Comments
Description
Transcript
Copyright (C) - NOX User Support
ScreenOS 6.0のご案内 平成21年3月 ノックス株式会社 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. Agenda • UTM • VPN • UAC • Vsys • Management • Performance • Trouble Shooting • その他 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 2 OS6.0対応プラットフォーム • サポート対象 – – – – – – – SSG 5 SSG 140 SSG 520 / SSG 550 SSG 520M / SSG 550M ISG 1000 / ISG 2000 ISG 1000 / ISG 2000 - IDP NS 5000 - MGT2 / SPM2 ノックス株式会社 ネットワーク事業部 • サポート対象外* – – – – – – NS 5XT / NS 5GT NS 25 / NS 50 NS 204 / NS 208 NS 500 NS 5000 - MGT1 / SPM1 NS 5000 - MGT2 / SPM1 * 旧筐体ではメモリ、CPUキャパシティ上の 問題からOS6.0をサポートしていません。 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 3 UTM(AV機能)の拡張 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. Instant Messenger対応 • Instant messenger (IM) のスキャンが可能になりました。 • スキャン可能なIM : – AIM、ICQ、Yahoo! Messenger、MSN Messenger、Text/group chat message、transfer/file sharing ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 5 HTTP Tricklingの拡張 • 指定した時間ごとにTricklingを行うことが可能になりました。 – 回線の細い環境においてクライアントのブラウザタイムアウトを防ぎ ます。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 6 VPNの拡張 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. Auto Connect-VPN • 従来の大規模VPNトポロジー – 大きく分けるとMesh型と、 Hub and Spoke型の2つがありました。 Mesh Hub & Spoke <デメリット> 拠点の負荷 <デメリット> トンネル数の上限 Hubの負荷 設定の複雑化 経路による遅延 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 8 Auto Connect-VPN NHC NHC1 NHC2 NHS NHC3 NHC4 NHSに向けてVPNをはる NHSから他拠点の情報をもらう NHC5 必要な部分だけNHC間でVPNをはる ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 9 Auto Connect-VPN • Auto Connect VPNのメリット – Mesh、Hub and Spoke双方のトポロジの利点を持ちます。 – Hubで処理するのは自身の通信のみであるため、Hubの負荷による 遅延は発生しません。 – 拠点同士が通信を行うため、経路による遅延は発生せず、センター、 拠点共に負荷が軽減されます。 – 必要な拠点だけVPNを張るため、トンネル数の無駄な消費を防ぎま す。 – 拠点同士が自動的に接続を行うため、設定が容易になります。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 10 Tunnel InterfaceのScreening対応 • Tunnel Interface上にもScreening設定が可能になったため、 VPNを経由した通信に対してもScreeningを有効にすること が可能になりました。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 11 UACの拡張 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. UAC (Unified Access Control)とは Juniper Networksが提供する統合アクセスコントロール ③通信が可能になる Infranet Infranet Enforcer Enforcer (IE) (IE) Oddysey Oddysey Access Access Client Client (OAC) (OAC) ②ユーザー情報を伝え Policyを有効にする ①認証及びPCの エンドポイントチェックを行う Infranet Infranet Controller Controller (IC) (IC) ノックス株式会社 ネットワーク事業部 認証サーバ Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 13 UACの拡張 • Netscreen側でもInfranet Auth Tableの確認が可能になり ました。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 14 UACの拡張 • NetscreenのUTM機能との連携が可能になりました。 UAC2.1よりInfranet Controllerでのルールがよ り詳細に設定可能になり ました。 割り当てられたユーザーRoleごと にUTM機能のON/OFFが可能に なりました。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 15 Vsysの拡張 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. VSYSの拡張 • ISGシリーズの最大VSYS作成数が増加しました。 ISG 1000 ISG 2000 10 Vsys → 50 Vsys 50 Vsys → 250 Vsys • Vsys Nameの設定可能上限値が増加しました。 • 従来の10文字から20文字まで使用可能になりました。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 17 VSYSの拡張 • Layer2 Vsys – TransparentモードでのVsysに対応しました。 – ISG 1000、ISG 2000、ISG-IDP、NS 5000において設定可能です。 管理用セグメント A社ネットワークセグメント B社ネットワークセグメント C社ネットワークセグメント ノックス株式会社 ネットワーク事業部 Root Vsys A社 Vsys B社Vsys C社Vsys Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 18 VLAN Retagging • VLANのタグの付け替えが可能になりました。 L2-VSYS-C L2-VSYS-B L2-VSYS-A E1.3 E1.2 E1.1 E2.3 VLAN60 E2.2 VLAN50 E2.1 VLAN40 VLAN30 VLAN20 VLAN10 L2SW ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 19 Managementの拡張 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. WebUIのレイアウト変更 • WebUIのレイアウト変更が行われ、Informationが見やすく なりました。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 21 NTP Server機能 • SNTPv4を使用し、NetScreen自身がNTPサーバとして動作 することができるようになりました。 – <CLI> set interface interface_name ntp-server *本機能はNSRP構成やVSYS構成に対応しておりますがTransparent モードではサポートされません。 NTP Server SNTPv4 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 22 Authentication • 認証機能の拡張 – 認証されたユーザーのIPアドレスをイベントログに表示 – TACACS+サポート – ローカルデータベースと外部認証サーバーの優先度が設定可能 • Radius連携の拡張 – Framed-poolサポート – Called-Station-ID Attributeサポート – Calling-Station-ID Attributeサポート ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 23 Performanceの向上 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. パフォーマンスの拡張 • TCP-SYN-Check Packet Flow – TCP-SYN-Check設定時にSYNパケットのみがCPU処理となり、 SYN-ACKおよびACKはPPU (ASIC) による処理になりました。 – Syn-checkを使用時においても、CPUの負荷軽減、パフォーマンス 向上が見込まれます。 • Session Age-Out処理の変更 – セッションのAge-Outの処理をCPUを介さずに、ASIC、メモリ間で DMA(ダイレクトメモリアクセス)が可能になりました。これによりCPU 負荷軽減が見込まれます。 • その他 – ISG 1000/2000、ISG-IDP、NS 5000においてNSRPメッセージを最 適化します。これによりパフォーマンス向上が見込まれます。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 25 ALG機能の変更 • ISG 1000/2000、NS 5000においていくつかのALGのデフォ ルトがOFFになりました。 ※バージョンアップ時においても設定項目は引き継がれるため問題あり ません。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 26 Screening機能の拡張 • Black Listを記述することにより、CPUに負荷をかけずASIC 処理によりDoS攻撃をDropすることが可能になりました。 • ISG 1000/2000、ISG-IDP、NS 5000において設定可能で す。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 27 Trouble Shooting機能の拡張 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. Universal Serial Bus Support • SSGデバイスにおいて、コンフィグ、バージョンアップのため のファイルイメージをUSBデバイスとFlash間にて転送が可 能になりました。 • 例) – save config from flash to usb <string> – save soft from usb <string> to flash • コアダンプ、メモリーダンプ、LogをUSBに出力可能になりま した。 – SSG 5ではUSBメモリ、SSG 140/300M/500MではUSBおよびコン パクトフラッシュがサポートされています。 • 例) – set log usb enable – set core-dump usb full|large <string> <number> – <number> :flash file size (unit Mega) 1GBまでサポート ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 29 Automated Data Gathering • getコマンドで構成したスクリプトをバックグラウンドで実行す ることにより、定期的にログ情報を採取することが可能にな りました。 *ログ情報の採取に際してはCPU使用率に影響が生じます。 SSG320-> set script record SSG320(sgc: recording)-> get tech SSG320(sgc: recording)-> get event SSG320(sgc: recording)-> exit record SSG320-> SSG320-> SSG320-> exec script start count <number> count (range: 1 - 2147483647) SSG320-> exec script start frequency <number> frequency (range: 1 - 2000000) SSG320-> exec script start SSG320-> exec script stop SSG320-> get script output ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 30 その他の機能拡張 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. Bridge Groupの拡張 • SSG 140にてオンボードのインターフェースをBridge Group でまとめることが可能になりました。 • SSG全機種でuPIMモジュール内におけるBridge Groupに 対応しました。 *SSG320/350/520/550はオンボードでのBridge Groupには対応していま せん。 Bridge Group ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 32 その他の機能拡張 • DIP Pool Enhancement – 従来の252から最大1,020 のDIP pool を設定することが可能になり ました。 • DHCP Relay Flow – Transparent Modeにて、特定ZoneからのDHCP Relayのリクエスト を止めることが可能になりました。 • Management IP増加 – Manager-ip(permitted-ip)の設定上限数が6から50に増加しました。 ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 33 その他の機能拡張 • NS 5400のセッション数増加 – NS 5400の最大同時セッション数が2,000,000に増加しました。 • NSRP構成におけるIDPモジュールのモニタリング – NSRP構成のISG 1000/2000において、IDPモジュールの障害にウ エイトを設定することが可能になりました。 – set nsrp monitor sm <x> weight <num> コマンドによりウエイトの設 定が可能となっております。(初期設定値:255) ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved. 34 Thank You! ノックス株式会社 ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.