新世代UTM／FortiGate-1240B

独自ASICの搭載でファイアウォールスループット
40Gbpsを達成した新世代UTM
フォーティネットジャパン株式会社
http://www.fortinet.co.jp/products/fortigate/1240B.html

UTM（Unified Threat Managemet、統合型脅威管理）の分野で確固たる存在感を発揮しているフォーティネットがエンタープライズ／サービスプロバイダ向けの新世代UTMとして投入した新モデルが「FortiGate-1240B」だ。従来同社のハイエンド／ミッドレンジ製品に採用されていたコンテンツプロセッサ「FortiASIC CP6」に加え、今回初搭載となる新世代のネットワークプロセッサ「FortiASIC NP4」を採用することで、ポート密度を大幅に高めると同時にファイアウォールスループット40Gbpsを実現している。この性能値は、より上位に位置付けられる同社のFortiGate-3000シリーズをも上回る数値であり、まさに従来のクラス体系を覆すような圧倒的なコストパフォーマンスを発揮している。現時点では何のアナウンスも行われていないものの、当然今後FortiASIC NP4の搭載が拡大し、上位モデルでもコストパフォーマンスの大幅な向上が行われるものと予想される。

製品仕様

FortiGate-1240Bは、ファイアウォールスループット40Gbps、IPsec VPNスループット16Gbpsという性能値を掲げ、クラス最高性能を謳う。また、標準で40の1Gbpsポートが備わる。計算上は、全40ポートが同時に1Gbpsフルスピードで通信できるだけのファイアウォールスループットが確保されていることになる。なお、40のポートは大きく3種に大別されている。2ポートは管理用で、ASICで高速化されていない通常ポートとなる。残る38ポートはFortiASIC NP4に接続される高速化ポートとなるが、うち14ポートは10/100/1000のイーサネット（銅線）ポート、24ポートは1000BASE SFP光ファイバポートとなる。イーサネットとSFPはそれぞれ専用のFortiASIC NP4に接続されるので、筐体内にNP4が2基載っていることになる。このほか、コンテンツプロセッサとしてFortiASIC CP6が全体で1基搭載される。独自設計のASICによって高速化されたポートを多数備えるという点が、この世代のフォーティネットのUTMの特徴だ。

セキュリティ機能の使用時のパフォーマンスの高さも、従来モデルから大幅な向上を実現している。前述のとおり、ファイアウォールスループットは40Gbpsだが、そのほかIPsec VPN 16Gbps、アンチウイルス 900Mbps、IPS 1.5Gbps、スタティックIPsec VPNトンネル 10,000（Sys）／5,000（VDOM）、同時セッション数200万、といった具合である。いずれも、同社従来モデルはもちろん、同一価格帯に属する競合他社製品と比べても大幅な性能向上を実現しているという。

図1　VDOMを利用したトポロジー
１顧客に対しGigaインターフェースを提供し個々にVDOMにてセキュリティポリシーを策定。FortiGate1240BではGiga x40、最大25VDOMサポート。（出典：フォーティネットジャパン）

FortiGate-1240Bの適用用途

FortiGate-1240Bは、UTMとしては比較的大規模なモデルといえるが、本格的な大規模環境向けにはブレードシャーシ型のモデルも用意されているため、ミッドレンジのなかでの最上位モデルといった位置付けだと理解するほうが適切かもしれない。このクラスの製品にこれほどのスループット／ポート数が必要なのか？　という疑問もわくが、これに関しては同社は「顧客からの要望に応えた結果」としている。特にデータセンター事業者などがUTMをセキュリティサービスとして提供する場合には、性能は高ければ高い程よく、ポート数も多いほうがそれだけトポロジの自由度が高まるということのようだ。また、意外な効果として同社は「外部からの大規模な攻撃の際にも必要な通信のパフォーマンス劣化を招かない」ことも挙げた。DDoS攻撃のように大量のパケットを送りつける攻撃を受けた際にも、受け側デバイスが十分な処理能力を持っていれば、それによって「サービス停止」には陥らないわけだ。本末転倒な感もなくはないが、現実にはこうした攻撃が行われる例は珍しくないわけだし、そうした場合にも正常にサービス継続が可能であることは、データセンター事業者などにとっては極めて重要であるのは間違いないだろう。