|
Virtual System(以下VSYS)とは、NetScreen500より上位のNetScreen社製ファイアウォールで利用できる、マルチテナントサービス機能のことを言います。物理的に一台のファイアウォールを、複数のファイアウォールの集合体のように仮想的に運用できるものです。一台のNetScreenにVSYSの設定をすると、それぞれのVSYSは、個別の管理者、個別のVPN設定、個別のユーザ管理、個別のセキュリティポリシー、個別のルーティングテーブルを保持することができます。それぞれのVSYSはIEEE802.1QのTAG-IDによって区別されます。
VSYSのメリット
VSYS機能の画期的なところは、それぞれのVSYSが個別のルーティングテーブルを保持できるという部分にあります。通常多くのネットワーク機器では、一機器につき、ルーティングテーブルは一つです。一般的なIPネットワークのルールとして、ネットワーク内部でIPアドレスの重複は許されません。しかし、VSYS機能はVSYSごとに、全く別々のネットワークとして動作します。したがって、別のVSYSで同一のIPアドレスを使用することも許されます。
多くの組織では、組織内ネットワークのIPアドレスとして、プライベートアドレスを使用しています。プライベートアドレスは、インターネットのようなグローバルアドレス空間では使用できないアドレス領域であり、閉じられたネットワーク(プライベートネットワーク)の中でだけ使用することが許されていますが、プライベートネットワークの中では、そのネットワークの管理者が自由にアドレスを決定することができます。したがって、元々個別に管理されていたネットワークの統合などがあると、IPアドレス重複が発生し、それに伴うIPアドレスの変更、ネットワーク機器の設定変更を避けることができませんでした。しかしVSYSを使用すれば、複数の別個のプライベートネットワークを柔軟に統合することができます。
VSYSに対する要求
なぜ、VSYSというものが求められているのか、その背景を説明しますと、一つにはVPNの普及があげられます。従来専用線を使用して、企業は広域WANを構築していましたが、安価で高速なインターネットアクセスラインの普及に伴い、インターネットを使用したVirtual Private Network(VPN)の普及が急激に進みつつあります。
VPNはインターネットの公衆網内で、暗号技術を使用し、仮想的なプライベートネットワークを構築可能とするもので、現在の回線料金から考えると大きなコストメリットが見込まれます。ベストエフォート型のサービスであること、インターネットからの脅威にさらされることの不安、などから国内でのVPNは導入が進んでいませんでしたが、高速ADSLの低価格化、暗号技術の進歩と標準化に伴い、ここに来て、大きな盛り上がりを見せています。
VPNの普及は、ネットワークの統合も促します。インターネットへの接続さえ確保できれば、他のコストはなく、VPN装置の設定次第でどこのネットワークにも接続できるようになるからです。今まで分断されていたグループ企業のネットワークも、VPNによって安価に接続することができるようになります。また、キャリアやISPはVPNを自らのサービス品目として、複数のユーザに提供するようになります。このように、ネットワークの統合を円滑に行えることが、VSYSが求められている背景です。
VSYSの利用例
データの保全性、セキュリティの強化、コストの削減を図るため、あるグループ企業のサーバ群、インターネットアクセスラインを一箇所のデータセンターに統合することを想定してみましょう。条件は次の通りとします。
- 企業のオフィスからは、Virtual Private Networkを使用したインターネット経由での通信が行われます。
- 元々は個別にネットワークが管理されていたため、各企業のIPアドレスは重複しています。
- ネットワーク管理者は各企業ごとに個別に存在しています。
- データセンターには各企業全てがアクセスするサーバ群と、各企業ごとに使用するサーバ群が存在しています。
- モバイルあるいはSOHOユーザーからのアクセスもあります。
- 企業間の通信については、厳密なセキュリティポリシーが適用されます。
このような条件のとき、VSYSは非常に有効です。
各企業ごとに、一つのVSYSを利用することになります。
それぞれの条件について、NetScreenのVSYSでの対応を見ていきます。
- VSYSごとにVPN設定を行うことができます。
- VSYS間で、IPアドレスの重複は許されています。
- VSYS毎に、別々のネットワーク管理者を設定できます。
- RootVSYSに共用サーバを設置し、VSYS内通信にはVSYSごとのセキュリティポリシーが設定可能です。
- VPNユーザ管理もVSYSごとに行うことができます。
- VSYS越しの通信の許可については、送信元VSYS、受信先VSYSの双方にセキュリティポリシー許可の設定が必要です。IPアドレス重複がある場合は、VSYS越しの通信にNATを使用します。
NetScreenの優位性
NetScreen製品は、ASICによる高速処理を特徴とした、非常に高速なファイアウォールです。従来製品であれば、機能面だけでなく、パフォーマンス上も統合することが難しかったファイアウォールとVPN機器を一台のNetScreenに統合することが可能です。
なかでもNetScreen5200,5400はポート密度が高く、ファイアウォール市場No.1のパフォーマンスを誇り、インターネットアクセスに限らず、LAN内でのセキュリティゲートウェイとしても十分なパフォーマンスを持っています。NetScreenはこのほか冗長構成機能、URLフィルタリング、ウィルスゲートウェイ、認証サーバ、といったサードパーティー製品との連携機能など、集中管理型のセキュリティゲートウェイに必要とされる機能を備えています。日本市場には安価で高速なADSLを導入可能ですし、VPN導入によるコスト面でのメリットは計り知れません。NetScreen機器はそのVPNネットワークに必要なパフォーマンス、VSYSでの柔軟なネットワーク統合を提供可能です。
アドバンストサポート
草薙伸
|
