7/27デジハリ渋谷校にてパロアルトネットワークの人から次世代ファイアウォールの話を聞いた。より詳細なレポートは誰かが書いてそうだけど、全体像については、「斬新なファイアウォール - Palo Alto Networks」 (Geekなページ 2009-07-08)が参考になる。

Palo Alto Networksはファイアウォール界の重鎮？Nir Zukが興したベンチャ。従業員は110名ほどで、半分以上がエンジニア。最近のファイアウォール／ネットワークアプライアンス業界ではかなり注目度が高いベンチャらしい。

みんながHTTP/HTTPSを使うようになると、そもそもファイアウォールって（バイパスされてしまって）意味なくなるんじゃないかと以前から思っていたのだが、アプリケーションプロトコルも解析することで、例えば、開発部は2chを見られるけど、営業部はNGとかといったポリシ設定ができるようになる。たしかにL7フィルタリングの研究開発はなんどか聞いたことがあったけど、十分プロダクションレベルで使い物になっているんだという感想を得た。アプリケーションを識別するのに、そもそもポート番号は意味ないという視点にはなるほどと思った。

他社のファイアウォールも単純なパケットフィルタ（またはステートフルパケットインスペクション）では商売にならないので、IDSやUTMなどの付加機能をオプションとして用意しているけど、そのような競合との違いは、付加機能を追加しても性能劣化が（ほぼ）ない点。なのでオプション契約率が95%と高いそうだ（他社の場合は10〜20%？）。その秘密はマッチングをパケットごとではなくストリーム（フロー）ベースで行い、さらにアプリケーションの種類や状態に応じたツリーを使って、シグネチャマッチングの範囲を絞り込むところにあるそうだ。

あと技術的に面白かったのは、SSL通信も解析できるという点。要はman-in-the-middle攻撃と同じ手法なんだけど*1、ファイアウォールが本来の認証局との間に入り、認証局だけを自分の物に書き換えた証明書をクライアントに発行する。あらかじめファイアウォールの内側のクライアントには、ファイアウォールのルート証明書をインストールしておけば、警告もなく透過にアクセスできる。こんなことまでやるんだと驚いた。

ユーザ識別にはActive DirectoryかRadium認証を使って、パケットフローとユーザをひもづける。Radium認証の場合、間にNATが入るとNGだけど、Windows Terminal Serverには対応しているそうだ。

ログの可視化も強力だし、ネットワーク管理者の知り得る情報が増えて、管理する方もされる方もセンシティブになっちゃわないかと不安にも。

ところで、Plan9でファイアウォールするときどうするの？