SSL VPN製品の徹底比較、主要な3製品の比較ポイ … VPN製品の徹底比較、主要な3製品の比較ポイントを解説 F5 BIG-IP APM vs Cisco ASA vs Juniper MAG©

SSL VPN製品の徹底比較、主要な3製品の比較ポイントを解説 F5 BIG-IP APM vs Cisco ASA vs Juniper MAG

© F5 Networks, Inc 2

• 総合評価

• 機能比較表（〇と×）

• 差別化となる機能の解説

• 価格比較

Agenda


SSL VPNマーケットビジネス状況 F5 BIG-IP APM /Cisco ASA/Juniper MAG

F5社 BIG-IP APM

Cisco 社 ASA

Juniper 社 MAG

ポジショニング

SSL VPN分野で、長期間リーダーポジ

ション。高いコストパフォーマンス、圧倒

的な機能性が売り。今後のマーケットを見据えた継続的な製

品開発にも投資を強化しており、より強

いポジションを獲得する可能性が高い。

SSL VPN分野だと、3番手のポジション。

しかし、直近 2年程だとiOSへIPSecクライアントが標準搭載されている事に

より導入実績は上がってきてる。

長期間、SSL VPN分野ではF5社と

Juniper社はリーダー的なポジションであ

るが、今後は衰退する。 2014年7月、Pulse(MAG)部門をSirius社に売却を発表。今後の製品開発は

望めない。新規OSなどの対応が困難

に。

特徴/トレンドなど

大規模なればなるほど極めて高いコスト

パフォーマンスを発揮。小規模(10同時

接続)だと、低コストとは言えない。 EPセキュリティ、スマートデバイスアクセ

スでのユーザビリティ向上の機能、 VDI環境へのアクセス機能、 DMZに配置するGW機能統合は 3社の中で圧倒的に豊富であり、今後の

マルチデバイス化、仮想化環境に最適

な製品。

Cisco社が製品開発やサポートに投資

しているとは言えない状況。価格は、基本的に全域で低価格と言え

る。機能性では、セキュリティ、ユーザビリ

ティ強化やVDI環境への対応に劣る。 F5とJuniperと比較すると、セキュリティ

要件の高くない小規模な環境向きに導

入される傾向あり。

モバイルでバイスへの対応、VDIへの対

応など機能開発の遅れが目立つ。今後のトレンドを考慮するとあまり魅力

的な製品でない。だだし、国内実績が豊富で、システムイ

ンテグレータの経験が高い事が強み。


総合評価 F5 BIG-IP APM/Cisco ASA/Juniper MAG

総合的な各社製品の評価と状況

製品シリーズ F5社 BIG-IP APM

Cisco 社 ASA

Juniper 社 MAG

コメントカテゴリ説明

1 SSL VPN基本機能基本的なリモートアクセス

サーバ機能の保持 92 82 68 3社とも基本機能は保持しているが、VDIやActiveSyncなど、最新のトレンド対応やきめ細

かい点でF5 BIG-IP APMは優位。

2 セキュリティ強化機能

アクセスセキュリティを強化

できるか 92 59 41 F5は認証強化やクライアントのコンテキストを

ベースとしたコントロールが圧倒的に優位性が

高い。

3 ユーザビリティ機能ユーザが手間無く快適にア

クセスできるか 91 59 41 シングルサインオンやモバイル環境での自動接

続、Windows 8.1 OS対応などF5は、ユーザに

負荷をかけさせない点で圧倒的に優位

4 統合プラットフォームプラットファームとして、

DMZに必要とされるGW機

能を統合できるか 86 61 0

F5は、マルチテナントや仮想アプライアンスな

ど最新の要件に対応し、かつDMZに配置され

るGW機能を多く搭載しているので、デバイスを

集約しコストを削減しながら機能統合を実現。

5 コストコストパフォーマンスに優れ

るか 90 90 70 F5は大規模になればなるほどコストパフォーマ

ンスが高くなる。

総合ポイント 451 351 220 総合ポイント(%) 90.2 70.2 44.0


1.機能比較 – SSL VPNサーバ基本機能 No 機能 F5 BIG-IP APM Cisco ASA Juniper MAG コメント 1 VPNトンネル ○ ○ ○ 2 VPNトンネルのスプリット ○ ○ ○ 3 リバースプロキシ ○ ○ ○ 4 アプリケーション単位のトンネル ○ ○ ○ 5 リソースアクセスコントロール ○ ○ ○ 6 SAML認証 ○(Idp,SP) ○(?) ○(Idp,SP) Cisco ASA Idp/SPの双方サポートは？ 7 ユーザ単位のライセンスコントロール ○ ○ ×(恐らく） Juniper MAGは、特定のユーザがライセンスを大量に消費してしまうリスクがある。 8 ローカルDB認証 ○ ○ ○ 9 外部認証DB連携 ○ ○ ○

10 VDIアクセスプロキシ ○ × × VDIプロトコルをGWでプロキシすることで、VPNクライアントを配布する負荷を無くす。

Citrix ICA, VMware PCoIP BIG-IP APMはCitrix ICAとVMware PCoIPをプロキシ機能あり。将来、VMViewのHTML5サポート予定なのでVDIクライアントの配布も必要なくなり、完全なクライアントレスを実現。マルチでバイス環境からのアクセスの場合特に有効。

11 マイクロソフトActiveSync ○ △ △ BIG-IP APMは、iRulesまたはVPEマクロによるアカウントロック回避、ログの出力が可能。マルチでバイス環境で発生する運用負荷の軽減とコスト削減を実現。製造業で事例があるので参照の事。

12 複雑な要件に対応する機能開発 ○ × × BIG-IP APMは機能要件に応じてiRules等で新規機能を開発可能。 iRule, iControl, iApps

13 IPv6対応 ○ ○ △ BIG-IP APMは、VPNトンネルExternal側/Internal側のアドレスがIPv6でもIPv4でも対応可能。

External Interface Only 14 管理者画面の日本語化 × × × 15 管理権限のコントロール △ ○ Unknown Cisco ASAは、FW/VPNなどの管理者を個別に設定可能。

16 統計レポートGUI ○ ○ ○

AVR ASDM 17 統計レポートのファイルエクスポート ○ ○ × Juniper MAG はマニュアルでレポーティング負荷が高い。 18 3rd Party ログ連携 ○ ○ ○ 19 統合管理ツール ○ ○ ○

BIG-IQ, Enterprise Manager ASDM NSM

合計ポイント 17.5/19 15.5/19 13/19 パーセンテージ 92 82 68


2.機能比較 –セキュリティ強化機能 No 機能 F5 BIG-IP APM Cisco ASA Juniper MAG コメント

1 エンドポイントセキュリティ（標準） ○ ○ ○

2 エンドポイントセキュリティの管理 ○(VPE) × × BIG-IP APMはグラフィカルにセキュリティチェックができるので、チェック漏れや確認がし易い。

3 ユーザIDと端末IDの双方の同時特定 ○ × × BIG-IP APMは、User AはDevice Aを使ってアクセスするなど、普通のデバイス特定よりも強固なセキュリティチェックが可能。

4 ログオン後のエンドポイントセキュリティ ○ × △ ユーザログオン後の継続的なEPセキュリティチェックにより、ユーザの不正操作を検知できる。Juniperはパフォーマンス劣化が激しく使われていない。

パフォーマンスに問題

5 FIPS対応(秘密鍵の厳重管理機能) ○ ○ × JuniperはFIPSがないので、セキュリティ要件が高い場合に導入障壁がある。特に、金融/政府/医療系システム。

6 クライアント証明書発行 × △ × CAサーバ機能。Cisco ASAのみが実装されているが、あまり使われていない。

冗長化構成が組めない制限あり CA機能をオンにすると冗長構成時に秘密鍵の同期に問題があり、サポートされていない。

7 ワンタイムパスワード認証強化 ○ × × BIG-IP APMは、ワンタイムパスワードを生成しメール送信機能を持ち、単体で2要素認証ができる。Juniper MAG/Cisco ASAは、別途3rdParty製品の購入が必要でコストが非常に高い。

8 CAPTCHA ○ × × 認証時に画像を表示する事により、人とプログラムを識別し認証強化。 BIG-IP APMは、プログラムによるブルートフォース攻撃対策ができる。

9 IPレピュテーション ○ ○ × 不正なIPからのアクセスを検知。Juniper MAGは不正なIP(Botnetや不正プロキシ)からのアクセスをブロックできない。

10 ジオロケーション ○ × × クライアントの場所をベースとしたコントロールが可能。BIG-IP APMであれば、特定地域のみにサービスを制限する、日本以外からのアクセスは2要素認証が必要とするなどのコントロールが可能。

11 常にVPN接続を強制し、切断を許可しない ○(Winのみ) △(Winのみ) × ユーザにVPN切断をさせない事で、セキュリティとユーザビリティを強化。B2B代

理店ネットワークなど接続を強制させたい場合は有効。Juniperは機能無し。

ユーザは切断できないユーザは切断可能 Ciscoはユーザが切断できるので有効でない。BIG-IP APMはスプリットトンネルを禁止すれば、全てのトラフィック BIG-IP APM GW経由にできるので、ユーザがインターネット直接接続を禁止できる。

12 MDAM ○（予定） × × F5は将来、MDAM製品をリリース予定。モバイル端末からGWまでの MAM アクセス管理を統合的にコントロール合計ポイント 11/12 4/12 1.5/12 パーセンテージ 92 33 13


3.機能比較 – ユーザビリティ関連機能 No 機能 F5 BIG-IP APM Cisco ASA Juniper MAG コメント

1 クライアントレス(Web ブラウザ) ○ ○ ○

2 専用VPNクライアントソフト ○ Edge Client

○ Cisco AnyConnect

○ Junos Pulse

3 VPNウインドウをタスクトレイに細小化 ○ ○ ×(恐らく) Juniperは、VPN接続しウインドウを最小化できないので、ユーザが誤って切断するケースが

発生。

4 VPNトンネルの自動再接続 ○ × × BIG-IP APMは、ネットワークの切断後復旧した場合に自動接続してくれる。モバイルデバイス環境で特に有効。(例)地下鉄に入り、ネットワークが一時的に切断の場合。Cisco ASA, Juniper MAGはユーザが毎回接続し直す手間が掛かる。

5 専用VPNクライアントの自動起動 ○ △ × ユーザログオン後、クライアントアプリを自動起動してVPN接続を確立。 Windows, MAC Windows のみ BIG-IP APMだと、MAC端末まで対応可能。Cisco ASAはMAC非対応。

6 VPN接続後のアプリケーション自動起動 ○ × △ VPNトンネル接続後のアプリケーションの自動起動によりユーザの手間を軽減。

Windows, iOS, MAC, Linux Windows のみ BIG-IP APMは、MACでもiOSでも実現可能。トンネルと接続、iOSのSafariを起動、ポータルにアクセス、SSOでログオン。使いたいアプリをすぐにつかる状態にできる。

7 対応クライアントOS ○ Windows, Linux, MAC OS

○ Windows, Linux, MAC OS

○ Windows, Linux, MAC OS

Apple iOS, Google Android Apple iOS, Google Android Apple iOS, Google Android

Windows Mobile Windows Mobile Windows Mobile

8 最新Windows 8.1,RT 8.1対応 ○ × ○

2014年4月9日、Win XPサポート終了。移行先としてWIn8.1は有力候補。 http://itpro.nikkeibp.co.jp/article/COLUMN/20131209/523490/?ST=win&P=1 BIG-IP APMは、標準でWindows 8.1にVPNクライアントを搭載済み。クライアントソフトウェアを配布するコストを削減。Cisco ASAはサポート外。

9 IPSEC-VPN(クライアント) × ○(iOS) × Cisco ASAは、iOSに標準搭載されるIPSecクライアントソフトが利用可能。クライアントソフトゥエアの配布するコストを削減。

10 トンネル内のシングルサインオン ○ × × BIG-IP APMは、VPNトンネル接続後のWebアクセスに対するSSOを実現。認証回数を減らしユーザビリティを強化。

11 DTLSによるパフォーマンス強化 ○ ○ × UDPベースのSSL VPNトンネル。アプリケーションがVoIP/VIDEOなど、リアルタイム性を求めるアプリに有効。Juniper MAGはユーザエクスペリエンスの低下リスクあり。

合計ポイント 10/11 6.5/11 4.5/11 パーセンテージ 91 59 41

http://itpro.nikkeibp.co.jp/article/COLUMN/20131209/523490/?ST=win&P=1


4.機能比較 – 統合型プラットフォーム No 機能 F5 BIG-IP APM Cisco ASA Juniper MAG コメント

1 仮想アプライアンスの提供 ○

(VMware/KVM/Citrix/ MS/AWS)

△ VMware

△ VMware, KVM(予定) F5 BIG-IP APMは、ほとんど全てのハイパーバイザーをサポート。

2 マルチテナント ○ (ルートドメイン)

× (マルチコンテキストはVPNモー

ドで使用不可)

× （MAGではIVS非サポート）

複数顧客を一台のデバイスで収容。サービスプロバイダーサービスとして特に有効でコスト削減効果大。ソフトバンクホワイトクラウドなど多数の実績あり。

3 マルチテナントのエンハンス（サーバ証明書） ○ × × 一つのサーバ証明書で、複数のサービス用IPをまとめて収容。サーバ証明書のコスト削減

や管理負荷の軽減を実現。

4 独立OSインスタンス ○ vCMP × ×

MAGではIVS使用不可 BIG-IP APMは完全に独立したOSインスタスとして動作可能。耐障害性が高い。

5 IPSec GW(拠点間) ○ ○ × DMZに必要な機能を統合しコストを削減。Juniperは、別途 IPSec GWが必要。 6 ロードバランサ ○ × × DMZに必要な機能を統合しコストを削減。ロードバランサ機能はF5のみ。

7 ファイアウォール ○ (AFM) ○ × DMZに必要な機能を統合しコストを削減。Juniperは、別途 FWが必要

8 DDoS ○ (AFM/GTM) ○ × DMZに必要な機能を統合しコストを削減。Juniperは、別途 DDoS対策製品が必要

9 Webアプリケーションファイアウォール

○ (ASM) × × DMZに必要な機能を統合しコストを削減。WAF機能はF5のみ。

10 DNS DDoS ○ (AFM/GTM) ○ × DMZに必要な機能を統合しコストを削減。Juniperは、別途 DNSセキュリティが必要

11 IPS/IDP × ○ (CSC-SSM) × DMZに必要な機能を統合しコストを削減。Cisco ASAはモジュール追加で対応可能。

12 アンチウィルス △ (ICAP連携)

○ (CSC-SSM) × DMZに必要な機能を統合しコストを削減。Cisco ASAは、モジュール追加で

アンチウイルスGW機能を追加可能。

13 アンチマルウェア △ (Versafe ：将来)

○ (CSC-SSM) × DMZに必要な機能を統合しコストを削減。Cisco ASAは、モジュール追加で

アンチマルウェア機能を追加可能。

14 Webコンテンツフィルタリング ○ (v11.5 -)

○ (CSC-SSM) × DMZに必要な機能を統合しコストを削減。Juniperは、別途 URLフィルタリングが必要

合計ポイント 12/14 8.5/14 0.5/14 パーセンテージ 86 61 0

APMの各機能の詳細


ユーザ単位のライセンスコントロール

Access Profile内：

例：ユーザ単位に2セッションまで。


AAA server

RDP

View

XenDesktop Virtual desktops

VDI VDI VDI VDI

Hypervisor

Virtual desktops

VDI VDI VDI VDI

Hypervisor

Virtual desktops

VDI VDI VDI VDI

Hypervisor

VMware View, Citrix XenApp/XenDesktop, Microsoft RDPを提供: • ハイパフォーマンスデバイスによるスケール • シンプルなユーザオペレーション + SSO • シンプルなインフラ構築

VDI VDI VDI

VDIアクセスのシンプル化


VDIなど、利用者ポータルイメージ

• 利用者用ポータルを提供しアプリケーションアクセスの集中管理 • Citrix XenApp/XenDesktop, VMware View, Microsoft RDPを同時提供 • SSL-VPNを同時提供 • 利用者の属性に合わせたメニュー


Operational Complexities of Citrix Cloud Gateway


• 例： • MS Exchangeを利用。

• オフィスではWindows利用。

• 社外からはAndroid/iOSを使ってActiveSyncアクセスを行っている。

• あるとき、Windowsのパスワードが期限切れとなったので、Windowsでパスワードを更新した。

• しかし、Android/iOSではパスワードを固定で設定しているため、古いパスワードでMS Exchangeへ自動的にアクセスし続ける。

• このことが原因で、ADの設定によっては、

ある一定回数でロックアウトしてしまい、ロック解除はIT部門に依頼するまで、ロックアウトされたままとなる。

• これを回避したい場合、Android/iOSからの認証については、ADでのロックアウトを迎える前にAPMでロックアウトしてしまうことで回避できる。

マイクロソフトActiveSync

ADユーザの認証失敗回数をカウントして、指定回数でロックアウトマクロ


• グラフィカルなセキュリティポリシーの設定が可能。

• チェック漏れや確認がし易い。

エンドポイントセキュリティの管理：VPE ～ Virtual Policy Editor ～


• expr { [mcget {session.ad.last.attr.description}] contains [mcget {session.machine_info.last.motherboard.sn}] } • セッション変数：「session.ad.last.attr.description」の値(＝Active Directoryの「説明」フィールド値：マザーボードのシリアル番

号が入力されている)をmcgetで取得。

• また、「session.machine_info.last.motherboard.sn」の値(＝クライアントPCのマザーボードシリアル番号)もmcgetで取得。

• この例では、「session.ad.last.attr.description」の値が「session.machine_info.last.motherboard.sn」の値を含んでいるかどうかをチェックし、含んでいる(≒同じである)場合には次のボックスに進む、という設定。

ユーザIDと端末IDの双方の同時特定


• The following endpoint checks can be run continuously

• Simply select the endpoint check and enable

Recurring Endpoint Checks


• 一般的なWebアプリケーションでのSSL • 秘密鍵をファイルに保管し、その秘密鍵をメモリに展開して利用 • OSによる管理

• 問題点 • OS、ミドルウェア、アプリケーションのどこかにセキュリティーホール、設定ミスがあり、鍵を抜き取られる可能性

• メモリーダンプを取られて、鍵を盗まれる • サイドチャネルアタック

• 機器が暗号処理する際に生じる消費電力や電磁波，処理時間といった「サイドチャネル情報」を解析することで，暗号鍵などの秘密情報を割り出す

• FIPS対応していないBIG-IPの場合、privilegeユーザでアクセスすれば、SSLのPrivate Keyを平文のまま見ることができてしまう。

FIPS対応関連：秘密鍵（Private Key）管理の問題点


• HSMはハードウェア内部に秘密鍵を保管して、アクセス制御を行う • 物理的に取り出そうとすると、物理侵入痕跡を残す、など

• 外部からHSMにデータを送り込み、HSMに暗号演算処理を行わせる • 秘密鍵を外に出さずに、暗号処理を行う

• ～v11.1 • BIG-IP 6900, 8900, 11000, 11050には、FIPS認定HSMのFactory Installオプションがある

(FIPS140-2 level 2 Support) ＝筐体内で秘密鍵を厳重に管理(平文で見ることはできない)

• v11.2～ • Network HSM をサポート • 現時点ではThales nShield™ HSMのみ対応 • これにより、全てのプロダクトで、FIPS認定HSMが可能となる • RFS(リモートファイルシステム)によるFIPS Keyの集中管理が可能

＝各BIG-IPへのFIPS Keyの配布が容易になる

FIPS対応関連：HSMによる対策～Hardware Security Module～


ワンタイムパスワード (OTP) による認証強化

ユーザ名を入力すると画面が遷移し、ユーザIDのメールアドレスにメールが届く

OTPを入力すると、パスワードを入力する画面が表示され、ここでパスワードを入力するとログイン可能となる


• IPレピュテーションDBをチェックし、Botnets, Proxy, Scannersなど、不正なIPからの送信かどうかをチェック。

IPレピュテーション

不正なIPはBADブランチへ


• 送信元IPアドレスから、地域を特定。

IPジオロケーション


CAPTCHA

指定回数ログインに失敗すると、CAPTCHA入力を行うことにより、Brute Force攻撃への対策を行うことが可能


• クライアントは常にSSL-VPN接続しなければならないモード。

• Edge ClientソフトウェアをBIG-IP APMからダウンロードする際に、左の赤囲み部分のチェックを入れるだけ。

• 例えば、社外に持ち出したPCでのインターネットからのアクセスであっても、必ず社内設置のFirewallを経由してからインターネットに接続させたい、という場合に有効。

常にVPN接続を強制＆切断を許可しない～Always Connect～


• 電波の悪い場所を経由した際に一時的に切断されても、Edge Clientが自動的に再接続を実施。

• 冗長化の切替り発生時にも、Edge Clientが自動的に再接続。

専用VPNクライアント：Edge Client

例：Windowsログオンと同時にVPN接続

VPNウィンドウをタスクトレイに細小化


• Network Access設定のLaunch Applicationsにクライアント上のアプリケーションパスとパラメータを指定しておく。

• このことで、SSL-VPN接続完了後にそのアプリケーションが起動する。

VPN接続後のアプリケーション自動起動


クライアント

BIG-IP APM

APMバーチャル CCバーチャル

内部ローカルトラフィックバーチャル -クレデンシャルキャッシング（CC）プロキシ複数バックエンドログイン - ACLの実施 - 同一のBIG-IP上にある場合

CCバーチャル

example.com

Socialmedia.example.com

• シングルサインオン（SSO）のためのクレデンシャルキャッシングによる、アプリケーションへの迅速なアクセス

クレデンシャル・キャッシング（CC） BIG-IP配下にあるアプリへのシングルサインオン

Support.example.com

クレデンシャルキャッシング


VMware ViewへのSSO

Step 1 ローカルPCに

ログイン

Step 2 VPN にログイン

Step 3 仮想デスクトップ

(VMware View)にログイン

シングルサインオン一度だけLogin

• 社内と同様にスムーズなログインを提供

BIG-IP APM


TCP

UDP

DTLSによるパフォーマンス強化

• DTLS • 従来のTCPベースのHTTPS上にPPPフレームを通すSSLトンネルの方法では、 VoIPなどのUDPベースのアプリケーションの利用において、パケットロス時にTCPの再送が発生するなど相性が悪かった。

• そこでUDPベースのDTLSに対応することで、SSLVPNトンネル上でのUDPを利用できるため、VoIPやPCoIP(VMware view)などのアプリケーションも快適に使用。

DTLS


• 対応ハイパーバイザー • VMware ESX/i • Citrix Xen Server • Linux KVM • Microsoft Hyper-V • Amazon

仮想アプライアンスの提供 Source： http://support.f5.com/content/kb/en-us/products/big-ip_ltm/manuals/product/ve-supported-hypervisor-matrix-1-3-0/_jcr_content/pdfAttach/download/file.res/ve-supported-hypervisor-matrix-1-3-0.pdf

TSO: TCP Segmentation Offload

例えばESXi5.5に対応しているのは、Lab版と商用版(L,P)がある。商用版(P)は25Mbps～10Gbpsまで対応。 SR-IOVおよびTSOにも対応。

例：VMware


• 複数のグループを、1つのBIG-IP上にコンフリクトすることなく、統合

• ルートドメインはゲートウェイを独立させることも、共有することも可能

• 重複したIPアドレスもサポート：10.0.0.1を複数のRDが持っていても問題なし

• IPv6にも対応 (v11.1～)

マルチテナント：ルートドメイン

2つのRD, それぞれがユニークなGWを持つ形態

2つのRD, 共有のゲートウェイを持つ形態


マルチテナントのエンハンス (共有サーバ証明書の利用)

多段Virtual Server構成にすることで複数のテナント・グループへのリモートアクセス環境を 1つのグローバルIP、1つのWildCard SSL証明書で提供、年間コストを劇的に削減できる

BIG-IP Edge Gateway

クライアント

A社Network

VS

VS

VS B社Network

C社Network

VS

①ブラウザで*.sslvpn.netに接続すると親Virtual Serverに到達 ②親Virtual ServerのiRulesで、①でアクセスしてきたホスト名を判別しそれぞれの子Virtual Serverに振り分ける ③それぞれの子Virtual Serverで設定されているAccess Policyに沿ってセキュリティ用件のチェック、認証を実行。このときにドメイン%0の共通認証サーバを利用可能。 ④アクセスが許可されるとそれぞれのネットワークに接続

①

② ③

④

A社: https://a.sslvpn.net/ B社: https://b.sslvpn.net/ C社: https://c.sslvpn.net/ ※ a.sslvpn.netもb.sslvpn.netもc.sslvpn.netも同一の親Virtual Serverを指すようにDNSが設定されている必要がある。 ※ SSLサーバ証明書はワイルドカードドメイン証明書で *.sslvpn.net で有効となるものを親Virtual Serverに設定する ※ SSL終端は親VSが行うためクライアント証明書認証はそのままでは利用できない。子VSにクライアント証明書の情報をCookieか何か経由で渡す仕組み(iRules)を用意する必要がある。

親Virtual Server (Global IP)

AP

子Virtual Server (Internal IP)

AP

AP


ブレード上でCPUコアやメモリを増加させるなど柔軟に拡張が可能

• より多くの製品モジュールをサポート (3モジュール) • ブレードごとにより多くのフローを処理 • 注：ゲストにコアを追加で割り当てる際は再起動が必要

単一スロットのユーザのみが特定のブレードにサイン可能

非シーケンシャルなブレードをまたいで利用可能で、より最適なシステムレベルでのロードバランシングが可能

独立OSインスタンス： F5 VCMP 柔軟なリソース・アロケーション

価格比較


5.価格比較

25ユーザまでパーツ番号 List Price (JPY) Base Conc User 備考

MAG2600-10U 730,000 同時アクセス10ユーザ

MAG2600-25U 1,150,000 同時アクセス25ユーザ

MAG4610-10U 1,980,000 同時アクセス10ユーザ

MAG4610-25U 2,360,000 同時アクセス25ユーザ

F5-BIG-APM-2000S-25 1,190,000 同時アクセス25ユーザ最大同時アクセス500ユーザ


MAG2600-50U 1,820,000 同時アクセス50ユーザ

MAG2600-100U 3,050,000 同時アクセス100ユーザ

MAG4610-50U 3,020,000 同時アクセス50ユーザ

MAG4610-100U 4,190,000 同時アクセス100ユーザ

F5-BIG-APM-2000S-B 2,040,000 同時アクセス100ユーザ最大同時アクセス500ユーザ

F5-BIG-APM-2200S-B 2,550,000 同時アクセス100ユーザ最大同時アクセス2500ユーザ


MAG2600-100U,MAG2600-ADD-50U *3 7,310,000

同時アクセス250ユーザSSL VPN 最大ユーザー数は100 人、

UAC 最大同時接続ユーザー数は250人

MAG4610-250U 7,990,000 同時アクセス250ユーザSSL VPN 最大同時接続ユーザー数は1,000人、

UAC 最大同時接続ユーザー数は5,000 人F5-BIG-APM-2000S-B,F5-ADD-BIG-USER-100,F5-ADD-BIG-USER-50 2,465,000

同時アクセス250ユーザ最大同時アクセス500ユーザ

F5-BIG-APM-2200S-B,F5-ADD-BIG-USER-100,F5-ADD-BIG-USER-50 2,975,000

同時アクセス250ユーザ最大同時アクセス2500ユーザ


MAG4610-500U10,560,000

同時アクセス500ユーザSSL VPN 最大同時接続ユーザー数は1,000人、

UAC 最大同時接続ユーザー数は5,000 人F5-BIG-APM-2000S-M 2,890,000 同時アクセス500ユーザ最大同時アクセス500ユーザ

F5-BIG-APM-2200S-B,F5-ADD-BIG-USER-100*4 3,570,000 同時アクセス500ユーザ最大同時アクセス2500ユーザ


MAG4610-1000U15,120,000

同時アクセス1000ユーザSSL VPN 最大同時接続ユーザー数は1,000人、

UAC 最大同時接続ユーザー数は5,000 人F5-BIG-APM-2200S-B,F5-ADD-BIG-USER-100*9 4,845,000 同時アクセス1000ユーザ最大同時アクセス2500ユーザ

F5-BIG-APM-4200V-B 6,460,000 同時アクセス1000ユーザ最大同時アクセス10000ユーザ

SSL VPN 最大ユーザー数は100 人、

UAC 最大同時接続ユーザー数は250人SSL VPN 最大同時接続ユーザー数は1,000人、

UAC 最大同時接続ユーザー数は5,000 人

SSL VPN 最大ユーザー数は100 人、

UAC 最大同時接続ユーザー数は250人SSL VPN 最大同時接続ユーザー数は1,000人、

UAC 最大同時接続ユーザー数は5,000 人

- F5 BIG-IP APM vs Juniper MAGs


セキュリティモデル製品型番 SSL VPN同時接続標準価格 Cisco ASA 5505 ASA5505-SSL10-K9 10 ¥257,690 ASA5505-SSL25-K9 25 ¥484,620 Cisco ASA 5510 ASA5510-SSL50-K9 50 ¥921,890 ASA5510-SSL100-K9 100 ¥1,413,890 ASA5510-SSL250-K9 250 ¥2,889,890 Cisco ASA 5520 ASA5520-SSL500-K9 500 ¥4,673,390 Cisco ASA 5540 ASA5540-SSL1000-K9 1000 ¥6,887,390 ASA5540-SSL2500-K9 2500 ¥10,700,390 Cisco ASA 5550 ASA5550-SSL2500-K9 2500 ¥11,069,390 ASA5550-SSL5000-K9 2500 ¥12,299,390

- F5 BIG-IP APM vs Cisco ASA 推定。 - 250同時接続ぐらいからBIG-IP APMのコストパフォーマンスが同等かそれ以上になる。

5.価格比較 - Cisco ASA

http://www.cisco.com/web/JP/product/hs/security/asa/index.html






参考 : BIG-IP APMアプライアンス定価

パーツ番号 List Price (JPY) Base Conc User Max Conc User パーツ番号 List Price (JPY)F5-BIG-APM-1610-4G ¥1,190,000 10 100 F5-ADD-BIG-USER-10 ¥102,000F5-BIG-APM-1600-4G ¥2,040,000 100 1,000 F5-ADD-BIG-USER-50 ¥170,000F5-BIG-APM-2000S-25 ¥1,190,000 25 500 F5-ADD-BIG-USER-100 ¥255,000F5-BIG-APM-2000S-B ¥2,040,000 100 500 F5-ADD-BIG-USER-500 ¥935,000F5-BIG-APM-2000S-M ¥2,890,000 500 500 F5-ADD-BIG-USER-1K ¥1,360,000F5-BIG-APM-2200S-B ¥2,550,000 100 2,500 F5-ADD-BIG-USER-5K ¥5,100,000F5-BIG-APM-2200S-M ¥6,210,000 2,500 2,500 F5-ADD-BIG-USER-10K ¥7,650,000F5-BIG-APM-4200V-B ¥6,460,000 1,000 10,000 F5-ADD-VPR-USER-500 ¥935,000F5-BIG-APM-4200V-M ¥12,750,000 10,000 10,000 F5-ADD-VPR-USER-1K ¥1,360,000F5-BIG-APM-10200V-B ¥20,400,000 8,000 60,000 F5-ADD-VPR-USER-5K ¥5,100,000F5-BIG-APM-10200V-M ¥38,420,000 60,000 60,000 F5-ADD-VPR-USER-10K ¥7,650,000F5-BIG-APM-VE-200M ¥1,120,000 100 100 F5-ADD-VPR-USER-25K ¥12,750,000F5-BIG-APM-VE-1G ¥2,250,000 250 250

F5-BIG-APM-VE-LAB ¥160,000 10 10

F5-ADD-BIG-APM-VE-1G ¥1,280,000 - -

アプライアンスユーザ追加


• BIG-IP APMの良さ - スケーラビリティ - コストパフォーマンス - ユーザビリティ - エンタープライズクラスに対応できるセキュリティ - 将来にわたる製品開発の通し(モバイル、仮想化/クラウド)

まとめ

Documents

SSL VPN製品の徹底比較、主要な3製品の比較ポイ … VPN製品の徹底比較、主要な3製品の比較ポイントを解説 F5 BIG-IP APM vs Cisco ASA vs Juniper MAG©