ScreenOS5.1
ScreenOS5.1
のご案内
のご案内
平成17年2月
ノックス株式会社
本書の内容
•
アップグレードの注意点
•
Web Filtering
•
Anti Virusの拡張
•
Deep Inspectionの拡張
•
VoIPサポートの拡張(H.323、SIPのALG、NATサポート)
•
ルーティングの拡張
•
ALG(Application Layer Gateway)の拡張
•
Multicastサポート
•
QOS、DNS、PPPoEの拡張
•
VPNの拡張
ScreenOS 5.1
の新機能一覧
zScreenOS 5.1の
主な追加機能・変更点
z Web Filtering機能 z Netscreen-HSC/5GT/25/50のみサポート z SurfControl社のCPAサーバと連携し ポリシーベースでフィルタリング z Deep Inspection機能の拡張 z 対応プロトコルの追加 z プロトコルアノマリのパラメータ設定 z アンチウィルス z NetScreen-5GTのみサポート z 対応プロトコルの追加 z MIME対応 z VoIP機能の拡張 z NATモードのサポート z H323,SIPのALG z ルーティング機能の拡張 z Multicast Routingz ECMP (Equal Cost Multipath Routing) z SIBP (Source Interface-Based Routing) z 対応動的ルーティングプロトコルの追加 z ALGの拡張 z特殊なポーティングを行うプロトコルに対しても ステートフルにパケットを追尾 z PPPoEの拡張 z複数のPPPoEインスタンスを設定可能 zクラスタ間でPPPoEステータスの維持 z DNSの拡張 zDynamicDNS、ProxyDNSのサポート z VPNの拡張 zトンネルインターフェースにMTUの設定
zGRE (Generic Routing Encapsulation)のサポート zL2TPとL2TPoverIPSec間でのポリシー作成
z その他の拡張
zポリシーアクションとしてRejectが追加 zSNMP:L2TPに関するMIBおよびTrapを追加
アップグレードの注意点
•
ScreenOS 5.1は、弊社サポートサイト(http://support.nox.co.jp/)よりダウンロード可能です。
•
ご使用の機器をScreenOS 5.1にアップグレードされる前にファームウェアに同梱されている
「NetScreen ScreenOS Migration Guide」を必ずお読みください。
•
アップグレード対象機器:NetScreen-HSC、NetScreen-5XT、NetScreen-5GT、NetScreen-25、
NetScreen-50、NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-5000
•
ScreenOSのバージョンアップには、ソフトウェア保守契約もしくは無償保守(ご購入後3ヶ月間)が
必要です。
•
ScreenOSのバージョンアップの際には、実行前に設定ファイルのバックアップを取ることを強く推
奨致します。
– バックアップ方法• WebUIより Configuration > Update > Config File > Save To File • コマンドラインより ns >get configの出力をファイル保存
• TFTPサーバへの保存 ns >save config [from flash] to tftp <TFTPサーバのIP> < ファイル名> 例)ns >save config to tftp 192.168.1.100 cfg-0214.txt
Web Filtering
•
NetScreenのWeb Filteringソリューション
– Integrated型 • NetScreen-HSC、NetScreen-5GT、NetScreen-25、NetScreen-50 – SurfControl社のCPAサーバと連携します。 – Profileを作成する事でカテゴリ毎のアクション選択が可能です。 – URL、IPアドレス指定でCustomカテゴリの作成が可能です。 – ポリシーベースでのフィルタが可能です。URL
要求
ポリシー:
URLのチェック
通信許可
通信ブロック
:
ユーザーにはメッセージ表示
URL
データベース
Web Filtering
(サーチフロー)
HTMLリクエスト デフォルトアクション Y Y Y Y N N N N Block Permit Block or Permit Block or PermitBlack List White List ユーザー定義カテゴリ Pre-definedカテゴリ
Block or Permit
Web Filtering
(
Profile
設定画面)
Black List、White List、Default Actionに関する設定項目
Web Filtering
(ポリシー設定画面)
Web Filteringをポリシーに 適用した際のアイコン表示
Web Filtering
(ライセンス形態)
•
Web Filteringのライセンスについて
– 以下のいずれかの方法によってWeb Filtering機能のご利用が可能です。 NS-WF-xx 既存もしくは新規購入機器 1年 1年 NS-WF-xx Expire Expire NS-WF-xx Expire Web Filtering サブスクリプション NS-MNT1-xx NS-MNT2-xx NS-MNT2-xx 本体保守 更新 更新Anti Virus
•
NetScreenのAnti Virusソリューション
– NetScreen-5GTのみサポート• 対応プロトコル(従来のHTTP、SMTP、POP3に加え、FTP、IMAP)が追加されました。 • MIME(Multipurpose Internet Mail Extensions)対応が可能になりました。
Virus Scanning Application Programming Interface (VSAPI)
TO: A FROM: B Subject:: CCC TO: A FROM: B Subject:: CCC Attachment Has been Dropped NetScreen-5GTのアンチウィルス
Anti Virus
(設定画面)
Pattern Updateに関する設定項目
サイズ、ファイル数の上限を超えた 際のアクションに関する設定項目
Anti Virus
(ライセンス形態)
•
Anti Virusのライセンスについて
– 以下のいずれかの方法によってAnti virus機能のご利用が可能です。 NS-AV-5GT NS-AV-5GTP NS-AV-5GTE 新規購入機器 1年 1年 NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire Expire NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire NetScreen-5GT Anti Virus アップグレード NS-MNT1-5GT NS-MNT1-5GTP NS-MNT2-5GT NS-MNT2-5GTP NS-MNT2-5GT NS-MNT2-5GTP 本体保守 NetScreen-5GT Anti Virus Deep Inspection バンドル NS-5GT-007 NS-5GT-107 既存機器 NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire Expire NS-AVS-5GT NS-AVS-5GTP NS-AVS-5GTE Expire NS-5GT-007-AV NS-5GT-107-AV NS-5GT-207-AVDeep Inspection
•
NetScreenのDeep Inspectionソリューション
– 全モデルサポート• 対応プロトコル(従来のFTP、DNS、HTTP、IMAP、POP3、SMTPに加え、
AOL Instant Messenger, Yahoo! Messenger, MSN, MS-RPC, NetBIOS/SMB, Gnutella, P2P)が追加されました。
• プロトコルアノマリのパラメータ設定が可能になりました。
• 同一ポリシー内においてAttack Object毎にAction指定が可能になりました。
Src IP Dst IP Src Port Dst Port Protocol Payload
Src IP Dst IP Src Port Dst Port Protocol Payload ステートフルインスペクション Layer 3、4(IP、ポート番号)をベースとしたポリシー ポリシーマッチ NO YES Drop NO Drop YES Deep Inspection Forward packet アタック検知 NO YES NO Deep Inspection で定義された アクション YES Drop Close Ignore Deep Inspection アプリケーションレベルをベースとしたアクション 検査方法 セッションの初期パケット→ポリシー検査 セッション中のパケット→ステイト情報、セッションテーブル 検査方法 アプリケーションレイヤーでのシグネチャマッチング プロトコル規則から逸脱した異常通信を検知 ポリシー許可
Deep Inspection
(プロトコルアノマリ設定画面)
プロトコルアノマリのカスタマイズに 関する設定項目
Deep Inspection
(ポリシー設定画面)
Attack Object毎のAction、Logの 有無に関する設定項目
Deep Inspection
(ライセンス形態)
•
Deep Inspectionのライセンスについて
– 以下のいずれかの方法によってDeep Inspection機能のご利用が可能です。 NS-DI-xx 既存もしくは新規購入機器 1年 1年 NS-DI-xxExpire Expire NS-DI-xx
Expire Web Filtering サブスクリプション NS-MNT1-xx NS-MNT2-xx NS-MNT2-xx 本体保守 更新 更新
VoIP
•
VoIPの拡張
– H.323 • NATモードをサポートしました。 • H.323シグナリング ルーテッドシグナリングモードをサポートしました。 – SIP • NATモードをサポートしました。VoIP
•
Routeモード
– Routingテーブルを参照してパケットをフォワードします。 – ポリシーによる許可が必要です。 Trust⇔DMZ、Trust⇔Untrust、DMZ⇔UntrustDMZ
Trust
Untrust
10.1.2.0/24
10.1.1.0/24
Trust
10.1.3.0/24
Untrust
GK
GK
VoIP
•
NATモード
– ポリシーによる許可が必要です。Gatekeeper用MIP
Trust側電話用DIP
Trust側電話用DIP
DMZ
Trust
Untrust
10.1.2.0/24
10.1.1.0/24
Trust
10.1.3.0/24
Untrust
GK
GK
VoIP
•
Transparent モード
– ポリシーによる許可が必要です。V1-DMZ
V1-Trust
V1-Untrust
10.16.0.1-99
10.16.0.100-199
10.16.0.200-250
GK
GK
VoIP
•
VPN
DMZ
Trust
Untrust
10.1.2.0/24
10.1.1.0/24
Trust
10.1.3.0/24
Untrust
GK/Proxy
GK/Proxy
VPNトンネルRouting
•
Equal Cost Multipath Routing(ECMP)
Routing
•
Source Interface-Based Routing (SIBR)
Routing
•
Multicast Routing
– Internet Group Management Protocol (IGMP) versions 1, 2, 3をサポートしました。 – Protocol Independent Multicast - Sparse Mode (PIM-SM)をサポートしました。
Routing
•
Dynamic Routing
– RIP • RIPv1、RIPv2をサポートしました。 • P2MP interfaceをサポートしました。 – OSPF • Demand Circuitをサポートしました。 • P2MP interfaceをサポートしました。ALG
の拡張
•
Application Layer Gateway(ALG)
– 特殊なポーティングを行うプロトコルに関してもステートフルにパケットを追尾することが可能になりました。 • Sun RPC ALG—Remote Procedure Call Application Layer Gateway
• Microsoft RPC ALG—Remote Procedure Call Application Layer Gateway • RTSP ALG—Real Time Streaming Protocol Application-Layer Gateway • NAT Support for SIP ALG
• H.323
PPPoE
の拡張
•
Multiple PPPoE Sessions Over a Single Interface
– 単一の物理I/F上にuntaggedのsub-Interface (encap) を作成することにより、複数のPPPoEインスタンスが 設定可能になりました。
•
PPPoE and NSRP
– クラスタ間でPPPoEステータスの維持が可能になりました。これによりフェイルーオーバー後も同一のIPを使 用する事が可能になりました。VPNを使用している場合など、同一のIPを継続的に使用する必要がある場合 に有効な機能です。
DNS
の拡張
•
Dynamic DNS
– Dynamic DNSにより自身のIPサーバに登録することにより、IPアドレスが変更された場合でも、 ホスト名によるアクセスが可能となりました。•
Proxy DNS
– NetScreenに設定されたDNSもしくは任意に設定したDNSを元にDNSをProxyします。VPN
の拡張
•
MTU on Tunnel Interface
– 物理インターフェースと同様にトンネルインターフェースにMaximum Transmission Unit (MTU) サイズの指 定が可能になりました。トンネルインターフェースに到達したパケットが、このサイズを超える場合はフラグメ ントされます。
•
Generic Routing Encapsulation (GRE)
– GREトンネルの終端が可能になりました。トンネルインターフェース上でGREトンネルのオプションをONにす ることにより、NetScreenはもう一台のNetScreenとの間でIPSecのVPN上にマルチキャストパケットを流す ことが出来ます。
•
Outgoing Dialup Policy for L2TP and L2TP over IPSEC
– L2TP とL2TP over IPSecのOutgoingポリシーが作成可能となりました。これにより双方向のL2TPとL2TP over IPSecの双方向ポリシーが作成可能になりました。
その他の拡張
•
New Policy Action – Reject
– ポリシーのアクションにRejectが選択可能になりました。NetScreenがパケットをDropした後、TCPトラフィッ クの場合には、Srcのホストに対しRSTパケット、UDPトラフィックの場合には、ICMP “destination
その他の拡張
•
SNMP
– NS-VPN-L2TP.mibにL2TPトンネルに関する以下のMIBが追加されました。 • NsVpnL2tpMonTunnelEntry • NsVpnL2tpMonCallEntry – NS-TRAPS.mibにトンネルの切断に関する以下のトラップが追加されました。 • vpn-l2tp-tunnel-remove(43), -- VPN tunnel removed• vpn-l2tp-tunnel-remove-err(44), -- VPN tunnel removed and error detected • vpn-l2tp-call-remove(45), -- VPN call removed
• vpn-l2tp-call-remove-err(46), -- VPN call removed and error detected
•
DiffServ Code Point Marking
– DSCPの上位3bitのマーキングに対応していましたが、global optionである次の3bitの部分を0で埋める事に より、NetScreenより下流の機器にて、NetScreenのポリシーに準じたプライオリティで処理させることが可能 になりました。