し、アクティブ

/

スタン バイペアの導入と管理を容易にします。 システムの堅牢性を確保するためのサポート体制が強化され ます。 アップグレード時のダウンタイムが大幅に短縮され、運用コス トを削減しアプリケーションの安定性を向上させる新機能に すばやくアクセスしていただけます。

IPv6

ゲートウェイ の統合

＋

IPv Gateway ™

が実装された

BIG-IP v10

は、

v

ネットワー

クと

v

ネットワーク間の変換とロードバランシングに完全対 応し、

IPv/IPv

デバイスの混在環境でトラフィックを管理し ます。コストのかさむアプリケーションの変更を行なわなくて も、

IPv

をサポート可能です。

IPv

トラフィックの増加を受けてネットワーク・マイグレー ションを計画する際に、柔軟に対応しつつ、シームレスな戦 略を立てることができます。アプリケーションのアップグレー ドも必要ありません。 弊社の

CIO

は、すべてを

IPv

対応にしたいと言っています。 今すぐは無理だとしても、必ずできるという確証が必要です。 準備が整い次第、

BIG-IP

をゲートウェイとして使い、少しず つ移行していくことができ、インフラを丸ごと一度に変える必 要はありません。

BIG-IP Local Traffic Manager

機能

新規

機能：解説

お客様のメリット

アプリケーション・ テンプレート 4 テンプレートは、

ARN

ガイドの設定ノウハウを抽出し、それ らを製品に組み込むことで、仮想サーバ、プール、プロファイル、

モニタ、

iRule

、

WebAccelerator

ポリシー、

BIG-IP ASM

ポ

リシーなど、特定のアプリケーションを採用した

BIG-IP

環境 を最適化するために必要な設定パラメータの作成を大きく簡 素化します。

BIG-IP v10

では、以下のテンプレートが提供さ れます。

SharePoint 200

、

VMware VDI

、

Exchange Web Access

200

、

IIS .0

、

HTTP

、

BEA WebLogic .1&.1

、

Oracle

Application Server 10g

、

SAP ERP .0&ERP 200

、

Citrix

Presentation Server

、

DNS

、

IP Forwarding

、

LDAP

、

RADIUS

。

テンプレートではほとんどの標準設定が事前に行われており、 手動での入力が少なくてすむため、

BIG-IP

の導入にかかる 時間が大幅に短縮され、設定ミスの発生も抑えられます。こ れらのテンプレートは

F

の「

Application Ready Solution

」 ガイドの拡張版であり、開発にあたっては、アプリケーション に特化した入念なテストを行い、アプリケーション・ベンダー の協力を得ました。つまり、アプリケーション環境を最適化 するための最適な設定をお客様にご利用いただけるように なっています。 弊社では

SharePoint

の導入を進めているところです。アプリ ケーション担当者が電話をかけてきて、数台のサーバの設定 が終わったので、ロードバランサを設定するようにと言われま した。そこで

BIG-IP

にログインして

[Templates]

をクリックし、

Microsoft SharePoint

を 選 択しました。「 この

Microsoft

SharePoint

仮想サーバ用の

IP

アドレスを指定してください」 や「この

IP

アドレスを

Microsoft SharePoint

トラフィックの 高速化に使用しますか

?

」といった簡単な質問が表示され、



分ほどですべての質問に答えることができました。

[

終了

]

ボ タンを押せば、トラフィック処理の準備が完了です。単に簡 単なだけでなく、

F

と

Microsoft

によって開発されたベスト プラクティスを使っているのだという安心感があります。 再ルーティングに よるリアルタイム モニタ 4 リアルタイムモニタ（

UI

の「インバンドモニター」）により、

L

接続制御と実際のデータを使ってプール内のサーバノードの 安定性をテストすることができます。

L

レベルでレスポンス が返されない場合は、そのノードは無効とマーク付けされ、 カスタマ・データリクエストは別のサーバノードに送られます。 指定時間を過ぎると、次のカスタマ接続リクエストがサーバ ノードに送信され、レスポンスがあるかどうかテストされます。 レスポンスが返されれば、そのサーバノードは有効とマーク 付けされ、カスタマリクエストが通過することになります。こ れによって、モニタの拡張性と

BIG-IP

のパフォーマンスが向 上します。この新しいリアルタイム・モニタリングに比べると、 現在のアクティブ・モニタリング機能ははるかに多くのリソー スが必要でした。 インバンドモニターでは、アプリケーションのテストのため にテストトラフィックを送信することがないため、サーバ、ネッ トワーク、

BIG-IP

の負荷が軽減されます。また、アプリケー ションによってはモニタリングのための「偽の」トラフィッ クの送信をサポートしていないものもあり、これらのアプリ ケーションをインバンドモニターでサポートできます。 モニタリングの強化 ＋ アプリケーション・レベルでのモニタリングは、

HA

とアプリ ケーション性能の確保に欠かせない要素です。今回、

BIG-IP

のモニタリングに以下の機能強化が施されました。

SIP

モニタリングの拡張̶

BIG-IP Local Traffic Manager

（以

下、

BIG-IP LTM

）に任意に設定可能なヘルスモニター・シス

テムが搭載され、複数のサーバベンダーとの連携が可能にな りました。

BIG-IP ASM

のモニタリング̶

BIG-IP ASM

ノード上でヘル

スチェックを実行できます。

WebAccelerator

のモニタリング̶

WebAccelerator

ノード 上でヘルスチェックを実行できます。

SIP

サーバやその他の

BIG-IP

サービスの柔軟なモニタリング が可能になり、インフラストラクチャとアプリケーションが連 携して安全かつ確実にアプリケーションを提供していること を確認できるようになりました。 クラスリストの 事前解析 ＋ アクセスごとに表やリストをスキャンする代わりに、名前と値 のペアを使ってクラスの事前解析と事前ロードを行うことが でき、効率的なルックアップが可能になります。新しく追加さ れた

iRule

コマンドの「

class

」を使うことで、より多くの情報 にアクセスし、クラスエレメントの細かな操作を行うことがで きます。 フィルタリングルールが多数ある場合、クラスを使ってそれら のルールを表に保存できます。たとえば、ペイロード値の照 合によってプールを選択したい場合は、そのデータセットを 定義する表を構築することが可能です。クラスが事前に解析 されていなければ、それらのデータへのアクセスに時間がか かり、完全に制御することもできませんが、この新機能によっ て、データに瞬時にアクセスすることが可能です。

Aug 2009



機能

新規

機能：解説

お客様のメリット

URL

リクエストの 集中ロギング ＋ シンプルな

iRule

を使って、すべての

URL

リクエストを記録し、 情報をロギングサーバに送信するように

BIG-IP

を設定できま す。これによって、すべてのトラフィックの正確な記録を集中 管理することが可能です。 現在お客様は

Web

サーバにログを蓄積しており、トラフィッ クの正確な情報を確認するには、これらのデータをすべて統 合する必要があります。

BIG-IP

の場合、トラフィックが

Web

サーバに到達する前にそれらを操作することから、

Web

サー バに記録されないリクエストも認識できます。ログが

1

か所 に集約されるため、集中管理された正確な

Web

リクエスト を完全に把握することが可能です。 アドバンスド・ ルーティングの強化

＋

IPv

と

IPv

の

IS-IS

、

RIP-ng

、

OSPF v

ルーティング・プロ

トコルがサポートされ、相互運用性が確保されます。これらの プロトコルは、

BIG-IP

が

IPv

と

IPv

の両方のネットワーク の動的なルーティングに参加するために欠かせないものです。

お客様の既存のネットワークとの互換性が確保されます。こ

れらの

IPv/IPv

用プロトコルをサポートすることで、さまざ

まなネットワークに対応できるだけの柔軟性が

BIG-IP

にもた らされます。

新しい

SIP iRule

＋

BIG-IP

が

SIP

トラフィックをどのように管理・制御できるかを 示す複数の

iRule

が新たに記述されました。

Delete persist on BYE

SIP Update VIA Header with VIRTUAL address & port

SIP Automatically direct server-side initiated request

SIP Forward strayed response through via header info

SIP Logging and monitoring

新たな

SIP

プロキシ機能と、システム相互運用性を確保する ための支援が追加されます。

PSM

侵害テスト 4 すべての

BIG-IP LTM

で、

PSM

セキュリティ・プロファイルを 設定して、緊急の対応が必要な侵害について把握することが できるようになりました。 た だ し、

http/ftp/smtp

に 関 する 攻 撃 を 遮 断 する 機 能 は 含まれません。この 機 能を 追 加するには

BIG-IP Protocol

Security Module

ライセンスが必要です。

http/ftp/smtp

に関する攻撃について細かく把握できます。

BIG-IP Application Security Manager

機能

新規

機能：解説

お客様のメリット

L7 DoS

攻撃保護 4 正確なトリガと自動制御を提供する第

2

世代の

L DoS

攻撃 保護です。同機能では検出要素と



つの保護方式がベースと なっており、これらの方式が次々に適用され、保護の対策と 手段が強化されます。

BIG-IP ASM

は、誤検出を防止する目 的からこのような設計となっており、問題が解決されなかった 場合にのみさらに上の保護メカニズムが適用されます。 これは、サーバが

DoS

攻撃の脅威にさらされていることが確 実な（設定可能な遅延レスポンス閾値が渡される）場合にの み保護レイヤで正確に機能する、唯一のソリューションです。 ほかのソリューションでは、サーバやエンドカスタマが攻撃の 影響を把握しないままに保護メカニズムが適用されます。必 要でないときに保護メカニズムを適用しても、ビジネスのリス ク（誤検出のリスク）が増えるだけです。なお、

L DoS

攻撃 保護は

VIPRION

では提供されません。 有効なエンドユーザにアプリケーションを安定して利用しても らうことができます。好ましくないクライアントは改善の対象 となり、好ましいクライアントに対してはサービスが提供さ れます。

IT

チームの効率性が向上し、

BIG-IP ASM

が自動介入してい る間に別のタスクに集中して取り組むことができます。 セキュリティ標準への準拠が徹底されます。 総当たり攻撃からの 防御 4

BIG-IP ASM

は、総当たり攻撃を容易に検出し、何度も失敗 を繰り返しているログインリクエストを遮断することでそれら の攻撃を抑制します。

BIG-IP ASM

はサーバレスポンスを監 視し、総当たり攻撃に関連する複数回のログインの失敗を検 出すると、リクエストを行っているブラウザをスローダウンさ せます。それに加えて、ログインプロセスに何度も失敗して いる

IP

からのログインリクエストを遮断することも可能です。 これは、実際のブラウザをスローダウンさせることができる 唯一のソリューションであり、ブラウザベースの攻撃に対処で きるソリューションはほかにはありません（

1

秒あたりのリク エスト回数の多いブラウザがあったとしても、通常のユーザ が気づくことはありませんが、

BIG-IP ASM

はこれらをスロー ダウンさせます）。なお、総当たり攻撃の防御は

VIPRION

で は提供されません。 有効なエンドユーザにアプリケーションを安定して利用して もらうことができます。好ましくないクライアントは改善の 対象となり、好ましいクライアントに対してはサービスが提 供されます。知的財産と機密情報が保護されます。

IT

チームの効率性が向上し、

BIG-IP ASM

が自動介入して いる間に別のタスクに集中して取り組むことができます。 セキュリティ標準への準拠が徹底されます。

VIPRION

への

BIG-IP ASM/

BIG-IP LTM

の搭載

4

VIPRION

で

BIG-IP ASM

が

BIG-IP LTM

と共に動作するよ

うになり、今日提供されている高スループットサービスに向け た初のデータセンタークラスの

WAF

が誕生しました。これま でインターネット大手や高スループットサービスを扱う企業で は、拡張性の問題が妨げとなり

WAF

を導入できずにいました。 現在の拡張方式では、

1

台のロードバランサの後方に多数の

WAF

を設置しなければならず、管理の複雑化を招いています。

VIPRION

に

BIG-IP ASM/BIG-IP LTM

が搭載されたことで、

この問題が解消され、

Web

サイトサービス用にきわめて高い スループットが提供されるようになりました。注：

L DoS

攻 撃と総当たり攻撃の防御は

VIPRION

では提供されません。 オンデマンドのスケーラビリティが向上し、データセンターで 複数のサーバを動作させる際の拡張性の問題が軽減されます。

Web

アプリケーションのセキュリティを

1

つの論理ユニットと して容易に管理することが可能です。 セキュリティとピークパフォーマンスの管理が統合されます。

Aug 2009



機能

新規

機能：解説

お客様のメリット

アプリケーションの 監視と報告

＋

URI

のサーバ遅延の監視̶

BIG-IP ASM

は、リクエストの 多い

URI

および

URI

ごとのサーバ遅延を監視して結果を報告 します。

BIG-IP ASM

は、低速なサーバスクリプトに対する ビジビリティを持ち、遅延の原因となっているサーバコードの トラブル・シューティングを容易にします。通常は、

Web

ア プリケーションでアクセス数の多いページを、時間、日、週 ごとにモニタリングし、これらのページの平均

TPS

と平均遅 延を算出します。各

Web

アプリケーションの監視に加えて、 アクセス数の多いソース

IP

アドレスの一覧を、

IP

アドレスご との

TPS

とスループットと共に提供します。このようなモニタ リング機能により、管理者はアプリケーションがどのようにア クセスされ、またどのような挙動をしているのかを把握でき ます。 パターンマッチング・シグネチャ̶

BIG-IP ASM

が緊急の攻 撃検出、情報提供、緩和措置を行う際に、同時に発生する可 能性のあるクロスサイト・スクリプティングと

SQL

インジェク ションのパラメータを特定します。通常、リクエストに複数の シグネチャがマッチした場合、それらの詳細な分析が個別に 行われます。つまり、

XSS

シグネチャがパラメータにマッチし、 ほかのシグネチャが

URI

にマッチした場合、それらの両方に ついて詳細な分析がなされ、シグネチャ番号とそのシグネチャ が何を防止しているのかの概説が提供されます。 侵害の深刻度の記録̶希望する不正パラメータに基づき侵 害を記録することが可能です。メタデータや期間など、深刻 度

/

大きさごとに侵害を記録するためのパラメータを選択しま す。侵害ごとに深刻度を定義できるようになっており、深刻 度や意味ごとの侵害の記録や、深刻な侵害のみの記録が可能 です。 任意のトランザクション、または希望するロギングのログエン トリでは、

Syslog

が

2k

から

k

に大幅に増加してしまいま す。ヘッダのみを記録するというケースもありますが、

BIG-IP

ASM

ではトランザクションのボディ全体を記録することが可 能です。設定はプロファイルで行うようになっています。

BIG-IP ASM

の

BIG-IP Global Traffic Manager

（以下、

BIG-IP GTM

）

/BIG-IP LTM

モ ニタ ̶

BIG-IP GTM

で、

BIG-IP

ASM

のトラフィック負荷をデータセンター間に均等に分散す ることが可能になりました。これによって、負荷量に合わせ た拡張性がもたらされ、組織のニーズに応じて

BIG-IP GTM/

BIG-IP ASM

を拡張できます。 低速なサーバスクリプトに対するビジビリティを持ち、遅延の 原因となっているサーバコードのトラブル・シューティングを 容易にします。 アプリケーション・レベルのパフォーマンスを確認し、何が起 こっているのかを知ることができます。 複数のパターンシグネチャを同時に照合し、遅延を緩和します。 侵害の深刻度に基づく記録により、希望する重要度や深刻度 をサポートすることが可能です。 アプリケーションの継続稼働が容易になります。

BIG-IP GTM

モニタリング̶

BIG-IP ASM

によって処理され

るクラス

/Web

アプリケーションごとのトラフィック量を把握 できます。

ポリシー テンプレート

4 テ ン プ レ ー ト で は、

PeopleSoft

、

Oracle 11i

ポ ー タ ル、

SharePoint

と

Outlook Web Access

、

Domino Web

メ ー ルサーバ用に事前設定されたポリシーを使い、

BIG-IP ASM

の設定を行います。設定が容易なばかりでなく、複数のアプ リケーション用の実証済みのセキュリティポリシーにより導入 面でのメリットがもたらされます。

Application Ready Solution

のセットアップ・ウィザードか

らクリック

1

つでサードパーティのアプリケーションを保護で きます。

BIG-IP ASM

ポリシーの調整

/

設定は必要ありません。 設定が容易なばかりでなく、複数のアプリケーション用の実 証済みのセキュリティポリシーにより導入面でのメリットがも たらされます。

BIG-IP 8900

プラットフォームを ベースにした

BIG-IP ASM

スタンドアローン 4 高 ス ル ープ ット

WAF

環 境 を 望 んで い る に も 関 わ らず、

VIPRION

が選択肢にない、もしくは

L DoS

攻撃や総当たり 攻撃の防御が必要であるといった場合には、

WAF

機能を提 供する一方で

BIG-IP LTM

は含まれない、コスト効率に優れ たプラットフォームをご利用いただけます。これまでこのよう なケースでは、お客様は

BIG-IP LTM

を含むプラットフォーム

（

BIG-IP LTM 00

など）を購入して、

BIG-IP ASM

モジュー

ルを追加しなければならず、コストがかさんでいました。

統合によって資産コストと運用コストを抑制する、コスト効率 に優れたスタンドアローン・プラットフォームが実現します。

機能

新規

機能：解説

お客様のメリット

Splunk

社による 最新の集中 レポーティング機能 4

Splunk

社では、大規模な高速インデクシング

&

検索ソリュー ションで、

BIG-IP ASM

に特化した

1

種類のレポートをパッ ケージ化して提供しています。

BIG-IP ASM

で利用可能な最 新の検索とレポートの例を紹介しています。これらの例では、 攻撃やトラフィックの動向に対する可視性、分析用の長期的な データ集約、インシデント・レスポンスの高速化、不測の脅 威の事前検出、脅威の変化に関する継続的な監視を提供して います。

Splunk

の大規模な高速インデクシング

&

検索ソリューション による集中レポーティングでは、

BIG-IP ASM

に特化した

1

種類のレポートによって、攻撃動向とトラフィック動向に対す る可視性、分析用の長期的なデータ集約、インシデント・レ スポンスの高速化、不測の脅威の事前検出、脅威の変化に関 する継続的な監視が提供されます。

Secerno

社の

DataWall

を使った データベース・ セキュリティ 4

Web

を使った機密データへのアクセス、データベースの妨害、 データベースに対する

DoS

（サービス妨害）攻撃に関するレ ポーティングが、

Secerno DataWall

と

BIG-IP ASM

で共有 できるようになります。レポートと警告によって攻撃のタイプ と脅威に関する情報を瞬時に提供する一方で、悪意のあるユー ザを隔離することが可能です。攻撃が検出されると、

BIG-IP

ASM

と

Secerno DataWall

の間でユーザの

ID

と攻撃の内容

が共有されます。ユーザの

ID

を共有することで、よりきめ細 かなポリシー設定が可能になり、コンプライアンス・レポート、 データベース活動のモニタリング、ユーザ制御の改善につな がります。

Secerno

の

DataWall

ソリューションを使った、エンドツー エンドの

L

アプリケーションおよびデータベース用のセキュ リティ・ソリューション。 コアデータベース資産への

Web

アプリケーション経由のアク セスを許可すべきかどうかといった、アプリケーション脅威の 包括的な防御を提供します。 アプリケーション・コードやデータベース・トランザクション の障害を瞬時に修復することが可能です。 技術的に多様な保護対象のアプリケーションが複数導入され た統制環境にとって、魅力的なソリューションとなっています。

Aug 2009



BIG-IP WebAccelerator

機能

新規

機能：解説

お客様のメリット

署名付きのアクセラ レーション・ポリシー 4 業界標準の

SSL

証明書を使って、ユーザにより開発もしくは 変更されたポリシーを

WebAccelerator

で電子署名

/

暗号化 するための手段が提供されるようになったことで、導入済みア プリケーションのアクセラレーションの最適化が実現します。 署名と暗号化がなされると、ポリシーの表示や編集が行える のは、執筆者もしくは署名されたポリシーの管理を担当する 人材のみとなります。 署名なしのほかのポリシーと同様に、署名付きのポリシーに ついても特定の

WebAccelerator

もしくはシステムセットと 厳密に関連付けることが可能です。署名付きのポリシーは、 非対向設置または対向設置された複数の

WebAccelerator

でも使用できます。 署名付きのアクセラレーション・ポリシーの持つ主要なメリッ トの

1

つとして、運用環境用に慎重に開発されたポリシーを ユーザがロックダウンできる点があげられます。これによっ て、フロントエンドのビジネスクリティカルな

Web

アプリケー ションである

WebAccelerator

上で、未承認のまま変更され たポリシーを使用することのリスクが軽減されます。 パフォーマンスの 向上 ＋

TMOS

との 統 合を 強 化し内 部 処 理を 合 理 化する、新しい

TMOS

ネイティブ・アーキテクチャが

WebAccelerator

に採 用されました。その結果、

WebAccelerator

の拡張 性が以 前のバージョンとくらべて

2

倍に強化され、スループットが向 上したにも関わらず、使用されるリソース量は減少しました。 今後、

WebAccelerator

モジュールで

TMOS

との交 信に仮 想

NIC

アーキテクチャが使用されることはありません。新し い

BIG-IP

ハードウェア機能が活用される新型の

BIG-IP

では、 性能拡張性がさらに高まります。 性能拡張性が瞬時に向上することから、現在の環境の性能 拡張性を犠牲にすることなく、

WebAccelerator

に

Web

ア プリケーションを追加することができ、将来にわたりお客様 の投資が保護されます。

WebAccelerator

と

BIG-IP ASM

の 相互運用性 4

WebAccelerator

がネイティブ

TMOS

プラグイン・アーキテ

クチャに移行したことで、

WebAccelerator

と

BIG-IP ASM

を同じ

BIG-IP LTM

上で使用できるようになりました。これら の機能が統合されることで、

1

台の

BIG-IP LTM

上で

Web

ア プリケーションを保護し加速化するための手段が実現します。

WebAccelerator

におけるオブジェクトのキャッシュを

BIG-IP ASM

で制御できるようになり、ブロックされたページや 侵害が発生したページのリクエストを受け取った場合、

BIG-IP ASM

は

WebAccelerator

にレスポンスをキャッシュしな いように伝えます。

BIG-IP ASM

のプ ロファイル やポリシーが 更 新 さ れると、

WebAccelerator

にキャッシュされたコンテンツが無効にな るので、

BIG-IP ASM

が発行したポリシーを侵害するコンテン ツが供給されることはありません。 お客様が

Web

アプリケーションの高速化と保護を希望され る場合でも、今では

1

台のデバイスで両方をサポートするこ とが可能です。新たに相互運用性がサポートされるようになっ たことで、安全かつ高速で安定した

Web

サイトの展開に伴う 複雑さが軽減されます。モジュールの相互運用性が強化され たことにより、

BIG-IP ASM

ポリシーが更新された場合、あ るいは

BIG-IP ASM

によりサイトアクセスが制限された場合 に、

WebAccelerator

がキャッシュするコンテンツを自動で 無効にできるようになりました。 データセンターの設置面積と電力消費量を減らしたいと考え

ており、

1

つ の

BIG-IP

で

BIG-IP ASM

と

WebAccelerator

の両方を動作させることができるようになったので、それが 可能になりました。導入と設定の複雑さが軽減されるので、 管理コストの削減にもつながります。複数のシステムで使用す るのに必要だったネットワークポートの数が減り、ほかのデバ イスに回すことができるようになりました。

BIG-IP ASM

の ポリシーを変更するたびに

WebAccelerator

でキャッシュの クリーニングや無効化などを手動で行わなければならなかっ たのが、今ではすべて自動化されました。

UI

の強化と「グロー バル・フラグメント」 エディタ ＋

WebAccelerator

グローバル・フラグメントは、

WebAccelerator

ポリシーで使用される定義済みの

MIME

型 を設定するためのロケーションです。グローバル・フラグメン トは、オブジェクト型、オブジェクト・グルーピング、デフォル ト圧縮、

URL

正規化の設定に使用されます。これによって新 しいオブジェクト型が有効になり、

Web

アプリケーションで 使用される際に、それらに対応できるよう

WebAccelerator

の機能を拡張できます。この新しい

GUI

ベースのグローバル・ フラグメント・エディタは、グローバル・フラグメント

MIME

型マッピングの作成と変更を容易にします。 グローバル・フラグメント

GUI

エディタによって、

MIME

型 を容易に設定できます。オンラインヘルプにおいて、設定可 能なセクションと必要なパラメータについて説明した、コンテ キストベースのアシスタンスを提供しています。

機能

新規

機能：解説

お客様のメリット

新しい

PDF

リニア ライゼーション・ ツール 4

WebAccelerator

の プ ラ グイン・アー キ テ ク チ ャに より、

TMOS

との統合が強化されると同時に、

iRule

やその他の

BIG-IP LTM

機能を使用する際の柔軟性が提供されます。ま た、このプラグイン・アーキテクチャは、ほかのモジュール との 統 合および 相 互 運 用を 容 易にし、

1

つ の

BIG-IP

上で

WebAccelerator

を

BIG-IP ASM

や

WAN Optimization

Module

と同時に動かすことを可能にします。 非リニアの

PDF

ドキュメントの場合、完全にダウンロードして からでないと表示することができませんが、

WebAccelerator

では、アプリケーション性能を犠牲にすることも、またサー バ

CPU

負荷を消費することもなく、非リニアの

PDF

ドキュメン トの供給時にそれらをリニア化することが可能です。大容量 の

PDF

ドキュメントを扱う組織の場合、リニア化を行うことで、 エンドユーザがドキュメントをダウンロードするのにかかる時 間を短縮できることから、より有用なサイトを構築することが 可能です。

F

はすべての製品のマニュアルを

PDF

化してオンラインで提 供しており、それらをインターネットからダウンロードしてい ただけるようになっています。お客様が使用しているオペレー ティング・システムとブラウザはさまざまですが、どのような オペレーティング・システムや

Web

ブラウザを使っていたと しても、

PDF

ドキュメントは必ず意図したとおりに表示される ので安心です。これらのドキュメントは大容量になることが多 く、その場合ダウンロードに長い時間がかかります。

Web

サ イトの帯域幅を増やしたのですが、それでもドキュメントを ダウンロードする際のパフォーマンスが向上することはありま せんでした。

WebAccelerator

の

PDF

リニアライゼーション によって、ドキュメントの最初のページがダウンロードと同時 に表示されるようになり、

PDF

ドキュメントのオンライン表示 のエクスペリエンスが大きく向上しました。ドキュメントのし おりも表示され、すべてのドキュメントのダウンロードが終了 していなくても、見たいページに移動できます。使用している ブラウザに関係なく、常に同じように閲覧することが可能です。 ネイティブ

NTLM

認証最適化の

OneConnect

への 統合 4

OneConnect

を有効にすることで、

NTLM

認証を最適化しな がら、

WebAccelerator

対応の仮想サーバのサーバ接続負荷 を軽減できるようになりました。

OneConnect

に

NTLM

認 証 最 適 化 が 追 加 さ れ たことで、

NTLM

対応の

Web

アプリケーションを高速化する際の拡張 性を高めることができるようになりました。 新しいリソース・ プロビジョニング 機能のフルサポート 4 新しいリソース・プロビジョニング機能では、選択されたプロ ビジョニング・オプションに基づき、その

BIP-IP

での使用が 許可されたモジュールの

CPU

、メモリ、ディスクスペースが 自動で割り当てられるようになっています。

WebAccelerator

モジュールに対しては、無効、ノミナル、ミニマム、専用の



つのプロビジョニング・レベルが用意されており、無効と設定 すると、

WebAccelerator

モジュールはたとえ

BIG-IP

上での 使用が許可されていたとしても有効になることはありません。 ミニマムの場合、モジュールを有効にして動作させるのに必 要な最小限のリソースが割り当てられます。 また、ノミナルを選択すると、モジュールをそのシステムで許 可されたほかのモジュールと共に動かすのに必要なリソース が最適な量だけ割り当てられるのに対して、専用プロビジョ ニングでは最大限のシステムリソースが割り当てられます。 リソース・プロビジョニング機能により、システムリソースの 利用が最適化されます（上記の

TMOS

のセクションを参照）。

Logical Volume

Manager

（

LVM

） のフルサポート 4

LVM

ボリュームを使ったディスクベースのキャッシングでは、 柔軟性、制御性、パフォーマンスが向上しますが、これらの メリットを

WebAccelerator

でフルに活用できます。

TMOS

プラグイン のフルサポート 4 ネ イ テ ィ ブ

TMOS

ア ー キ テ ク チ ャ へ の 移 行 に 伴 い、

WebAccelerator

に

CMP

モードとの完全な互換性が備わり、 より高度なリソース拡張性とリソース割り当てが実現すること となりました。

すべ て の

iRule

機 能（

Direct Node Selection

を 含 む ） を

WebAccelerator

で使用することが可能です。

Aug 2009

10

WAN

アプリケーション・デリバリ・サービス

サービスが直接

TMOS

に書き込まれるようになったことで、ほとんどの組織の

WAN

アプリケーションのレスポンスタイムの向上が可能になりました。直接

TMOS

に書 き込まれるようになった

WAN

最適化技術には、

iSessions

（対称型

&

暗号化）、

Symmetric Adaptive Compression

、

TCP Optimizations

、

L QoS Rate Shaping

、

Overview Dashboard

があります。

TMOS

における

WAN

最適化の一部として提供される機能によって、

TMOS

の完全機能セット（

iRule

を含む）の利用が可能になります。

WAN

最適化インフラストラクチャ の

TMOS

への統合はシームレスに行われ、比類のない信頼性、拡張性、パフォーマンスを提供します。

BIG-IP v10

へのアップグレードに伴い、

F BIG-IP

をご利用のお客様に

iSessions

を含む

WAN

アプリケーション・デリバリ・サービス・インフラストラクチャがもたらされます。

WAN

アプリケーション・デリバリ・サービスのネイティブ統合によって、

BIG-IP

間の既存のトラフィックの最適化と暗号化が可能になり、安定性が向上します。

TMOS

上での

WAN

アプリケーション・デリバリ・サービス

機能

新規

機能：解説

お客様のメリット

iSessions

4

iSessions

は、データの最 適化、暗 号 化、および対向設 置 された

TMOS

または

BIG-IP LTM

間でのトンネリング（オプ ション）を可能にするフレームワークです。

iSessions

機能 は

BIG-IP v10

以上が搭載された

TMOS

デバイスの基本ライ センスに含まれ、これを使うことにより、任意の

2

台の

BIG-IP

間で、最適化されたセキュアなデータ経路を作成できます。

iSession

には、デフォルトとアドバンスドの

2

つの最適化モー ドが用意されています。

WAN Optimization Module

のライセンス取得時に、対向

型データ・デデュプリケーションや、

CIFS

アクセラレーション、 その他の従 来の

WAN

最 適化機能（ハブとスポーク、完全 メッシュ化、ブリッジ、ワンアーム構 成、

WCCP

など）に

iSessions

を組み合わせることができるようになっています。

iSessions

は、お客様のアプリケーションのニーズに応じて、

BIG-IP

間に高速かつセキュアなトンネルを作成します。

1

つ のデバイスにアプリケーション・デリバリ・コントローラと従 来の

WAN

最適化機能を統合できる柔軟性を備えたシステム は、

BIG-IP

を除いてほかにはありません。

WAN Optimization Module

のライセンス取得時に、対称

型データ・デデュプリケーションや、

CIFS

アクセラレーション、 その他の従 来の

WAN

最 適化機能（ハブとスポーク、完全 メッシュ化、ブリッジ、ワンアーム構 成、

WCCP

など）に

iSessions

を組み合わせることができるようになっています。 対向型

TCP

Express

4

F

の

TCP Express

は、オープンシステム仕様ではないさま ざまなクライアントとサーバ・オペレーティング・システムで ネイティブにサポートされる最適化を利用した、標準に基づ く最新の

TCP/IP

スタックです。

F

の

TCP/IP

スタックでは、

WAN

と

LAN

の両方を効率化する数百の改善が施されてい ます。 低速

WAN

に対して、

F

の

TCP/IP

スタックはクライアント の速度を検出し、帯域幅を見積もることで、パケット脱落時 のパケットロスと復元を制限します。 接続される全種のクライアントの転送レートが向上します。 また、

WAN

全域で帯域幅の利用効率が向上します。 接続されたデバイス（すべてのクライアントとサーバ）ごと の

TCP

ウィンドウサイズと

TCP

輻輳情報が動的かつ自動的 に最適化されます。 低品質なネットワークのスループットが向上します。 対向型の適応的 圧縮機能 4 対向型の適応的圧縮機能は、

1

組の

TMOS

システムもしくは

BIG-IP

間の対向型圧縮を通して、あらゆる

TCP

トラフィック の最適化とデータ削減を可能にします。また、適切な圧縮レ ベルを保ちアプリケーション・パフォーマンスを最大化するた めに、ネットワークの状態および

CPU

の利用率に応じて圧縮 レベルが上下するようになっています。対向型の適応的圧縮機 能では、ライセンスがあり利用可能な場合は、

BIG-IP

ハード ウェア圧縮が用いられます。 対向型の適応的圧縮機能は、データセンターとブランチオ フィス間のスループットを向上させ、帯域幅利用量を削減しま す。対向型の適応的圧縮機能により、圧縮処理をアプリケー ション・サーバから

BIG-IP

にオフロードすることができるた め、

CPU

利用率が低下します。

L7 QoS

レート シェーピング 4

L QoS

レートシェーピングによって、クリティカル・アプリケー ションやタイムセンシティブなアプリケーションが優先される ように、ネットワーク・トラフィックを管理できます。さらには、 アプリケーションあたりの最小・最大帯域幅の制御およびバー スト制御の実施も可能になります。

L QoS

レートシェーピングは、企業のニーズに応じたトラ フィックのきめ細かな制御を提供し、アプリケーションあたり の帯域幅の管理と優先順位付けを行い、

WAN

上のクリティ カル・アプリケーションの

QoS

を向上させることが可能です。 アプリケーションと帯域幅の制御の強化に加えて、

L QoS

レートシェーピングでは、ビデオなど

WAN

上で提供される マルチメディア・アプリケーションでのジッタの発生を抑制し ます。

機能

新規

機能：解説

お客様のメリット

ToS

と

DSCP

の サポート

4

ToS

（

Type of Service

）と

DSCP

（

Differentiated Service

Code Point

）のパラメータの設定、実行、パススルーをサ ポートできるようになります。

ToS

と

DSCP

は、ダウンストリー ム

/

アップストリームのネットワークデバイスのトラフィックに マーク付けし、

QoS

を提供するのに用いられます。これらの マークは

BIG-IP

やその他のネットワークデバイスで設定する ことができ、

BIG-IP

では

QoS

に関する決定事項を有効化も しくは実行するために、設定、リセット、変更、監視が行える ほか、

BIG-IP

からの転送を受けることができるようになって います。

ToS

と

DSCP

のサポートにより、

WAN

における

QoS

が向上 し、帯域幅利用の改善と

WAN

トラフィック管理の強化が可 能になります。