【後編】新機能「SNI識別機能」とは?
~PureFlowがSaaSアプリケーションを識別・制御できる理由~
本コラムでは以下について解説します。
- 従来のPureFlowドメインフィルタ機能について
- PureFlowドメインフィルタ機能の課題
- 課題を克服した次世代PureFlowのSaaSアプリケーション識別、SNI識別機能について
近年、ビジネス活動でのクラウド利用は一般化し、その重要性もさらに高まっています。
PureFlowではクラウドサービス通信(IaaS、SaaS等)やWeb会議ツールの品質確保に有効な「ドメインフィルタ機能」オプションがありますが、新モデルAS1ではドメインフィルタ機能強化として「SNI識別機能」が追加となりました。
本コラムではこちらの「SNI識別機能」について、2回に分けて解説したいと思います。
後編の今回は、PureFlowのSNI識別機能の動作や利用ケースについてご説明します。
※前編、SNI(Server Name Indications)の概要についての解説はこちら
PureFlowのドメインフィルタ機能とは
まず冒頭少しおさらいまでとなりますが、PureFlowのドメインフィルタ機能は宛先のサーバ名(ドメイン名)単位でQoS制御を実施可能にする機能です。
DNSによる学習でのドメインフィルタでは、PureFlowに登録したドメイン名を識別し、帯域制御を実施します。(abc.example.com宛の通信を識別し、制御することが可能です。)
DNSリプライパケットのAレコードからIPアドレスを自動的に学習し、その学習したIPアドレスにてトラフィックを分類、帯域制御を実施しています。
詳細はこちらのコラムをご参照ください。
このDNSによる学習タイプのメリットとして、帯域制御対象通信の前に先行して発生するDNS解決からIPアドレスを自動学習しており、あとから発生する帯域制御対象通信自体のプロトコル(アプリケーション等)には制約がないという点があります。
PureFlowのドメインフィルタ機能の課題
一方で、DNSによる学習でのドメインフィルタではドメイン名でのトラフィック分類が困難な、以下のようなケースがありました。
① プロキシ経由の通信
PureFlow設置ポイントがプロキシよりLAN側などの環境のため、DNSレスポンスパケットがPureFlowを通過せずDNSでの学習ができない。
② CDN経由の通信
制御対象サービスでCDNなどが使用されており、別ドメインでも同一アドレスが返されてしまうことがある環境のため、意図したドメイン名でのトラフィック分類ができない。
③ CNAMEが多段かつ、別ドメインの通信
学習したいドメイン名のCNAMEが別ドメインとなっており、もともと学習したいドメインのIPアドレスを学習できない。
SNI識別機能の動作
上述のようなDNSによる学習タイプでは困難なケースもあるプロキシ経由やCDN経由の通信でも、HTTPS通信であれば、SNI識別機能により帯域制御対象通信をセッションごとに自動学習することで、ドメイン名でトラフィック分類し帯域制御を実施可能です。
動作としては以下の流れで、TLS/ClientHelloメッセージから対象ドメインへのセッション情報を学習し、ドメイン名単位のパケット分類条件を生成します。

- ① 管理者にて分類条件で使用するリスト作成時に、制御対象のドメイン名を登録
- ② 装置が登録済みドメイン名からHTTPS/TLS Client Helloパケットによりセッション情報を自動的に抽出
- ③ 対象ドメインが登録されているリストに、抽出したセッション情報を自動登録
PureFlowのSNIによる学習で使用されるポート番号は「443」となっておりますが、プロキシサーバ経由で別ポート番号が使用されている場合、任意のポート番号を学習対象に追加することも可能です。
また、HTTPS通信はSNIによる学習を使用し、その他通信はDNSによる学習、といったドメインフィルタ機能でDNS/SNIによる学習の併用も可能です。
まとめ
PureFlowを採用いただくことで、限られた帯域の効率的な利用が可能です。
特に、SaaSアプリケーションやクラウドサービス、Web会議ツールの通信品質に課題を抱えているお客様にはおすすめできる製品です。
興味がありましたら製品担当と情報交換することもできます。お気軽にお申し付けください。
お問い合わせはこちらから:https://itps.scsk.jp/pureflow/inquiry