ブログ

F5 BIG-IP Advanced Firewall Manager で効率とセキュリティを向上

レイチェル・ザバワ サムネイル
レイチェル・ザバワ
2025年2月21日公開

データセンターを保護する場合、あらゆる接続がサイバー攻撃への潜在的な入り口となります。 ハッカーが防御を突破するのを阻止するものは何ですか? インターネットでは誰でもネットワークを攻撃することができ、サイバーセキュリティのリスクが多ければ、危険度は高くなります。 侵入してくる脅威に対して一歩先を行くゲームは決して終わりません。

現在、データセンターを運営している多くの企業は、依然としてサイバーセキュリティの防御に苦労しています。 特に、多くの企業は、大量の外部からの脅威が継続的な課題になっていると感じています。 企業やサービス プロバイダーは進化するインバウンドの脅威に対応するのに苦労しており、サービス プロバイダーと通信会社は、ネットワークの企業側の側面に加えて、通信インフラストラクチャを保護する必要があります。

侵入の脅威から保護する

インバウンドの脅威は通常、システムまたは組織の外部から発生する潜在的な危険またはリスクを指します。 これらには、マルウェア、フィッシング攻撃、分散型サービス拒否 (DDoS) 攻撃など、さまざまな種類のサイバー脅威が含まれる可能性があります。 サイバーセキュリティの観点では、着信の脅威は、ファイアウォール、侵入防止システム (IPS)、および着信トラフィックとアクティビティを監視および制御するように設計されたその他のセキュリティ対策の組み合わせによって管理されることがよくあります。 F5 はこれらの脅威の複雑さを理解しており、20 年以上にわたってサービス プロバイダー向けのセキュリティ ソリューションの主要プロバイダーとなっています。

このような脅威から保護するために、ほとんどの企業は、明示的に許可されない限りすべてをデフォルトでブロックするステートフル ファイアウォールに依存しています。 (ステートフル ファイアウォールは、パケットごとではなく、接続ベースで決定を下します。) 対照的に、F5 は設立当初からインバウンドの脅威を理解しており、開発の初期段階で SSL 暗号化と HTTP 保護に重点を置いてきました。 F5 は 2000 年代初頭に API セキュリティ (API セキュリティは高度な HTTP セキュリティ) の取り組みを開始し、その後すぐに Webapplicationファイアウォール (WAF) 製品を導入し、続いて F5 BIG-IP Advanced Firewall Manager (AFM) を導入しました。

F5 BIG-IP TMOS モジュールである BIG-IP AFM は、applicationsとインフラストラクチャを保護するように設計された高性能ネットワーク セキュリティ ソリューションです。 ネットワーク トラフィックを管理および制御するための高度な機能を提供し、さまざまなサイバー脅威からの保護に役立ちます。 BIG-IP AFM には、トラフィック フィルタリング、侵入防止、application制御、ネットワークおよびプロトコル分散型サービス拒否 (DDoS) 保護、アドレス変換、ログ記録とレポート、他のセキュリティ ツールとの統合などの機能が含まれています。

BIG-IP AFM は、高度なトラフィック制御、脅威検出、セグメンテーション、脅威軽減機能を提供することで、ネットワーク環境のセキュリティと管理性を強化します。 BIG-IP AFM は、多くのサービス プロバイダーが使用する定番製品でもあり、さまざまな消費者向けおよび企業向けサービスを提供できるようにするコア ネットワークインフラストラクチャを保護します。

悪意のあるトラフィックを除外する

企業は多くの場合、外部の DNS リソースに接続します。これにより、Web サイトのドメイン名が数値の IP アドレスに変換され、サーバーはその IP アドレスを使用して、インターネットに接続された Web サイトやデバイスを識別します。 ただし、この DNS トラフィックにより、発信元ネットワークは無数の DNS 攻撃に対して無防備な状態になります。

しかし、BIG-IP AFM を使用すると、DNS トラフィックの管理は簡単になります。 レイヤー 7 のコンテキストでは、BIG-IP AFM は、applicationデータとユーザーの動作に基づいてトラフィックをきめ細かく制御します。 プロトコル検証をオンにするだけで、形式が不適切な DNS DDoS 機能によって、レイヤー 7 リソースに影響を与えることなく、形式が不適切な DNS 要求や DNS サーバーを標的とした攻撃がフィルタリングされます。 BIG-IP AFM は DNS ガベージを削除するだけで、DNS サーバーの処理とネットワーク帯域幅を解放します。 これにより、applicationの応答性が向上しますが、スケーラブルかつ信頼性の高い方法で、さまざまな攻撃から保護されます。 BIG-IP AFM は、DDoS およびプロトコル レベルの緩和制御をファイアウォールに組み込むことで、applicationsを保護するための包括的なアプローチを提供し、ネットワークとapplicationの可用性の両方が高度な脅威から保護されることを保証します。

これの一番良いところは? 低コストで効率が良いです。

プロトコル セキュリティの観点から、AFM はapplicationデータとユーザーの行動に基づいてトラフィックをきめ細かく制御します。

BIG-IP AFM の仕組みは次のとおりです。

  1. ディープ パケット インスペクション (DPI): BIG-IP AFM は、データ ペイロードを含むパケット全体を検査して、アプリケーション固有の詳細を把握します。 これにより、ヘッダーだけでなくトラフィックの内容に基づいてセキュリティ上の決定を行うことができます。
  2. applicationプロトコル認識: BIG-IP AFM は、HTTP、HTTPS、FTP などの特定のapplicationプロトコルに基づいてポリシーを認識し、適用できます。 これにより、処理するapplicationトラフィックの種類に応じて異なるルールを適用できるようになります。
  3. 侵入検知と防止: BIG-IP AFM は多くのプロトコルをサポートしており、プロトコルに準拠していない要求や悪意のある攻撃のシグネチャに一致する要求をフィルタリングできます。
  4. ネットワーク層攻撃の軽減: BIG-IP AFM は、フラッド、スイープ、不正なパケットなど、さまざまなネットワーク層 DDoS 攻撃からの保護に役立ちます。 AFM はプロトコル データを分析することで、悪意のあるアクティビティを検出してブロックできます。
  5. レート制限とトラフィックシェーピング: BIG-IP AFM は、特定の種類のapplicationトラフィックにレート制限を適用して、不正使用を防止し、リソースの公正な使用を確保できます。 これは、アプリケーション層を大量のリクエストで攻撃して、application層を標的とする DDoS 攻撃を軽減するのに役立ちます。
  6. ログ記録とレポート: BIG-IP AFM は、トラフィックとセキュリティ イベントに関する詳細なログとレポートを提供し、監視、監査、フォレンジック分析に役立ちます。

BIG-IP AFM はレイヤー 2 から 7 まで動作し、applicationsとそのデータ センターを保護するための包括的なアプローチを提供し、ネットワークとapplicationデータの両方が高度な脅威から保護されることを保証します。 また、サービス プロバイダーと同様の方法で BIG-IP AFM 機能を活用することで、企業顧客はセキュリティ体制を強化し、リスクを軽減し、進化し続けるデジタル環境においてビジネスの継続性を確保できます。

企業レベルでサービスプロバイダーレベルのセキュリティ サービスが必要ですか? 詳細については、F5.com のBIG-IP AFM Web ページにアクセスするか、こちらから BIG-IP AFM の無料トライアルを入手してください。