Hierarchical Navigation

ホーム
- 製品 & サービス
  - インターフェイス/モジュール
    - サービスモジュール
      - 製品資料
        
        Q&A
        
        アプリケーションネットワーキングサービスに対応したシスコのデータセンターソリューション

ダウンロード

アプリケーションネットワーキングサービスに対応したシスコのデータセンターソリューション

Q&A

アプリケーションネットワーキングサービスに対応したシスコのデータセンターソリューション

Q：アプリケーションネットワーキングサービスに対応したシスコのデータセンターソリューションとは何ですか。

A：アプリケーションネットワーキングサービスに対応したシスコのデータセンターソリューションとは、企業によるビジネスアプリケーションおよびインフラストラクチャの拡張、展開、および最適化を容易にする集中管理型のソリューションセットです。このソリューションを利用すれば、お客様はアプリケーションパフォーマンスの大幅な向上、展開や運用に必要な時間の短縮、ビジネス上の要求を満たすのに必要なリソース数の削減を実現できます。また、これらの利点を実現するために、開発、サーバリソース、または帯域幅への追加費用を負担する必要はありません。主な製品は次のとおりです。

Cisco Catalyst® 6500 向けアプリケーションインフラストラクチャ制御モジュール：Cisco Application Control Engine（ACE）
Cisco AVS 3120 Application Velocity System 向けアプリケーションセキュリティソフトウェアモジュール
アプリケーションロードバランシングアプライアンス：Cisco CSS 11500 シリーズコンテントサービススイッチ（CSS）
Cisco Catalyst 6500 向けアプリケーションロードバランシング：Cisco Catalyst 6500 シリーズコンテントスイッチングモジュール（CSM）
アプリケーションロードバランシングおよび SSL アクセラレーション：Cisco Catalyst 6500 シリーズ向け CSM-S モジュール
グローバルロードバランシング：Cisco GSS 4400 Global Site Selector スイッチ
アプリケーションアクセラレーションおよびアプリケーションセキュリティ：Cisco AVS 3120 Application Velocity System
アプリケーションアクセラレーションおよびアプリケーションセキュリティ管理：Cisco AVS 3180 Application Velocity System

Q：これらのソリューションは、シスコのアドバンストテクノロジーであるシスコのアプリケーションネットワーキングサービスとどのような関係があるのですか。

A：シスコは、アプリケーションネットワーキングサービスの分野で初の製品および機能拡張として、これらのソリューションを発表しました。シスコが提供する WAN およびブランチ向けソリューションと Application-Oriented Networking（AON; アプリケーション指向ネットワーキング）ソリューションを組み合わせて使用すると、お客様はネットワークを通じた包括的なビジネス機能の提供を行えるようになります。アプリケーション配信ソリューションを利用すると、任意のクライアントとアプリケーションまたはビジネス機能間でのスケーラビリティの確保、高速化、および最適化が可能になります。

Q：今回の発表の新しい内容について教えてください。

A：今回の発表では、Cisco Catalyst 6500 向けの高性能アプリケーションサービスモジュールである Cisco ACE とアプリケーションセキュリティの機能を大幅に強化した Cisco AVS 3100 Application Velocity System 向けのソフトウェアモジュールが新しく追加されます。

Cisco Catalyst 6500 の新しいサービスモジュールである Cisco ACE を利用すると、アプリケーションやビジネスサービスの導入、運用、配信、保護、および管理を企業全体で詳細かつ容易に制御することができます。また、アプリケーションインフラストラクチャのより詳細な制御が可能になり、企業はアプリケーションの迅速な展開と移行、エンドユーザへのハイレベルなサービスの提供、およびデータセンターの全体的な管理と運用の簡素化を実現できます。このデバイスには、ロールベースのアクセスコントロール、強力なワークフローエンジン、および各種管理ツールと API が搭載されています。最大 16 Gbps のスループットと将来の機能拡張に対応できる柔軟なアーキテクチャを備えた Cisco ACE は、データセンターでアプリケーション支援サービスを提供する際の新たなパフォーマンス標準になります。Cisco AVS ソフトウェアモジュールは、Cisco AVS 3100 ファミリに高度かつ双方向のアプリケーションセキュリティ機能を新たに提供しています。Cisco ACE を Cisco AVS の新しいアプリケーションセキュリティモジュールと組み合わせて使用すると、アプリケーションインフラストラクチャの制御、パフォーマンスの向上、セキュリティの確保、およびインフラストラクチャの簡素化が可能になります。これにより、ますます高度化するビジネス上の課題への柔軟な IT 対応を実現できます。

Q：Cisco ACE は、アプリケーションネットワーキングに対応したシスコのデータセンターソリューションにおいてどのような位置付けにありますか。

A：Cisco ACE は、アプリケーションネットワーキングソリューションファミリにおける次世代型のアプリケーションサービスモジュールです。当面、Cisco ACE は、ACE レベルのパフォーマンスと機能が要求される大規模かつ最も要件の厳しいデータセンター環境向けに提供されます。小規模な環境を利用しているお客様や個別の問題を重視している客様は、Cisco CSM を引き続き利用することで、高い効果を上げることができます。アプライアンス製品をご希望のお客様は、Cisco CSS 製品と Cisco AVS アプライアンスを組み合わせてご利用いただくのが最適です。

表 1 CSS、CSM、および ACE 製品の比較

	Cisco CSS 11501	Cisco CSS 11503	Cisco CSS 11506	Catalyst® 6500 向け Cisco CSM	Catalyst® 6500 向け Cisco ACE

フォームファクタ	スタンドアロン固定型	スタンドアロンモジュール型	スタンドアロンモジュール型	統合型モジュール	統合型モジュール
ポート密度	8 FE 標準 1 GE オプション	2 GE 標準最大 32 FE/6 GE	2 GE 標準最大 80 FE/12 G	46-528 FE 8-178 GE	46-528 FE 8-178 GE
サイトアクティビティ	低	中	高	高	最高
ハードウェアの拡張性
ハードウェアの冗長性	×	×	○	○	○
セッションの冗長性	○	○	○	○	○
レイヤ 2 ～ 3 ネットワーキング	○	○	○	○	○
管理/制御	○	○	○	○	○
SSL アクセラレーション	外部	内部	内部	Catalyst 6500 の SSL モジュール	内部
コンテントスイッチング	サーバ、キャッシュ、ファイアウォール、VPN

位置付け

Q：Cisco ACE とは何ですか。

A：Cisco ACE は、Cisco Catalyst 6500 に搭載する多機能モジュールです。Cisco ACE を使用すると、企業はアプリケーションの導入、プロビジョニング、高速化、および、管理を迅速に行うことができます。また、インフラストラクチャの論理的なパーティション分割を使用して物理的なアプリケーションサイロを最小限に抑え、新たな基準となる優れたパフォーマンスとセキュリティを提供し、多数の機能を統合することができます。これにより、これまでにない優れた IT 制御が可能になり、ビジネスにおけるサービスの迅速な展開と優れたパフォーマンスを提供できるようになります。

Cisco ACE ソリューションは、次の特長を備えています。

アプリケーションインフラストラクチャの制御 - 仮想パーティショニングやロールベースのアクセス制御を使用して、アプリケーションインフラストラクチャの導入、運用、および管理を制御できる次世代型の IT ソリューションを提供します。
アプリケーションパフォーマンス - データセンターのアプリケーション配信に必要な卓越したパフォーマンス、優れたスケーラビリティ、および高度なアベイラビリティを提供します。
アプリケーションセキュリティ - 重要なアプリケーションやインフラストラクチャの保護、およびデータの不正利用防止を保証します。
インフラストラクチャの簡素化 - 業界をリードするエンタープライズクラスのスイッチである Cisco Catalyst 6500 との統合により、インフラストラクチャのコストと複雑性を最小限に抑え、デバイスおよびベンダー数を減少させます。

アプリケーションフロントエンドのアプライアンスとは異なり、Cisco ACE はネットワークに完全に統合された唯一の製品であり、完全に仮想化されたパーティションを作成する機能を持っています。この機能を使用すると、非集中型管理による集中展開が可能になり、個々のアプリケーションチームが完全な管理制御を実行できるようになります。Cisco ACE はレイヤ 2 ～ 7 のすべてのサービスを提供します。これらのサービスは、リソースの保証と Role-Based Access Control（RBAC; ロールベースアクセスコントロール）によって、単一モジュール内でパーティション分割されます。

Q：アプリケーションインフラストラクチャの制御とは、何を意味しているのですか。

A：IT 企業に対する要求が厳しさを増し、組織のサイロ間でのより迅速な対応と協力の必要性が高まる中で、お客様はアプリケーションインフラストラクチャの強力な制御を可能にするソリューションを必要としています。Cisco ACE では、仮想パーティションという概念が採用されています。仮想パーティションでは、単一の物理デバイスを個別に管理および運用することが可能な最大 250 の論理デバイスとして機能させることができます。また、GUI ベースのデバイスマネージャ、強力な CLI（コマンドラインインターフェイス）、および Extensible Markup Language（XML）ベースの API のいずれかを使用して、単一の物理デバイスを論理的にパーティション分割することで、完全に分離された管理コンテキストをサポートできます。リソースは、ビジネス、アプリケーション、顧客区分などの要件に基づいて配分および管理できます。変更管理（追加、削除、変更）は論理/仮想インスタンスごとに実施できます。また、より詳細な制御を可能にする RBAC により、単一の ACE モジュールの各種サービスを同時に使用する複数のチームに管理責任を完全に委任できます。仮想パーティションと RBAC を組み合わせて使用すると、業務の委任によりワークフローを簡素化できます。Cisco ACE は、論理的な抽象レイヤを提供することにより、スイッチング/ルーティング（VLAN および Virtual Route Forwarding [VRF] を使用）、ストレージ（Virtual Storage-Area Network [VSAN] を使用）、およびアプリケーション/セキュリティサービスなどの他の仮想化および管理方式を補完しています。Cisco ACE は、このような優れた運用上の柔軟性を備えているため、ビジネスニーズやお客様の要求への迅速な対応を低コストかつ複雑性を伴わずに実現できます。柔軟性の高い展開および制御が可能な Cisco ACE を利用すると、アプリケーションインフラストラクチャ全体をよりスケーラブルかつ効率的に利用することで卓越したパフォーマンスを実現できます。

Q：企業に Cisco ACE が必要となる理由を教えてください。

A：Cisco ACEは、企業やサービスプロバイダーのお客様が必要とする卓越したネットワーク/アプリケーションパフォーマンス、運用の柔軟性、セキュリティ、およびアプリケーションの高速化を提供します。Cisco ACE を使用すると、お客様はセキュリティの強化とエンドユーザのアプリケーションの操作性向上を同時に実現しながら、運用コストを削減できます。Cisco ACEは、このような機能の利用を検討しているすべてのお客様にとって有益ですが、大規模なスケーラビリティを必要とし、アプリケーション展開の合理化ニーズを持つ大企業のお客様に最も適しています。

Q：Cisco ACE サービスモジュールと Cisco AON には、どのような関係があるのですか。

A：Cisco ACE モジュールは、拡張性、信頼性、セキュリティ、およびパフォーマンスに優れたアプリケーションインフラストラクチャを実現することを目的としています。Cisco AVS と組み合わせて使用する場合、Cisco ACE は、主に使用するリソースを最小限に抑えてエンドユーザ応答時間を向上させる役割を果たします。Cisco AON テクノロジーはビジネスアプリケーション間のコミュニケーションをサポートすることを主な目的として設計されており、分散したアプリケーション間のメッセージ変換や切り替えを可能にします。ACE と AON はそれぞれ企業内の異なる問題を解決するように設計されています。

Q：Cisco Catalyst 6500 のサービスモジュール製品は、Cisco ACE サービスモジュールによってどのように強化されるのですか。

A：Cisco ACE は、現在 Cisco CSM や Cisco SSL Module（SSLM）で提供されている次世代型のテクノロジーを搭載しています。従来のサービスモジュールは、特定のデータセンタータスクに特化し、一般的なお客様に適したスピードでこれらのタスクを実行しています。Cisco ACE モジュールでは、仮想パーティションを採用し、1 枚の拡張可能なラインカードに複数のサービスを統合できるため、卓越したスループット、スケーラビリティ、およびセキュリティでこれらのサービスを提供できます。これらのサービスは、データセンター内のすべての IP ベースアプリケーションで使用できます。

Q：Cisco ACE サービスモジュールはどのような市場を対象としていますか。

A：Cisco ACE サービスモジュールは、一般的にアプリケーション配信と呼ばれる市場を対象としています。現在、アプリケーション配信の機能には、Server Load Balancing（SLB; サーバロードバランシング）やレイヤ 4 ～ 7 スイッチング、高度なアプリケーション最適化サービス、および SSL アクセラレーションや TCP 再利用などのサーバオフロード機能などがあります。Cisco ACE と Cisco AVS などの関連ソリューションは、これらの機能に加えてさらに多くの機能をサポートしています。

Q：Cisco ACE サービスモジュールは、シスコエンタープライズデータセンターソリューションでどのように位置付けられるのですか。

A：Cisco ACE サービスモジュールは標準的な Cisco Catalyst 6500 シャーシに搭載できるため、優れたアプリケーションインフラストラクチャ制御、高速化、アプリケーションセキュリティ、およびインフラストラクチャの簡素化などの各種サービスを搭載した多機能デバイスとして Cisco Business Ready Data Center ソリューションに組み込むことができます。Cisco ACE と新しい Cisco AVS 製品を組み合わせて使用すると、Web アプリケーションのさらなる高速化やアプリケーションプロトコル/ペイロードの強固なセキュリティを実現できます。

Q：既存のサービスモジュールを Cisco ACE サービスモジュールにアップグレードすることはできますか。

A：いいえ。Cisco ACE サービスモジュールは、新しく導入されたハードウェア/ソフトウェアソリューションです。ただし、Cisco CSM などの既存のサービスモジュールと同じシャーシに搭載することは可能です。

機能

Q：Cisco ACE の主な展開シナリオについて教えてください。

A：通常、Cisco ACE サービスモジュールは、複数のサーバファームのフロントエンドにあるデータセンターで、多数のアプリケーションタイプをサポートするために使用します。Cisco ACE サービスモジュールは通常、内部および外部のユーザアプリケーション要求を処理するクライアント VLAN およびサーバリソースの分離と保護を可能にするサーバ VLAN を使用して構成されます。

Q：Cisco ACE サービスモジュールのコア機能は何ですか。

A：Cisco ACE サービスモジュールのコア機能は、アプリケーションインフラストラクチャ制御、アプリケーションパフォーマンス、アプリケーションセキュリティ、およびインフラストラクチャの簡素化に分類されます。以下に簡単な説明を示します。

アプリケーションサービスの導入と管理における優れた IT 制御 - 仮想パーティションの作成や RBAC の使用により、サービス展開の大幅な迅速化、管理上のオーバーヘッドの削減、およびワークフローの簡素化を実現します。このようなデバイスには、XML、API、管理 GUI、および強力な CLI などの複数の管理インターフェイスが含まれます。
業界最高レベルのパフォーマンスとスケーラビリティ - 最大 16 Gbps のスループットとモジュールあたり毎秒 345,000 のレイヤ 4 接続の確立が可能であり、大容量のデータファイル、リッチメディア、および大規模なユーザベースにも対応できます。
多様なアプリケーションおよびネットワークセキュリティ - 双方向のコンテンツ検査、SSL 暗号化/復号化、およびアプリケーションセキュリティフォレンジクスに対応したトランザクションロギングなどの機能が利用できます。
Cisco Catalyst 6500 スイッチのシャーシに搭載されたコントローラや入出力ポートと連携したレイヤ 2 ～ 7 機能の統合、および単一のデータ処理パスでの複数サービスの集約 - トラフィック効率の向上、高密度なネットワーク設計、デバイス数の削減、アベイラビリティの向上、および管理の簡素化を実現します。

コア機能には、次の詳細な機能が実装されています。

SLB

プレディクタ - ラウンドロビン、重み付きラウンドロビン、最小接続、IP ハッシュ、接続ウォーターマーク、およびコンテンツ認識
ヘルスプローブ - レイヤ 3 ping、レイヤ 4 UDP データ、HTTP GET、HTTP HEAD、Domain Name System（DNS; ドメインネームシステム）、Point of Presence（POP）、Internet Mail Access Protocol（IMAP）、Telnet、Internet Control Message Protocol（ICMP）、TCP、UDP、Echo、Finger、Simple Mail Transfer Protocol（SMTP）、RADIUS、Lightweight Directory Access Protocol（LDAP）、および HTTP GET over SSL
TCP 接続管理（複数のクライアント TCP 接続で単一のサーバ TCP 接続を横断）
HTTP リダイレクション
保持 - クッキー、クッキー挿入（オフセットおよび長さ）、およびヘッダー挿入
冗長性 - アクティブ-アクティブ、ステートフル、およびアクティブ-バックアップ

SSL オフロード

SSL 復号化
SSL 暗号化
証明書の集中管理
バックエンド SSL
エクスポート暗号スイート
SSL v2、v3 および Transparent LAN Services（TLS; 透過型 LAN サービス）v1.0
セットアップ証明書

データセンターセキュリティ

プロトコル検査および一般的なデータセンタープロトコルのフィックスアップ
ポート間のトラフィックを選択的に許可する最大 256,000 のアクセス制御要素を持つ Access Control List（ACL; アクセスコントロールリスト）
SYN クッキー
TCP 接続状態トラッキング
UDP の仮想接続状態
シーケンス番号のランダム化
TCP ヘッダー検証
TCP ウィンドウサイズチェック
セッション確立時の Unicast Reverse Path Forwarding（URPF）チェック

Q：Cisco ACE サービスモジュールのパフォーマンス特性について教えてください。

A：Cisco ACE サービスモジュールを使用すると、アプリケーション配信市場で最高レベルのパフォーマンスを実現できます。Cisco ACE サービスモジュールは、最大 16 Gbps のスループットを持ち、モジュールあたり毎秒 345,000 の持続的なレイヤ 4 接続の確立が可能です。Cisco ACE モジュールは、単一の Cisco Catalyst 6500 シャーシに最大 4 つ搭載できるため、卓越したスケーラビリティを実現できます。パフォーマンスメトリックについては、データシートまたは http://www.cisco.com/jp/go/ace を参照してください。

Q：Cisco ACE サービスモジュールと互換性のあるスーパーバイザエンジンはどれですか。

A：Cisco ACE サービスモジュールは、当面、Cisco Catalyst 6500 シリーズ Supervisor Engine 720（Policy Feature Card 3A [PFC3A; ポリシーフィーチャカード 3A]、PFC3B、または PFC3b-XL を搭載）でサポートされます。

Q：Cisco ACE サービスモジュールで、Cisco IOS® ソフトウェアを使用することはできますか。

A：いいえ。 Cisco ACE サービスモジュールは、独自のオペレーティングシステムを使用します。ACE は Cisco Catalyst 6500 ファブリック対応モジュールです。

Q：Cisco Catalyst 6500 シリーズファイアウォールサービスモジュール、Cisco CSM、Cisco SSLM、および Cisco ACE サービスモジュールを同じシャーシに搭載することはできますか。

A：はい。

Q：Cisco ACE サービスモジュールに外部インターフェイスはありますか。

A：はい。Cisco ACE サービスモジュールには、外部制御用の複数の管理インターフェイスが用意されています。まず、Cisco ACE には管理アクセスに使用する準標準の外部コンソールポートがあり、標準の CLI を使用することができます。また、各種管理ツールとの統合用に XML API が用意されています。これは、特定のアプリケーションで制御できます。さらに、すべての機能と RBAC をフルサポートするフル GUI ベースのマネージャも提供される予定です。Cisco ACE は、稼働中に Cisco Catalyst 6500 のスーパーバイザエンジンとセッションを確立できます。Cisco ACE には、データの入出力ポートはありません。

Q：Cisco ACE サービスモジュールは、1 台の Cisco Catalyst 6500 シャーシにいくつ搭載できますか。

A：Cisco ACE サービスモジュールは、シャーシごとに最大 4 つサポートされます。

Q：Cisco ACE サービスモジュールはフェールオーバーをサポートしていますか。

A：はい。フェールオーバーは、冗長 Cisco ACE サービスモジュールを使用するアプリケーションインスタンス間において仮想パーティション単位でサポートされます。ステートフルな冗長性は、従来のアクティブ-スタンバイおよびアクティブ-アクティブ構成で利用できます。ステートフルフェールオーバーは、同一の ACE モジュール間のシャーシ内外でともにサポートされます。Cisco ACE モジュールは、Cisco GSS 4400 Global Site Selector と組み合わせた場合、リモートデータセンターを含むフェールオーバーシナリオでも使用できます。

Q：Cisco ACE サービスモジュールでサポートされる仮想パーティションはいくつですか。

A：Cisco ACE サービスモジュールは、最大 250 の仮想パーティションをサポートします。

Q：Cisco ACE サービスモジュールは、すべての Cisco Catalyst 6500 または Catalyst 7600 シリーズシャーシで使用できますか。

A：はい。Cisco ACE サービスモジュールはファブリック対応であるため、すべての Cisco Catalyst 6500 または Catalyst 7600 シリーズシャーシのフォームファクタで使用できます。

Q：搭載できるフラッシュメモリや DRAM メモリの容量について教えてください。また、DRAM のアップグレードは可能ですか。

A：Cisco ACE サービスモジュールには、256 MB の交換可能なフラッシュメモリと 3 GB の DRAM が付属しています。DRAM のアップグレードはできません。

Q：Cisco ACE サービスモジュールは、ネイティブの Cisco IOS ソフトウェアおよびハイブリッドシステムの両方で使用できますか。

A：はい。

Q：ハイアベイラビリティデータセンター向けの Cisco ACE サービスモジュールでは、地理的分散へのサポートはどのようになっていますか。

A：Cisco GSS 4400 Global Site Selector でグローバル SLB が提供されています。これにより、地理的に離れた場所に展開される Cisco ACE サービスモジュールでのハイアベイラビリティがサポートされます。

コンポーネント

Q：Cisco ACE モジュールのコンポーネントについて教えてください。

A：Cisco ACE は Cisco Catalyst 6500 スイッチまたは Cisco 7600 ルータ向けのサービスモジュールとして提供されます。Cisco ACE は Supervisor Engine 720 と Cisco IOS ソフトウェアが稼働する Cisco Catalyst 6500 または Cisco 7600 シャーシで使用できます。Cisco ACE モジュールには入出力ポートがなく、Cisco Catalyst スイッチを経由してネットワーク接続を行います。

Cisco AVS に関する Q&A

Q：新しい Cisco AVS 6.0 Web Application Firewall フィーチャセットとは何ですか。また、これにより、どのような問題が解決されますか。

A：Web アプリケーションは企業のセキュリティ網の大きな弱点となる可能性があるため、Web アプリケーションに対するセキュリティは非常に重要です。従来のファイアウォールは、ポートレベルや送信元/宛先レベルでの保護を提供しますが、危険なトラフィックタイプやコンテンツの識別および防御を行うことはほとんどありません。そのため、ハッカーがビジネスアプリケーションを攻撃して情報を奪ったり、サービスを停止させたりする可能性があります。

新しい Cisco AVS 3120 Web Application Firewall モジュールを使用すると、Web アプリケーションに対する最高レベルの攻撃防御を実現できます。Cisco AVS は、すべてのアプリケーションプロトコルとコンテンツをスキャンして、ビジネス固有のポリシーを適用することにより、Structured Query Language（SQL）インジェクション、データ盗難、パラメータ改ざん、クッキーポイズニングなどのアプリケーションレイヤ攻撃からインフラストラクチャと企業を防御します。Cisco AVS 3120 は、ネットワークセキュリティの専門家による迅速かつ容易な導入が可能なため、すべてのエンタープライズアプリケーションのリスクを速やかに修復するのに最適なソリューションです。アプリケーションレイヤの精査が可能な Cisco AVS 3120 を使用すると、ネットワーク構成に影響を与えることなく、リアルタイムでの脅威の防御と分析を行うことができます。

Q：Cisco AVS 6.0 の新機能について教えてください。

A：Cisco AVS 6.0 ソフトウェアの新機能は、Web アプリケーションセキュリティ機能の向上に重点を置いています（表 2）。

表 2 Cisco AVS 6.0 の新機能

	新機能	利点
攻撃の防止および入力の検証に対する改善	事前定義されたアプリケーションレイヤ攻撃ルールの数を増強ルール作成用のカスタマイズ可能な正規表現（regex）を GUI で表示ルールの作成や優先順位の設定における操作性を向上ユーザは、アクティブモードまたはパッシブモードでルール設定が可能	業界最高レベルの攻撃防御を実現次の攻撃から Web アプリケーションを保護 SQL インジェクションクロスサイトスクリプティング LDAP インジェクションコマンドインジェクションバッファオーバーフロー悪意のあるコードの挿入
アプリケーションラーニング	アプリケーションによるパラメータのリアルタイム学習アプリケーション情報に基づいたアプリケーションによるルールの迅速な作成ログ情報に基づいたアプリケーションによるセキュリティルールのダイナミックな作成	精度の高いセキュリティポリシーの提供パラメータ改ざんの防止導入コストの削減
HTTP の正規化	HTTP プロトコルによるすべてのアプリケーショントラフィックの正規化	エンコードされた攻撃や偽装された攻撃を防御ディレクトリトラバーサルやその他のエンコード関連攻撃を阻止
HTTP プロトコル適合	HTTP プロトコル適合の実施	多様な URL ベースの攻撃を防御
クッキーの保護	ユーザによるクッキーのリアルタイムでの暗号化または改ざん防止が可能	クッキーの偽装や改ざんなどのクッキーベースの攻撃を阻止
アプリケーションクローキング	アプリケーションクローキングによるサーバヘッダーのマスキングアプリケーションクローキングによるエラーリターンコードのブロックおよびカスタマイズ	アプリケーション偵察の阻止
リクエスト制限	リクエスト制限による URL およびヘッダー制限の実施	バッファオーバーフロー攻撃の防止
モニタリングおよびロギング	Syslog によるすべての Web 攻撃の記録ロギングによる攻撃のグラフィカル表示	精度の高いモニタリングとフォレンジクス
データ盗難の防止	クレジットカード番号や社会保障番号などの機密データの盗難に対する完全な防御を提供データ構造のカスタマイズが可能	1996 年の Health Insurance Portability and Accountability Act（HIPAA; 医療保険の携行性と責任に関する法律）、Gramm Leach Bliley Act（GLBA; 米国金融制度改革法）、および CA SB-1386 などの規制による厳しいプライバシ要件に準拠
アウトオブバンドモニタリング	アウトオブバンド構成のアーキテクチャにより、ネットワークへのトラフィック送信やハッカーが狙う攻撃ポイントの作成を防止し、ネットワーク上のトラフィック遅延の発生を阻止	リスクを伴わない低コストな展開を実現最小限の管理要件でアプリケーションレイヤ攻撃の詳細な把握が可能

Q：Cisco AVS Web Application Firewall と Intrusion Prevention System（IPS; 侵入防御システム）の違いは何ですか。

A：IPS は Windows、Solaris、Apache、または Microsoft Internet Information Services（IIS）といった主要なプラットフォームの既知の脆弱性に対する攻撃を防御する優れたソリューションです。Cisco AVS は、ビジネスアプリケーションや Web サイトに対する攻撃の防御に適しています。これらのアプリケーションには、ソフトウェアベンダーが構築したアプリケーションや社内でカスタマイズされた独自アプリケーションなどがあります。通常、このようなタイプのアプリケーションにはセキュリティパッチやシグニチャは利用できません。また、それぞれのアプリケーションにこのようなレベルのセキュリティを組み込むことは、ほぼ不可能です。

Q：Cisco AVS Web Application Firewall とネットワークファイアウォールの違いについて教えてください。

A：Cisco AVS 3120 は、Cisco PIX® Firewall や Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスなどのネットワークファイアウォールと相互に補完しあう製品です。Cisco AVS Web Application Firewall は Web ベースのアプリケーションを保護し、ネットワークファイアウォールはネットワークを保護します。そのため、Cisco AVS を使用すると、Web アプリケーションの確実な防御を実現できます。

ネットワークファイアウォールは、ネットワーク、IP アドレス、およびポートに対してポリシーを適用します。また、さまざまなプロトコルに対応した幅広いアプリケーションレイヤ機能を持っています。ファイアウォールは、ブランチ、ネットワークエッジ、およびエンタープライズエッジなどのさまざまな場所で使用できます。Cisco AVS は URL、ヘッダー、およびパラメータなどの HTTP データに対してポリシーを適用します。Cisco AVS は、Web アプリケーションのフロントエンドのデータセンターでのみ使用します。

Q：Cisco AVS 3100 シリーズ Application Velocity System アプライアンスの各種製品について教えてください。

A：Cisco AVS 3110 アプライアンス製品は、シスコが Fineground Networks 社を買収したことによって追加されました。このアプライアンスをサポートするソフトウェアの最新バージョンは、Fineground Version 5.0 ソフトウェアです。このアプライアンスベースの製品には、「Fineground Networks社」のロゴ、ドキュメントスプラッシュ画面、カラーなどが使用されています。

Cisco AVS 3120 および AVS 3180 は、シスコが開発したアプライアンスで、シスコのロゴ、ドキュメントスプラッシュ画面、およびカラーなどが使用されています。これらのアプライアンスは、Cisco AVS 3110 アプライアンスの後継機種です。

Cisco AVS 3120 はインライン型のアプライアンスで、Web アプリケーションのパフォーマンス向上とセキュリティ機能の追加が行われています。Cisco AVS 3180 Management Station は、オプションのアプライアンスベースの管理コンソールであり、Cisco AVS 3120 アプライアンスの設定と管理を行います。また、Cisco AVS AppScope Monitor のパフォーマンスモニタリング機能を使用する場合には、Cisco AVS 3180 も必要になります。Cisco AVS 3120 には組み込み型のデバイスマネージャが用意されているため、Cisco AVS 3180 を使用して設定を行う必要はありません。

Q：Cisco AVS 6.0 ソフトウェアは、どのアプライアンスでサポートされていますか。

A：Cisco AVS 6.0 ソフトウェアは、Cisco AVS 3110 ハードウェアではサポートされていません。Cisco AVS 6.0 ソフトウェアを稼働するには、Cisco AVS 3120 ハードウェアへのアップグレードが必要です。

Cisco AVS 6.0 ソフトウェアで Cisco AVS 3120 アプライアンスを管理する場合は、オプションの Cisco AVS 3180 Management Station を Cisco AVS 6.0 Management Station ソフトウェアにアップグレードする必要があります。Cisco AVS 6.0 Management Station ソフトウェアを搭載した Cisco AVS 3180 Management Station の場合、すべての Cisco AVS 3120 ハードウェアで Cisco AVS 6.0 ソフトウェアが稼働している必要があります。Cisco AVS 5.0 ソフトウェアと AVS 6.0 ソフトウェアが混在した環境を Cisco AVS 3180 で管理することはできません。Cisco AVS 6.0 ソフトウェアを搭載した Cisco AVS 3180 Management Station で Cisco AVS 3110 を管理することは、Cisco AVS 3110 に搭載されたソフトウェアのバージョンを問わずできません。

Q：現在の Cisco AVS 5.0 AppScreen Web Application Firewall の機能は、Cisco AVS Version 6.0 ソフトウェアでも利用できますか。

A：はい。AppScreen フィーチャセットは Cisco AVS 6.0 ソフトウェアでも利用できます。AppScreen と新しい Web アプリケーションセキュリティ機能は異なるソフトウェアモジュールですが、類似したフィーチャセットを備えています。AppScreen 機能は、AVS ソフトウェアの次期メジャーリリースではソフトウェアから削除される予定です。これは、新しい Web アプリケーションセキュリティモジュールでは AppScreen に代わる設定可能なパラメータが用意されていることへの理解が浸透しつつあるためです。

Q：Cisco AVS 6.0 の構成モードについて教えてください。

A：Cisco AVS 6.0 には、アウトオブバンドモニタリング、インライン透過モード、およびゲートウェイモードの 3 つの構成モードがあります。ゲートウェイモードでは Cisco AVS 5.0 ソフトウェアと同じネットワーク構成が必要となります。このモードは原則として、アプリケーションのフロントエンドに配置するリバースプロキシとして展開します。このモードでは、アクセラレーションフィーチャセットと Web アプリケーションセキュリティフィーチャセットの両方を同時に実行できます。インライン透過モードとアウトオブバンドモニタリングは、新しい Web アプリケーションファイアウォール機能でのみ利用できます。インライン透過モードを使用すると、Cisco AVS をインラインで展開できるため、デフォルトゲートウェイなどの他のネットワーク構成を変更する必要がありません。インライン透過モードやゲートウェイモードは、Cisco CSS または Cisco CSM のロードバランシングを使用して、アベイラビリティやスケーラビリティを向上させる場合にも使用できます。アウトオブバンドモニタリングモードは、スイッチ上の SPAN ポートから離れた場所に展開します。SPAN ポートはアプリケーションで送受信されるすべての Web トラフィックを複製して、Cisco AVS に転送します。この展開オプションはリスクを伴いません。ただし、このモードでは、潜在的な攻撃に対するログの取得と警告のみを行い、攻撃検出時のトラフィックブロックは行いません。

サービスモジュール