メッセージフィルタ

TCPやTLSセッションの間に配置し、メタデータとアプリケーションデータの内容をスキャンし、不要なメッセージやセキュリティ的問題のあるパケットを破棄することで、不要なトラフィックの削減や、安全でないパケットの誤送信などを防止することに役立ちます。

特徴

IPアドレスやポートによるフィルタとは異なり、データの内容をスキャンしてパケットを破棄したり通過させます。DPI (Deep Packet Inspection) などでは、CPUの処理負荷やパケット処理遅延が発生しがちです。

しかし、このメッセージフィルターIPでは、パケットの処理やセッションの維持、暗号化・復号を全てハードウェアロジックのパイプラインで実現するため、CPUの負荷や処理遅延を回避することが出来ます。

適用例

外部ネットワークから収集されたパケットをデータセンターで処理する場合に、外部ネットワークと各サーバーの間に配置し、サーバーの処理を圧迫するようなトラフィックや、セキュリティ問題のあるパケットを除去し、トラフィックと端末を守ります。

課題と解決技術

UDPといった状態を維持しないステートレスな通信においては、不要なパケットを除去するのは簡単ですが、TCPのようなセッションの状態を維持する通信や、さらにSSL/TLS, DTLSのような暗号化された通信において、不要なパケットを除去するのは単純ではありません。

TCPはデータのやりとりにシーケンス番号を用いて、ネットワーク中で失われたパケットを再送する仕組みがあるので、単純に除去してACKを返さないと送信側はいつまでも再送しようとしますし、受信側も歯抜けになったパケットをいつまでも待ってしまいます。暗号化されたセキュアプロトコルでは、さらにパケットのカウントを利用したり、暗号鍵の問題があります。

メッセージフィルタIPでは、このセッションを識別しながら、セッションの状態維持をフルハードで行うことが可能です。この技術により、遅延の増加を防ぎネットワークに影響を与えないままトラフィックの削減を実現します。

当社のTCP/UDPオフロードエンジンを活用するエンドポイント版と、独自実装で不要パケット破棄に特化した非エンドポイント版の2種類からお選びいただけます。特に、究極の低遅延を追求されるお客様には非エンドポイント版をお勧めしております。

仕様

評価ライセンスや研究（アカデミック）ライセンスも取り扱っております。