ScreenOS 6.0
のご案内
平成
21年3月
ノックス株式会社
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
2Agenda
• UTM
• VPN
• UAC
• Vsys
• Management
• Performance
• Trouble Shooting
• その他
OS6.0
対応プラットフォーム
• サポート対象
– SSG 5
– SSG 140
– SSG 520 / SSG 550
– SSG 520M / SSG 550M
– ISG 1000 / ISG 2000
– ISG 1000 / ISG 2000 - IDP
– NS 5000 - MGT2 / SPM2
• サポート対象外*
– NS 5XT / NS 5GT
– NS 25 / NS 50
– NS 204 / NS 208
– NS 500
– NS 5000 - MGT1 / SPM1
– NS 5000 - MGT2 / SPM1
* 旧筐体ではメモリ、CPUキャパシティ上の
問題からOS6.0をサポートしていません。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
Instant Messenger
対応
• Instant messenger (IM) のスキャンが可能になりました。
• スキャン可能なIM :
– AIM、ICQ、Yahoo! Messenger、MSN Messenger、Text/group
chat message、transfer/file sharing
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
6HTTP Trickling
の拡張
• 指定した時間ごとにTricklingを行うことが可能になりました。
– 回線の細い環境においてクライアントのブラウザタイムアウトを防ぎ
ます。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
8
Auto Connect-VPN
• 従来の大規模VPNトポロジー
– 大きく分けるとMesh型と、 Hub and Spoke型の2つがありました。
Hub & Spoke
<デメリット>
Hubの負荷
経路による遅延
Mesh
<デメリット>
拠点の負荷
トンネル数の上限
設定の複雑化
Auto Connect-VPN
NHS
NHC1
NHC2
NHC3
NHSに向けてVPNをはる
NHC
NHSから他拠点の情報をもらう
必要な部分だけNHC間でVPNをはる
NHC4
NHC5
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
10
Auto Connect-VPN
• Auto Connect VPNのメリット
– Mesh、Hub and Spoke双方のトポロジの利点を持ちます。
– Hubで処理するのは自身の通信のみであるため、Hubの負荷による
遅延は発生しません。
– 拠点同士が通信を行うため、経路による遅延は発生せず、センター、
拠点共に負荷が軽減されます。
– 必要な拠点だけVPNを張るため、トンネル数の無駄な消費を防ぎま
す。
– 拠点同士が自動的に接続を行うため、設定が容易になります。
Tunnel Interface
の
Screening
対応
• Tunnel Interface上にもScreening設定が可能になったため、
VPNを経由した通信に対してもScreeningを有効にすること
が可能になりました。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
UAC (Unified Access Control)
とは
Oddysey
Access Client
(OAC)
Oddysey
Access Client
(OAC)
認証サーバ
①認証及びPCの
エンドポイントチェックを行う
②ユーザー情報を伝え
Policyを有効にする
③通信が可能になる
Infranet
Infranet
Infranet Enforcer
(IE)
Infranet Enforcer
(IE)
Juniper Networksが提供する統合アクセスコントロール
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
14
UAC
の拡張
• Netscreen側でもInfranet Auth Tableの確認が可能になり
ました。
UAC
の拡張
• NetscreenのUTM機能との連携が可能になりました。
UAC2.1よりInfranet
Controllerでのルールがよ
り詳細に設定可能になり
ました。
割り当てられたユーザーRoleごと
に
UTM機能のON/OFFが可能に
なりました。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
VSYS
の拡張
• ISGシリーズの最大VSYS作成数が増加しました。
• Vsys Nameの設定可能上限値が増加しました。
• 従来の10文字から20文字まで使用可能になりました。
ISG 1000
10 Vsys → 50 Vsys
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
18VSYS
の拡張
• Layer2 Vsys
– TransparentモードでのVsysに対応しました。
– ISG 1000、ISG 2000、ISG-IDP、NS 5000において設定可能です。
Root Vsys
A社 Vsys
B社Vsys
C社Vsys
管理用セグメント
C社ネットワークセグメント
B社ネットワークセグメント
A社ネットワークセグメント
VLAN Retagging
• VLANのタグの付け替えが可能になりました。
L2-VSYS-A
L2-VSYS-B
L2-VSYS-C
E1.3
E1.2
E1.1
E2.3
E2.2
E2.1
L2SW
VLAN10
VLAN30
VLAN20
VLAN40
VLAN50
VLAN60
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
WebUI
のレイアウト変更
• WebUIのレイアウト変更が行われ、Informationが見やすく
なりました。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
22NTP Server
機能
• SNTPv4を使用し、NetScreen自身がNTPサーバとして動作
することができるようになりました。
– <CLI> set interface interface_name ntp-server
*本機能はNSRP構成やVSYS構成に対応しておりますがTransparent
モードではサポートされません。
SNTPv4
Authentication
• 認証機能の拡張
– 認証されたユーザーのIPアドレスをイベントログに表示
– TACACS+サポート
– ローカルデータベースと外部認証サーバーの優先度が設定可能
• Radius連携の拡張
– Framed-poolサポート
– Called-Station-ID Attributeサポート
– Calling-Station-ID Attributeサポート
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
パフォーマンスの拡張
• TCP-SYN-Check Packet Flow
– TCP-SYN-Check設定時にSYNパケットのみがCPU処理となり、
SYN-ACKおよびACKはPPU (ASIC) による処理になりました。
– Syn-checkを使用時においても、CPUの負荷軽減、パフォーマンス
向上が見込まれます。
• Session Age-Out処理の変更
– セッションのAge-Outの処理をCPUを介さずに、ASIC、メモリ間で
DMA(ダイレクトメモリアクセス)が可能になりました。これによりCPU
負荷軽減が見込まれます。
• その他
– ISG 1000/2000、ISG-IDP、NS 5000においてNSRPメッセージを最
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
26ALG
機能の変更
• ISG 1000/2000、NS 5000においていくつかのALGのデフォ
ルトが
OFFになりました。
※バージョンアップ時においても設定項目は引き継がれるため問題あり
ません。
Screening
機能の拡張
• Black Listを記述することにより、CPUに負荷をかけずASIC
処理により
DoS攻撃をDropすることが可能になりました。
• ISG 1000/2000、ISG-IDP、NS 5000において設定可能で
す。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
Universal Serial Bus Support
• SSGデバイスにおいて、コンフィグ、バージョンアップのため
のファイルイメージを
USBデバイスとFlash間にて転送が可
能になりました。
• 例)
– save config from flash to usb <string>
– save soft from usb <string> to flash
• コアダンプ、メモリーダンプ、LogをUSBに出力可能になりま
した。
– SSG 5ではUSBメモリ、SSG 140/300M/500MではUSBおよびコン
パクトフラッシュがサポートされています。
• 例)
– set log usb enable
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
30
Automated Data Gathering
• getコマンドで構成したスクリプトをバックグラウンドで実行す
ることにより、定期的にログ情報を採取することが可能にな
りました。
*ログ情報の採取に際してはCPU使用率に影響が生じます。
SSG320-> set script record
SSG320(sgc: recording)-> get tech
SSG320(sgc: recording)-> get event
SSG320(sgc: recording)-> exit record
SSG320->
SSG320->
SSG320-> exec script start count
<number> count (range: 1 - 2147483647)
SSG320-> exec script start frequency
<number> frequency (range: 1 - 2000000)
SSG320-> exec script start
SSG320-> exec script stop
SSG320-> get script output
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
ノックス株式会社 ネットワーク事業部
32Bridge Group
の拡張
• SSG 140にてオンボードのインターフェースをBridge Group
でまとめることが可能になりました。
• SSG全機種でuPIMモジュール内におけるBridge Groupに
対応しました。
*SSG320/350/520/550はオンボードでのBridge Groupには対応していま
せん。
Bridge Group
その他の機能拡張
• DIP Pool Enhancement
– 従来の252から最大1,020 のDIP pool を設定することが可能になり
ました。
• DHCP Relay Flow
– Transparent Modeにて、特定ZoneからのDHCP Relayのリクエスト
を止めることが可能になりました。
• Management IP増加
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
