A10、IPv4枯渇対策製品「Thunder CGN」新モデル、DDoS防御機能を強化

　A10ネットワークス株式会社は3日、DDoS防御に向けた新製品を発表した。Pv4枯渇対策・IPv6移行製品「Thunder CGN」にハードウェアベースのDDoS防御機能を搭載した新製品と、DDoS防御専用機「Thunder TPS」のミッドレンジモデルを追加し、いずれも9月下旬から提供する。

　同社は、サーバーの負荷分散などを担う「Thunder ADC」、キャリアグレードNATによりIPv4枯渇対策・IPv6移行を支援する「Thunder CGN」、DDoS攻撃を防御する「Thunder TPS」などを提供している。今回の新製品は、いずれもDDoS防御に関する強化・拡充を図ったもの。

「Thunder CGN」にハードウェアベースのDDoS防御機能

Thunder 6435(S) CGN

　「Thunder CGN」では新モデル「Thunder 5435/5435S/6435/6435S CGN」を投入する。特徴は「Thunder TPS」のハイエンド機に実装される「Thunder SPE（Security Policy Engine）」を搭載し、ハードウェアベースのDDoS防御を実現する点。

　「Thunder CGN」のDDoS防御機能は、最新OS「ACOS（Advanced Core Operating System） 2.8.2」で追加された新機能だが、ACOS 2.8.2で利用できるのはソフトウェアベースのDDoS防御機能。今回、ハードウェアベースのDDoS防御機能が追加されたことで、「最大155GbpsのキャリアグレードNATを運用しながら、その性能に影響を与えずに同時にDDoS防御が可能になる」（技術本部長 APJエンジニアリング本部長の天田賢氏）という。

　「Thunder CGN」にもDDoS防御機能を実装する一連の取り組みとなる。背景には「Thunder CGNは、アドレスとポートを変換して既存のパブリックIPv4アドレス空間を再利用するもので、ネットワーク外のルーティング可能なパブリックIPアドレスプールを使用して、ネットワーク内のプライベートアドレスを変換する。このため装置内にパブリックIPプールを保持するのが特徴で、DDoS攻撃の標的になりやすい」（天田氏）との状況がある。

　主なスペックは、「Thunder 5435/5435S CGN」が77Gbpsスループット、5000万パケット/秒、2億5600万同時セッション数。「Thunder 6435/6435S CGN」が155Gbpsスループット、1億パケット/秒、2億5600万同時セッション数。なお、5435S/6435SはSSLアクセラレーションASIC搭載モデルとなる。

「Thunder TPS」にミッドレンジモデルを追加

Thunder 3030S TPS

　一方、DDoS防御専用機「Thunder TPS」では、新たにミッドレンジモデル「Thunder 3030S TPS」を投入する。5～10Gbpsのインターネット接続を利用する小規模なネットワークのDDoS防御を実現するために設計されており、ハードウェアベースのDDoS防御を実現する「Thunder SPE」を搭載しないことで低価格を実現した。

　DDoS防御機能はソフトウェアベースのみとなるが、A10の提供するRESTful APIやSDKによって外部システムと容易に連携。ユーザー企業のインターネット接続帯域幅を超えた大規模な大容量攻撃を受けた場合に、「Thunder 3030S TPS」が外部にある上位レベルのMSSP（Managed Security Service Provider）型DDoS対策サービスに信号を送り、トラフィックを転送して社内ネットワークを保護する「MSSPシグナリング機能」も搭載される予定。

　主なスペックは、10Gbpsスループット、650万TCP SYN認証/秒（PPS）、650万SYNクッキー/秒（RPS）。1Gb/10Gb SFP+×4ポートを備え、SSLアクセラレーションASICを標準搭載する。