次世代ファイアウォール/Palo Alto Networks「PA-5060」
アプリケーション識別型FWが厳格なアウトバウンド通信管理を実現米国Palo Alto Networksの“次世代ファイアウォール”アプライアンス「PA-5060」が、ファイアウォール市場で新たな潮流を作り出し、イノベーションを牽引している。このアプライアンスには、ファイアウォール、マルウェア対策、不正侵入防御(IPS)といった従来型のセキュリティ機能に加えて、「アプリケーション識別」など新たな機能も組み込まれている。
《総評》荒削りな部分もあるが、
主要機能は満足のいく結果を示した
我々Network World Test Allianceが最初にPalo Alto製品を検証したのは、2008年のことだ。その際検証した「PA-4020」は、興味深い製品ではあったものの、まだまだ機能面で向上の余地があるという結論だった。それから3年を経た今回、同社の最新ハイエンド・アプライアンスである「PA-5060」を検証し、各種機能において非常に満足のいく結果を得ることができた。
PA-5060は、すべてのセキュリティ機能とアプリケーション識別機能を有効にした状態でも数十ギガビット/秒(Gbps)のデータ転送速度を実現しており、大規模な企業のネットワークに導入する場合でも、詳細なセッション解析を十分に実行することが可能である。事実、全く同じテスト・シナリオにおいて、PA-5060は2008年に検証したPA-4020の10倍もの転送速度を記録している。
PA-5060はファイアウォールとしての十分な基本機能と、マルウェア対策およびIPSなどのUTM(Unified Threat Management:統合脅威管理)機能を実装しており、インバウンド通信に対して優れた性能を発揮する。また、独自の「App-ID」技術に基づくアプリケーション識別機能によって、ネットワークの利用状況を明確に可視化し、許可する通信を細かく制御できるため、アウトバウンド通信のためのファイアウォールとしても優れた効果を示す。
もっとも、世の中に完璧な製品など存在しない。Palo Alto Networksは比較的新しい企業であり、技術開発に割くことのできるリソースは限られている。そのため、集中管理のための機能、WebベースのGUI、VPN、ネットワーク・アクセス制御(NAC)風のユーザー識別、そしてホスト・スキャンといった機能については、まだ改善の余地がある。
改善点も多くあるものの、特に「アウトバウンド通信の制御」という難題に苦慮しているネットワーク管理者にとっては、PA-5060は十分に検討の価値がある製品である。また、ファイアウォールとWebセキュリティ・ゲートウェイを単一のアプライアンスに統合しているので、複数台のセキュリティ・ゲートウェイ製品を1台で置き換えられるというメリットもある。
以下では、PA-5060の各機能に対するテスト結果を詳しく見ていきたい。
