検索
特集/連載

SaaS時代のアプリケーションスイッチはこう選ぶ負荷分散だけじゃない、Web高速化装置の魅力【後編】

製品の登場から10年、アプリケーションスイッチの機能・性能はもはや成熟期にあり、単純に価格や性能だけで比較や選択はできない。それなら、「どう使いこなすか」で選択しよう。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 約10年前に登場したアプリケーションスイッチは、インターネットトラフィックの増大とともに、主にWebサーバトラフィックの高速化・最適化に大きく寄与してきた。前回「意外に長い? 10年の歴史に見るアプリケーションスイッチの効用」は、アプリケーションスイッチの基本である3つの要求(負荷分散と冗長化、サーバオフロード、パーシステンス)と、その実現方法について説明した。今回は応用編として、そのほかの拡張機能や利用例などを説明するとともに、製品・技術に関するトレンドを紹介する。また、それらを踏まえた上でアプリケーションスイッチ製品の正しい選択ポイントについて解説していく。

不正攻撃も守る アプリケーションスイッチの拡張機能

 アプリケーションスイッチは、ネットワーク上を流れるトラフィックからHTTPなどのアプリケーションの情報を取得し、制御することができる。この特徴を生かして、セキュリティやトラフィック制御・管理などの拡張機能を備える製品が多い。ここではその機能の幾つかを取り上げる。

セキュリティ機能の付加

 アプリケーションスイッチがWebサーバのフロントエンドに配置されることから、Webサーバ群を保護するために、ファイアウォールIDS/IPS(侵入検知/防御システム)機能を併せ持つことが多い。ファイアウォール機能では、パケットフィルタはもちろんステートフルインスペクション機能を持つ製品もあるなど、別途専用機を追加することなく、スイッチ配下のサーバ群を保護することができる。

 また、WebサーバがDoS(サービス妨害)攻撃の対象となることが多いため、これらを防ぐIDS/IPS機能を持つことがある。例えばSYNフラッド攻撃(※)に対しては、アプリケーションスイッチの基本機能でもあるディレイドバインディング技術(図1)により、SYNフラッドを除く正常な通信のみをサーバへ振り向けることで、Webサーバを保護することができる。またSYNフラッド攻撃を防ぐSYNクッキーを、サーバに成り代わって生成できる製品もある。

図1
図1●ディレイドバインディング技術(@IT「DoS攻撃防御製品の仕組みと特徴」より)

※注 ハンドシェイクが確立しないTCP接続を大量に試みることでサーバの機能を停止させようとするDoS攻撃の1つ。

 さらに、SQLインジェクションやクロスサイトスクリプティング(XSS)などから防御するためのWAF(Webアプリケーションファイアウォール)機能や、ワームやスパムメールを遮断する機能をアプリケーションスイッチに統合した製品が登場している。

トラフィック管理

 アプリケーションスイッチは、企業の基幹システムやインターネットサービスにおける重要なサーバとの通信を集約して制御する位置付けにある。このため、システムやサービスごとの可用性や信頼性を高めるため、トラフィック管理機能を持つことが多い。

 こうした機能を持つアプリケーションスイッチでは、サービスごとの重要度の違いや、同じサービスの場合にはPCやケータイといった端末の違い、登録/非登録などユーザーステータスの違いなどによって、提供するサーバやトラフィックの優先度を変えることができる(図2)。

図2
図2●トラフィック制御の例。同じURLあてのトラフィックでも、端末の種類によってサーバを切り替えたりトラフィックの優先度を変えることができる

 さらにはサービスごと、サーバごとのトラフィックの帯域を制御する機能を備えた製品もある。帯域制御といっても、単純なポート番号単位だけではなく、アプリケーションスイッチの特性を生かして、URL単位での帯域監視・制御などが可能なほか、サーバごとの使用帯域を基に負荷分散することもできる。

関連ホワイトペーパー

サーバ | 負荷分散 | WAN高速化 | SaaS


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る