チェック・ポイントが最上位「Check Point 61000」を発売、1Tbpsも視野に


 チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(以下、チェック・ポイント)は23日、データセンター向けセキュリティゲートウェイの新製品2種を発表した。新たに「Check Point 21400」と「Check Point 61000」を投入する。

 さまざまなセキュリティ機能を利用できるSoftware Blade対応のゲートウェイ製品。

 Check Point 21400は、最大100GbpsのFWスループット、最大21GbpsのIPSスループットを実現する。ポートはGigabit Ethernet(GbE)で最大37個、10GbEで最大12個まで搭載でき、セグメント数の多いネットワークにも対応する。

 また、12種類のSoftware Blade(FW、VPN、IPS、Identity Awareness、アドバンス・ネットワーキング、アクセラレーション&クラスタリング、Mobile Access、Application Control、URLフィルタリング、アンチマルウェア、アンチスパム&メールセキュリティ、DLP)を初めて同梱。購入後、即座に多彩な機能が利用可能となった。

 オプションのアクセラレーション・カード(2012年発売予定)により、低遅延トランザクション中心の環境におけるデータフローを最適化し、理論的な帯域幅を100Gbpsに拡張することも可能。

Check Point 21400特徴



将来的な1Tbpsにも対応する「Check Point 61000」

システム・エンジニアリング本部長の安藤正之氏

 Check Point 61000は、現状で最大200GbpsのFWスループットを実現したブレードアーキテクチャの最上位機種。シャーシ自体は1Tbpsに対応しており、「1~2年後には1Tbps対応のブレード(セキュリティモジュール)も提供できるだろう」(システム・エンジニアリング本部長の安藤正之氏)とする。いよいよ、1TbpsのFWスループットも視野に入ってきた。

 特徴は、高度なマルチコア・アクセラレーション技術を採用した点。これにより、最大200Gbps、同時接続数7000万件、セッション数60万/秒を実現した。信頼性向上のためには、ホットスワップ対応の冗長電源を備えたほか、1台のシャーシに搭載されたセキュリティモジュール間で機能する「ClusterXL」技術を採用。システム情報やセキュリティ情報をコンポーネント間で効率的に同期し、システムの冗長性を確保する。さらに2台のCheck Point 61000を冗長化させる機能も備える。

 Check Point 61000用のセキュリティモジュールとしては、10GbE×6ポートを備えた「SSM60」と、10GbE×8と40GbE×2を備えた「SSM160」(2012年発売予定)から用意。順次拡充する。SSM160は10GbE×16での運用も可能となっている。

Check Point 61000Check Point 61000はPower-1 11000のおよそ12台分



実環境に即した新セキュリティ性能指標を提唱

 なお、チェック・ポイントは今回、従来のスループット指標に代わる新たな性能指標「SecurityPower Unit(SPU)」を提唱した。「従来のスループットが限られた条件での測定値で、実際の運用環境におけるパフォーマンス指標としては実用的でないのに比べ、SPUは複数の実要件をパラメータにして、実環境に近い条件と各導入シナリオで必要となるパフォーマンスを評価できるのが特徴」(安藤氏)という。

 具体的には、ネットワークトラフィックとしてGoogle、Facebook、Amazon、Yahoo!、Webメールを想定。「100個のFWルール」「アドレス変換とログ記録」「IPS推奨防御プロファイル」「アップデート後のシグネチャデータベース」といった典型的なセキュリティポリシーを設定し、先進的なセキュリティ機能を動かして測定する。

 これによると、従来製品の「Power-1 11000」が1222SPUなのに対し、Check Point 21400は2900SPU、同61000が1万4600SPUになるという。

 同指標は、エンドユーザーがセキュリティゲートウェイの性能をより具体的に把握できるようにするのが狙い。現状は、他社製品との比較はまだできないが、チェック・ポイントでは指標のルールやデータを公表し、「将来的には業界全体でこの指標を使ってセキュリティ性能を評価できる状況を実現したい」としている。

SPUの特徴典型的なセキュリティポリシーを設定して測定する。従来のスループットでは、FWルールも1つしか設定しないで測定するのが一般的だったという
関連情報