写真1●チェック・ポイント・ソフトウェア・テクノロジーズが開催した「チェック・ポイント パフォーマンス・ツアー」の様子
写真1●チェック・ポイント・ソフトウェア・テクノロジーズが開催した「チェック・ポイント パフォーマンス・ツアー」の様子
[画像のクリックで拡大表示]
写真2●パフォーマンス測定試験の様子
写真2●パフォーマンス測定試験の様子
[画像のクリックで拡大表示]
写真3●HTTP最大同時接続数の測定試験に使った「Check Point Power-1 11095」(写真左)
写真3●HTTP最大同時接続数の測定試験に使った「Check Point Power-1 11095」(写真左)
[画像のクリックで拡大表示]
写真4●測定試験の監督および解説を担当したチェック・ポイント香港のセキュリティコンサルタントLouis Cheung氏
写真4●測定試験の監督および解説を担当したチェック・ポイント香港のセキュリティコンサルタントLouis Cheung氏
[画像のクリックで拡大表示]

 チェック・ポイント・ソフトウェア・テクノロジーズは2010年12月10日、東陽テクニカTIセンター(東京・日本橋)でエンドユーザー向けのイベント「チェック・ポイント パフォーマンス・ツアー」を開催した(写真1)。イベントの中心となったのは、同社製ハイエンドセキュリティ機器を使ったファイアウオール機能の限界パフォーマンス測定試験のデモである。

 デモでは、同社のハイエンド向けセキュリティアプライアンス「Check Point Power-1 11095」およびIPアプライアンス「IP2455」の2機種が備えるファイアウオール機能について、UDPのスループットやHTTP(TCP)の最大同時接続数、HTTPコネクションレートなどをそれぞれ測定した(写真2)。

 一般の企業ユーザーにとって普段なかなか見る機会がないという意味で特に興味深かったのは、ハイエンド機器でのHTTP最大同時接続数の測定だろう(写真3)。今回は100万規模のユーザーが一斉にWebアクセスをするという状況を想定して試験を実施した。

 Power-1 11095を挟んでループバックする形で負荷発生用機器(東陽テクニカが販売する米Spirent Communications製のストレステストアプライアンス「Avalanche 3100GT」)を接続。コネクションが1本も張られていない状態から毎秒1万~1万2000本のペースでTCPのコネクション数(HTTP1.1のセッション数に対応)を増やしていく。新規にコネクションが開けなくなったり既存のコネクションがリセットされたりしたら、処理能力が限界に達したと判定して測定を止める。

 測定試験の監督および解説を担当したチェック・ポイント香港のセキュリティコンサルタントLouis Cheung氏(写真4)は、同試験を「回転寿司」に例えて説明した。「回転寿司でベルトコンベアに次々と皿を乗せていくイメージになる。皿がTCPコネクション、ベルトの長さがファイアウオールが使えるメモリー量に相当する。ベルトが長いほどたくさん皿を乗せられる、すなわち使えるメモリー量が多いほど管理可能なコネクション数も増加するが、いつかは限界を迎える。皿を乗せられなくなった(=TCP接続ができなくなった)時点が同時接続数の限界となる」(Cheung氏)。

 試験は、TCPコネクション数にして約410万~420万、メモリー使用率が約94パーセントに達したところで時間の関係で打ち切られた。完全に使い切った場合、同時接続数はおそらく450万コネクション前後。カタログスペックと同等のパフォーマンスを実際に発揮できていることが確認された。なお、古いコネクションを強制切断してメモリー領域を空ける安全設定が可能なため、仮にメモリーを完全に使い切ってもファイアウオールがダウンする事態は避けられるという。