侵入防止システム (IPS) ソリューション

現在の急速に増加しているセキュリティに対する脅威は、殆どのファイアウォールやその他の検出ソリューションから検知できないようになっている新しいアプリケーションが増えていることです。インスタントメッセージやP2P、Skype、Webメールなどのアプリケーションは全てそれらの検知を回避する技術を使っています。検出を回避するアプリケーションは、動的にポート番号を換えたり、空いている他のポートを再利用したり、他のアプリケーションを偽装したり、SSLの内部をトンネリングしたりすることで検知されず、結果として検査することが不可能なのです。

現在の侵入防止システム（IPS）はFTPやPOP3といった従来からあるプロトコルに存在する脅威に対しては有効かもしれませんが、それらの回避的な技術を使う新アプリケーションに対しては役に立ちません。これは殆どのIPSがポートやプロトコルという単位でトラフィックの選別を行っているという事実があるためで、それゆえ脅威を内在したアプリケーションには対応できないのです。

次にIPSが抱えている問題は性能です。アプリケーションの中に潜む脆弱性を探索するためにはより深くアプリケーションのトラフィックを見て、脅威を発見し、取り除く必要があります。このプロセスは非常に計算リソースを使いますので、通常は低いスループット、大きな遅延などが発生します。

パロアルトネットワークスの次世代ファイアウォール

パロアルトネットワークスの次世代ファイアウォールはこれらの問題に2つの段階で解決策を提供します。最初にアプリケーションのトラフィックを識別し、コントロールします。それから専用ハードウェアによって高速処理されるシングルパスアーキテクチャによってアプリケーションの脆弱性などを検査します。この2つの段階によって性能を落とすことなく識別と検査を処理します。

IPSソリューションに関するより詳しい情報はこちらを参照してください。
http://www.paloaltonetworks.com/literature/datasheets/Threat_Prevention_ds.pdf(英語版)