筑波大学、境界ファイアウォールとして最大スループット40Gbpsの「F5 BIG-IP 7200v」を導入

　F5ネットワークスジャパン合同会社（以下、F5）は17日、国立大学法人筑波大学が学内ネットワークと学外ネットワークの境界に置かれるファイアウォールとして「F5 BIG-IP 7200v」を導入したと発表した。

　筑波大学では、これまでパフォーマンス確保のために複数の機器で負荷分散を行っていたファイアウォールを、BIG-IP 7200vの導入により1台に統合することで、運用性の向上を実現。DDoS攻撃へのより高度な対策や、DNSを狙った攻撃への対応も可能になることが期待されるとしている。

BIG-IP 7200v導入前と導入後のネットワーク構成 イメージ図（SINET5への移行は、2016年4月に実施予定）

　BIG-IP 7200vの導入は、筑波大学が2015年8月に実施したキャンパス情報ネットワークのリプレースの一環として行われたもの。以前のキャンパス情報ネットワークでは、学術情報ネットワーク（SINET）との境界にファイアウォールを2台設置し、その前後に負荷分散装置を置くことで必要な処理能力（4Gbps）を確保していたが、DDoS攻撃を受けた際には負荷分散装置の処理能力を超える負荷がかかることもあり、十分な対策とは言えない状況だったという。

　また、これまでの攻撃は、特定の外部IPアドレスから複数の内部IPアドレスへの「1対N」の攻撃や、複数の外部IPアドレスから特定の内部IPアドレスを狙う「N対1」の攻撃だけだったが、今後は複数の外部アドレスから複数の内部アドレスを狙う「N対N」の攻撃も登場すると予測されることから、シンプルな構成で高い処理能力を発揮する境界ファイアウォールに加え、IPアドレスやポート番号に基づくフィルタリングだけではなく、アプリケーションレベルでの対策が可能なソリューションを求めていた。

　筑波大学では、境界ファイアウォールを1台のBIG-IP 7200vに統合。バックアップ用を含めると2台構成になるが、外部との境界を通過するパケットは常に1台のBIG-IPで処理しており、BIG-IP 7200vの最大スループットは40Gbpsであるため、この構成で十分な処理能力を確保できているという。現在は、BIG-IP Advanced Firewall Manager（AFM）の機能を使用し、IPアドレスレベルでの静的な設定で対応しているが、今後はBIG-IP Application Security Manager（ASM）によってアプリケーションレベルでのDDoS検知や防御を実現していくことを検討している。

　また、筑波大学は、BIG-IPが装備するDNSプロキシ機能の活用についても検討。筑波大学の学内ネットワークは複数のドメインに分かれており、DNSサーバーも複数設置しているが、最近ではDNSを狙った攻撃も増えており、適切な更新が行われていないDNSサーバーが存在すれば、攻撃のターゲットになる危険性が高くなることから、DNSプロキシ機能の活用により、リゾルバを学内用と学外用に分けることで、DNSに対する攻撃も防御しやすくなるとしている。