XG Firewall v18 を最大限に活用

製品XG Firewall

Xstream アーキテクチャ、 DPI エンジン、および TLS インスペクション。

20207月 22作成者:

XG Firewall v18 MR1 は現在、グローバルに展開されており、お客様に新しいレベルの可視性、保護、パフォーマンスを提供します。コンソールに最新のファームウェアアップデートの通知が表示されたら、数回クリックするだけで簡単にアップグレードできる方法を是非利用してください。まだ行っていない場合は、お客様の XG Firewall を v18 にアップグレードしてください。XG Firewall V18 には多くの優れた新機能があるため、今後数週間にわたるブログシリーズでは、新しい Xstream アーキテクチャ、新しいゼロデイ脅威保護、 Sophos Central の管理とレポート機能など最も重要な新機能を紹介し、パートナー様と顧客がどのようにしてそれらを最大限に活用できるか説明します。

Xstream アーキテクチャ

v18 の主要な機能の 1 つは、新しい Xstream アーキテクチャで、これにはストリーミング DPI エンジン、および暗号化されたトラフィックの TLS 1.3 インスペクションを含まれています。このアーキテクチャは、従来の Web プロキシソリューションとどのように異なりますか?簡単に言うと、新しい Xstream DPI エンジンは、最適なパフォーマンスと接続処理効率を実現するように特別に設計されています。ネットワーク上のホストと外部のサーバーまたはサービスとの間のトラフィックを検査する単一のストリーミングエンジンを使用します。これにより、 次のようなすべての重要な保護をシングルパスで提供します。

  • ファイルおよび Web マルウェアスキャン
  • 侵入防止システム (IPS) またはネットワークの脆弱性を悪用する試み
  • アプリケーションの特定と制御

Web サーバーからダウンロードされたファイルをストリームスキャンすることで、コンテンツをエンドユーザーに渡すことができます。ただし、ファイルの最後の部分だけを保持して、スキャンが完了してから、ダウンロードをブロックする、もしくは最後のパケットを通過させるかのどちらかをすることができます。スキャン中にファイル全体を保持する必要はありません。そして、それは速いです。  どれぐらい速いかというと、XG Firewall のパートナー様と顧客の多くは、新しい DPI エンジンと TLS インスペクションの速度が以前より 2〜3倍 速いと報告しています。Xstream DPI エンジンとは異なり、XG Firewall のレガシー保護では、さまざまなジョブに異なるエンジンが使用されています。Web コンテンツを検査およびフィルタリングするための Web プロキシ、IPS エンジン、およびアプリケーション制御ソリューションがあります。トラフィックが流れる時にストリームスキャンを行うのではなく、Web プロキシはクライアントと外部サーバーとの間でリレーのように機能します。これは、SafeSearch、 YouTube の制限、 Google ドメインの制限などの機能をサポートするためにパケットヘッダの変更を行う必要がある場合に便利です。従来の Web プロキシはこれらの機能をサポートできますが、その以外の場合は、より多くの接続を処理したり、今まで以上の作業を行うことになります。

新しい Xstream DPI エンジンと TLS インスペクションを最大限に活用

XG Firewall を v18 にアップグレードする場合、既存のすべてのファイアウォールルールは、シームレスなアップグレード互換性を確保するために、デフォルトで従来の Web プロキシを使用します。SafeSearch、 YouTube の制限、 Google ドメインの制限などの機能が必要ない場合は、ファイアウォールのルールは新しい Xstream DPI エンジンを使用するように切り替える必要があります。次のように、たった一カ所の設定を変更します。この設定では、ファイアウォールが従来の Web プロキシ を使用しているか (チェックが付いている)、新しい Xstream DPI エンジンを使用している (チェックが付いていない) かを決定します。多くのファイアウォールのルールを新しい Xstream DPI エンジンに切り替えることで、パフォーマンスが大幅に向上します。TLS 1.3 をサポートする新しい TLS インスペクションエンジンを利用することも簡単に設定できます。基本的には、ファイアウォールの1つのチェックンボックスを有効化して、次に示すように新しい「SSL/TLS インスペクションルール」のタブでルールを作成する必要があります。他の TLS インスペクションソリューションと同様に、ファイアウォールインスペクションをサポートするには、アプライアンス CA 証明書をネットワークのホストに展開する必要があります。これをすばやく簡単に行うために、Microsoft Active Directory のグループポリシー管理ツールに組み込まれているウィザードを使用することをお勧めします。TLS ルールは、復号化する TLS トラフィックを定義し、関連付けられた復号化プロファイルは、復号化の処理方法に加え、プロトコルや暗号の適用方法を管理します。ルールは構造化されており、ファイアウォールルールがトップダウンの階層式で機能する方法と同じように機能します。制限されたネットワークのサブ管理サイトまたはテストシステムで、TLS 暗号化から段階的に開始することをお勧めします。これにより、新しい TLS インスペクションソリューションの専門知識を構築し、新しいルール、ログ、レポート、エラー処理のオプションを探ることができます。すべてのアプリケーションやサーバーが、TLS インスペクションを完全かつ適切にサポートしているわけではありません。そのため、Control Center でエラーを監視し、問題のあるサイトやサービスを除外する便利な組み込みツールを活用してください。DPI エンジンと TLS インスペクションに慣れたら、顧客のネットワーク全体に適用することをお勧めします。ただし、暗号化されたトラフィック量が現在すべてのインターネットトラフィックの 80% を超えるため、復号化 / 暗号化アルゴリズムの性質上、TLS インスペクションはリソースを大量に消費することに注意してください。お客様の XG Firewall アプライアンスが数年前のものであり、高負荷の状態で稼働している場合は、ハードウェアの更新または新しい高パフォーマンスモデルが必要な時期かもしれません。ますます多くのハッカーが TLS 暗号化を利用してネットワークに侵入し、検出されないままになっているので、現在ではほとんどのインターネットトラフィックで TLS インスペクションを有効にすることは、最新のランサムウェアや脅威から保護するのに不可欠です。詳細については、次の資料を参照して、XG Firewall v18 の新機能を最大限に活用してください。

XG Firewall の販促活動

ソフォスパートナーポータルでは、豊富な営業資料を提供しています。カテゴリを選択して結果を絞り込むことで、資料のリストをフィルタリングできます。また、お住まいの地域でセールスプロモーションをご利用いただけるかどうかをご確認ください。素晴らしい機会を見逃さないために時々ご確認することをお勧めします。

著者について

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.