FreeBSDとFirewall-1のちょっと切ない歴史

前日にF5について書いた際に「F5ネットワークスの F5 BIGIP アプライアンスもFreeBSDベースのOSを採用していたが、バージョン9.0からLinuxベースに移行した。」というWikipediaの記事を見つけ、いろいろ検索しているうちにList of products based on FreeBSDというページを見つけた。

List of products based on FreeBSD - Wikipedia

身近なところではPlay StationやPanasonic VieraがFreeBSDベースだとされているが、インフラを渡り歩いてきた自分としてはBlueCoat、CheckPoint、Juniperといった製品名が気になった。何よりTCP/IPで使われるソケットの概念はBSD系が発祥ということもあるので、ネットワーク機器はBSDを選んでるのではないかと、まずファイアウォール製品の老舗Check Point社について読んでみる。

Brief History of Check Point Firewalls

Check Point presented Firewall-1 version 1.0, the very first commercial stateful firewall, in 1994. Version 2.0 followed in 1995.
Firewall-1 1.0 was supported with SunOS and Solaris. Version 2.0 added HP-UX support. Version 3.0 added support for Windows NT and IBM AIX, and was also rebranded and sold by Sun Microsystems under the name “Solstice Firewall-1”.

おや、1994年にリリースされた当時はSunOSで動いていたようだ。BSDベースには変わりないが、その後、HP-UX（System V系）、Windows NTが加わり、Linuxを加えれば現行の全てのOSの系列（つまりBSD、SystemV、Linux、Windows）で動く製品となる。

The full company name of Check Point is Check Point Software Technologies Limited. The key word here is “Software”. For many years, Check Point concentrated its efforts to build software products, allowing customers to bring/build their own servers, while leveraging multiple hardware partners and vendors to produce purpose-built security appliances. During 20 years of company history there were quite a few partnerships of this nature with such participants as HP, Dell, Siemens, Nortel, IBM, Nokia, SofaWare, Crossbeam, and many others.

Check Pointの正式名はCheck Point Software Technologies Limitedと「Software」を冠しており、HPやDellなどのパートナーが自社ハードにFirewall-1をインストールして出荷する形態だった。

Through a great deal of effort, Check Point managed to eliminate the firewall OS acquisition and support costs by producing its own Linux-based hardened OS known as SecurePlatform or SPLAT. SPLAT was originally based on the 2.4 variant of Red Hat Enterprise kernels, and later on kernel version 2.6.18. The price for SPLAT was included in the FW licenses[2], and the maintenance for both security products and the OS itself was all performed by Check Point itself, thus greatly reducing the possibility of a “finger-pointing” scenario.

finger-pointingは責任転嫁のこと。他のOSと組み合わせると、OSが悪いのかFirewall-1が悪いのか特定するためのコストがかかるので、Firewall-1向けの独自OSであるSPLATを作った。これはLinuxベース。

In 2009 Check Point acquired the Nokia Security Appliance business, and started working on merging the best of SPLAT and IPSO into a new OS platform called Gaia. Gaia is designed to work on all variations of Check Point security appliances, including the Nokia hardware. Although based on the RH Linux kernel (IPSO used the FreeBSD kernel), Gaia had the IPSO variant of dynamic routing and multicast features integrated into it.

このように多くのプラットフォームで動いたFirewall-1だが、最も人気があったのはNokiaのIPSOというFreeBSDベースのアプライアンスとの組み合わせだった。そのNokiaのセキュリティ部門をCheck Pointが買収し、IPSOはCheck Point自身が作ったSPLAT（Linuxベース）と統合され、BSD系列はFirewall-1のメインストリームでなくなる。

List of products based on FreeBSDで、メジャーなセキュリティ製品がLinuxではなくFreeBSDを使う秘密があるのかと思って読んでみたのだが、ちょっと肩透かし。とは言え、BSD系列がLinuxよりもネットワーク機器に選ばれる理由もあるはずだということで、明日はJuniperのJunosについて読んでみる。