screenos6.2のご案内 - nox user supportsupport.nox.co.jp/juniper/download/new/screenos6.2.pdf–...
TRANSCRIPT
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
ScreenOS6.2ScreenOS6.2のご案内のご案内
平成21年11月ノックス株式会社ネットワーク事業部
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
1
Agenda
• UTM• VSYS• IPv6• その他
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
3
アンチスパム BlackListの拡張
– Black Listの指定に、サブネットマスクを利用したIPアドレスレンジの記載が可能になりました。
IPアドレスをサブネットマスクで設定
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
4
アンチウィルス ファイルの削除
– FTP/HTTP/IMAP/POP3にて、検知されたファイル(コンテンツ)を削除し、エラーコードとメッセージを送信する事が可能になりました。(SMTPはScreenOS6.1にて対応済みです)
チェックを入れる
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
5
アンチウィルス パターンアップデート完了通知メールの送信
– パターンアップデート完了時に、管理者へアップデート完了のお知らせをメール送信する事が可能になりました。
チェックを入れる
送信される通知メール
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
6
アンチウィルス ワーニングメッセージの編集
– SMTP/POP/FTP/HTTP/IMAPにてウィルス検知時のワーニングメッセージのカスタマイズが可能になりました。
メッセージを記入(ダブルバイトは未サポート)
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
8
VSYS単位でのセッションクリア
– 従来はVSYS環境においても機器全体のセッションクリアのみのサポートでしたが、root systemもしくは任意のVSYSのセッションを個別にクリアすることが可能になりました。
clear session all ・・・機器上の全てのセッションのクリア
clear session ・・・操作中のvsys上のセッションのみクリア
clear session vsys-id 1 ・・・root systemから特定のvsys上のセッションのみクリア
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
9
Shared-DMZゾーン
– 従来はVSYS間の通信のためにはUntrustの共有ゾーンを使用する必要がありましたが、共有ゾーンを新規で作成することが出来るようになりました。共有ゾーンを介するVSYS間の通信に対してNATを利用することも可能です。
チェックを入れる
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
10
異なるVSYSでのゾーン定義
– 従来は異なるVSYSにおいてもゾーン名はユニークである必要がありましたが、異なるVSYS間で同一名のゾーンの作成が可能になりました。
– VSYS名が log メッセージに追加されるようになりました。
2008-09-04 10:32:32 system notif 00037 New zone test (ID 1000,vsys Root) was created.
追加部分
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
12
IPv6機能拡張
• NSRP(Active/Passive、Active/Active)のサポート
– セッション同期、Track-IPをサポートしています。
• Transparentモードのサポート
• BGPのサポート– IPv6用BGP(mpBGP)をサポートしました。
• DHCPv6リレーのサポート
• Multicast Listener Discovery(MLDv1)のサポート
• ISG-IDPにてIPv6トラフィック検知のサポート– NSM2008.2以上で設定可能です。ポリシーに指定可能なアドレスは
Any-ipv6のみです。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
14
TCP/UDP Sweep防御機能
– Screening機能のScan/Spoof/Sweep Defenseのカテゴリに、TCPSweep ProtectionおよびUDP Sweep Protectionの項目が追加されました。
追加項目
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
15
TransparentモードでのNAT
– 透過モードにおいてもVlan1インターフェースにDIP設定し、ポリシーベースNATによる送信元IPアドレス変換を行う事が可能になりました。
– DIP設定に用いるIPアドレスはExtended IP設定にてVlan1インターフェースとは異なるIPアドレス帯を設定する必要があります。
DIP設定をする
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
16
L2ゾーンでのTCP-RST
– TCP-RST機能は従来はL3ゾーンでのみ利用可能でしたが、L2ゾーンでも使用可能になりました。
– マッチするセッションがない状態でSYNビットの無いパケットが最初に到達した場合に、TCPリセットを送信元へ返信します。
チェックを入れる
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
Management用Virtual Router
– 従来はtrust-vr固定であったMGTゾーンのVRを変更することが可能
となりました。これにより他のゾーンと完全に独立した監視用のネットワークを構成することができるようになりました。
– 通常ファイアウォールデバイス自身から発信するトラフィックは、まずデフォルトVRのルートルックアップを行います。management-vrouter として設定することにより、MGTゾーンに設定したVRから発信させることが可能です。
17
MGTに専用のVRを割り当てる
このVRをManagement VRに指定する
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
18
USBメモリへのDebugログ出力
– DebugログをUSBメモリへ出力する事が可能になりました。
set dbuf usb filename <ファイル名>・・・USBメモリにDebugログ用ファイルを作成する。
set dbuf usb enable・・・DebugログをUSBメモリへ転送する機能を有効にする。
get dbuf usb・・・設定内容を確認する。
上記設定を行った上でdebug flow basic等のDebugログ採取を有効
にするとデバグログがUSBメモリ内に書き込まれます。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
19
Telnetクライアント
– Telnetコマンドにて他デバイスへTelnet通信が可能になりました。
– 利用するためにはset telnet client enableコマンドにて機能を有効にしておく必要があります。
Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
WebUIでのポリシー検索機能の拡張
– WebUIのポリシー検索機能にて、従来のSource/Destination Addressに加えてServiceの項目に*(ワイルドカード)が使用可能になりました。