screenos6.0のご案内 - nox user support...– ns 5000 -mgt2 / spm2 • サポート対象外* –...
TRANSCRIPT
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
ScreenOS 6.0のご案内
平成21年3月ノックス株式会社
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
2
Agenda
• UTM• VPN• UAC• Vsys• Management• Performance• Trouble Shooting• その他
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
3
OS6.0対応プラットフォーム
• サポート対象– SSG 5– SSG 140– SSG 520 / SSG 550– SSG 520M / SSG 550M– ISG 1000 / ISG 2000– ISG 1000 / ISG 2000 - IDP– NS 5000 - MGT2 / SPM2
• サポート対象外*– NS 5XT / NS 5GT– NS 25 / NS 50– NS 204 / NS 208– NS 500– NS 5000 - MGT1 / SPM1– NS 5000 - MGT2 / SPM1
* 旧筐体ではメモリ、CPUキャパシティ上の問題からOS6.0をサポートしていません。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
UTM(AV機能)の拡張
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
5
Instant Messenger対応
• Instant messenger (IM) のスキャンが可能になりました。• スキャン可能なIM :
– AIM、ICQ、Yahoo! Messenger、MSN Messenger、Text/group chat message、transfer/file sharing
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
6
HTTP Tricklingの拡張
• 指定した時間ごとにTricklingを行うことが可能になりました。– 回線の細い環境においてクライアントのブラウザタイムアウトを防ぎ
ます。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
VPNの拡張
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
8
Auto Connect-VPN
• 従来の大規模VPNトポロジー– 大きく分けるとMesh型と、 Hub and Spoke型の2つがありました。
Hub & Spoke
<デメリット>
Hubの負荷
経路による遅延
Mesh
<デメリット>
拠点の負荷
トンネル数の上限
設定の複雑化
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
9
Auto Connect-VPN
NHS
NHC1
NHC2
NHC3
NHSに向けてVPNをはる
NHC
NHSから他拠点の情報をもらう
必要な部分だけNHC間でVPNをはる
NHC4
NHC5
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
10
Auto Connect-VPN
• Auto Connect VPNのメリット– Mesh、Hub and Spoke双方のトポロジの利点を持ちます。– Hubで処理するのは自身の通信のみであるため、Hubの負荷による
遅延は発生しません。
– 拠点同士が通信を行うため、経路による遅延は発生せず、センター、拠点共に負荷が軽減されます。
– 必要な拠点だけVPNを張るため、トンネル数の無駄な消費を防ぎます。
– 拠点同士が自動的に接続を行うため、設定が容易になります。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
11
Tunnel InterfaceのScreening対応
• Tunnel Interface上にもScreening設定が可能になったため、VPNを経由した通信に対してもScreeningを有効にすることが可能になりました。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
UACの拡張
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
13
UAC (Unified Access Control)とは
Oddysey Access Client
(OAC)
Oddysey Access Client
(OAC)
認証サーバ
①認証及びPCのエンドポイントチェックを行う
②ユーザー情報を伝えPolicyを有効にする
③通信が可能になる
Infranet Controller (IC)
Infranet Controller (IC)
Infranet Enforcer (IE)
Infranet Enforcer (IE)
Juniper Networksが提供する統合アクセスコントロール
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
14
UACの拡張
• Netscreen側でもInfranet Auth Tableの確認が可能になりました。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
15
UACの拡張
• NetscreenのUTM機能との連携が可能になりました。
UAC2.1よりInfranet Controllerでのルールがより詳細に設定可能になりました。
割り当てられたユーザーRoleごとにUTM機能のON/OFFが可能になりました。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
Vsysの拡張
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
17
VSYSの拡張
• ISGシリーズの最大VSYS作成数が増加しました。
• Vsys Nameの設定可能上限値が増加しました。• 従来の10文字から20文字まで使用可能になりました。
ISG 1000 10 Vsys → 50 VsysISG 2000 50 Vsys → 250 Vsys
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
18
VSYSの拡張
• Layer2 Vsys– TransparentモードでのVsysに対応しました。– ISG 1000、ISG 2000、ISG-IDP、NS 5000において設定可能です。
Root Vsys
A社 Vsys
B社Vsys
C社Vsys
管理用セグメント
C社ネットワークセグメント
B社ネットワークセグメント
A社ネットワークセグメント
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
19
VLAN Retagging
• VLANのタグの付け替えが可能になりました。
L2-VSYS-A
L2-VSYS-B
L2-VSYS-C E1.3
E1.2
E1.1
E2.3
E2.2
E2.1
L2SWVLAN10
VLAN30
VLAN20
VLAN40
VLAN50
VLAN60
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
Managementの拡張
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
21
WebUIのレイアウト変更
• WebUIのレイアウト変更が行われ、Informationが見やすくなりました。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
22
NTP Server機能
• SNTPv4を使用し、NetScreen自身がNTPサーバとして動作することができるようになりました。
– set interface interface_name ntp-server*本機能はNSRP構成やVSYS構成に対応しておりますがTransparent
モードではサポートされません。
SNTPv4
NTP Server
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
23
Authentication
• 認証機能の拡張– 認証されたユーザーのIPアドレスをイベントログに表示– TACACS+サポート– ローカルデータベースと外部認証サーバーの優先度が設定可能
• Radius連携の拡張– Framed-poolサポート– Called-Station-ID Attributeサポート– Calling-Station-ID Attributeサポート
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
Performanceの向上
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
25
パフォーマンスの拡張
• TCP-SYN-Check Packet Flow– TCP-SYN-Check設定時にSYNパケットのみがCPU処理となり、
SYN-ACKおよびACKはPPU (ASIC) による処理になりました。– Syn-checkを使用時においても、CPUの負荷軽減、パフォーマンス
向上が見込まれます。
• Session Age-Out処理の変更– セッションのAge-Outの処理をCPUを介さずに、ASIC、メモリ間で
DMA(ダイレクトメモリアクセス)が可能になりました。これによりCPU負荷軽減が見込まれます。
• その他– ISG 1000/2000、ISG-IDP、NS 5000においてNSRPメッセージを最
適化します。これによりパフォーマンス向上が見込まれます。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
26
ALG機能の変更
• ISG 1000/2000、NS 5000においていくつかのALGのデフォルトがOFFになりました。※バージョンアップ時においても設定項目は引き継がれるため問題あり
ません。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
27
Screening機能の拡張
• Black Listを記述することにより、CPUに負荷をかけずASIC処理によりDoS攻撃をDropすることが可能になりました。
• ISG 1000/2000、ISG-IDP、NS 5000において設定可能です。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
Trouble Shooting機能の拡張
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
29
Universal Serial Bus Support
• SSGデバイスにおいて、コンフィグ、バージョンアップのためのファイルイメージをUSBデバイスとFlash間にて転送が可能になりました。
• 例)– save config from flash to usb – save soft from usb to flash
• コアダンプ、メモリーダンプ、LogをUSBに出力可能になりました。
– SSG 5ではUSBメモリ、SSG 140/300M/500MではUSBおよびコンパクトフラッシュがサポートされています。
• 例)– set log usb enable– set core-dump usb full|large – :flash file size (unit Mega) 1GBまでサポート
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
30
Automated Data Gathering
• getコマンドで構成したスクリプトをバックグラウンドで実行することにより、定期的にログ情報を採取することが可能になりました。
*ログ情報の採取に際してはCPU使用率に影響が生じます。
SSG320-> set script recordSSG320(sgc: recording)-> get techSSG320(sgc: recording)-> get eventSSG320(sgc: recording)-> exit recordSSG320->SSG320->SSG320-> exec script start count count (range: 1 - 2147483647)SSG320-> exec script start frequency frequency (range: 1 - 2000000)SSG320-> exec script startSSG320-> exec script stopSSG320-> get script output
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
その他の機能拡張
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
32
Bridge Groupの拡張
• SSG 140にてオンボードのインターフェースをBridge Groupでまとめることが可能になりました。
• SSG全機種でuPIMモジュール内におけるBridge Groupに対応しました。
*SSG320/350/520/550はオンボードでのBridge Groupには対応していません。
Bridge Group
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
33
その他の機能拡張
• DIP Pool Enhancement– 従来の252から最大1,020 のDIP pool を設定することが可能になり
ました。
• DHCP Relay Flow– Transparent Modeにて、特定ZoneからのDHCP Relayのリクエスト
を止めることが可能になりました。
• Management IP増加– Manager-ip(permitted-ip)の設定上限数が6から50に増加しました。
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
34
その他の機能拡張
• NS 5400のセッション数増加– NS 5400の最大同時セッション数が2,000,000に増加しました。
• NSRP構成におけるIDPモジュールのモニタリング– NSRP構成のISG 1000/2000において、IDPモジュールの障害にウ
エイトを設定することが可能になりました。
– set nsrp monitor sm weight コマンドによりウエイトの設定が可能となっております。(初期設定値:255)
-
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
Thank You!