パロアルトの次世代ファイアウォール、アプリの「機能単位」で制御可能に

従来のファイアウォールでは多様化するアプリケーションに対応できない。PAシリーズはアプリケーションを識別して制御を最適化できるのが特長だ

新機能の概要

　パロアルトネットワーク合同会社（以下、パロアルト）は4月12日、次世代ファイアウォール「PAシリーズ」向けOSの新版「PAN-OS 3.1」を発表した。最大の強化点として、アプリケーション単位の制御だけでなく、アプリケーションの機能単位で制御を実現している。

　PAシリーズは、アプリケーションを識別して、アプリケーション単位で通信を制御できる次世代ファイアウォール。例えば、80番ポートを流れる通信のうち、HTTPは許可してP2Pのみ禁止するといったきめ細かい制御が実現する。新版では、アプリケーション制御（App-ID）、ユーザー制御（User-ID）、コンテンツ制御（Content-ID）のそれぞれで機能強化を図った。

　App-IDは、ネットワーク上を流れるアプリケーションを識別して制御する機能。ここでは新たに、アプリケーションの任意の機能単位で制御を実現した。「Facebook」を例に取ると、Facebookそのものを制御することも、Facebook内の「Facebook Chat」機能のみ制御することも可能となる。

　User-IDは、Active Directory（AD）と連携してユーザーやグループ単位での制御を実現する機能。例えば、マーケティング部門だけにTwitterの利用を許可するといった運用が可能になる。ここでは新たに、eDirectory、OpenLDAPに対応したほか、APIも用意し、それ以外の外部データソースとも容易に連携できるようにした。

　Content-IDは、ウイルスやスパイウェア、不正なファイル転送などをブロックする機能。ここでは新たに、週次から日次へとシグネチャ更新頻度を早めるとともに、特定のアプリケーションや脆弱性に対してシグネチャのカスタマイズに対応。加えて、JavascriptやHTMLウイルスのスキャニングにも対応した。

　このほか、日本向けにネットワーク機能も強化。これまでのOSPFとRIPに加え、BGPによる動的ルーティングに対応したほか、PPPoEのサポートやポリシーベース・フォワーディングなども日本の要求に応えて実装した。またアプリケーションを可視化する際、リアルタイム帯域モニターやセッション追跡に対応し、関連するトランザクションを1つのスレッドとして表示できるようになった。

　PAN-OS 3.1は、4月12日より保守契約済みのユーザーには無償で提供される。ただし、オプションの脅威防御機能やURLフィルタリング機能を利用する場合は、従来通りサブスクリプションの購入が別途必要。

App-IDでは、アプリケーションの機能単位で制御可能に	User-IDでは、AD以外のLDAPとも連携可能に	Content-IDでは日次のシグネチャ更新など実現