screenos6.2のご案内 - nox user supportsupport.nox.co.jp/juniper/download/new/screenos6.2.pdf–...

Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社ネットワーク事業部

ScreenOS6.2ScreenOS6.2のご案内のご案内

平成21年11月ノックス株式会社ネットワーク事業部


1

Agenda

• UTM• VSYS• IPv6• その他


2

UTMの拡張


3

アンチスパム BlackListの拡張

– Black Listの指定に、サブネットマスクを利用したIPアドレスレンジの記載が可能になりました。

IPアドレスをサブネットマスクで設定


4

アンチウィルスファイルの削除

– FTP/HTTP/IMAP/POP3にて、検知されたファイル(コンテンツ)を削除し、エラーコードとメッセージを送信する事が可能になりました。(SMTPはScreenOS6.1にて対応済みです)

チェックを入れる


5

アンチウィルスパターンアップデート完了通知メールの送信

– パターンアップデート完了時に、管理者へアップデート完了のお知らせをメール送信する事が可能になりました。


送信される通知メール


6

アンチウィルスワーニングメッセージの編集

– SMTP/POP/FTP/HTTP/IMAPにてウィルス検知時のワーニングメッセージのカスタマイズが可能になりました。

メッセージを記入(ダブルバイトは未サポート)


7

VSYSの拡張


8

VSYS単位でのセッションクリア

– 従来はVSYS環境においても機器全体のセッションクリアのみのサポートでしたが、root systemもしくは任意のVSYSのセッションを個別にクリアすることが可能になりました。

clear session all ・・・機器上の全てのセッションのクリア

clear session ・・・操作中のvsys上のセッションのみクリア

clear session vsys-id 1 ・・・root systemから特定のvsys上のセッションのみクリア


9

Shared-DMZゾーン

– 従来はVSYS間の通信のためにはUntrustの共有ゾーンを使用する必要がありましたが、共有ゾーンを新規で作成することが出来るようになりました。共有ゾーンを介するVSYS間の通信に対してNATを利用することも可能です。



10

異なるVSYSでのゾーン定義

– 従来は異なるVSYSにおいてもゾーン名はユニークである必要がありましたが、異なるVSYS間で同一名のゾーンの作成が可能になりました。

– VSYS名が log メッセージに追加されるようになりました。

2008-09-04 10:32:32 system notif 00037 New zone test (ID 1000,vsys Root) was created.

追加部分


11

IPv6の拡張


12

IPv6機能拡張

• NSRP(Active/Passive、Active/Active)のサポート

– セッション同期、Track-IPをサポートしています。

• Transparentモードのサポート

• BGPのサポート– IPv6用BGP(mpBGP)をサポートしました。

• DHCPv6リレーのサポート

• Multicast Listener Discovery(MLDv1)のサポート

• ISG-IDPにてIPv6トラフィック検知のサポート– NSM2008.2以上で設定可能です。ポリシーに指定可能なアドレスは

Any-ipv6のみです。


13

その他の拡張


14

TCP/UDP Sweep防御機能

– Screening機能のScan/Spoof/Sweep Defenseのカテゴリに、TCPSweep ProtectionおよびUDP Sweep Protectionの項目が追加されました。

追加項目


15

TransparentモードでのNAT

– 透過モードにおいてもVlan1インターフェースにDIP設定し、ポリシーベースNATによる送信元IPアドレス変換を行う事が可能になりました。

– DIP設定に用いるIPアドレスはExtended IP設定にてVlan1インターフェースとは異なるIPアドレス帯を設定する必要があります。

DIP設定をする


16

L2ゾーンでのTCP-RST

– TCP-RST機能は従来はL3ゾーンでのみ利用可能でしたが、L2ゾーンでも使用可能になりました。

– マッチするセッションがない状態でSYNビットの無いパケットが最初に到達した場合に、TCPリセットを送信元へ返信します。



Management用Virtual Router

– 従来はtrust-vr固定であったMGTゾーンのVRを変更することが可能

となりました。これにより他のゾーンと完全に独立した監視用のネットワークを構成することができるようになりました。

– 通常ファイアウォールデバイス自身から発信するトラフィックは、まずデフォルトVRのルートルックアップを行います。management-vrouter として設定することにより、MGTゾーンに設定したVRから発信させることが可能です。

17

MGTに専用のVRを割り当てる

このVRをManagement VRに指定する


18

USBメモリへのDebugログ出力

– DebugログをUSBメモリへ出力する事が可能になりました。

set dbuf usb filename <ファイル名>・・・USBメモリにDebugログ用ファイルを作成する。

set dbuf usb enable・・・DebugログをUSBメモリへ転送する機能を有効にする。

get dbuf usb・・・設定内容を確認する。

上記設定を行った上でdebug flow basic等のDebugログ採取を有効

にするとデバグログがUSBメモリ内に書き込まれます。


19

Telnetクライアント

– Telnetコマンドにて他デバイスへTelnet通信が可能になりました。

– 利用するためにはset telnet client enableコマンドにて機能を有効にしておく必要があります。


WebUIでのポリシー検索機能の拡張

– WebUIのポリシー検索機能にて、従来のSource/Destination Addressに加えてServiceの項目に＊(ワイルドカード)が使用可能になりました。


21

Thank you！

screenos6.2のご案内 - nox user supportsupport.nox.co.jp/juniper/download/new/screenos6.2.pdf–...

Documents