THUNDER TPS Thunder TPS agalaxy APP vthunder TPS 1
アーキテクチャーと主なコンポーネント アシンメトリックモード アウトオブバンド (TAP) モード Thunder TPS Thunder TPS 詳細なテレメトリー解析としてしきい値を定義し ホワイト / ブラックリストをインバウンドの Thunder TPS へ同期することが可能 機能と利点 A10 Thunder TPS は これまでにないパフォーマンスの拡張性と導入の柔軟性を備えており 豊富な機能によってマルチベクトル型 DDoS 攻撃を検知 防御できます 包括的な DDoS 防御によるサービス可用性の確保 A10 Thunder TPS は ネットワークが同時に複数の攻撃を受けた場合でも 幅広いレベルの攻撃を検知して防御できます 手動またはフローコレクタによってトラフィックを Thunder TPS へ引き込み オンデマンドで防御または常時 ( プロアクティブに ) 防御 シンメトリック ( インライン ) モード Thunder TPS 継続的かつ総合的な検知と防御に加え アプリケーションレベルの攻撃に対する防御で豊富なオプションを提供 マルチベクトル型攻撃からの防御 : 単純なボリューム攻撃や プロトコル攻撃 リソース攻撃 アプリケーションレベルの攻撃など 多くの種類の DDoS 攻撃を検知 防御してサービスの可用性を確保します ハードウェアアクセラレーションによって CPU 負荷が軽減されて Thunder TPS はマルチベクトル型攻撃に重点的に対処できるようになります 脅威の高度な検出と緩和 :Thunder TPS はさまざまなマルチプロトコルのカウンターにアクセスして正常時のネットワーク状態を把握できるため 異常を正確に検出できます また 動的な緩和ポリシーによって疑わしいトラフィックに対して段階的に厳しいルールを適用することが可能なため 正常トラフィックの影響を最小限に抑えられます DevOpsではイベントによってトリガーされるスクリプトを活用して 運用の俊敏性を向上させることができます きめ細かい接続レートの保護 : 非常にきめ細かいマルチプロトコルのレート制限を適用することによって急増する不正トラフィックを検知 緩和し ネットワークとサーバーのリソースが過剰に消費されることを防止します 帯域幅またはパケットレートを基準にして設定された制限をコネクション単位で適用することが可能です ハイブリッドな DDoS 対策 : オンプレミスの Thunder TPS およびクラウドベースの Verisign の DDoS 防御サービスを利用した統合型 DDoS 防御機能により ご利用のネットワーク容量を超えるボリューム型の攻撃に対応することが可能です Verisign の DDoS 防御サービス * は 複数のグローバル拠点の存在と数 Tbps に及ぶグローバルなキャパシティにより支えられています ThreatSTOP を活用した A10 Threat Intelligence Service:DShield やShadowserver を含む 30 以上のセキュリティ情報源から得られるレピュテーションデータを集約してその質を高め Thunder TPS が既知の悪質なソースとの間で往来するトラフィックを即座に識別してブロックすることを可能にします * 将来対応予定 2
A10 の Threat Intelligence Service は次のようなメリットを提供します 将来発生する脅威からのネットワーク保護 スパムやフィッシングなど DDoS 以外の脅威のブロック Thunder TPS の効率性向上 インターネット上で検知した潜在的な不正な IP 情報を継続的に収 集するため そのグローバルな情報を活用して悪質なインターネッ トサイトからのトラフィックをブロックするとともに Thunder TPS で 既知のボットや攻撃元を特定する必要がなくなり その分の負荷が軽減されます 大規模化する攻撃に対抗できる高いパフォーマンスと効率性 ここ数年で DDoS 攻撃の帯域幅 (Gbps) と1 秒あたりのパケット数 (PPS) が急増しています Thunder TPS は ハイパフォーマンスな専用ハードウェアと最新の最も強力な Intel Xeon CPU を活用してあらゆる規模の巧妙な攻撃からの防御が可能です A10 の ACOS(Advanced Core Operating System) プラットフォームでは 専用のシステムリソースを効率的に使用することができます ハイパフォーマンスな防御機能 :1 Gbps から300 Gbps( クラスター構成では 2.4 Tbps) にいたる防御スループットにより 最大規模のマルチベクトル型 DDoS 攻撃も効果的に防御できます Thunder TPS の上位モデルに搭載されたハイパフォーマンスな FPGA ベースの FTAテクノロジーにより データ CPU に処理が移行する前に ハードウェアで60 種類にも上るメジャーな攻撃手段を直ちに検知して防御することができます SYNクッキーを生成して 最大 440 Mpps のレートでクライアント接続要求を検証可能です Security and Policy Engine (SPE) を搭載したハードウェアによって 非常にきめ細かい (100ミリ秒間隔 ) トラフィックレート制限を適用できます SSLセキュリティプロセッサーは POODLE 脆弱性などの SSL ベース攻撃の検知と防御に活用されます さらに複雑なアプリケーションレイヤー (L7) 攻撃 (HTTP や DNS など ) は Intel Xeon CPU によって処理されるため マルチベクトル型攻撃に対してもハイパフォーマンスなシステムの拡張性を維持できます ネットワークインターフェイスは 1 Gb 10 Gb 40 Gb および 100 Gb のイーサネットポートが用意されています 大規模な脅威情報クラスリスト : 最大 1600 万のリストに対応したクラスリストを 8 つまで定義することができます これにより 動的に生成されるブラック / ホワイトリストエントリーに加えて A10 Threat Intelligence Service などの情報源から得られるデータを活用することができます 複数の対象を同時に防御 :Thunder TPS は同時に 64,000 のホストまたはサブネットを監視し 多くのユーザーとサービスが接続するネットワーク全体を防御可能です 完全な制御と高度な自動化による俊敏な保護 ネットワーク事業者にとって DDoS 防御ソリューションを既存のネットワークアーキテクチャーに簡単に統合できることは重要です これにより 差し迫った DDoS の脅威にもネットワークが素早く対応できるようになります プログラム制御のポリシーエンジン :Thunder TPS は受信するパケットに対してアプリケーションレベルの検査を実行し あらかじめ指定されたアクションによってアプリケーションを防御できます たとえば さまざまな DNSクエリータイプに制限を課すことや HTTP ヘッダーの多くの部分にセキュリティチェックを適用することが可能です 検知機 能と防御機能は 非常に柔軟にカスタマイズできます また ポリシーの高速パターンマッチングに対応する正規表現 (regex) とBerkeley Packet Filter(BPF) も利用できます DevOpsではイベントによってトリガーされるスクリプトを活用して 運用の俊敏性を向上することができます ネットワークへの容易な統合 : パフォーマンスの異なる豊富なモデルに加え MPLS 検査などの柔軟な導入構成をサポートしているため Thunder TPS はあらゆる規模のあらゆるネットワークアーキテクチャーに統合できます また A10 の RESTful APIである axapi を使用して Thunder TPSをサードパーティーの検知ソリューションに簡単に統合可能です BGP Blackhole 機能などのオープンスタンダードを活用して Thunder TPS の防御機能をあらゆる DDoS 検知ソリューションに簡単に統合できます オープンな API とネットワークレベルの機能を活用することにより SDNコントローラーやセキュリティ製品などの他の多くのデバイスと緊密に連携することが可能です 集中管理 : 大規模システムへの導入時は オプションの agalaxy 集中管理システムにより 物理的な設置場所にかかわらず複数のアプライアンスにまたがってルーティン化されたタスクを行うことが可能です 製品概要 Thunder TPS 製品ラインは マルチベクトル型 DDoS 攻撃をネットワークエッジで検出および防御して ネットワークインフラストラクチャー防御の最前線として機能するハイパフォーマンスなアプライアンスのファミリーです Thunder TPS ハードウェアアプライアンス :Thunder TPS ハードウェアアプライアンス製品ラインは 2 Gbps のエントリーレベルモデルから 300 Gbps のハイパフォーマンスモデルまで幅広いアプライアンスが用意されているため 要件の厳しい大規模ネットワークも防御することができます 高可用性を確保するため すべてのモデルで冗長電源 * とSSD( ソリッドステートドライブ ) を搭載しており 手の届かない箇所に可動パーツは配置されていません 上位モデルは Security and Policy Engine(SPE) によるハードウェアを使った高速化により ハードウェアで最適化された各種パケット処理の中でも特に FPGA ベースの FTA テクノロジーを活用して 拡張性の高いフローディストリビューションとハードウェアによるDDoS 防御機能を実現しています Thunder TPS は スイッチングプロセッサーとルーティングプロセッサー ** により ハイパフォーマンスなネットワーク処理が可能です すべてのアプライアンスではラックユニットあたり業界最高のパフォーマンスが確保され 電源は 80PLUS Platinum 認定 * を受けているため 環境にやさしく 電力コストも削減できます 1 Gb 10 Gb 40 Gb および 100 Gb のイーサネットポートを選択可能なため 極めて厳しいネットワーク帯域幅要件も満たすことができます vthunder 仮想アプライアンス :vthunder 仮想アプライアンス製品ラインは 仮想インフラストラクチャーに柔軟かつ簡単に導入できるDDoS 防御ソリューションのニーズに応えるよう設計されています DDoS に対するすべての防御機能を備えた vthunder のインスタンスは ユーザーが選択した一般的なハードウェアやハイパーバイザー (VMware ESXi Microsoft Hyper-V など ) に統合して実行できます * Thunder 840 TPS は除く ** Thunder 840 TPS 3030S TPS を除く 3
Thunder TPS ハードウェアアプライアンス仕様一覧 Thunder 840 TPS Thunder 3030S TPS Thunder 4435(S) TPS Thunder 5435(S) TPS スループット 2 Gbps 10 Gbps 38 Gbps 77 Gbps *1 TCP SYN 認証 / 秒 *1 SYNクッキー / 秒 150 万 650 万 3,500 万 3,500 万 150 万 650 万 5,500 万 1 億 1,200 万 ネットワークインターフェイス 1G カッパー 5 6 0 0 1Gファイバー (SFP) 0 2 0 0 1G/10Gファイバー (SFP+) 2 4 16 16 40Gファイバー (QSFP+) 0 0 0 4 100Gファイバー 0 0 0 0 管理インターフェイス Lights Out Management - コンソールポート ソリッドステートドライブ (SSD) プロセッサー Intel Communication Processor Intel Xeon 4-core Intel Xeon 10-core Intel Xeon 10-core メモリー (ECC RAM) 8 GB 16 GB 64 GB 64 GB ハードウェアアクセラレーション 64 ビット分散アーキテクチャー フレキシブルトラフィック ASIC ソフトウェア ソフトウェア 1 x FTA-3 + FPGA 2 x FTA-3 + FPGA スイッチング / ルーティング ソフトウェア ソフトウェア ハードウェア ハードウェア SSLアクセラレーション ASIC(S モデル ) なし シングル デュアル デュアル ハードウェアバイパス 内蔵 *3 *4 または外付けオプション 外付け外付け外付け 消費電力 ( 通常 / 最大 ) *2 57W / 75W 131W / 139W 350W / 420W 400W / 480W 発熱量 (BTU/h)( 通常 / 最大 ) *2 195 / 256 447 / 474 1,195 / 1,433 1,365 / 1,638 電源 (DC オプションあり ) シングル 150W(AC のみ ) デュアル 600W RPS デュアル 1100W RPS デュアル 1100W RPS AC100 ~ 240V 50 ~ 60Hz AC100 ~ 240V 50 ~ 60Hz 80 PLUS Platinum 認定の電力変換効率 ファンシングル固定ファンホットスワップスマートファン 外形寸法 44.45 mm( 高さ ) 431.8 mm( 幅 ) 304.8 mm( 奥行 ) 44.45 mm( 高さ ) 444.5 mm( 幅 ) 443.2 mm( 奥行 ) 44.45 mm( 高さ ) 444.5 mm( 幅 ) 762 mm( 奥行 ) 44.45 mm( 高さ ) 444.5 mm( 幅 ) 762 mm( 奥行 ) ラックサイズ ( 標準 19 インチラック ) 1U 1U 1U 1U 重量 3.99 kg 9.12 kg 15.65 kg 16.10 kg 動作環境温度 0 ~ 40 湿度 5 ~ 95% 規格準拠 FCC Class A UL CE TUV CB VCCI China CCC BSMI RCM RoHS FCC Class A UL CE TUV CB VCCI China CCC BSMI RCM MSIP EAC FAC RoHS FCC Class A UL CE TUV CB VCCI China CCC MSIP BSMI RCM EAC NEBS RoHS FCC Class A UL CE TUV CB VCCI China CCC BSMI RCM EAC NEBS RoHS *1 1 秒あたりのパケット数 パフォーマンスは構成と設定により異なります *2 ベースモデルの場合 値は SSL やハードウェアバイパスオプションにより異なる場合があります *3 ハードウェアバイパスモデルは内臓バイパス機能のものを購入する必要があります *4 2016 年 Q4 より販売開始 ^ 将来対応予定 4
Thunder TPS ハードウェアアプライアンス仕様一覧 Thunder 6435(S) TPS Thunder 6635(S) TPS Thunder 14045 TPS *4 スループット 155 Gbps 155 Gbps 300 Gbps *1 TCP SYN 認証 / 秒 *1 SYNクッキー / 秒 7,000 万 7,000 万 1 億 3,000 万 2 億 2,300 万 2 億 2,300 万 4 億 4,000 万 ネットワークインターフェイス 1G カッパー 0 0 0 1Gファイバー (SFP) 0 0 0 1G/10Gファイバー (SFP+) 16 12 0 40Gファイバー (QSFP+) 4 0 4 100Gファイバー 0 4(CXP) 4(CFP2または QSFP28) 管理インターフェイス Lights Out Management コンソールポート ソリッドステートドライブ (SSD) プロセッサー Intel Xeon Dual 12-core Intel Xeon Dual 12-core Intel Xeon Quad 18-core メモリー (ECC RAM) 128 GB 128 GB 512 GB ハードウェアアクセラレーション 64 ビット分散アーキテクチャー フレキシブルトラフィック ASIC 4 x FTA-3 + FPGA 4 x FTA-3 + FPGA 8 x FTA-3 + FPGA スイッチング / ルーティング ハードウェア ハードウェア ハードウェア SSL アクセラレーション ASIC(S モデル ) クアッド デュアル x 2 クアッド x 2 またはクアッド x 4 お問い合わせ下さい 消費電力 ( 通常 / 最大 ) *2 620W / 710W 995W / 1,150W 1,700W / 2,000W 発熱量 (BTU/h)( 通常 / 最大 ) *2 2,116 / 2,423 3,395 / 3,924 5,801 / 6,825 電源 (DC オプションあり ) ファン 外形寸法 デュアル 1100W RPS 2+2 1100W RPS 2+2 1100W RPS 44.45 mm( 高さ ) 444.5 mm( 幅 ) 762 mm( 奥行 ) AC100 ~ 240V 50 ~ 60Hz 80 PLUS Platinum 認定の電力変換効率 ホットスワップスマートファン 134.62 mm( 高さ ) 429.26 mm( 幅 ) 134.62 mm( 高さ ) 429.26 mm( 幅 ) 711.2 mm( 奥行 ) 762 mm( 奥行 ) ラックサイズ ( 標準 19 インチラック ) 1U 3U 3U 重量 17.69 kg 33.79 kg 46.27 kg 動作環境温度 0 ~ 40 湿度 5 ~ 95% 規格準拠 FCC Class A UL CE TUV CB VCCI China CCC BSMI RCM EAC NEBS RoHS FCC Class A UL CE TUV CB VCCI EAC FAC RoHS FCC Class A^ U L ^ C E ^ TUV^ CB^ VCCI^ China CCC^ BSMI^ RCM^ RoHS^ *1 1 秒あたりのパケット数 パフォーマンスは構成と設定により異なります *2 ベースモデルの場合 値は SSL やハードウェアバイパスオプションにより異なる場合があります *3 ハードウェアバイパスモデルは内臓バイパス機能のものを購入する必要があります *4 2016 年 Q4 より販売開始 ^ 将来対応予定 vthunder TPS の仕様 vthunder TPS スループットハイパーバイザーのサポートハードウェア要件ライセンス 最大 5 Gbps VMware vsphere ESXi 5.5 以上 Windows Server 2008*1 以上の Microsoft Hyper-V インストールガイド参照内容はハイパーバイザーのタイプにより異なります ラボ / 開発者用 :1 Gbps 本番稼働用 :1 Gbps 2 Gbps および 5 Gbps *2 *1 より高いパフォーマンスを得るには Windows Server 2012 R2 の利用を推奨します *2 VMware ESXi のみ 5
Thunder 840 TPS Thunder 3030S TPS Thunder 4435(S) TPS Thunder 5435(S) TPS Thunder 6435(S) TPS Thunder 6635(S) TPS Thunder 14045 TPS (CFP2) Thunder 14045 TPS (QSFP28) * 機能一覧 (* アプライアンスにより機能が異なる場合があります ) ハイパフォーマンスでスケーラブルなプラットフォーム ACOS Operating System マルチコア マルチ CPU サポート リニアなアプリケーションスケーリング コントロールプレーンとデータプレーンが独立して動作 IPv6 対応 ネットワーキング アシンメトリック シンメトリック アウトオブバンド ( TAP ) モード 透過 (L2) ルーティング (L3) ルーティング : スタティックルート BGP4+ VLAN(802.1Q) トランキング (802.1AX) LACP アクセスコントロールリスト ( ACL ) ネットワークアドレス変換 (NAT) MPLS トラフィック保護 管理機能 専用管理インターフェイス (GUI コンソール SSH Telnet) 業界標準コマンドラインインターフェイス (CLI) SNMP Syslog 電子メールアラート ポートミラーリング REST スタイル XML API(aXAPI) または SDK キット LDAP TACACS+ RADIUS のサポート 設定可能な CPU 配分 フラッド攻撃からの防御 SYN クッキー SYN 認証 ACK 認証 なりすまし検知 SSL 認証 * DNS 認証 HTTP チャレンジ TCP/UDP/ICMP フラッド防御 アプリケーション (DNS/HTTP) フラッド防御 Amp 攻撃からの防御 プロトコル攻撃からの防御 無効なパケット TCPフラグの異常な組み合わせ ( フラグなし SYN/FIN SYNフラグ LAND 攻撃 ) IP オプション パケットサイズの検証 (Ping of Death) POODLE 攻撃リソース攻撃からの防御 フラグメント攻撃 Slowloris Slow GET/POST 長いフォームの送信 SSL 再ネゴシエーションアプリケーション攻撃からの防御 アプリケーション認識型フィルター 正規表現フィルター (TCP/UDP/HTTP) HTTP 要求レート制限 DNS 要求レート制限 DNS クエリーチェック HTTPプロトコルのコンプライアンス HTTPアノマリー防御対象 自動化された検査と防御のための保護ゾーン 送信元 / 送信先 IPアドレス / サブネット 送信元 / 送信先 IP ペア 送信先ポート 送信元ポート プロトコル (HTTP DNS TCP UDP ICMP その他) DNS クエリータイプ URI クラスリスト / 地理的位置 パッシブモード 6
アクション パケットの取得 スクリプトの実行 ドロップ TCPリセット 動的認証 ブラックリストへの追加 ホワイトリストへの追加 ログ作成 同時接続の制限 接続レートの制限 トラフィックレート制限 (pps/bps) 他のデバイスへの転送 Remote Triggered Black Hole(RTBH) テレメトリー 豊富なトラフィックおよび DDoS 統計値カウンター sflow v5 netflow(v9 IPFIX) フローベースエクスポートのためのカスタムカウンターブロック 高速ロギング CEF ロギングリダイレクション BGP ルートインジェクション IPinIP( 送信元と終端 ) GREトンネル終端 NAT 検知 / 分析 しきい値の手動設定 プロトコルアノマリー検知 IPinIP の調査 ブラック / ホワイトリスト IP/ ポートスキャン検知 トラフィックインジケーターとトップトーカー 緩和コンソール (GUI) パケットデバッガーツール A10 Threat Intelligence Service ** クラスリストで使用される動的に更新される脅威インテリジェンスフィード高性能ハードウェアのハイライト 冗長電源 (ACまたは DC)* スマートファン ( ホットスワップ可能 )* ソリッドステートドライブ (SSD) 1G ポート 1/10G ポート 40G ポート 100G ポート搭載 改ざん検知 * Lights Out Management(LOM/IPMI)* ハードウェアバイパス * * アプライアンスにより機能が異なる場合があります ** 本サービスには追加料金がかかります 7
A10 Networks/A10 ネットワークス株式会社について A10 Networks(NYSE: ATEN) はアプリケーションネットワーキングおよびセキュリティ分野におけるリーダーとして 高性能なアプリケーションネットワーキングソリューション群を提供し お客様のデータセンターにおいて アプリケーションとネットワークを高速化し可用性と安全性を確保しています A10 Networks は 2004 年に設立されました 米国カリフォルニア州サンノゼに本拠地を置き 世界各国の拠点からお客様をサポートしています A10ネットワークス株式会社は A10 Networks の日本子会社であり お客様の意見や要望を積極的に取り入れ 革新的なアプリケーションネットワーキングソリューションをご提供することを使命としています 詳しくはホームページをご覧ください www.a10networks.co.jp Facebook:http://www.facebook.com/A10networksjapan A10ネットワークス株式会社 105-0001 東京都港区虎ノ門 4-3-20 神谷町 MTビル 16 階 TEL : 03-5777-1995 FAX: 03-5777-1997 jinfo@a10networks.com www.a10networks.co.jp Part Number: A10-DS-15101-JA-11 Oct 2016 海外拠点 北米 (A10 Networks 本社 ) sales@a10networks.com ヨーロッパ emea_sales@a10networks.com 南米 latam_sales@a10networks.com 中国 china_sales@a10networks.com 香港 HongKong@a10networks.com 台湾 taiwan@a10networks.com 韓国 korea@a10networks.com 南アジア SouthAsia@a10networks.com オーストラリア / ニュージーランド anz_sales@a10networks.com お客様のビジネスを強化する A10 のアプリケーションサービスゲートウェイ Thunder の詳細は A10 ネットワークスの Web サイト www.a10networks.co.jp をご覧になるか A10 の営業担当者にご連絡ください 2016 A10 Networks, Inc. All rights reserved. A10 Networks A10 Networks ロゴ ACOS Thunder および SSL Insight は米国およびその他各国における A10 Networks, Inc. の商標または登録商標です その他の商標はそれぞれの所有者の資産です A10 Networks は本書の誤りに関して責任を負いません A10 Networks は 予告なく本書を変更 修正 譲渡 および改訂する権利を留保します 製品の仕様や機能は 変更する場合がございますので ご注意ください 商標について詳しくはホームページをご覧ください www.a10networks.com/a10-trademarks