untitled

S

OS6 3

S

OS6 3

のご案内

のご案内

ScreenOS6.3

ScreenOS6.3

のご案内

のご案内

平成22年8月 ノックス株式会社

Agenda

Agenda

• NATの拡張

• NATの拡張

• Routingの拡張

IP

の拡張

• IPsecの拡張

• UTMの拡張

• デバイス管理の拡張

• Authenticationの拡張

• IPv6の拡張

• ISG-IDPの拡張

拡張

IKE&IPsec

パススルー機能の拡張

IKE&IPsec

パススル 機能の拡張

– NAT-Tが有効かどうかに関わらずIKE&IPsecパケットのパススルー を可能にするALG機能が ポリシ ベ スNATに対応しました これ を可能にするALG機能が、ポリシーベースNATに対応しました。これ により、DIPプールを用いたSrc-NATが利用可能になりました。 PolicyのServiceにIKE-NATを設定し、IKE ALGを有効にします

Security > ALG > IPSECより、IPSEC Pinholeの Lifetimeを設定します(Default: 30秒)

TCP

セッションクローズ

Notification

パケットの送信①

TCP

セッションクロ ズ

Notification

パケットの送信①

– TCP セッションがセッションエージアウトから削除される時、もしくは CLIでクリアされる時 Notificationパケットがクライアントとサ バに CLIでクリアされる時、Notificationパケットがクライアントとサーバに 送信されるようになりました。 “TCP reset”を有効にします

TCP

セッションクローズ

Notification

パケットの送信②

TCP

セッションクロ ズ

Notification

パケットの送信②

– TCP SYN check と クライアント / サーバが属するそれぞれのZone でTCP reset を有効にし ISG NS5000シリ ズでは

でTCP reset を有効にし、ISG、NS5000シリーズでは TCP sequence check を有効にする必要があります。

set flow tcp-syn-check

・・・ TCP SYN checkを有効にします unset flow no-tcp-seq-check

Proxy ARP

のサポート

Proxy ARP

のサポ ト

– インタフェース上にProxy ARP entryを構成することが可能になりま した これにより インタフェ スのMACアドレスを持つ仮想的なIPに した。これにより、インタフェースのMACアドレスを持つ仮想的なIPに 向けられたARPリクエスト(Dst-NAT等)に対して、レスポンスが可能 になりました。

– 従来の set arp nat-dst”コマンドでは、VSYSおよびVSDに対応して いませんでしたが、Proxy ARPの設定により構成することが可能に なりました。注) set arp nat-dst”コマンドは廃止になりました。

なりました。注) p ンドは廃 になりました。

インタ フ スに レスポンスを返す インターフェースに、レスポンスを返す IP Address Rangeを設定します

VIP

を用いた

Dst-NAT Port Shift

の対応

VIP

を用いた

Dst NAT Port Shift

の対応

– VIP宛の通信をPort Shiftにて宛先アドレス、宛先ポートの変換が可 能になりました

能になりました。

以下のコマンドでのみ設定可能です。

以下の ンドでのみ設定可能です。

set interface <I/F名> vip <IP> port-range <xx-xx> server-ip <IP>port-range <xx-xx>

例) set interface eth0/0 vip 1.1.1.1 port-range 10001-10010 server-ip

192.168.1.10 port-range 10101-10110

宛先ポートがレンジで変換可能です 宛先ポ トがレンジで変換可能です

セルフパケットの

DSCP

マーキング

セルフパケットの

DSCP

マ キング

– ScreenOS自身が送信するセルフパケット※に対して、DSCPマーキン グが可能になりました

グが可能になりました。

（※ BGP, OSPF, RIP, RIPNG, TELNET, SSH, WEB, TFTP, SNMP, SYSLOG, WEBTRENDS）

10進数で50 10進数で50

Incoming

パケットのマーキング値による

QoS

Incoming

パケットのマ キング値による

QoS

– IncomingパケットのDSCP値によりQoSをかけることが可能になりまし た Incomingパケットのマ キング値に従ってQoS振り分けが可能に た。Incomingパケットのマーキング値に従ってQoS振り分けが可能に なりました。 QoSのプロファイルを設定します Policy設定にてプロファイルを適用します

Proxy-ID

の拡張

Proxy ID

の拡張

– ルートベースVPNにおいて、1つのVPN設定に対し複数のProxy-ID の設定が可能になりました

の設定が可能になりました。

VPN > AutoKey IKE > Advancedより VPN AutoKey IKE Advancedより

Proxy-ID Checkのオプションを有効にします

VPN > AutoKey IKE > Proxy ID よりProxy-IDを設定します

Diffie-Hellman key

の拡張

Diffie Hellman key

の拡張

– IKEv1においてDiffie-Hellman Group19および20が、Proposalの新 規作成時に選択可能になりました 規作成時に選択可能になりました。 プルダウンよりGroup19および20が 選択可能です 選択可能です

Auto Connect VPN

の拡張①

Auto Connect VPN

の拡張①

– AC-VPN構成において、Hubとしての機能を持った機器を二重化す ることが可能になりました 各Spokeが双方のHubに対してVPN ることが可能になりました。各Spokeが双方のHubに対してVPN monitorで死活監視を行い、片側のHubがDownした際、Hubの切り 替えを行うことが可能になりました。 – 従来ではNHRPのルート情報を他のルーティングプロトコルに再配 布できなかったため ダイナミックルーティングを使用してもAC-VPN 布できなかったため、ダイナミックル ティングを使用してもAC-VPN のハブを切り替えることができませんでした。

Auto Connect VPN

の拡張②

Auto Connect VPN

の拡張②

Hub(Backup)

Hub(Master) Hub(Master) Hub(Backup)

① _①´

Spoke 1 _② Spoke 2 Spoke 1 _② Spoke 2 Spoke 1 Spoke 2

Host A _{Host B}

Spoke 1 Spoke 2 Host A Host B

AV

ウィルス情報のリンク表示

– ウィルス検知時に、イベントログにウィルス情報を確認出来るURLが 含まれるようになりました

AV

ウィルス情報のリンク表示

含まれるようになりました。

2010-06-22 15:32:15 system warn 00547 AV: VIRUS FOUND: 192.168.1.123:4933->172.17.1.10:25 file _Fromebihara_nox.co.jp

__Dateebihara_nox.co.jp__Subj__B_____k_9_F virus EICAR-Test-File, virus description: http://www.viruslist.com/en/search?VN=EICAR-Test-File

WF

ライセンスなしで動作

WF

ライセンスなしで動作

– ライセンスがない状態で一部のWebフィルタリング機能が利用出来る ようになりました ようになりました。 <利用可能な機能> <利用可能な機能> • Profileの作成およびポリシーへの適用 • カテゴリ情報の取得 • ホワイトリスト、ブラックリストの作成

WF

ユーザグループベースフィルタリング

WF

ユ ザグル プベ スフィルタリング

– 従来のポリシーベースに加え、ユーザグループに対してProfileを適用 出来るようになりました 出来るようになりました。 ユーザグループ Priority Profile

AV/WF

その他

AV/WF

その他

– アンチウィルス用に提供されるパターンファイルの種類が従来の extended/itw/standardの3種類ではなく Juniper Full AntiVirus extended/itw/standardの3種類ではなく、Juniper Full AntiVirus Database1種類になりました。 – SSG520/550において、Webフィルタリングで設定可能なProfileの数 が下記のように変更されました。 ∼6.2 6.3∼ SSG520 25 300 SSG520 25 300 SSG550 50 300

SNMPv3

のサポート

SNMPv3

のサポ ト

– SNMPv3をサポートしました。これにより、認証とアクセルコントロール、 暗号化が可能になりました

インターフェースの無効化

インタ フェ スの無効化

– コマンドにてインターフェースをDisableすることが可能になりました。

SSG140-> set interface ethernet0/0 disable

Admin status for interface ethernet0/0 has been changed to disable Admin status for interface ethernet0/0 has been changed to disable SSG140->

SSG140-> get in

A - Active, I - Inactive, U - Up, D - Down, R - Readyct e, act e, U Up, o , eady H - IPv6 Host Mode, O - IPv6 Router Mode

Interfaces in vsys Root:

Name IP Address Zone MAC/INT-ID VLAN State VSD eth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 D

eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05 D

ログメッセージ内にシリアル番号の表示

ログメッセ ジ内にシリアル番号の表示

– ログメッセージ中にホスト名の代わりに機器のシリアル番号を利用す ることが可能になりました

ることが可能になりました。

Log Serial Numberにチェックします

USB

メモリからのコンフィグロード

USB

メモリからのコンフィグロ ド

– 初期状態の機器においてUSBメモリへ保存したコンフィグファイルを起 動時に読み込み設定を反映させることが可能になりました 動時に読み込み設定を反映させることが可能になりました。 以下のコマンドにて環境変数を設定することで本機能が利用可能にな 以下の ンドにて環境変数を設定する とで本機能が利用可能にな ります。

set env config=usb:my-config.txt ※

境変数 定後 起 が な す

※ 環境変数の設定後には再起動が必要となります。

my-config.txtはUSBメモリ内に保存するコンフィグファイルの ファイル名となり任意に変更可能です。

起動時のログ

System config (4023 bytes) loaded from USB. Load System Configuration ...

USBメモリから

コンフィグをLoadします

Load System Configuration ...

カスタムポートのリダイレクト型

Web Auth

認証

カスタムポ トのリダイレクト型

Web Auth

認証

– 従来のリダイレクト型Web Auth認証では宛先ポートが80番のHTTP トラフィックのみに対応しておりましたが 80番以外のカスタムポ ト トラフィックのみに対応しておりましたが、80番以外のカスタムポート のHTTPトラフィックにおいても利用可能になりました。 利用可能なカスタムポートは以下になります。 8000/8001 8000/8001 8080/8081 8100 8100 8200 8888 9080

新規サポート機能

新規サポ ト機能

– OSPFv3をサポートしました。 – DNS AAAAリクエストをIPv4ドメインへ問合せるかどうか選択出来るよ うになりました。 うになりました。 – インターフェースのLinkがダウンしPPPセッションが再接続した場合に、 DHCP 6クライア ト機能にてIP 6プリ ク とDNS情報をア プ DHCPv6クライアント機能にてIPv6プリフィックスとDNS情報をアップ デートすることが可能になりました。 (CPEとして利用する際に必要な機能) ( し 利用する際 必要な機能)

新規サポート機能

新規サポ ト機能

– IPv6をフルサポートしました。 従来 は に ド 管理が出来なか たため 従来ではNSMにて、IPv6アドレスの管理が出来なかったためAny-IPv6でのみの設定でしたがIPv6のアドレスを任意に設定可能になりま した。その他に、通信Log表示、IDP検知前後のパケットキャプチャ機 能もサポートしました。 Security module(以下SM)毎のセッション情報の確認が可能になりま – Security module(以下SM)毎のセッション情報の確認が可能になりま した。

get session sm-slot slot-id sm-cpu cpu-no

– SM 毎のCPU 使用率の確認が可能になりました。

i t t bl 1 ンドにて機能を

新規サポート機能

新規サポ ト機能

– SM上のRAMに蓄積されたコアダンプをFlashメモリまたはCFへ転送 する事が可能になりました する事が可能になりました。 set sm-ctx coresave – SMのCPU使用率、セッション数、メモリ使用率に関するSNMPトラップ とイベントログがサポートされました。 – マルチキャストトラフィックの検知が可能になりました。 set flow multicast idp

Scripting Tool

の拡張

Scripting Tool

の拡張

– “exec” と “save” コマンドをスクリプトツールで実行可能になりました。

SSG140-> set script record

SSG140(sgc: recording)-> exec ntp update SSG140(sgc: recording) > save

SSG140(sgc: recording)-> save

SSG140(sgc: recording)-> exit record SSG140->

SSG140-> SSG 0

SSG140-> get script command Script command: --- スクリプトで”exec”と”save”_{が実行可能です} exec ntp update save ---が実行可能です

Boot

時の

Upgrade

手順の拡張

Boot

時の

Upgrade

手順の拡張

– 新たにリリースされたBoot Loader※をインストールすることで、Boot 時のUpgrade手順にてGatewayとサブネットマスクを設定出来るよう 時のUpgrade手順にてGatewayとサブネットマスクを設定出来るよう になりました。これにより、異なるセグメントに存在するTFTPサーバ からのファイル転送が可能になりました。

Hit any key to run loader

Serial Number [0185072009000149]: READ ONLY HW V i N b [1010] READ ONLY

HW Version Number [1010]: READ ONLY

Self MAC Address [0024-dcdd-1c80]: READ ONLY Boot File Name [Loadssg140v325.d]: ssg140.6.3.0r1.0 Self IP Address [192.168.1.1]: 192.168.1.1 セグメントの異なるTFTP サーバを指定します Self IP Address [192.168.1.1]: 192.168.1.1 TFTP IP Address [192.168.1.100]: 172.17.9.3 IP MASK [255.255.255.0]: 255.255.255.0 GW IP Address [1.1.1.100]: 192.168.1.254 ネットマスクとゲートウェイ のIPを指定します のIPを指定します

Boot Loader Version

情報の表示

Boot Loader Version

情報の表示

– “get system”コマンドより、Boot Loaderのバージョンを確認可能にな りました

りました。

SSG140-> get system Product Name: SSG-140

Serial Number: 0185072009000149, Control Number: ffffffff

Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 6 3 0r3 0 Type: Firewall+VPN

Software Version: 6.3.0r3.0, Type: Firewall+VPN Feature: AV-K

BOOT Loader Version: 3.2.5

Compiled by build master at: Wed Mar 31 20:59:15 PDT 2010p y _ Base Mac: 0024.dcdd.1c80

Netscreen Redundancy Protocol(NSRP)

の拡張

Netscreen Redundancy Protocol(NSRP)

の拡張

– CLIにて、“get nsrp”コマンドを入力した際に表示される情報に uptime(起動時間)の項目が追加されました

VSD group info: init hold time: 5

uptime(起動時間)の項目が追加されました。

<以前のバージョン>

init hold time: 5

heartbeat lost threshold: 3 heartbeat interval: 1000(ms) master always exist: disabled

group priority preempt holddown inelig master PB other members group priority preempt holddown inelig master PB other members

0 100 no 3 no myself 11212160 total number of vsd groups: 1

Total iteration=363,time=3753794,max=71748,min=7506,average=10341 VSD group info:

init hold time: 8

heartbeat lost threshold: 3

Uptime(起動時間)が表示されます

<OS6.3から>

Track-IP

の

Timeout

設定

Track IP

の

Timeout

設定

– I/F Monitor及びNSRP Track-IPの指定に、ICMP Timeoutの設定が 可能になりました Timeout値は1 60秒の範囲で設定可能です 可能になりました。Timeout値は1∼60秒の範囲で設定可能です。 (Default 1秒)

Policy

反映時間指定

Policy

反映時間指定

– 以下のCLIコマンドを入力することで、Policyの設定から反映までの 間隔を0 10(秒)の値で設定することが可能になりました これにより 間隔を0∼10(秒)の値で設定することが可能になりました。これにより、 ポリシー反映時の負荷を軽減し、より効率的に通信を行うことが可能 になりました。

set policy install hold-interval <値>

例） ”set policy install hold-interval 1”の場合

設定 反映

約1秒

設定可能数の拡張

設定可能数の拡張

– ISGシリーズにおいてアドレスグループ数が以下の値に拡張されまし た た。 ISG1000 512 → 4096 ISG2000 1024 4096 ISG2000 1024 → 4096 – ISGシリーズ/NS5000シリーズにおいてカスタムサービス数が以下の 値に拡張されました 値に拡張されました。 2048 → 4096 – Ipsec-nat algのタイムアウト最大値が以下の値に拡張されました。 180秒 → 3600秒

設定可能数の拡張

設定可能数の拡張

– SSG 550においてVPNトンネル数の上限数が以下の値に拡張されま した した。 1000 → 2048 – SNMPの1 コミュニティあたりのホスト数が以下の値に拡張されました。 40 64 40 → 64

– NetScreen 5000においてBGP redistributable routesが以下の値にNetScreen 5000においてBGP redistributable routesが以下の値に 拡張されました。

6000 → 17000