A10ネットワークスは2014年9月3日、ハードウエアで実装したDDoS対策モジュール「Thunder SPE」を、IPv4/IPv6変換用のNAT装置「Thunder CGN」や負荷分散装置「Thunder ADC」などの同社のゲートウエイ製品に順次搭載していくと発表した(写真1)。まずはNAT装置の上位モデルとして、Thunder SPEを搭載した「Thunder 6435(S) CGN」(写真2)と「同5435(S) CGN」の2機種を9月下旬から出荷する。Thunder SPEを搭載した負荷分散装置は、2014年第4四半期中に提供する。
前提となるThunder SPE(Security and Policy Engine)とは、大量のアクセスでサーバーを応答不能にするDDoS攻撃をブロックするためのルールエンジンである。あらかじめDDoS攻撃を判定するためのルールを設定しておくことで、条件に合致したアクセスをDDoS攻撃であるとみなし、これをブロックする。こうして、DDoS攻撃ではない正常のアクセスだけをネットワークに転送する。DDoS攻撃を判定するためのルールは、手動で設定するか、外部のセキュリティ製品からAPI経由で設定する。
Thunder SPEは、DDoS攻撃対策機能を、ソフトウエアではなくハードウエアチップとして実装したものである。アプリケーション層の対策はソフトウエアに任せ、ネットワーク層の対策をハードウエアで高速に処理させるのが目的。具体的には、DNS/NTPリフレクション攻撃やICMPフラッドのような大量トラフィックによってネットワーク帯域を消費させる攻撃や、TCP SYNフラッドのような特定のサーバーリソースの枯渇を狙った攻撃からネットワークを守る。
同社は、用途に応じて3種類のゲートウエイ装置を販売している。負荷分散装置のThunder ADC、IP-v4とIPv6を変換するNAT装置のThunder CGN、DDoS対策装置の「Thunder TPS」である。ハードウエアエンジンのThunder SPEはまず、DDoS対策専用のThunder TPSに搭載されていた。今回、これをNAT装置や負荷分散装置にもアドオンし、1台でDDoS対策を兼ねられるようにした。
NAT装置でThunder SPEを搭載した新機種は、9月下旬から提供する。価格(税別)は、Thunder SPE搭載機では最安価となる「Thunder 5435 CGN」(スループット77Gビット/秒)のAC電源モデルの場合で2420万円から。もう一つのThunder SPE搭載機は「Thunder 6435 CGN」(スループット155Gビット/秒)で、この機種はThunder CGNの最上位機種となる。なお、製品名に「S」が付くモデル(Thunder 6435S CGNなど)はSSLアクセラレーターを内蔵する。
なお、DDoS対策ハードウエアをDDoS対策ゲートウエイ以外のゲートウエイに搭載していく一方で、DDoS対策ハードウエアを搭載しないDDoS対策ゲートウエイも新たに用意した。製品名は「Thunder 3030S TPS」で、5G~10Gビット/秒程度のインターネット接続を利用する小規模なネットワークに向けた安価な製品という位置付け。スループットは10Gビット/秒。TCP SYN認証は1秒当たり650万パケット。同機種の価格は、1300万円から。
