|
解決手段を考えるにあたり、先の道路を走行する車に対して車種別に設置する検問所の例を今一度イメージしてください。この例では検問所を直列的に配置していたため、一箇所で発生する渋滞がボトルネックとなり、全車両の渋滞を引き起こしていました。そこで、道路の一部に車種を認識し、その車種が走行すべき車線を指示する信号を設置することを考えてみます。それぞれの車線は車種に対応した検問所へと通じます。つまり、これまで直列的に設置していた検問所を、今度は並列的に設置するのです。 企業ネットワークと、インターネットや WAN などの外部ネットワークとの接点となるゲートウェイ部には、Web ブラウジングにおける http や、暗号化がなされる https、E-mail、さらには IP 電話やビデオ会議システム、ネットミーティングのストリーミングなど、各種サービスに対応したトラフィックが通過します。そこでまず、外部からの到達トラフィックをサービス(通信手順)別に分類し、各々の検査ユニットに誘導する部分を作ります。並列的に設置されたそれぞれの検査ユニットへと送られたパケットは、各所で専門の検査を受け、問題のないパケットだけを企業ネットワーク内部へと通過します。 ゲートウェイにおいて複数の検査工程を並列的に配置することにより、十分に調べるべきパケットは、それぞれ対応した検査ユニットにおいてチェックする一方、IPSec や SSL、SSH などの暗号化パケットは、内容を確認する必要がないデータ部を、そのまま通過させます。また、ストリーミングについては Quality of Service (QoS:サービス品質)によって品質を保つ制御を行うことで、ゆらぎの発生を抑えます。 ゲートウェイでこのような構造を実現した場合、一部の検査におけるトラフィックの遅延や部分的な障害は、他のトラフィックに影響を与えることはありません。つまり、企業ネットワークの安全性と安定性を確保した上で、ストリーミングなどの情報を円滑にルーティングするという、総合面において高度なパフォーマンスを実現することが可能になるのです。 
図5 並列的なセキュリティ対策への移行 |
 |
Guest
