マカフィーは2014年4月14日、次世代ファイアウォールの新製品「McAfee Next Generation Firewall」(写真1)を発表した。5月1日から提供する。新製品では、断片化されたマルウエアを再構成して検知する機能を搭載したほか、次世代ファイアウォールとして使った場合の性能を既存製品よりも高めた。なお、McAfee Next Generation Firewallは、米McAfeeが買収したフィンランドのStonesoft製品である。
McAfee Next Generation Firewallは、古典的なアクセス制御(IPアドレス/ポート番号による制御)だけでなく、使用中のアプリケーションの種類やアプリケーションの使用者までを調べてアクセス制御に利用する。提供形態は、ソフトウエア、ハードウエアアプライアンス、仮想アプライアンスのいずれか。
特徴の一つめは、同社の既存製品や一般的な次世代ファイアウォール製品が備えない新たな機能を備えることであるという(写真2)。例えば、攻撃者がマルウエアを断片化して送る手法で、ファイアウォールによる検知を回避する「AET」(Advenced Evasion Techniques)への対策を施した。AET対策機能により、画像ファイルなどに分散して埋め込まれたマルウエアの断片を再構成して検知できるようになった。
特徴の二つめは、次世代ファイアウォールとしての使い方をした際に、同社の既存のファイアウォール製品よりも高速に動作すること。既存製品はプロキシー(アプリケーションゲートウエイ)型のファイアウォール製品であり、次世代ファイアウォールの機能をアドオンして使う場合、性能が遅くなってしまっていた。これに対して新製品は最初から次世代ファイアウォールとして設計してあり、既存製品よりも性能が高い。
価格(税別)は、最小構成で72万円から(ハードウエアアプライアンスおよびソフトウエアの場合)。ハードウエアアプライアンスは、最小モデル「NGFW-1035」(ファイアウォールスルプット10Gビット/秒、HTTP検知がペイロードサイズ21Kバイト時に400Mビット/秒)から最大モデル「NGFW-5206」(ファイアウォールスルプット120Gビット/秒、HTTP検知がペイロードサイズ21Kバイト時に10Gビット/秒)まで全6モデルで構成する。
