...

Copyright (C) - NOX User Support

by user

on
Category: Documents
8

views

Report

Comments

Transcript

Copyright (C) - NOX User Support
ScreenOS 6.0のご案内
平成21年3月
ノックス株式会社
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
Agenda
• UTM
• VPN
• UAC
• Vsys
• Management
• Performance
• Trouble Shooting
• その他
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
2
OS6.0対応プラットフォーム
•
サポート対象
–
–
–
–
–
–
–
SSG 5
SSG 140
SSG 520 / SSG 550
SSG 520M / SSG 550M
ISG 1000 / ISG 2000
ISG 1000 / ISG 2000 - IDP
NS 5000 - MGT2 / SPM2
ノックス株式会社 ネットワーク事業部
•
サポート対象外*
–
–
–
–
–
–
NS 5XT / NS 5GT
NS 25 / NS 50
NS 204 / NS 208
NS 500
NS 5000 - MGT1 / SPM1
NS 5000 - MGT2 / SPM1
* 旧筐体ではメモリ、CPUキャパシティ上の
問題からOS6.0をサポートしていません。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
3
UTM(AV機能)の拡張
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
Instant Messenger対応
• Instant messenger (IM) のスキャンが可能になりました。
• スキャン可能なIM :
– AIM、ICQ、Yahoo! Messenger、MSN Messenger、Text/group
chat message、transfer/file sharing
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
5
HTTP Tricklingの拡張
• 指定した時間ごとにTricklingを行うことが可能になりました。
– 回線の細い環境においてクライアントのブラウザタイムアウトを防ぎ
ます。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
6
VPNの拡張
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
Auto Connect-VPN
• 従来の大規模VPNトポロジー
– 大きく分けるとMesh型と、 Hub and Spoke型の2つがありました。
Mesh
Hub & Spoke
<デメリット>
拠点の負荷
<デメリット>
トンネル数の上限
Hubの負荷
設定の複雑化
経路による遅延
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
8
Auto Connect-VPN
NHC
NHC1
NHC2
NHS
NHC3
NHC4
NHSに向けてVPNをはる
NHSから他拠点の情報をもらう
NHC5
必要な部分だけNHC間でVPNをはる
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
9
Auto Connect-VPN
• Auto Connect VPNのメリット
– Mesh、Hub and Spoke双方のトポロジの利点を持ちます。
– Hubで処理するのは自身の通信のみであるため、Hubの負荷による
遅延は発生しません。
– 拠点同士が通信を行うため、経路による遅延は発生せず、センター、
拠点共に負荷が軽減されます。
– 必要な拠点だけVPNを張るため、トンネル数の無駄な消費を防ぎま
す。
– 拠点同士が自動的に接続を行うため、設定が容易になります。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
10
Tunnel InterfaceのScreening対応
• Tunnel Interface上にもScreening設定が可能になったため、
VPNを経由した通信に対してもScreeningを有効にすること
が可能になりました。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
11
UACの拡張
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
UAC (Unified Access Control)とは
Juniper Networksが提供する統合アクセスコントロール
③通信が可能になる
Infranet
Infranet Enforcer
Enforcer
(IE)
(IE)
Oddysey
Oddysey
Access
Access Client
Client
(OAC)
(OAC)
②ユーザー情報を伝え
Policyを有効にする
①認証及びPCの
エンドポイントチェックを行う
Infranet
Infranet
Controller
Controller (IC)
(IC)
ノックス株式会社 ネットワーク事業部
認証サーバ
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
13
UACの拡張
• Netscreen側でもInfranet Auth Tableの確認が可能になり
ました。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
14
UACの拡張
• NetscreenのUTM機能との連携が可能になりました。
UAC2.1よりInfranet
Controllerでのルールがよ
り詳細に設定可能になり
ました。
割り当てられたユーザーRoleごと
にUTM機能のON/OFFが可能に
なりました。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
15
Vsysの拡張
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
VSYSの拡張
• ISGシリーズの最大VSYS作成数が増加しました。
ISG 1000
ISG 2000
10 Vsys → 50 Vsys
50 Vsys → 250 Vsys
• Vsys Nameの設定可能上限値が増加しました。
• 従来の10文字から20文字まで使用可能になりました。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
17
VSYSの拡張
• Layer2 Vsys
– TransparentモードでのVsysに対応しました。
– ISG 1000、ISG 2000、ISG-IDP、NS 5000において設定可能です。
管理用セグメント
A社ネットワークセグメント
B社ネットワークセグメント
C社ネットワークセグメント
ノックス株式会社 ネットワーク事業部
Root Vsys
A社 Vsys
B社Vsys
C社Vsys
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
18
VLAN Retagging
• VLANのタグの付け替えが可能になりました。
L2-VSYS-C
L2-VSYS-B
L2-VSYS-A
E1.3
E1.2
E1.1
E2.3
VLAN60
E2.2
VLAN50
E2.1
VLAN40
VLAN30
VLAN20
VLAN10
L2SW
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
19
Managementの拡張
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
WebUIのレイアウト変更
• WebUIのレイアウト変更が行われ、Informationが見やすく
なりました。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
21
NTP Server機能
• SNTPv4を使用し、NetScreen自身がNTPサーバとして動作
することができるようになりました。
– <CLI>
set interface interface_name ntp-server
*本機能はNSRP構成やVSYS構成に対応しておりますがTransparent
モードではサポートされません。
NTP Server
SNTPv4
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
22
Authentication
• 認証機能の拡張
– 認証されたユーザーのIPアドレスをイベントログに表示
– TACACS+サポート
– ローカルデータベースと外部認証サーバーの優先度が設定可能
• Radius連携の拡張
– Framed-poolサポート
– Called-Station-ID Attributeサポート
– Calling-Station-ID Attributeサポート
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
23
Performanceの向上
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
パフォーマンスの拡張
• TCP-SYN-Check Packet Flow
– TCP-SYN-Check設定時にSYNパケットのみがCPU処理となり、
SYN-ACKおよびACKはPPU (ASIC) による処理になりました。
– Syn-checkを使用時においても、CPUの負荷軽減、パフォーマンス
向上が見込まれます。
• Session Age-Out処理の変更
– セッションのAge-Outの処理をCPUを介さずに、ASIC、メモリ間で
DMA(ダイレクトメモリアクセス)が可能になりました。これによりCPU
負荷軽減が見込まれます。
• その他
– ISG 1000/2000、ISG-IDP、NS 5000においてNSRPメッセージを最
適化します。これによりパフォーマンス向上が見込まれます。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
25
ALG機能の変更
• ISG 1000/2000、NS 5000においていくつかのALGのデフォ
ルトがOFFになりました。
※バージョンアップ時においても設定項目は引き継がれるため問題あり
ません。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
26
Screening機能の拡張
• Black Listを記述することにより、CPUに負荷をかけずASIC
処理によりDoS攻撃をDropすることが可能になりました。
• ISG 1000/2000、ISG-IDP、NS 5000において設定可能で
す。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
27
Trouble Shooting機能の拡張
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
Universal Serial Bus Support
• SSGデバイスにおいて、コンフィグ、バージョンアップのため
のファイルイメージをUSBデバイスとFlash間にて転送が可
能になりました。
• 例)
– save config from flash to usb <string>
– save soft from usb <string> to flash
• コアダンプ、メモリーダンプ、LogをUSBに出力可能になりま
した。
– SSG 5ではUSBメモリ、SSG 140/300M/500MではUSBおよびコン
パクトフラッシュがサポートされています。
• 例)
– set log usb enable
– set core-dump usb full|large <string> <number>
– <number> :flash file size (unit Mega) 1GBまでサポート
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
29
Automated Data Gathering
• getコマンドで構成したスクリプトをバックグラウンドで実行す
ることにより、定期的にログ情報を採取することが可能にな
りました。
*ログ情報の採取に際してはCPU使用率に影響が生じます。
SSG320-> set script record
SSG320(sgc: recording)-> get tech
SSG320(sgc: recording)-> get event
SSG320(sgc: recording)-> exit record
SSG320->
SSG320->
SSG320-> exec script start count
<number>
count (range: 1 - 2147483647)
SSG320-> exec script start frequency
<number>
frequency (range: 1 - 2000000)
SSG320-> exec script start
SSG320-> exec script stop
SSG320-> get script output
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
30
その他の機能拡張
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
Bridge Groupの拡張
• SSG 140にてオンボードのインターフェースをBridge Group
でまとめることが可能になりました。
• SSG全機種でuPIMモジュール内におけるBridge Groupに
対応しました。
*SSG320/350/520/550はオンボードでのBridge Groupには対応していま
せん。
Bridge Group
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
32
その他の機能拡張
• DIP Pool Enhancement
– 従来の252から最大1,020 のDIP pool を設定することが可能になり
ました。
• DHCP Relay Flow
– Transparent Modeにて、特定ZoneからのDHCP Relayのリクエスト
を止めることが可能になりました。
• Management IP増加
– Manager-ip(permitted-ip)の設定上限数が6から50に増加しました。
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
33
その他の機能拡張
• NS 5400のセッション数増加
– NS 5400の最大同時セッション数が2,000,000に増加しました。
• NSRP構成におけるIDPモジュールのモニタリング
– NSRP構成のISG 1000/2000において、IDPモジュールの障害にウ
エイトを設定することが可能になりました。
– set nsrp monitor sm <x> weight <num> コマンドによりウエイトの設
定が可能となっております。(初期設定値:255)
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
34
Thank You!
ノックス株式会社 ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.
Fly UP