screenos6.0のご案内 - nox user support...– ns 5000 -mgt2 / spm2 • サポート対象外* –...

Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社ネットワーク事業部

ScreenOS 6.0のご案内

平成21年3月ノックス株式会社


2

Agenda

• UTM• VPN• UAC• Vsys• Management• Performance• Trouble Shooting• その他


3

OS6.0対応プラットフォーム

• サポート対象– SSG 5– SSG 140– SSG 520 / SSG 550– SSG 520M / SSG 550M– ISG 1000 / ISG 2000– ISG 1000 / ISG 2000 - IDP– NS 5000 - MGT2 / SPM2

• サポート対象外*– NS 5XT / NS 5GT– NS 25 / NS 50– NS 204 / NS 208– NS 500– NS 5000 - MGT1 / SPM1– NS 5000 - MGT2 / SPM1

* 旧筐体ではメモリ、CPUキャパシティ上の問題からOS6.0をサポートしていません。


UTM(AV機能)の拡張


5

Instant Messenger対応

• Instant messenger (IM) のスキャンが可能になりました。• スキャン可能なIM :

– AIM、ICQ、Yahoo! Messenger、MSN Messenger、Text/group chat message、transfer/file sharing


6

HTTP Tricklingの拡張

• 指定した時間ごとにTricklingを行うことが可能になりました。– 回線の細い環境においてクライアントのブラウザタイムアウトを防ぎ

ます。


VPNの拡張


8

Auto Connect-VPN

• 従来の大規模VPNトポロジー– 大きく分けるとMesh型と、 Hub and Spoke型の2つがありました。

Hub & Spoke

＜デメリット＞

Hubの負荷

経路による遅延

Mesh

＜デメリット＞

拠点の負荷

トンネル数の上限

設定の複雑化


9

Auto Connect-VPN

NHS

NHC1

NHC2

NHC3

NHSに向けてVPNをはる

NHC

NHSから他拠点の情報をもらう

必要な部分だけNHC間でVPNをはる

NHC4

NHC5


10

Auto Connect-VPN

• Auto Connect VPNのメリット– Mesh、Hub and Spoke双方のトポロジの利点を持ちます。– Hubで処理するのは自身の通信のみであるため、Hubの負荷による

遅延は発生しません。

– 拠点同士が通信を行うため、経路による遅延は発生せず、センター、拠点共に負荷が軽減されます。

– 必要な拠点だけVPNを張るため、トンネル数の無駄な消費を防ぎます。

– 拠点同士が自動的に接続を行うため、設定が容易になります。


11

Tunnel InterfaceのScreening対応

• Tunnel Interface上にもScreening設定が可能になったため、VPNを経由した通信に対してもScreeningを有効にすることが可能になりました。


UACの拡張


13

UAC (Unified Access Control)とは

Oddysey Access Client

(OAC)

Oddysey Access Client

(OAC)

認証サーバ

①認証及びPCのエンドポイントチェックを行う

②ユーザー情報を伝えPolicyを有効にする

③通信が可能になる

Infranet Controller (IC)

Infranet Controller (IC)

Infranet Enforcer (IE)

Infranet Enforcer (IE)

Juniper Networksが提供する統合アクセスコントロール


14

UACの拡張

• Netscreen側でもInfranet Auth Tableの確認が可能になりました。


15

UACの拡張

• NetscreenのUTM機能との連携が可能になりました。

UAC2.1よりInfranet Controllerでのルールがより詳細に設定可能になりました。

割り当てられたユーザーRoleごとにUTM機能のON/OFFが可能になりました。


Vsysの拡張


17

VSYSの拡張

• ISGシリーズの最大VSYS作成数が増加しました。

• Vsys Nameの設定可能上限値が増加しました。• 従来の10文字から20文字まで使用可能になりました。

ISG 1000 10 Vsys → 50 VsysISG 2000 50 Vsys → 250 Vsys


18

VSYSの拡張

• Layer2 Vsys– TransparentモードでのVsysに対応しました。– ISG 1000、ISG 2000、ISG-IDP、NS 5000において設定可能です。

Root Vsys

A社 Vsys

B社Vsys

C社Vsys

管理用セグメント

C社ネットワークセグメント

B社ネットワークセグメント

A社ネットワークセグメント


19

VLAN Retagging

• VLANのタグの付け替えが可能になりました。

L2-VSYS-A

L2-VSYS-B

L2-VSYS-C E1.3

E1.2

E1.1

E2.3

E2.2

E2.1

L2SWVLAN10

VLAN30

VLAN20

VLAN40

VLAN50

VLAN60


Managementの拡張


21

WebUIのレイアウト変更

• WebUIのレイアウト変更が行われ、Informationが見やすくなりました。


22

NTP Server機能

• SNTPv4を使用し、NetScreen自身がNTPサーバとして動作することができるようになりました。

– set interface interface_name ntp-server*本機能はNSRP構成やVSYS構成に対応しておりますがTransparent

モードではサポートされません。

SNTPv4

NTP Server


23

Authentication

• 認証機能の拡張– 認証されたユーザーのIPアドレスをイベントログに表示– TACACS+サポート– ローカルデータベースと外部認証サーバーの優先度が設定可能

• Radius連携の拡張– Framed-poolサポート– Called-Station-ID Attributeサポート– Calling-Station-ID Attributeサポート


Performanceの向上


25

パフォーマンスの拡張

• TCP-SYN-Check Packet Flow– TCP-SYN-Check設定時にSYNパケットのみがCPU処理となり、

SYN-ACKおよびACKはPPU (ASIC) による処理になりました。– Syn-checkを使用時においても、CPUの負荷軽減、パフォーマンス

向上が見込まれます。

• Session Age-Out処理の変更– セッションのAge-Outの処理をCPUを介さずに、ASIC、メモリ間で

DMA(ダイレクトメモリアクセス)が可能になりました。これによりCPU負荷軽減が見込まれます。

• その他– ISG 1000/2000、ISG-IDP、NS 5000においてNSRPメッセージを最

適化します。これによりパフォーマンス向上が見込まれます。


26

ALG機能の変更

• ISG 1000/2000、NS 5000においていくつかのALGのデフォルトがOFFになりました。※バージョンアップ時においても設定項目は引き継がれるため問題あり

ません。


27

Screening機能の拡張

• Black Listを記述することにより、CPUに負荷をかけずASIC処理によりDoS攻撃をDropすることが可能になりました。

• ISG 1000/2000、ISG-IDP、NS 5000において設定可能です。


Trouble Shooting機能の拡張


29

Universal Serial Bus Support

• SSGデバイスにおいて、コンフィグ、バージョンアップのためのファイルイメージをUSBデバイスとFlash間にて転送が可能になりました。

• 例)– save config from flash to usb – save soft from usb to flash

• コアダンプ、メモリーダンプ、LogをUSBに出力可能になりました。

– SSG 5ではUSBメモリ、SSG 140/300M/500MではUSBおよびコンパクトフラッシュがサポートされています。

• 例)– set log usb enable– set core-dump usb full｜large – ：flash file size (unit Mega) 1GBまでサポート


30

Automated Data Gathering

• getコマンドで構成したスクリプトをバックグラウンドで実行することにより、定期的にログ情報を採取することが可能になりました。

*ログ情報の採取に際してはCPU使用率に影響が生じます。

SSG320-> set script recordSSG320(sgc: recording)-> get techSSG320(sgc: recording)-> get eventSSG320(sgc: recording)-> exit recordSSG320->SSG320->SSG320-> exec script start count count (range: 1 - 2147483647)SSG320-> exec script start frequency frequency (range: 1 - 2000000)SSG320-> exec script startSSG320-> exec script stopSSG320-> get script output


その他の機能拡張


32

Bridge Groupの拡張

• SSG 140にてオンボードのインターフェースをBridge Groupでまとめることが可能になりました。

• SSG全機種でuPIMモジュール内におけるBridge Groupに対応しました。

*SSG320/350/520/550はオンボードでのBridge Groupには対応していません。

Bridge Group


33


• DIP Pool Enhancement– 従来の252から最大1,020 のDIP pool を設定することが可能になり

ました。

• DHCP Relay Flow– Transparent Modeにて、特定ZoneからのDHCP Relayのリクエスト

を止めることが可能になりました。

• Management IP増加– Manager-ip（permitted-ip）の設定上限数が６から50に増加しました。


34


• NS 5400のセッション数増加– NS 5400の最大同時セッション数が2,000,000に増加しました。

• NSRP構成におけるIDPモジュールのモニタリング– NSRP構成のISG 1000/2000において、IDPモジュールの障害にウ

エイトを設定することが可能になりました。

– set nsrp monitor sm weight コマンドによりウエイトの設定が可能となっております。(初期設定値：255)


Thank You！

screenos6.0のご案内 - nox user support...– ns 5000 -mgt2 / spm2 • サポート対象外* –...

Documents