sos63screenos6.3 のご案内 - nox user...

S OS6 3S OS6 3のご案内のご案内ScreenOS6.3ScreenOS6.3のご案内のご案内

平成22年8月ノックス株式会社ネットワーク事業部ネットワク事業部

Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社ネットワーク事業部

AgendaAgenda

• NATの拡張• NATの拡張• Routingの拡張

IP の拡張• IPsecの拡張• UTMの拡張• デバイス管理の拡張• Authenticationの拡張• IPv6の拡張• ISG-IDPの拡張拡張• その他


1

NATの拡張


2

IKE&IPsecパススルー機能の拡張IKE&IPsecパススル機能の拡張

– NAT-Tが有効かどうかに関わらずIKE&IPsecパケットのパススルーを可能にするALG機能がポリシベスNATに対応しましたこれを可能にするALG機能が、ポリシーベースNATに対応しました。これにより、DIPプールを用いたSrc-NATが利用可能になりました。

PolicyのServiceにIKE-NATを設定し、IKE ALGを有効にします

Security > ALG > IPSECより、IPSEC PinholeのLifetimeを設定します(Default: 30秒)


3

TCPセッションクローズNotificationパケットの送信①TCPセッションクロズNotificationパケットの送信①

– TCP セッションがセッションエージアウトから削除される時、もしくはCLIでクリアされる時 NotificationパケットがクライアントとサバにCLIでクリアされる時、Notificationパケットがクライアントとサーバに送信されるようになりました。

“TCP reset”を有効にします


4

“Notify Connection Close”を有効にします

TCPセッションクローズNotificationパケットの送信②TCPセッションクロズNotificationパケットの送信②

– TCP SYN check とクライアント / サーバが属するそれぞれのZoneでTCP reset を有効にし ISG NS5000シリズではでTCP reset を有効にし、ISG、NS5000シリーズではTCP sequence check を有効にする必要があります。

set flow tcp-syn-check・・・ TCP SYN checkを有効にします

unset flow no-tcp-seq-check・・・ TCP sequence checkを有効にします


5

Proxy ARPのサポートProxy ARPのサポト

– インタフェース上にProxy ARP entryを構成することが可能になりましたこれによりインタフェスのMACアドレスを持つ仮想的なIPにした。これにより、インタフェースのMACアドレスを持つ仮想的なIPに向けられたARPリクエスト(Dst-NAT等)に対して、レスポンスが可能になりました。

– 従来の“set arp nat-dst”コマンドでは、VSYSおよびVSDに対応していませんでしたが、Proxy ARPの設定により構成することが可能になりました。注) “set arp nat-dst”コマンドは廃止になりました。なりました。注) p ンドは廃になりました。

インタフスにレスポンスを返すインターフェースに、レスポンスを返すIP Address Rangeを設定します


6

VIPを用いたDst-NAT Port Shiftの対応VIPを用いたDst NAT Port Shiftの対応

– VIP宛の通信をPort Shiftにて宛先アドレス、宛先ポートの変換が可能になりました能になりました。

以下のコマンドでのみ設定可能です。以下のンドでのみ設定可能です。

set interface <I/F名> vip <IP> port-range <xx-xx> server-ip <IP>port-range <xx-xx>

例) set interface eth0/0 vip 1.1.1.1 port-range 10001-10010 server-ip 192.168.1.10 port-range 10101-10110

宛先ポートがレンジで変換可能です

1.1.1.1:100011.1.1.1:10002・

192.168.1.10:10101192.168.1.10:10102

・

宛先ポトがレンジで変換可能です


7

・1.1.1.1:10010

・192.168.1.10:10110

Routingの拡張


8

セルフパケットのDSCPマーキングセルフパケットのDSCPマキング

– ScreenOS自身が送信するセルフパケット※に対して、DSCPマーキングが可能になりましたグが可能になりました。

（※ BGP, OSPF, RIP, RIPNG, TELNET, SSH, WEB, TFTP, SNMP, SYSLOG, WEBTRENDS）

10進数で5010進数で50


9

Incomingパケットのマーキング値によるQoSIncomingパケットのマキング値によるQoS

– IncomingパケットのDSCP値によりQoSをかけることが可能になりました Incomingパケットのマキング値に従ってQoS振り分けが可能にた。Incomingパケットのマーキング値に従ってQoS振り分けが可能になりました。

QoSのプロファイルを設定します

Policy設定にてプロファイルを適用します


10

IPsecの拡張


11

Proxy-IDの拡張Proxy IDの拡張

– ルートベースVPNにおいて、1つのVPN設定に対し複数のProxy-IDの設定が可能になりましたの設定が可能になりました。

VPN > AutoKey IKE > AdvancedよりVPN AutoKey IKE AdvancedよりProxy-ID Checkのオプションを有効にします

VPN > AutoKey IKE > Proxy ID よりProxy-IDを設定します


12

Diffie-Hellman keyの拡張Diffie Hellman keyの拡張

– IKEv1においてDiffie-Hellman Group19および20が、Proposalの新規作成時に選択可能になりました規作成時に選択可能になりました。

プルダウンよりGroup19および20が選択可能です選択可能です


13

Auto Connect VPNの拡張①Auto Connect VPNの拡張①

– AC-VPN構成において、Hubとしての機能を持った機器を二重化することが可能になりました各Spokeが双方のHubに対してVPNることが可能になりました。各Spokeが双方のHubに対してVPN monitorで死活監視を行い、片側のHubがDownした際、Hubの切り替えを行うことが可能になりました。

– 従来ではNHRPのルート情報を他のルーティングプロトコルに再配布できなかったためダイナミックルーティングを使用してもAC-VPN布できなかったため、ダイナミックルティングを使用してもAC-VPNのハブを切り替えることができませんでした。


14

Auto Connect VPNの拡張②Auto Connect VPNの拡張②

Hub(Backup)Hub(Master) Hub(Backup)Hub(Master)

① ①´

Spoke 1 Spoke 2 Spoke 1 Spoke 2② ②Spoke 1 Spoke 2

Host A Host B

Spoke 1 Spoke 2

Host A Host B

② ②

HostA からHostBへの通信時に① Hub(Master)よりVPN接続先Spokeの情報を取得①´ Hub(Master)が障害時にはHub(Backup)より VPN接続先Spokeの情報を取得② が


15

② Spoke1とSpoke2がVPN接続

UTMの拡張


16

AV ウィルス情報のリンク表示

– ウィルス検知時に、イベントログにウィルス情報を確認出来るURLが含まれるようになりました

AV ウィルス情報のリンク表示

含まれるようになりました。

2010-06-22 15:32:15 system warn 00547 AV: VIRUS FOUND: 192.168.1.123:4933->172.17.1.10:25 file _Fromebihara_nox.co.jp__Dateebihara_nox.co.jp__Subj__B_____k_9_F virus EICAR-Test-File, virus description: http://www.viruslist.com/en/search?VN=EICAR-Test-File


WF ライセンスなしで動作WF ライセンスなしで動作

– ライセンスがない状態で一部のWebフィルタリング機能が利用出来るようになりましたようになりました。

<利用可能な機能><利用可能な機能>• Profileの作成およびポリシーへの適用• カテゴリ情報の取得• ホワイトリスト、ブラックリストの作成


18

WF ユーザグループベースフィルタリングWF ユザグルプベスフィルタリング

– 従来のポリシーベースに加え、ユーザグループに対してProfileを適用出来るようになりました出来るようになりました。

ユーザグループ Priority Profile

2010-07-06 17:07:18 system warn 00769 UF-MGR: URL BLOCKED: USER: user1 192.168.1.123(1249)->219.127.73.208(80) www.nox.co.jp/ CATEGORY: NOX REASON: BY_USER_DEFINED PROFILE: nox-profile


19

AV/WF その他AV/WF その他

– アンチウィルス用に提供されるパターンファイルの種類が従来のextended/itw/standardの3種類ではなく Juniper Full AntiVirusextended/itw/standardの3種類ではなく、Juniper Full AntiVirus Database1種類になりました。

– SSG520/550において、Webフィルタリングで設定可能なProfileの数が下記のように変更されました。

～6.2 6.3～SSG520 25 300SSG520 25 300SSG550 50 300


デバイス管理の拡張


21

SNMPv3のサポートSNMPv3のサポト

– SNMPv3をサポートしました。これにより、認証とアクセルコントロール、暗号化が可能になりました暗号化が可能になりました。


22

インターフェースの無効化インタフェスの無効化

– コマンドにてインターフェースをDisableすることが可能になりました。

SSG140-> set interface ethernet0/0 disableAdmin status for interface ethernet0/0 has been changed to disableAdmin status for interface ethernet0/0 has been changed to disableSSG140->SSG140-> get in

A - Active, I - Inactive, U - Up, D - Down, R - Readyct e, act e, U Up, o , eady

H - IPv6 Host Mode, O - IPv6 Router ModeInterfaces in vsys Root:Name IP Address Zone MAC/INT-ID VLAN State VSDeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D -eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05 - D -

結線されていてもD(Down)のステータスになります


23

ログメッセージ内にシリアル番号の表示ログメッセジ内にシリアル番号の表示

– ログメッセージ中にホスト名の代わりに機器のシリアル番号を利用することが可能になりましたることが可能になりました。

Log Serial Numberにチェックします

CLI：「set log serial-number enable」

シスログ：「Jun 22 20:02:45 172 17 9 18 SSG140:シスログ：「Jun 22 20:02:45 172.17.9.18 SSG140: NetScreen device_id=0185012007000415 [Root]system-information-00767: System configuration saved ・・・」


USBメモリからのコンフィグロードUSBメモリからのコンフィグロド

– 初期状態の機器においてUSBメモリへ保存したコンフィグファイルを起動時に読み込み設定を反映させることが可能になりました動時に読み込み設定を反映させることが可能になりました。

以下のコマンドにて環境変数を設定することで本機能が利用可能にな以下のンドにて環境変数を設定するとで本機能が利用可能になります。

set env config=usb:my-config.txt ※境変数定後起がなす※ 環境変数の設定後には再起動が必要となります。

my-config.txtはUSBメモリ内に保存するコンフィグファイルのファイル名となり任意に変更可能です。

起動時のログSystem config (4023 bytes) loaded from USB.Load System Configuration .............................

USBメモリからコンフィグをLoadします

Load System Configuration ....................................................................Disabled licensekey auto update.....refresh user list...........Done

t i it d


25

system init done..

Authenticationの拡張


26

カスタムポートのリダイレクト型Web Auth認証カスタムポトのリダイレクト型Web Auth認証

– 従来のリダイレクト型Web Auth認証では宛先ポートが80番のHTTPトラフィックのみに対応しておりましたが 80番以外のカスタムポトトラフィックのみに対応しておりましたが、80番以外のカスタムポートのHTTPトラフィックにおいても利用可能になりました。

利用可能なカスタムポートは以下になります。

8000/80018000/80018080/8081810081008200888890803128


27

IPv6の拡張


28

新規サポート機能新規サポト機能

– OSPFv3をサポートしました。

– DNS AAAAリクエストをIPv4ドメインへ問合せるかどうか選択出来るようになりました。うになりました。

– インターフェースのLinkがダウンしPPPセッションが再接続した場合に、DHCP 6クライアト機能にてIP 6プリクとDNS情報をアプDHCPv6クライアント機能にてIPv6プリフィックスとDNS情報をアップデートすることが可能になりました。

(CPEとして利用する際に必要な機能)( し利用する際必要な機能)


29

ISG-IDPの拡張


30


– IPv6をフルサポートしました。従来はにド管理が出来なかたため従来ではNSMにて、IPv6アドレスの管理が出来なかったためAny-IPv6でのみの設定でしたがIPv6のアドレスを任意に設定可能になりました。その他に、通信Log表示、IDP検知前後のパケットキャプチャ機能もサポートしました。

Security module(以下SM)毎のセッション情報の確認が可能になりま– Security module(以下SM)毎のセッション情報の確認が可能になりました。

get session sm-slot slot-id sm-cpu cpu-no

– SM 毎のCPU 使用率の確認が可能になりました。i t t bl 1 ンドにて機能をscio const set sc_enable_cpu_usage 1 コマンドにて機能を

有効にする必要があります。


31


– SM上のRAMに蓄積されたコアダンプをFlashメモリまたはCFへ転送する事が可能になりましたする事が可能になりました。

set sm-ctx coresave

– SMのCPU使用率、セッション数、メモリ使用率に関するSNMPトラップとイベントログがサポートされました。

– マルチキャストトラフィックの検知が可能になりました。set flow multicast idpset flow multicast idp


32

その他


33

Scripting Toolの拡張Scripting Toolの拡張

– “exec” と “save” コマンドをスクリプトツールで実行可能になりました。

SSG140-> set script recordSSG140(sgc: recording)-> exec ntp updateSSG140(sgc: recording) > saveSSG140(sgc: recording)-> saveSSG140(sgc: recording)-> exit recordSSG140->SSG140->SSG 0SSG140-> get script commandScript command:------------------------------- スクリプトで”exec”と”save”

が実行可能ですexec ntp updatesave-------------------------------

が実行可能です


34

Boot時のUpgrade手順の拡張Boot 時のUpgrade手順の拡張

– 新たにリリースされたBoot Loader※をインストールすることで、Boot時のUpgrade手順にてGatewayとサブネットマスクを設定出来るよう時のUpgrade手順にてGatewayとサブネットマスクを設定出来るようになりました。これにより、異なるセグメントに存在するTFTPサーバからのファイル転送が可能になりました。Hit any key to run loader

Serial Number [0185072009000149]: READ ONLYHW V i N b [1010] READ ONLYHW Version Number [1010]: READ ONLYSelf MAC Address [0024-dcdd-1c80]: READ ONLYBoot File Name [Loadssg140v325.d]: ssg140.6.3.0r1.0Self IP Address [192.168.1.1]: 192.168.1.1

セグメントの異なるTFTPサーバを指定します

Self IP Address [192.168.1.1]: 192.168.1.1TFTP IP Address [192.168.1.100]: 172.17.9.3IP MASK [255.255.255.0]: 255.255.255.0GW IP Address [1.1.1.100]: 192.168.1.254 ネットマスクとゲートウェイ

のIPを指定しますのIPを指定します※対応Ｂｏｏｔ LｏａｄｅｒＶｅｒｓｉｏｎSSG5 ：v133.dSSG140 ：v325.dSSG300 ：v308 d

ISG1000 ：v103.d ISG2000 ：v117.d NS5000 v104 d


35

SSG300 ：v308.dSSG500 ：v107.d

NS5000 ：v104.d

Boot Loader Version情報の表示Boot Loader Version情報の表示

– “get system”コマンドより、Boot Loaderのバージョンを確認可能になりましたりました。

SSG140-> get systemProduct Name: SSG-140Serial Number: 0185072009000149, Control Number: ffffffffHardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 6 3 0r3 0 Type: Firewall+VPNSoftware Version: 6.3.0r3.0, Type: Firewall+VPNFeature: AV-KBOOT Loader Version: 3.2.5Compiled by build master at: Wed Mar 31 20:59:15 PDT 2010p y _Base Mac: 0024.dcdd.1c80File Name: ssg140.6.3.0r3.0, Checksum: ae2c7a1b, Total Memory: 512MB

B L d バジのBoot Loaderバージョンの確認が可能です


36

Netscreen Redundancy Protocol(NSRP)の拡張Netscreen Redundancy Protocol(NSRP)の拡張

– CLIにて、“get nsrp”コマンドを入力した際に表示される情報にuptime(起動時間)の項目が追加されました

VSD group info:init hold time: 5

uptime(起動時間)の項目が追加されました。<以前のバージョン>

init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)master always exist: disabledgroup priority preempt holddown inelig master PB other membersgroup priority preempt holddown inelig master PB other members

0 100 no 3 no myself 11212160total number of vsd groups: 1Total iteration=363,time=3753794,max=71748,min=7506,average=10341

VSD group info:init hold time: 8heartbeat lost threshold: 3

Uptime(起動時間)が表示されます

<OS6.3から>

heartbeat interval: 1000(ms)master always exist: disabledgroup priority preempt holddown inelig master PB other members myself uptime

0 100 no 3 no myself 11212160 00:04:11


ytotal number of vsd groups: 1Total iteration=589,time=5611290,max=86530,min=3349,average=9526

37

Track-IPのTimeout設定Track IPのTimeout設定

– I/F Monitor及びNSRP Track-IPの指定に、ICMP Timeoutの設定が可能になりました Timeout値は1 60秒の範囲で設定可能です可能になりました。Timeout値は1～60秒の範囲で設定可能です。(Default 1秒)

Timeoutを設定します


38

Policy反映時間指定Policy反映時間指定

– 以下のCLIコマンドを入力することで、Policyの設定から反映までの間隔を0 10(秒)の値で設定することが可能になりましたこれにより間隔を0～10(秒)の値で設定することが可能になりました。これにより、ポリシー反映時の負荷を軽減し、より効率的に通信を行うことが可能になりました。

set policy install hold-interval <値>

例） ”set policy install hold-interval 1”の場合設定反映

約1秒

”set policy install hold-interval 10”の場合設定反映

約10秒


39

約10秒

設定可能数の拡張設定可能数の拡張

– ISGシリーズにおいてアドレスグループ数が以下の値に拡張されましたた。

ISG1000 512 → 4096ISG2000 1024 4096ISG2000 1024 → 4096

– ISGシリーズ/NS5000シリーズにおいてカスタムサービス数が以下の値に拡張されました値に拡張されました。

2048 → 4096

– Ipsec-nat algのタイムアウト最大値が以下の値に拡張されました。

180秒 → 3600秒


40

設定可能数の拡張設定可能数の拡張

– SSG 550においてVPNトンネル数の上限数が以下の値に拡張されましたした。

1000 → 2048

– SNMPの1 コミュニティあたりのホスト数が以下の値に拡張されました。

40 6440 → 64

– NetScreen 5000においてBGP redistributable routesが以下の値にNetScreen 5000においてBGP redistributable routesが以下の値に拡張されました。

6000 → 170006000 000


41

Thank you！


42

sos63screenos6.3 のご案内 - nox user...

Documents