ScreenOS 5.0のご案内
平成16年2月
ノックス株式会社
ソリューション営業部
本書の内容
•
ScreenOS 5.0の概要
•
アップグレードの注意点
•
ScreenOS 5.0の新機能一覧
•
Deep Inspection(アプリケーションレベルでのアタック防御)
•
アンチウィルス
•
VLANサポートの拡張(NetScreen-25/-50/-204/-208)
•
HAサポートの拡張(NetScreen-25でHA Liteをサポート)
•
セッション容量の増加(NetScreen-25、NetScreen-50)
•
ALG(Application Layer Gateway)の拡張
•
トンネルインターフェースの拡張
•
ダイナミックルーティングの拡張
•
ソースベースルーティング
•
NAT Destination
•
ポリシーのマルチセル対応
•
NetScreen-Security Manager
•
NetScreen製品仕様一覧
ScreenOS 5.0
の概要
•
ScreenOS 5.0とは
– NetScreenセキュリティアプライアンス、セキュリティシステム向けの最新
バージョン
– 様々なネットワークからの脅威に対応できるより広範なインスペクション技
術を実装(Deep Inspection)
– ユーザー規模、管理形態に合わせたアンチウィルスソリューションを提供
– 様々な冗長化ソリューションを提供(対応プラットフォーム拡充、回線障害
対応)
– ライフサイクル管理(導入、設定、監視、ログ・レポート、アップデート)をサ
ポートするセキュリティ統合管理ツール(NetScreen-Security Manager)
アップグレードの注意点
•
ScreenOS 5.0は、弊社サポートサイト(http://support.nox.co.jp/)よりダウンロード可能です。
•
ご使用の機器をScreenOS 5.0にアップグレードされる前にファームウェアに同梱されている「NetScreen
ScreenOS Migration Guide」を必ずお読みください。
•
アップグレード対象機器:NetScreen-5XP、NetScreen-5XT、NetScreen-5GT、NetScreen-25、NetScreen-50、
NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-5000
•
ScreenOSのバージョンアップには、ソフトウェア保守契約もしくは無償保守(ご購入ご3ヶ月間)が必要です。
•
ScreenOSのバージョンアップの際には、実行前に設定ファイルのバックアップを取ることを強く推奨いたします。
–
バックアップ方法
•
WebUIより Configuration > Update > Config File > Save To File
•
コマンドラインより ns >get configの出力をファイル保存
•
TFTPサーバへの保存 ns >save config to tftp <TFTPサーバのIPアドレス> < ファイル名>
例)ns >save config to tftp 10.10.1.100 cfg-0921.txt
ScreenOS 5.0
の新機能一覧
zScreenOS 5.0の
主な追加機能・変更点
z Deep Inspection
z 従来のステートフルインスペクションに加えて上位レイ ヤーを精査することによってアプリケーションレベルで のアタックを検知・防御 z ステートフルシグネチャ(約250個)及びプロトコル異 常(HTTP、FTP、SMTP、POP3、IMAP、DNS)を検 知 z NetScreen-5XP以外の全機種に対応(別途ライセン スキー必要)z アンチウィルス
z NetScreen-5GT z Trend Micro社のアンチウィルスエンジンを ベースにした埋め込み型 z 別途ライセンスキー必要z プラットフォーム容量の拡張と機能追加
z VLANサポート z NetScreen-25/50 8VLAN z NetScreen-204/208 32VLAN z NetScreen-25でNSRP Liteサポート z 簡易冗長化機能(セッション、VPN同期なし) z NetScreen-25/50でセッション容量拡張 z NetScreen-25 16,000 z NetScreen-50 64,000z そのほかのセキュリティ強化点
zアプリケーションレベルゲートウェイ(ALG)の拡張 z ノンスタンダードポートでの新規セッションをサ ポート z新サービス z ALGでSIP、RSHをサポート zURLフィルタリング z ポリシー単位で設定可能 z 個別VSYSで対応可能 zNTPのセキュリティ強化 z MD5認証を追加z ネットワーク構成、信頼性の強化点
zルートベーストンネル容量の増加 z トンネルインターフェースに複数のVPNをバイ ンド zルーティング機能の強化 z RIPv2を全機種でサポート zソースベースルーティング z ソースインターフェースおよびソースIPベース のルーティングをサポート zNSRPv2の強化 z より正確にネットワークエラーの検出をする二 次チェック機能を強化 z送信先NATサポート z NAT DestinationScreenOS 5.0
の新機能一覧(続き)
z
ネットワーク構成、信頼性の強化(続き)
z PPPoEの強化 z PPPoEの同時複数接続をサポート z DHCPの強化 z ゾーンに関わらずいずれのインターフェースでも DHCPの定義が可能 z DHCPサーバの強化 z Trustバーチャルルータのどの物理インター フェースでもDHCPサーバをサポート z VLANインターフェースへのDHCPリレー機能 z 物理インターフェースの有効化・無効化 z 物理インターフェースのリンクアップ・リンクアッ プを自在に操作可能z
導入・管理面の強化点
z 初期導入の簡略化 z NetScreen-Security Managerと連携して初期 導入を簡略化 z 設定情報のロールバック機能 z 設定アップデート、設定変更中にデバイスへの アクセスが失われた際に、事前の設定を自動的 に復旧 z ログ情報の強化 z PermitやDenyなどアクションをトラフィックログ 内容に追加 z Deep InspectionのDropやResetもログ内容に 追加 z 複数のSyslogサーバサポート z4台までのSyslogサーバを設定可能 zTCPをサポート z SSHv2互換 z Rapid Deployment zリモート機器本体に最低限の設定のみを行った 上で、NetScreen-Security Managerにアクセス して全設定をダウンロード z 自動シグネチャアップデート zアタックシグネチャの自動アップデートをサポー ト(シグネチャアップデートサービスの購読が必 要)z ポリシー設定の強化点
z 複数のアドレス、サービスフィールドを単一のポリシー に設定可能Deep Inspection
•
従来のステートフルインスペクションで行っていたLayer 3、4での検査に加えてアプリケーションレベル(Layer 7)で
の検査を行いアプリケーションレベルでのアタックや異常パケットを検知してアクション(Dropなど)を施します。
•
HTTP、SMTP、POP3、IMAP、FTP、DNSのセッションをアプリケーションレベルで検査します。
•
約250個のステートフルシグネチャによるアタックパターン検知を行います。
Src IP Dst IP Src Port Dst Port Protocol Payload
Src IP Dst IP Src Port Dst Port Protocol Payload ステートフルインスペクション Layer 3、4(IP、ポート番号)をベースとしたポリシー ポリシーマッチ NO YES Drop NO Drop YES Deep Inspection Forward packet アタック検知 NO YES NO Deep Inspection で定義された アクション YES Drop Close Ignore
Deep Inspection
アプリケーションレベルをベースとしたアクション 検査方法 セッションの初期パケット→ポリシー検査 セッション中のパケット→ステイト情報、セッションテーブル 検査方法 アプリケーションレイヤーでのシグネチャマッチング プロトコル規則から逸脱した異常通信を検知 ポリシー許可Deep Inspection
のライセンス形態
•
Deep Inspectionライセンスについて
–
Deep Inspection機能を使用するには、1年ごとのシグネチャサービスをご購入いただく必要があります。
NS-DI-xx 既存もしくは新規購入機器 1年 1年 NS-DI-xx Expire Expire NS-DI-xx Expire Deep Inspection シグネチャサービス NS-MNT-xx NS-MNT-xx NS-MNT-xx 本体保守 更新 更新Deep Inspection
(続き)
•
Deep Inspection機能 FAQ
Q. Deep Inspectionとは?
A. NetScreen Technologies., Inc.が開発した最新のファイアウォール技術で、従来のステイトフルインスペクションでは対応 できなかったアプリケーションレベルでのアタックをゲートウェイにおいて検知・防御する技術です。アタック検知は、サービ スフィールドアタックパターンのシグネチャ照合とプロトコル異常の検出によって行われます。 Q. 使用方法について? A. Deep Inspection機能を使用するには、まずScreenOS 5.0にバージョンアップを行う必要があります。また、機能を有効に するために別途追加費用が必要となります。 Q. 対応プラットフォームは?
A. ScreenOS 5.0が対応している全プラットフォーム( NetScreen-5XPを除く)でDeep Inspection機能を使用することが出来 ます。 Q. NetScreen-IDPとの違いは? A. Deep Inspection機能はNetScreen-IDPの技術をベースに開発されています。ただしNetScreen-IDPで提供されるネット ワークハニーポット機能、バックドア検知機能などは対応しておりません。また、サービスフィールドアタックパターンで使用 されるシグネチャ数もNetScreen-IDPでは約1,800個に対して約250個、プロトコル異常検知の対応プロトコル数も NetScreen-IDPでは約50個に対して6個(HTTP、FTP、SMTP、IMAP、POP3、DNS)となっております。 Q. Deep Inspectionのアクションとは?
A. Deep Inspectionではアタックパターンやプロトコル異常の内容に基づいてルールベースでアクション(Close、Close Client、 Close Server、Drop、Drop Packet、Ignore、None)を定義することが出来ます。
Q. パフォーマンスへの影響は?
A. 設定内容や構成に依存しますが一般的にDeep Inspectionを使用することによってある程度のパフォーマンスの低下が見 込まれます。
アンチウィルス
•
NetScreenのアンチウィルスソリューション
–
埋め込み型
•
NetScreen-5GT
– Trend Micro社のアンチウィルススキャンエンジンを搭載
– 定義ファイルはNetScreen-5GTがTrend Active Update Serviceから自動的にアップデート(マニュアルアップデートも 可能)
– ポリシーベースでのスキャン定義
– スキャンレベル、定義ファイルは詳細設定可能 – 小規模・拠点向け
Virus Scanning Application Programming Interface (VSAPI) TO: A FROM: B Subject:: CCC TO: A FROM: B Subject:: CCC Attachment Has been Dropped NetScreen-5GTのアンチウィルス
アンチウィルス(
NetScreen-5GT
)
•
NetScreen-5GTのアンチウィルス設定画面
アンチウィルスライセンスキーをインストールすると Config > Update > ScreenOS/Keys
ライセンス情報欄に AV: Enableと表示され、メインメニューが 右図のように変化します。
ポリシー画面にアンチウィルス設定欄が 表示されます。
アンチウィルスのライセンス形態
•
アンチウィルスのライセンスについて
–
アンチウィルス機能は以下のいずれかの方法により可能です。
NS-AV-5GT NS-AV-5GTP NS-AV-5GTE 新規購入機器 1年 1年 NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire Expire NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire NetScreen-5GT Anti Virus アップグレード NS-MNT1-5GT NS-MNT2-5GT NS-MNT2-5GT 本体保守 更新 更新 NetScreen-5GT Anti Virus Deep Inspection バンドル NS-5GT-007 NS-5GT-107 既存機器 NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire Expire NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire NS-5GT-007-AV NS-5GT-107-AV NS-5GT-207-AVアンチウィルス(続き)
•
アンチウィルス機能 FAQ
Q. NetScreenでアンチウィルス機能を使用するには?
A. 埋め込み型のアンチウィルス機能はNetScreen-5GTでのみ提供されます。既存のNetScreen-5GTでアンチウィルス機能 を使用するにはアップグレード費用が必要となります。新規購入の場合はアンチウィルス機能をバンドルしたモデルが追加 されます。NetScreen- NetScreen-25/50/204/208/500ではTrend Micro社のInterScan Virus Wall 3.6とCSP(Content Scanning Protocol)と連携してゲートウェイ型のアンチウィルスを実現します。 Q. NetScreen-5GTでアンチウィルス機能を使用するメリットは? A. ほとんどの企業がデスクトップPCやノートPCにアンチウィルスソフトをインストールして対策を施しているにもかかわらず社 会問題となるようなウィルス被害の問題が後を絶ちません。一つの要因として定義ファイルが最新でないことやアンチウィ ルス機能そのものが有効になっていないユーザーがいるなど管理面での不備が挙げられます。このような場合、 NetScreen-5GTがゲートウェイレベルでの防御を行い、ウィルス対策をマルチレイヤー化することによってより有効な対策 を施すことが可能になります。また、集中管理ツールが導入されていない拠点ネットワークなどでは特に有効な手段となり ます。 Q. NetScreen-5GTのアンチウィルス機能の動作とは? A. ポリシーベースで設定を行うことが出来るため、アンチウィルスが有効となっているポリシーにマッチするトラフィックのみを 精査の対象とします。NetScreen-5GTがウィルスを含むメールを検知した場合、添付ファイルを破棄し、メール受信者には 添付ファイルが感染していたため破棄された旨のメッセージを本文に付加して送信します。 Q. NetScreen-5GTでアンチウィルス機能を使用した場合の遅延は? A. 遅延は発生します。NetScree-5GTがスキャンする前にはストリームを再構築する必要があります。結果としてその時間が 遅延となります。ただし、使用環境にもよりますが多くの場合この遅延は微少と考えられる程度と思われます。 Q. NetScreen-5GTでアンチウィルス機能を使用した場合のスループットへの影響は? A. NetScreen-5GTでアンチウィルス機能を使用した場合、本来の最大スループットである75Mbpsに到達することは出来ま せん。スループット劣化の度合いは設定内容に依存しますが、カタログスペック(75Mbps)を想定した環境でNetScreen-5GTを導入する場合はアンチウィルス機能の使用について考慮する必要があります。 Q. NetScreen-5GTでスキャンできるファイルに最大数? A. デフォルトでは4MBのファイルを8個までスキャンできるように設定されています。この値は変更可能です。
アンチウィルス(続き)
•
アンチウィルス機能 FAQ(続き)
Q. NetScreen-5GTでスキャンできる最大ファイルサイズ? A. 20MBです。設定により20MBを超えるファイルを検知した場合に通過させるかドロップするかを選択できます。 Q. ZIPファイルを検知した場合? A. NetScreen-5GTはZIPファイルを解凍してウィルスをスキャンします。 Q. NetScreen-5GTのアンチウィルスエンジンに含まれるシグネチャ数? A. 現時点では80,000以上のパターンが含まれます。 Q. パターンファイルの保存は? A. パターンファイルはNetScreen-5GTのフラッシュメモリ(不揮発メモリ)に保存されます。 Q. パターンファイルの自動更新は?A. NetScreen-5GTがTrend Active Update Serviceにアクセスして自動アップデートを行います。アップデート周期(デフォル トは15分)は設定可能です。また、手動でのアップデートも可能です。
•
VLAN(802.1Q)サポート
–
これまで上位機種もしくはオプションライセンスのみでの対応であったVLAN(802.1Q)ベースのサブインター
フェースを標準サポート
–
VLAN(802.1Q)対応一覧
プラットフォーム容量の拡張と機能追加
IEEE 802.1Q VLANトランク スイッチ サブインターフェース32
(オプションで32VLAN追 加)*0
(オプションで32VLAN)*NetScreen-204
0
(オプションで32VLAN)*0
0
ScreenOS 4.0
32
(オプションで32VLAN追 加)*8
8
ScreenOS 5.0
NetScreen-208
NetScreen-50
NetScreen-25
*Virtualization Keyにより増加。さらにバーチャルルータ(5個)とカスタムゾーン(10個)が追加されます。プラットフォーム容量の拡張と機能追加(続き)
•
NetScreen-25でHA Liteサポート
–
HA Lite
アクティブ・スタンバイ構成でセッション同期、SA(VPN)の同期には未対応
–
NetScreen冗長機能対応一覧
•
同時セッション容量増加(NetScreen-25/50)
–
NetScreen同時セッション容量一覧
アクティブ/スタンバイ アクティブ/アクティブ アクティブ/スタンバイ アクティブ/アクティブNetScreen-204
アクティブ/スタンバイ アクティブ/アクティブ アクティブ/アクティブ (フルメッシュ) アクティブ/スタンバイ なしScreenOS 4.0
アクティブ/スタンバイ アクティブ/アクティブ アクティブ/アクティブ (フルメッシュ) アクティブ/スタンバイ アクティブ/スタンバイ (Lite)ScreenOS 5.0
NetScreen-208
NetScreen-50
NetScreen-25
16,000 8,000ScreenOS 4.0
64,000 16,000ScreenOS 5.0
NetScreen-50
NetScreen-25
その他のセキュリティ面での強化点
•
ALG(Application Layer Gateway)の拡張
–
定義済みALGにSIP、RSHを追加(NAT対応は次バージョン予定)
–
アプリケーションレイヤーの情報を認識
•
動的に開くポートを自動的にサポート
–
非標準ポートで始動するセッションをサポート
•
カスタムで作成したサービスを定義済みサービス(Predefined Service)にマッピング
•
Deep Inspection使用時に重要
•
URLフィルタリングをポリシーベースで設定可能
–
ポリシーのAdvanceメニューでON/OFFを指定
ネットワーク構成、信頼性の強化
•
トンネルインターフェースに複数のVPNをバインド
–
多拠点VPNの構成に有効
VPN-1
VPN-2
Tunnel. 1 2.2.2.2 Trust 192.168.1.0/24 Trust 192.168.2.0/24VPN-1
Tunnel.1 3.3.3.3VPN-2
Tunnel.1 4.4.4.4 3.3.3.3 Tunnel.1 192.168.1.0 4.4.4.4 ネクストホップ Tunnel.1 192.168.2.0 インターフェース Destination ルートテーブル VPN-1 3.3.3.3 VPN-2 4.4.4.4 VPN ネクストホップ NHTBテーブルNHTB(Next-Hop Tunnel Binding)
NHTBテーブルに定義されたVPNをネクストホップ ゲートウェイにマップ
ネットワーク構成、信頼性の強化(続き)
•
ダイナミックルーティングプロトコルの拡張
–
RIPv2を全機種で対応
•
ソースベースルーティング
–
ソースアドレスをベースにルーティング
10.1.1.0/24 10.1.2.0/24 1.1.1.0/24 2.2.2.1/24 3.3.3.1/24set route 1.1.1.0/24 interface eth2 2.2.2.1
set vr trust route source 10.1.2.0/24 interface eth3 3.3.3.1 set vr trust enable-source-routing
ソースアドレスが10.1.2.0/24のトラフィックは 3.3.3.1のルータをゲートウェイとしてルーティング 使用例)特定のアドレス帯に対してURLフィルタリング、 ウィルスキャン、メールスキャン、IDPなどの処理を 行いたい URLフィルタリング メールスキャン ウィルススキャン IDP etc.. eth2 eth3
ネットワーク構成、信頼性の強化(続き)
•
NAT Destination (NAT-Dst)
–
送信先アドレスを変換
•
マッピング
–
1対1
–
多対1
–
多対多(アドレスシフティング)
•
NAT-Dst 1対1
44444 Src-Port 80 Dst-Port 6 2.10.2.10 1.1.1.10 Protocol Dst-IP Src-IP 1.1.1.10 192.168.1.10 Trust 192.168.1.254/24 Untrust 2.2.2.1 44444 Src-Port 80 Dst-Port 6 192.168.1.10 1.1.1.10 Protocol Dst-IP Src-IPネットワーク構成、信頼性の強化(続き)
•
NAT Destination (NAT-Dst)(続き)
•
NAT-Dst 多対1
44444 Src-Port 23 Dst-Port 6 2.10.2.10 1.1.1.10 Protocol Dst-IP Src-IP 1.1.1.10 192.168.1.10 Trust 192.168.1.254/24 Untrust 2.2.2.1 44444 Src-Port 23 Dst-Port 6 192.168.1.10 1.1.1.10 Protocol Dst-IP Src-IP 1.1.1.9 55555 Src-Port 80 Dst-Port 6 2.10.3.10 1.1.1.9 Protocol Dst-IP Src-IP 55555 Src-Port 80 Dst-Port 6 192.168.1.10 1.1.1.9 Protocol Dst-IP Src-IPネットワーク構成、信頼性の強化(続き)
•
NAT Destination (NAT-Dst)(続き)
•
NAT-Dst 多対多(アドレスシフティング)
44444 Src-Port 80 Dst-Port 6 2.10.2.11 1.1.1.10 Protocol Dst-IP Src-IP 1.1.1.10 192.168.1.10 Trust 192.168.1.254/24 Untrust 2.2.2.1 44444 Src-Port 80 Dst-Port 6 192.168.1.11 1.1.1.10 Protocol Dst-IP Src-IP 1.1.1.9 55555 Src-Port 80 Dst-Port 6 2.10.3.10 1.1.1.9 Protocol Dst-IP Src-IP 55555 Src-Port 80 Dst-Port 6 192.168.1.10 1.1.1.9 Protocol Dst-IP Src-IP 192.168.1.11 192.168.1.12 192.168.1.13Src-Port Dst-Port Protocol Dst-IP
Src-IP Src-IP Dst-IP Src-Port Dst-Port Protocol
44444 Src-Port 80 Dst-Port 6 2.10.3.12 1.1.1.10 Protocol Dst-IP Src-IP 44444 Src-Port 80 Dst-Port 6 192.168.1.12 1.1.1.10 Protocol Dst-IP Src-IP
ポリシー設定の強化点
•
単一ポリシーのマルチセル化
–
ポリシー設定画面にてアドレス、サービスのグループ定義が可能
–
他のファイアウォール製品からのポリシー移植を容易に
∼ScreenOS 4.0
あらかじめObject設定画面でグループ化が必要 set policy id 4 from "Trust" to "Untrust" "Trust_1" "Any" "DNS" permit log set policy id 4set src-address "Trust_2" set src-address "Trust_3" set service "FTP" set service "HTTP" set service "MAIL" exit
NetScreen-Security Manager
•
NetScreenセキュリティ製品の統合管理
–
デバイスのライフサイクルをサポート
•
導入
Rapid Deployment、他拠点導入作業の簡素化•
設定
共通設定をテンプレート化、VPN設定作業を簡素化•
監視
アタック、ログ、デバイス監視(ネットワーク、インターフェースなど)、HA切り替わり•
アップデート
シグネチャ、ScreenOS、設定ファイルNetScreen-Security Manager
•
3-Tierアーキテクチャ
UI(User Interface) GUIサーバ/デバイスサーバ デバイス UI(User Interface) デバイスサーバ デバイス は全てTCP(SHA-1認証、AES暗号付き)通信 GUIサーバ 最大1,000台まで管理 ログ、レポート アラート 設定ファイル JAVAベース GUI Windows 2000 Windows NT Windows XP Solaris 8, 9Red Hat Linux 8.0, 9.0
NetScreen-5XP/5XT/5GT NetScreen-25/50 NetScreen-204/208 NetScreen-500 NetScreen-5200/5400 ScreenOS 4.0.0/4.0.0 Dial2/4.0.1/4.0.3 ScreenOS 5.0.0以降
