THUNDER TPS - A10ネットワークス

データシート
THUNDER TPS
次世代型DDoS防御
対応プラットフォーム
A10 Thunder™ TPS（Threat Protection System）製品ラインは、ハイパフォーマンスな防御機能に
よってネットワーク全体をDDoS攻撃から防御し、ボリューム攻撃や、プロトコル攻撃、リソース攻撃や
その他の高度なアプリケーション攻撃などに対してサービスの可用性を確保します。
Thunder TPSは、共有メモリーアーキテクチャーを活用して高いパフォーマンスを提供するA10のSSMP
Thunder TPS
物理アプライアンス
（Symmetric Scalable Multi-Core Processing)を採用したACOS®（Advanced Core Operating System）
プラットフォーム上で構成されています。このため、企業やサービスプロバイダー、Webサイトオペ
レーターは、ネットワークフローを追跡しながら、確実なDDoS防御を行うことができます。
概要
• マルチレベルのDDoS防御によるサービス可用性の確保: サービス可用性とインターネット接
aGalaxy
続性に対する組織の依存度はますます高くなっています。ダウンタイムは収益損失に直結します。
一元管理
Thunder TPSは、トラフィック全体の異常を検知するためトラフィックを詳細に可視化し、ボ
Thunder TPS製品ラインはハイパフォーマンスな
アプライアンスのファミリーです。多様なDDoS
攻撃をネットワークエッジで検出および防御で
きるため、ネットワークインフラストラクチャー
防御の第一線として使用できます。
リューム攻撃や、プロトコル攻撃、リソース攻撃やその他の高度なアプリケーション攻撃を含む
多様なクラスの攻撃を検出・防御して、サービス中断を回避できます。このシステムは、豊富なプ
ロトコルおよびアプリケーションの検査と幅広い認証方式を使用して、クライアント通信の有
効性やトラフィックがスクリプト化されたボットネットトラフィックであるかなどを検証すること
ができます。また、プログラム可能なポリシーエンジンを利用して、必要なときにカスタマイズさ
れたアクションを実行することも可能です。
• 拡大する攻撃の規模に対応する高いパフォーマンス: ネットワーク業界もビジネスアナリスト
もDDoS攻撃の増加を実感しています。攻撃は頻度と量が増えただけでなく、巧妙さも増してい
ます。10 Gbpsから155 Gbpsまで（リスト同期したクラスター構成では1.2 Tbpsまで）のDDoS攻
撃の緩和に対応しているThunder TPSは、2億2300万パケット/秒（pps）を実現し、最大規模
のDDoS防御にも効果的に対抗できます。一部のThunder TPSモデルは、ハードウェアアシスト
セキュリティ/ポリシーエンジン（SPE）を装備しており、高速にセキュリティポリシーを施行可能
です。また、FPGA（Field Programmable Gate Array）ハードウェアを活用して、50以上の一般
的なインフラストラクチャー攻撃ベクトルを即座に検知し、その影響を抑えます。さらにSSLプロ
セッサーにより、SSLベース攻撃を一層効率的に検知し、影響を緩和できます。より複雑なアプ
リケーションレイヤー（L7）に対する攻撃（HTTP、DNSなど）は、最新のIntel Xeon CPUによって
処理され、マルチベクトルの検知と防御処理が最適なシステムリソースに分散されるため、優れ
たパフォーマンスの拡張性を維持することができます。
• 柔軟なカスタマイズとネットワークへの統合: 多様なネットワークアーキテクチャーとの容易
な統合を実現するには、ベンダーに制限されない柔軟なDDoS防御ソリューションが必要です。
インバンドとアウトオブバンド、ルーティングとトランスペアレントに対応した柔軟な導入構成が
提供されるため、Thunder TPSではオープンなRESTful APIであるaXAPIを使用して、現在使用して
いる独自仕様、またはサードパーティ製の検出ソリューションとも統合できます。ログやネットワー
ク統計値などの情報は、一般的な基準を使用してシステム間で高速に共有可能です。プログラ
ム可能なポリシーエンジンが用意されているので、TCLベースのaFleX®スクリプティングテクノロ
ジーを使用して検知と防御を完全にカスタマイズしたり、正規表現（regex）とBerkeley Packet
Filter（BPF）パターンマッチングフィルターを使用したDPIを行うこともできます。
1
A10 Thunder TPSデバイスでは、最も効率的なハードウェアで重要なサービ
アウトオブバンド（TAP）モード
スが保護されるため、データセンターのリソースを生産的に利用できます。
コンパクトな筐体でハイパフォーマンスを実現するため電力消費、ラックス
ペースおよび冷却要件が大幅に抑制され、運用コストも削減できます。
インターネット
アーキテクチャーと主なコンポーネント
複製した
トラフィック
THUNDER TPS
アシンメトリックモード
インターネット
データセンター
しきい値を定義し、ホワイト/ブラックリストのマスターを
DDoSトラフィック
報
機能と利点
報
ー情
フロ
検知
検査
アクセス
ネットワーク
Thunder TPSシリーズ製品ラインでは、豊富な機能によってさまざまなDDoS
攻撃を検知および防御できるだけでなく、これまでにないパフォーマンスの
拡張性と導入の柔軟性が提供されます。また、ネットワークに入るトラフィッ
API による連携
アクセスネットワーク
クリーンな
トラフィック
フロ
ー情
エッジネットワーク
THUNDER TPS
Thunder TPSのインバンドユニットに同期して詳細にテレメトリー解析
クの検証、ブロック、レート制限を行うための幅広い機能を使用可能です。
マルチレベルのDDoS防御によるサービス可用性:
A10のThunder TPSシリーズでは、ネットワークが同時に複数の攻撃を受け
た場合でも、あらゆるレベルの攻撃を検知して防御できます。また、ネット
ワークに入るトラフィックの検証、ブロック、レート制限を行うための幅広
標的
い機能を使用可能です。
手動またはフロー分析システムで起動し、
大容量攻撃をオンデマンドまたは常時（またはプロアクティブに）防御
• 多様な攻撃からの完全な防御 : 単純なボリューム攻撃や、プロトコル
攻撃、リソース攻撃、アプリケーションレベルの攻撃など、あらゆるタ
イプのDDoS攻撃を検知、防御してサービスの可用性を確保します。
-- DNS AmpまたはNTP Ampなどの大容量攻撃は、標的のネットワーク
インラインモード
接続に大量のトラフィックを送り込んで飽和状態にし、サービスを中
インターネット
断させることを目的としています。Thunder TPSは、多様な認証技法
と、Amp攻撃やフラッド攻撃に対する防御機能を提供します。また、
なりすましされたトラフィックのフィルタリングや非常にきめ細かなマ
エッジ
ルーター
ルチプロトコルレート制限を適用することにより、ネットワークやサー
バーリソースを大量に消費する不正なトラフィックの突然のスパイクを
防止します。帯域幅またはパケットレートで定義された制限は、接続ご
とに適用可能です。
THUNDER TPS
-- SYNフラッド、Ping of DeathやIPアノマリーなどのプロトコルに対する
攻撃では、標的のプロトコルスタックを消費して、正規のトラフィックに
アクセス
ルーター
応答できなくすることを目的としています。Thunder TPSでは、ハード
ウェアで50種類以上のアノマリー攻撃を検知してその影響を緩和する
ため、システムCPUに影響が及ぶ前に攻撃を阻止できます。たとえば、
継続的かつ総合的な検知と防御に加え、
アプリケーションレベルの攻撃に対する防御で豊富なオプションを提供
SYN要求の正当性を検証する機能や、順序が正しくないセグメントの
管理、TCP/UDPポートのスキャンなどの多数の機能を利用できます。
-- Slowloris、HTTP GETフラッド、SSLベース攻撃などのアプリケーショ
ンに対する攻撃は、アプリケーションの機能の脆弱性を悪用したり、
アプリケーションを使用できない状態にすることを目的にしています。
2
プログラム可能なA10のaFleX機能を使用することで、Thunder TPSは
• ネットワークへの容易な統合: Thunder TPSはパフォーマンスの異な
受信するパケットに対してDPIを実行し、定義されたアクションによっ
る豊富なモデルに加え、ルーティングとトランスペアレント、インライ
てアプリケーションを防御することができます。たとえば、さまざまな
ンとアウトオブバンドに対応し、MPLS検査を含むルーティングおよび
DNSクエリータイプに制限を課すことや、HT TPヘッダーの多くの部
透過オペレーションモデルなど、柔軟な導入構成をサポートしている
分にセキュリティチェックを適用することが可能です。
ため、あらゆる規模のあらゆるネットワークアーキテクチャーに統合
できます。また、オープンなRESTful APIであるaXAPIを使用して、ネット
最大規模の攻撃に対抗できるパフォーマンスと拡張性:
ワーク検知ソリューションにも簡単に統合できます。さらに、オープン
ここ数年、DDoS攻撃の帯域幅（Gbps）と1秒あたりのパケット数（PPS）が
なログ管理基準であるCommon Event Format（CEF）により、クロス
急増しています。Thunder TPSでは、ハイパフォーマンスのFPGAハードウェア
プラットフォームサポートが強化されます。
と最新の最も強力なIntel Xeon CPUによってあらゆる規模の攻撃を防御す
ることができます。
• ハイパフォーマンスなプラットフォーム: 10 Gbpsから155 Gbps（リス
ト同期したクラスター構成では1.2 Tbps）のスループットにより、最大規
Thunder TPSの圧倒的な容量によって、1台のデバイスをインラインとアウト
オブバンドの両方の構成で導入できます。この導入構成では、Thunder TPS
で他のネットワークセグメントからのトラフィックを分析し、その情報をTPS
自身の設定に反映できます。
模のDDoS攻撃も効果的に防御できます。Thunder TPSの上位モデ
ルに搭載されたハイパフォーマンスなFPGAベースのFTAテクノロジー
により、CPUへ処理が移行する前にハードウェアで50種類以上の
製品概要
一般的な攻撃を検知、防御することができます。またSYNクッキーを
Thunder TPS製品ラインはハイパフォーマンスなアプライアンスファミリー
作成し、最大223 Mppsのレートでクライアント接続要求を検証可能
です。マルチベクトルDDoS攻撃をネットワークエッジで検出および防御できる
です。Security and Policy Engine（SPE）を搭載したハードウェアで
ため、ネットワークインフラストラクチャー防御の第一線として使用できます。
は、非常にきめ細かい（100ミリ秒間隔）トラフィックレート制限を適
用できます。SSLセキュリティプロセッサーは、最近のPOODLE脆弱性
を含むSSLベース攻撃の検知と防御に活用されます。さらに複雑なア
プリケーションレイヤー（L7）の攻撃（HTTP、DNSなど）は最新のIntel
Xeon CPUによって処理されるため、マルチベクトル攻撃に対してハイ
パフォーマンスなシステムの拡張性を維持できます。ネットワークイン
ターフェイスは、1Gb、10Gb、40Gbのポートが用意されています。
Thunder TPSハードウェアアプライアンス製品ラインはエントリーレベルの
10 Gbpsからハイパフォーマンスな155 Gbpsまで幅広いアプライアンスが用
意されているため、要件の厳しい大規模ネットワークも防御することができ
ます。高可用性を確保するため、すべてのモデルで冗長電源、SSD（ソリッド
ステートドライブ）を搭載しており、故障の原因になりやすい可動パーツを
すべて排除しています。上位モデルでは、Security and Policy Engine（SPE）に
よるハードウェアを使った高速化を実現しており、FPGAベースのFTAテクノ
• 大規模な脅威情報クラスリスト: 最大1600万のデータに対応した8つ
ロジーを使った、ハードウェアによるパケット処理最適化を行うことによっ
のリストを定義できます。動的に生成されるブラック/ホワイトリスト
て、拡張性に優れたフローディストリビューションとDDoS防御機能を提供し
エントリーに加え、IPレピュテーションデータベースのデータも活用で
ます。FPGAベースのFTAによって50種類以上の一般的な攻撃をハードウェ
きます。
アで検出できるため、より複雑なアプリケーションレイヤーの攻撃に使用す
• 複数の対象を同時に防御: 多くのユーザーとサービスが接続する
る汎用CPUのパフォーマンスに影響を与えません。
ネットワーク全体を防御するため、Thunder TPSシリーズでは同時に
スイッチング、ルーティングプロセッサーにより、ハイパフォーマンスなネッ
64,000のユーザー定義ホストまたはサブネットを監視できます。
トワーク処理が提供されます。すべてのアプライアンスでラックユニットあた
り業界最高のパフォーマンスが確保され、電源は最高レベルの「80 PLUS™
カスタマイズとネットワークとの幅広い統合に対応する柔軟性:
Platinum」認定を受けているため、環境にやさしく、電力コストも削減でき
ネットワーク管理者にとって、DDoS防御ソリューションを既存のネットワー
ます。高密度な１Gbポートと10Gbポート、そして40Gbポートが選択可能な
クアーキテクチャーに簡単に統合できることは重要です。これにより、差し
ため、ネットワーク帯域幅に対する厳しい要求にも対応できます。コンパクト
迫ったDDoSの脅威にも対応できます。
な１Uの筐体で提供されるThunder TPSアプライアンスは、クラスター構成
• プログラム可能なポリシーエンジン: 完全にプログラム可能な一元
的な構成/管理エンジンと、システムの状態および統計情報にアク
で最大8台まで接続することが可能となっており、効率的なリスト同期を行
いながら、より高い帯域にも対応することができます。
セス可能な機能により、高度なアプリケーションおよびセキュリティ
ポリシーを容易に施行できます。検知および防御機能は、aFleX TCL
ベースの言語を使用して非常に柔軟にカスタマイズできます。また、
ポリシーの高速パターンマッチングに対応する正規表現（regex）と
Berkeley Packet Filter（BPF）も利用できます。
3
アプライアンスの概要/仕様一覧
Thunder 3030S TPS
Thunder 4435(S) TPS
Thunder 5435(S) TPS
Thunder 6435(S) TPS
10 Gbps
38 Gbps
77 Gbps
155 Gbps
650 万
3,500 万
3,500 万
7,000 万
650 万
5,500 万
1 億 1,200 万
2 億 2,300 万
1Gカッパー
6
0
0
0
1Gファイバー(SFP)
2
0
0
0
1G/10Gファイバー（SFP+）
4
16
16
16
40Gファイバー（QSFP+）
0
0
4
4
スループット
*1
TCP SYN認証/秒（PPS）
*1
SYNクッキー/秒（PPS）
イーサネットインターフェイス
管理インターフェイス
○
○
○
○
Lights Out Management
○
○
○
○
コンソールポート
○
○
○
○
ソリッドステートドライブ
（SSD）
○
○
○
○
プロセッサー（Intel Xeon）
4-core
10-core
10-core
Dual 12-core
メモリー（ECC RAM）
16 GB
64 GB
64 GB
128 GB
64ビット分散アーキテクチャー
○
○
○
○
フレキシブルトラフィックASIC
ソフトウェア
1 x FTA-3+ FPGA
2 x FTA-3+ FPGA
4 x FTA-3+ FPGA
スイッチング/ルーティング
ソフトウェア
ハードウェア
ハードウェア
ハードウェア
ハードウェアアクセラレーション
SSLアクセラレーションASIC
*2
消費電力（通常/最大）^
発熱量（BTU/h）
（通常/最大）^
電源（DCオプションあり）
1
2
2
4
131W / 139W
350W / 420W
400W / 480W
620W / 710W
447 / 474
1,195 / 1,433
1,365 / 1,638
2,116 / 2,423
デュアル 600W RPS
デュアル 1100W RPS
80 PLUS「Platinum」の電力変換効率、AC100 ～ 240V、周波数 50 ～ 60Hz
ファン
ホットスワップスマートファン
44.45mm（高さ）、
444.5mm（幅）、
443.23mm（奥行）
外形寸法
ラックサイズ（標準19インチラック）
重量
44.45mm（高さ）、444.5mm（幅）、762mm（奥行）
1U
1U
1U
1U
9.12 kg
15.65 kg
16.1 kg
17.69kg
動作環境
温度 0 ～ 40℃ | 湿度 5 ～ 95%
‡
FCC Class A 、UL 、CE 、TUV 、CB 、VCCI‡、China CCC‡、BSMI‡、RCM (旧C-Tick)‡、KCC‡‡、GOST-R‡‡、
FAC‡‡、NEBS‡‡‡、RoHS | FIPS 140-2^^
規格準拠
‡
‡
‡
‡
1秒あたりのパケット数。パフォーマンスは導入構成と設定により異なります｜*2 SSLモデルのみ
ベースモデルの場合。SSLモデルの場合は異なります｜^^ 申請中。FIPSモデルの購入が必要
‡
Thunder 3030Sを除く
（申請中）| ‡‡ Thunder 3030Sは申請中 | ‡‡‡ Thunder 3030Sは除く
*1
^
Thunder 3030S
Thunder 4435(S) TPS
Thunder 5435(S) TPS
Thunder 6435(S) TPS
4
機能一覧 *
ハイパフォーマンスでスケーラブルなプラットフォーム
・ ACOSオペレーティングシステム
-- マルチコア、
マルチCPUのサポート
-- リニアなアプリケーションスケーリング
-- コントロールプレーンとデータプレーンが独立して動作
・ IPv6対応
ネットワーキング
・アシンメトリック、
シンメトリック、
アウトオブバンド
（TAP）モード
・透過（L2）、
ルーティング
（L3）
・ルーティング：スタティックルート、
BGP4+
・ VLAN（802.1Q）
・トランキング
（802.1AX）、
LACP
・アクセスコントロールリスト
（ACL）
・ネットワークアドレス変換（NAT）
・ MPLSトラフィック保護
管理機能
・
・
・
・
・
・
・
専用管理インターフェイス
（GUI、
コンソール、
SSH、
Telnet）
業界標準コマンドラインインターフェイス
（CLI）
SNMP、
Syslog、
電子メールアラート
ポートミラーリング
RESTスタイルXML API（aXAPI）
またはSDKキット
LDAP、
TACACS+、
RADIUSのサポート
設定可能なCPU配分
フラッド攻撃からの防御
・
・
・
・
・
・
・
・
・
・
SYNクッキー
SYN認証
ACK認証
なりすまし検知
SSL認証
DNS認証
HTTPチャレンジ
TCP/UDP/ICMPフラッド防御
アプリケーション
（DNS/HTTP）
フラッド防御
Amp攻撃からの防御
プロトコル攻撃からの防御
・無効なパケット
・ TCPフラグの異常な組み合わせ
（フラグなし、
SYN/FIN、
SYNフラグ、
LAND攻撃）
・ IPオプション
・パケットサイズの検証（Ping of Death）
・ POODLE攻撃
リソース攻撃からの防御
・
・
・
・
・
フラグメント
Slowloris
Slow GET/POST
長いフォームの送信
SSL再ネゴシエーション
アプリケーション攻撃からの防御
・
・
・
・
・
・
・
アプリケーションレイヤー（L7）
スクリプティング
（aFleX）
正規表現フィルター（TCP/UDP/HTTP）
HTTP要求レート制限
DNS要求レート制限
DNSクエリーチェック
HTTPプロトコルのコンプライアンス
HTTPアノマリー
防御対象
・
・
・
・
・
・
・
・
・
送信元/送信先IPアドレス/サブネット
送信元/送信先IPペア
送信先ポート
送信元ポート
プロトコル（HTTP、DNS、TCP、UDP、
ICMP、ICMP、
その他）
DNSクエリータイプ
URI
クラスリスト/地理的位置
パッシブモード
アクション
・ドロップ
・ TCPリセット
・動的認証
・ブラックリストへの追加
・ホワイトリストへの追加
・ログ作成
・同時接続の制限
・接続レートの制限
・トラフィックレート制限（pps/bps）
・他のデバイスへの転送
・ Remote Triggered Black Hole（RTBH）
テレメトリー
・
・
・
・
・
・
豊富なトラフィックおよびDDoS統計値カウンター
sFlow v5
netFlow（v9、IPFIX）
フローベースエクスポートのためのカスタムカウンターブロック
高速ロギング
CEFロギング
リダイレクション
・
・
・
・
BGPルートインジェクション
IPinIP（送信元と終端）
GREトンネル終端
NAT
検知
・しきい値の手動設定
・プロトコルアノマリー検知
・ IPinIPの調査
・ブラック/ホワイトリスト
・ IP/ポートスキャン検知
・トラフィックインジケーターとトップトーカー
・緩和コンソール（GUI）
・パケットデバッガーツール（GUI）
キャリアグレードのハードウェア
・
・
・
・
・
・
・
高度なハードウェアアーキテクチャー
冗長電源（ACまたはDC）
スマートファン
（ホットスワップ可能）
ソリッドステートドライブ
（SSD）およびコンパクトフラッシュ
1GEポート、1/10 GEポート、40 GEポート搭載
改ざん検知
Lights Out Management（LOM/IPMI）
* モデルにより機能が異なる場合があります。
5
A10 Networks/A10ネットワークス株式会社について
A10 Networks（NYSE: ATEN）はアプリケーションネットワーキング分野におけ
るリーダーとして、高性能なアプリケーションネットワーキングソリューション群
を提供しています。世界中で数千社にのぼる大企業やサービスプロバイダー、
大規模Webプロバイダーといったお客様のデータセンターに導入され、アプ
リケーションとネットワークを高速化し安全性を確保しています。
A10 Networksは2004年に設立されました。米国カリフォルニア州サンノゼに
本拠地を置き、世界各国の拠点からお客様をサポートしています。
A10ネットワークス株式会社はA10 Networksの日本子会社であり、お客様の
意見や要望を積極的に取り入れ、革新的なアプリケーションネットワーキング
ソリューションをご提供することを使命としています。
詳しくはホームページをご覧ください。
www.a10networks.co.jp
Facebook：http://www.facebook.com/A10networksjapan
A10ネットワークス株式会社
海外拠点
〒105-0001
東京都港区虎ノ門 4-3-20
神谷町MTビル 16階
TEL : 03-5777-1995
FAX: 03-5777-1997
[email protected]
www.a10networks.co.jp
北米（A10 Networks本社）
香港
ヨーロッパ
台湾
南米
韓国
中国
南アジア
[email protected]
[email protected]
[email protected]
[email protected]
Part Number: A10-DS-15101-JA-06
Apr 2015
[email protected]
[email protected]
[email protected]
[email protected]
オーストラリア/ニュージーランド
[email protected]
©2015 A10 Networks, Inc. All rights reserved. A10 Networks、A10ロゴ、A10 Lightning、A10 Thunder、aCloud、ACOS、ACOS Policy Engine、ACOS Synergy、
Affinity、
aFleX、
aFlow、
aGalaxy、
aVCS、
AX、
aXAPI、
IDaccess、
IDsentrie、
IP-to-ID、
SoftAX、
SSL Insight、
Thunder、
Thunder TPS、
UASG、
VirtualN、
Virtual Chassisおよび
vThunderは米国およびその他各国におけるA10 Networks, Inc. の商標または登録商標です。
その他上記の全ての商品およびサービスの名称はそれら各社の商標です。
その他の商標はそれぞれの所有者の資産です。A10 Networksは本書の誤りに関して責任を負いません。A10 Networksは、予告なく本書を変更、修正、譲渡、および
改訂する権利を留保します。製品の仕様や機能は、変更する場合がございますので、
ご注意ください。
お客様のビジネスを強化するA10のアプリケーション
サービスゲートウェイ、Thunderの詳細は、A10ネット
ワークスのWebサイトwww.a10networks.co.jpをご覧
になるか、A10の営業担当者にご連絡ください。