F5ネットワークスジャパンは,SSL-VPN装置の新版を,10月29日に出荷した。最上位機種「FirePass 4300」シリーズを追加するとともに,既存機種を含めたSSL-VPN装置のソフトウエアを「FirePass v6.0.2」にバージョン・アップした。新機種であるFirePass 4300シリーズの価格は,同時100ユーザー接続の最小モデルで749万円,同時2000接続の最大構成で2499万円など。開発会社は米F5 Networks。
新たに追加したFirePass 4300は,同社のSSL-VPN装置の最上位に位置する。既存のハイエンド機種「FirePass 4100」と同じく,高さ2Uのラックマウント型サーバー機である。FirePass 4100との最大の違いは,CPU性能にある。FirePass 4100はシングル・コアのOpteronを2CPU構成,FirePass 4300はデュアルコアのOpteronを2CPU構成で動作させる。F5ネットワークスジャパンでは,FirePass 4100は同時接続100~500ユーザー,FirePass 4300は同時接続500~2000ユーザーを想定している。
一方,SSL-VPN装置のソフトウエア最新版であるFirePass v6.0.2の主な強化点は,以下の3つ。(1)主にモバイル機種向けに,汎用トンネル型で動作させるSSL-VPNクライアント・ソフトの稼働プラットフォームを拡大した。(2)リバース・プロキシ接続時のURLの解析と書き換えや,米Citrix Systemsの画面情報端末ソフトの新機能への対応など,各種アプリケーションとの親和性を高めた。(3)主に,システム管理者がトラブルを解決するための,クライアント環境のインベントリ情報取得ソフトを用意した。
(1)稼働プラットフォームの拡大では特に,米Microsoftのモバイル端末向けOSであるWindows Mobile 5/6上で動作するVPNクライアント・ソフトを用意した。F5ネットワークスジャパンによれば,「シャープ製のウィルコムPHS端末であるW-ZERO3から社内LANにVPN接続して,Windows標準の画面情報端末プロトコルであるRDPで社内システムのGUI画面を操作する」,といった要望が強かったという。今回のプラットフォーム拡張は,これに応えるものだ。
(2)各種アプリケーションとの親和性では,Webアプリケーション・サーバーの直前にプロキシ・サーバーを設置するリバース・プロキシ型のSSL-VPNアクセスにおいて,従来よりもWebアプリケーションとの親和性を高めた。これまでは,Webアプリケーションとユーザーとを仲介する際のURLの書き換えなどが上手く機能しないことがあったという。今回,新たに,HTMLやJavaScriptなどWeb画面の解析機能を強化した。これにより,必要に応じて自動的にURL文字列を書き換えるロジックが強化された。
また,シンクライアント・システム「Citrix Presentation Server」の新機能,セッションの保持機能(ICAセッション,TCP2598)を,SSL-VPN経由でも利用できるようにした。通常のICAプロトコル(TCP1494)経由でのアクセスでは,何らかの理由でセッションを切断した際,再接続を試みると,サーバー側ではセッション情報が失われており,ユーザー認証からやり直す必要がある。一方で,ICAセッションを経由してアクセスすると,セッション切断後に一定時間,サーバーがセッションを維持する。再接続すると,そのまま切断時点の画面を使い続けられる。
新版では,これまで対応できていなかったバーチャル・ホストごとのSSLクライアント認証も可能にした。バーチャル・ホストとは,単一のWebサーバーを複数のWebサーバーに見せかける機能であり,アクセスされたホスト名に応じて文書格納ディレクトリやアクセス・ポリシーを使い分けるもの。従来版のFirePassでは,SSL接続時の相互認証においてSSLクライアント証明書を提出させる手続きは,バーチャル・ホストを問わず一律でしか運用できていなかったという。例えば,総務部向けホスト名にだけクライアント認証をかけたい場面でも,経理部向けホスト名へのアクセスでもクライアント認証を要求してしまっていた。新版では,これを改善し,バーチャル・ホストごとに認証方法を使い分けられるようにした。
(3)クライアント環境のインベントリ情報取得ソフトは,SSL-VPNが期待通りに動作しないエンドユーザーのクライアントへ,FirePassのSSL-VPN装置からダウンロードして利用する運用管理ソフトである。システム管理者は,このソフトを使って,エンドユーザーのネットワーク環境やOSのバージョンなどのインベントリ情報を収集できる。収集情報を外部の分析ソフトに取り込む運用も可能だが,ソフト単体でも簡単な分析機能を備えているという。
