FastPath アプリケーションアクセラレーションおよび SD-WAN ルーティング
ネットワークの輻輳が増加する中、重要なビジネスアプリケーションを最適化するツールがますます重要になっています。XG Firewall v18 の優れた新機能を最大限に活用することに関するこの 3 番目の記事では、新しい Xstream Network Flow FastPath と新しい SD-WAN ポリシーベースのルーティングオプションを使用して、重要なビジネスアプリケーショントラフィックを最適化するためのツールに焦点を当てます。
Xstream FastPath アプリケーションアクセラレーション
過去 2 つの記事では、XG Firewall v18 の新しい TLS インスペクションだけでなく、 Xstream アーキテクチャおよび新しい DPI エンジンについても説明しました。 Network Flow FastPath は、新しい Xstream アーキテクチャの別の主要機能であり、信頼できるトラフィックにアプリケーションアクセラレーションを提供します。
Network Flow FastPath は、セキュリティスキャンが不要な信頼できるトラフィックをシステム経由で fastlane に転送できます。 これにより、遅延が最小限に抑えられ、ファイアーウォールを通過するアプリケーショントラフィックが高速化されるだけでなく、検査を必要としないトラフィックに DPI エンジンや TLS インスペクションリソースを使用しないという利点もあります。 そして、実際に検査を必要とするトラフィックのためにリソースが解放され、プロセスのパフォーマンスヘッドルームが増加します。
仕組み
すべてのトラフィックフローはファイアウォールスタックによって処理され、さらに識別するために DPI エンジンに渡されます。 アプリケーショントラフィックフローが「信頼できる」と判断されると、Network Flow FastPath はパケットフローを直接処理し、DPI エンジンをパスして、FastPath でパケットを往復させるよう指示されます。トラフィックは、次の 2 つの方法で Network Flow FastPath に高速化できます。
- 自動:アプリケーションが、ビデオおよびオーディオストリーミングサービス (例:Netflix、Spotify、Pandora) のような信頼性が高く、改ざん防止を考慮したトラフィックに SophosLabs のサーバー名表示 (SNI) が一致する場合、アプリケーション内 (Microsoft、Apple、Adobe、Sophosなどから) や VoIP、およびその他ストリーミングプロトコル (SIP、FIX、RDP など) から直接フェッチされた更新を確保します。
- ポリシー:特定のアプリケーショントラフィックに関連付けられたファイアウォールルールがある場合、セキュリティスキャンのフラグを立てないことにより、FastPath への高速化を行います。
FastPath 上のアプリケーショントラフィックを高速化するにはいつが適切か、つまり信頼できるのは何であるか疑問に思われるかもしれません。 信頼できるトラフィックの完璧な例は、アクティブなコードベースではないストリーミングメディアなどのトラフィックです。 トラフィックのストリーミング構造および再生のための再構築方法により、この種のトラフィックフローにマルウェアを挿入することは不可能であるため、FastPath アクセラレーションの理想的な候補となります。 このタイプのトラフィックには、 Netflix や Spotify などの一般的なストリーミングサービスに加え、 Zoom、 GoToMeeting、 Skype for Business、 Microsoft Teams の通話などの VoIP およびコラボレーションアプリも含まれます。 もちろん、これらのコミュニケーションアプリおよびコラボレーションアプリは、あらゆるビジネスで最も重要なアプリであるため、FastPath アクセラレーションに最適です。ユーザーがアップデートやファイルをダウンロードできるアプリは、ファイルに明らかにアクティブなコードが含まれていたり、悪意がある可能性があるため、FastPath アクセラレーションには適していません。 原則として、セキュリティの観点から、一般的な Web 閲覧、またはファイル共有のサイトや共有アプリに FastPath ルールを作成しないでください。
XG Firewall v18 のファイアウォールルール
XG Firewall v18 のファイアウォールルールは、以前のリリースと構造が非常に似ているため、移行が簡単です。 このビデオでは、XG Firewall v18 のファイアウォールおよび NAT ルールの設定について詳しく説明します。 このシリーズの今後の記事で NAT ルールについて説明しますが、本日は、FastPath で信頼できるトラフィックを高速化するファイアウォールルールの作成方法について説明します。 これほど簡単で直感的なものはありません:宛先のアプリケーションネットワーク (FQDN) またはサービスを簡単に特定、 
そして、セキュリティ機能では「なし」を選択します。トラフィックが FastPath で高速化されるためにはチェックボックスのどれも選択せず、不要なセキュリティスキャンに対し DPI エンジンを介してリダイレクトされないようにしてください。
とても簡単にできます。
アプリケーション SD-WAN ポリシーベースのルーティング
XG Firewall v18 のもう 1 つの新機能および改善された機能は、SD-WAN ポリシーベースのルーティング (PBR) です。 FastPath で最適化および高速化されたファイアウォールを通過する重要なビジネスアプリケーションのパスと同様、クラウドまたは支社へのアプリケーションパスも同様に最適化されていることを確認されたいかもしれません。 そこで SD-WAN PBR が登場します。 XG Firewall v18 は、ユーザ、グループ、およびアプリケーションベースのトラフィック選択基準を XG Firewall の SD-WAN ルーティング設定に追加します。これにより、重要なビジネスアプリケーショントラフィックを推奨の IPS WAN リンクまたは支社の VPN 接続にルーティングできますが、重要度の低いトラフィックは別のルーティングを使用します。このビデオでは、XG Firewall v18 の新しい SD-WAN PBR 機能を活用してアプリケーションを最適化し、SD-WAN ルーティングを実現する方法について、概要を説明します。
Synchronized SD-WAN
XG Firewall v18 は、SD-WAN アプリケーションルーティングで追加の利点を提供する新しい Sophos Synchronized Security 機能である Synchronized SD-WAN の導入により、 SD-WAN をさらに進化させました。Synchronized SD-WAN は、ソフォスが管理するエンドポイントと XG Firewall 間で Synchronized Application Control の情報を共有することで、アプリケーション識別の明瞭性と信頼性をさらに高めます。Synchronized Application Control は、回避型アプリ、暗号化アプリ、野良アプリ、カスタムアプリを含むすべてのネットワーク化されたアプリケーションを 100% 確実に識別でき、以前は識別されなかったアプリケーションを SD-WAN ルーティングポリシーに追加できるようになりました。これにより、他のファイアウォールでは対応できないレベルのアプリケーションルーティング制御と信頼性が提供されます。アプリケーションの FastPath アクセラレーションや SD-WAN ポリシーのルーティングを含む XG Firewall v18 の新機能を最大限に活用するために参考となるサイトは次のとおりです。
- XG Firewall Getting Started Guide
- XG Firewall の完全オンラインマニュアル
- v18 の新機能に関するハウツービデオ
- SD-WAN ポリシールーティングに関するドキュメント
- v18 に関するお勧めのコミュニティ記事のリスト一覧
Sophos XG Firewall を初めて使用する場合は、 XG Firewall がお客様のネットワークにもたらす大きな利点と機能の詳細をご覧ください。
XG Firewall の販促活動
ソフォスパートナーポータルでは、豊富な営業資料を提供しています。カテゴリを選択して結果を絞り込むことで、資料のリストをフィルタリングできます。また、お住まいの地域でセールスプロモーションをご利用いただけるかどうかをご確認ください。素晴らしい機会を見逃さないために時々ご確認することをお勧めします。
