sos63screenos6.3 のご案内 - nox user...
TRANSCRIPT
![Page 1: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/1.jpg)
S OS6 3S OS6 3のご案内のご案内ScreenOS6.3ScreenOS6.3のご案内のご案内
平成22年8月ノックス株式会社ネットワーク事業部ネットワ ク事業部
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
![Page 2: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/2.jpg)
AgendaAgenda
• NATの拡張• NATの拡張• Routingの拡張
IP の拡張• IPsecの拡張• UTMの拡張• デバイス管理の拡張• Authenticationの拡張• IPv6の拡張• ISG-IDPの拡張拡張• その他
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
1
![Page 3: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/3.jpg)
NATの拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
2
![Page 4: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/4.jpg)
IKE&IPsecパススルー機能の拡張IKE&IPsecパススル 機能の拡張
– NAT-Tが有効かどうかに関わらずIKE&IPsecパケットのパススルーを可能にするALG機能が ポリシ ベ スNATに対応しました これを可能にするALG機能が、ポリシーベースNATに対応しました。これにより、DIPプールを用いたSrc-NATが利用可能になりました。
PolicyのServiceにIKE-NATを設定し、IKE ALGを有効にします
Security > ALG > IPSECより、IPSEC PinholeのLifetimeを設定します(Default: 30秒)
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
3
![Page 5: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/5.jpg)
TCPセッションクローズNotificationパケットの送信①TCPセッションクロ ズNotificationパケットの送信①
– TCP セッションがセッションエージアウトから削除される時、もしくはCLIでクリアされる時 Notificationパケットがクライアントとサ バにCLIでクリアされる時、Notificationパケットがクライアントとサーバに送信されるようになりました。
“TCP reset”を有効にします
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
4
“Notify Connection Close”を有効にします
![Page 6: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/6.jpg)
TCPセッションクローズNotificationパケットの送信②TCPセッションクロ ズNotificationパケットの送信②
– TCP SYN check と クライアント / サーバが属するそれぞれのZoneでTCP reset を有効にし ISG NS5000シリ ズではでTCP reset を有効にし、ISG、NS5000シリーズではTCP sequence check を有効にする必要があります。
set flow tcp-syn-check・・・ TCP SYN checkを有効にします
unset flow no-tcp-seq-check・・・ TCP sequence checkを有効にします
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
5
![Page 7: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/7.jpg)
Proxy ARPのサポートProxy ARPのサポ ト
– インタフェース上にProxy ARP entryを構成することが可能になりました これにより インタフェ スのMACアドレスを持つ仮想的なIPにした。これにより、インタフェースのMACアドレスを持つ仮想的なIPに向けられたARPリクエスト(Dst-NAT等)に対して、レスポンスが可能になりました。
– 従来の“set arp nat-dst”コマンドでは、VSYSおよびVSDに対応していませんでしたが、Proxy ARPの設定により構成することが可能になりました。注) “set arp nat-dst”コマンドは廃止になりました。なりました。注) p ンドは廃 になりました。
インタ フ スに レスポンスを返すインターフェースに、レスポンスを返すIP Address Rangeを設定します
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
6
![Page 8: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/8.jpg)
VIPを用いたDst-NAT Port Shiftの対応VIPを用いたDst NAT Port Shiftの対応
– VIP宛の通信をPort Shiftにて宛先アドレス、宛先ポートの変換が可能になりました能になりました。
以下のコマンドでのみ設定可能です。以下の ンドでのみ設定可能です。
set interface <I/F名> vip <IP> port-range <xx-xx> server-ip <IP>port-range <xx-xx>
例) set interface eth0/0 vip 1.1.1.1 port-range 10001-10010 server-ip 192.168.1.10 port-range 10101-10110
宛先ポートがレンジで変換可能です
1.1.1.1:100011.1.1.1:10002・
192.168.1.10:10101192.168.1.10:10102
・
宛先ポ トがレンジで変換可能です
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
7
・1.1.1.1:10010
・192.168.1.10:10110
![Page 9: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/9.jpg)
Routingの拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
8
![Page 10: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/10.jpg)
セルフパケットのDSCPマーキングセルフパケットのDSCPマ キング
– ScreenOS自身が送信するセルフパケット※に対して、DSCPマーキングが可能になりましたグが可能になりました。
(※ BGP, OSPF, RIP, RIPNG, TELNET, SSH, WEB, TFTP, SNMP, SYSLOG, WEBTRENDS)
10進数で5010進数で50
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
9
![Page 11: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/11.jpg)
Incomingパケットのマーキング値によるQoSIncomingパケットのマ キング値によるQoS
– IncomingパケットのDSCP値によりQoSをかけることが可能になりました Incomingパケットのマ キング値に従ってQoS振り分けが可能にた。Incomingパケットのマーキング値に従ってQoS振り分けが可能になりました。
QoSのプロファイルを設定します
Policy設定にてプロファイルを適用します
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
10
![Page 12: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/12.jpg)
IPsecの拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
11
![Page 13: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/13.jpg)
Proxy-IDの拡張Proxy IDの拡張
– ルートベースVPNにおいて、1つのVPN設定に対し複数のProxy-IDの設定が可能になりましたの設定が可能になりました。
VPN > AutoKey IKE > AdvancedよりVPN AutoKey IKE AdvancedよりProxy-ID Checkのオプションを有効にします
VPN > AutoKey IKE > Proxy ID よりProxy-IDを設定します
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
12
![Page 14: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/14.jpg)
Diffie-Hellman keyの拡張Diffie Hellman keyの拡張
– IKEv1においてDiffie-Hellman Group19および20が、Proposalの新規作成時に選択可能になりました規作成時に選択可能になりました。
プルダウンよりGroup19および20が選択可能です選択可能です
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
13
![Page 15: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/15.jpg)
Auto Connect VPNの拡張①Auto Connect VPNの拡張①
– AC-VPN構成において、Hubとしての機能を持った機器を二重化することが可能になりました 各Spokeが双方のHubに対してVPNることが可能になりました。各Spokeが双方のHubに対してVPN monitorで死活監視を行い、片側のHubがDownした際、Hubの切り替えを行うことが可能になりました。
– 従来ではNHRPのルート情報を他のルーティングプロトコルに再配布できなかったため ダイナミックルーティングを使用してもAC-VPN布できなかったため、ダイナミックル ティングを使用してもAC-VPNのハブを切り替えることができませんでした。
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
14
![Page 16: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/16.jpg)
Auto Connect VPNの拡張②Auto Connect VPNの拡張②
Hub(Backup)Hub(Master) Hub(Backup)Hub(Master)
① ①´
Spoke 1 Spoke 2 Spoke 1 Spoke 2② ②Spoke 1 Spoke 2
Host A Host B
Spoke 1 Spoke 2
Host A Host B
② ②
HostA からHostBへの通信時に① Hub(Master)よりVPN接続先Spokeの情報を取得①´ Hub(Master)が障害時にはHub(Backup)より VPN接続先Spokeの情報を取得② が
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
15
② Spoke1とSpoke2がVPN接続
![Page 17: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/17.jpg)
UTMの拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
16
![Page 18: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/18.jpg)
AV ウィルス情報のリンク表示
– ウィルス検知時に、イベントログにウィルス情報を確認出来るURLが含まれるようになりました
AV ウィルス情報のリンク表示
含まれるようになりました。
2010-06-22 15:32:15 system warn 00547 AV: VIRUS FOUND: 192.168.1.123:4933->172.17.1.10:25 file _Fromebihara_nox.co.jp__Dateebihara_nox.co.jp__Subj__B_____k_9_F virus EICAR-Test-File, virus description: http://www.viruslist.com/en/search?VN=EICAR-Test-File
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
![Page 19: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/19.jpg)
WF ライセンスなしで動作WF ライセンスなしで動作
– ライセンスがない状態で一部のWebフィルタリング機能が利用出来るようになりましたようになりました。
<利用可能な機能><利用可能な機能>• Profileの作成およびポリシーへの適用• カテゴリ情報の取得• ホワイトリスト、ブラックリストの作成
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
18
![Page 20: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/20.jpg)
WF ユーザグループベースフィルタリングWF ユ ザグル プベ スフィルタリング
– 従来のポリシーベースに加え、ユーザグループに対してProfileを適用出来るようになりました出来るようになりました。
ユーザグループ Priority Profile
2010-07-06 17:07:18 system warn 00769 UF-MGR: URL BLOCKED: USER: user1 192.168.1.123(1249)->219.127.73.208(80) www.nox.co.jp/ CATEGORY: NOX REASON: BY_USER_DEFINED PROFILE: nox-profile
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
19
![Page 21: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/21.jpg)
AV/WF その他AV/WF その他
– アンチウィルス用に提供されるパターンファイルの種類が従来のextended/itw/standardの3種類ではなく Juniper Full AntiVirusextended/itw/standardの3種類ではなく、Juniper Full AntiVirus Database1種類になりました。
– SSG520/550において、Webフィルタリングで設定可能なProfileの数が下記のように変更されました。
~6.2 6.3~SSG520 25 300SSG520 25 300SSG550 50 300
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
![Page 22: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/22.jpg)
デバイス管理の拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
21
![Page 23: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/23.jpg)
SNMPv3のサポートSNMPv3のサポ ト
– SNMPv3をサポートしました。これにより、認証とアクセルコントロール、暗号化が可能になりました暗号化が可能になりました。
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
22
![Page 24: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/24.jpg)
インターフェースの無効化インタ フェ スの無効化
– コマンドにてインターフェースをDisableすることが可能になりました。
SSG140-> set interface ethernet0/0 disableAdmin status for interface ethernet0/0 has been changed to disableAdmin status for interface ethernet0/0 has been changed to disableSSG140->SSG140-> get in
A - Active, I - Inactive, U - Up, D - Down, R - Readyct e, act e, U Up, o , eady
H - IPv6 Host Mode, O - IPv6 Router ModeInterfaces in vsys Root:Name IP Address Zone MAC/INT-ID VLAN State VSDeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D -eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05 - D -
結線されていてもD(Down)のステータスになります
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
23
![Page 25: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/25.jpg)
ログメッセージ内にシリアル番号の表示ログメッセ ジ内にシリアル番号の表示
– ログメッセージ中にホスト名の代わりに機器のシリアル番号を利用することが可能になりましたることが可能になりました。
Log Serial Numberにチェックします
CLI:「set log serial-number enable」
シスログ:「Jun 22 20:02:45 172 17 9 18 SSG140:シスログ:「Jun 22 20:02:45 172.17.9.18 SSG140: NetScreen device_id=0185012007000415 [Root]system-information-00767: System configuration saved ・・・」
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
![Page 26: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/26.jpg)
USBメモリからのコンフィグロードUSBメモリからのコンフィグロ ド
– 初期状態の機器においてUSBメモリへ保存したコンフィグファイルを起動時に読み込み設定を反映させることが可能になりました動時に読み込み設定を反映させることが可能になりました。
以下のコマンドにて環境変数を設定することで本機能が利用可能にな以下の ンドにて環境変数を設定する とで本機能が利用可能になります。
set env config=usb:my-config.txt ※境変数 定後 起 が な す※ 環境変数の設定後には再起動が必要となります。
my-config.txtはUSBメモリ内に保存するコンフィグファイルのファイル名となり任意に変更可能です。
起動時のログSystem config (4023 bytes) loaded from USB.Load System Configuration .............................
USBメモリからコンフィグをLoadします
Load System Configuration ....................................................................Disabled licensekey auto update.....refresh user list...........Done
t i it d
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
25
system init done..
![Page 27: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/27.jpg)
Authenticationの拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
26
![Page 28: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/28.jpg)
カスタムポートのリダイレクト型Web Auth認証カスタムポ トのリダイレクト型Web Auth認証
– 従来のリダイレクト型Web Auth認証では宛先ポートが80番のHTTPトラフィックのみに対応しておりましたが 80番以外のカスタムポ トトラフィックのみに対応しておりましたが、80番以外のカスタムポートのHTTPトラフィックにおいても利用可能になりました。
利用可能なカスタムポートは以下になります。
8000/80018000/80018080/8081810081008200888890803128
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
27
![Page 29: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/29.jpg)
IPv6の拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
28
![Page 30: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/30.jpg)
新規サポート機能新規サポ ト機能
– OSPFv3をサポートしました。
– DNS AAAAリクエストをIPv4ドメインへ問合せるかどうか選択出来るようになりました。うになりました。
– インターフェースのLinkがダウンしPPPセッションが再接続した場合に、DHCP 6クライア ト機能にてIP 6プリ ク とDNS情報をア プDHCPv6クライアント機能にてIPv6プリフィックスとDNS情報をアップデートすることが可能になりました。
(CPEとして利用する際に必要な機能)( し 利用する際 必要な機能)
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
29
![Page 31: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/31.jpg)
ISG-IDPの拡張
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
30
![Page 32: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/32.jpg)
新規サポート機能新規サポ ト機能
– IPv6をフルサポートしました。従来 は に ド 管理が出来なか たため従来ではNSMにて、IPv6アドレスの管理が出来なかったためAny-IPv6でのみの設定でしたがIPv6のアドレスを任意に設定可能になりました。その他に、通信Log表示、IDP検知前後のパケットキャプチャ機能もサポートしました。
Security module(以下SM)毎のセッション情報の確認が可能になりま– Security module(以下SM)毎のセッション情報の確認が可能になりました。
get session sm-slot slot-id sm-cpu cpu-no
– SM 毎のCPU 使用率の確認が可能になりました。i t t bl 1 ンドにて機能をscio const set sc_enable_cpu_usage 1 コマンドにて機能を
有効にする必要があります。
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
31
![Page 33: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/33.jpg)
新規サポート機能新規サポ ト機能
– SM上のRAMに蓄積されたコアダンプをFlashメモリまたはCFへ転送する事が可能になりましたする事が可能になりました。
set sm-ctx coresave
– SMのCPU使用率、セッション数、メモリ使用率に関するSNMPトラップとイベントログがサポートされました。
– マルチキャストトラフィックの検知が可能になりました。set flow multicast idpset flow multicast idp
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
32
![Page 34: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/34.jpg)
その他
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
33
![Page 35: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/35.jpg)
Scripting Toolの拡張Scripting Toolの拡張
– “exec” と “save” コマンドをスクリプトツールで実行可能になりました。
SSG140-> set script recordSSG140(sgc: recording)-> exec ntp updateSSG140(sgc: recording) > saveSSG140(sgc: recording)-> saveSSG140(sgc: recording)-> exit recordSSG140->SSG140->SSG 0SSG140-> get script commandScript command:------------------------------- スクリプトで”exec”と”save”
が実行可能ですexec ntp updatesave-------------------------------
が実行可能です
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
34
![Page 36: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/36.jpg)
Boot時のUpgrade手順の拡張Boot 時のUpgrade手順の拡張
– 新たにリリースされたBoot Loader※をインストールすることで、Boot時のUpgrade手順にてGatewayとサブネットマスクを設定出来るよう時のUpgrade手順にてGatewayとサブネットマスクを設定出来るようになりました。これにより、異なるセグメントに存在するTFTPサーバからのファイル転送が可能になりました。Hit any key to run loader
Serial Number [0185072009000149]: READ ONLYHW V i N b [1010] READ ONLYHW Version Number [1010]: READ ONLYSelf MAC Address [0024-dcdd-1c80]: READ ONLYBoot File Name [Loadssg140v325.d]: ssg140.6.3.0r1.0Self IP Address [192.168.1.1]: 192.168.1.1
セグメントの異なるTFTPサーバを指定します
Self IP Address [192.168.1.1]: 192.168.1.1TFTP IP Address [192.168.1.100]: 172.17.9.3IP MASK [255.255.255.0]: 255.255.255.0GW IP Address [1.1.1.100]: 192.168.1.254 ネットマスクとゲートウェイ
のIPを指定しますのIPを指定します※対応Boot Loader VersionSSG5 :v133.dSSG140 :v325.dSSG300 :v308 d
ISG1000 :v103.d ISG2000 :v117.d NS5000 v104 d
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
35
SSG300 :v308.dSSG500 :v107.d
NS5000 :v104.d
![Page 37: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/37.jpg)
Boot Loader Version情報の表示Boot Loader Version情報の表示
– “get system”コマンドより、Boot Loaderのバージョンを確認可能になりましたりました。
SSG140-> get systemProduct Name: SSG-140Serial Number: 0185072009000149, Control Number: ffffffffHardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 6 3 0r3 0 Type: Firewall+VPNSoftware Version: 6.3.0r3.0, Type: Firewall+VPNFeature: AV-KBOOT Loader Version: 3.2.5Compiled by build master at: Wed Mar 31 20:59:15 PDT 2010p y _Base Mac: 0024.dcdd.1c80File Name: ssg140.6.3.0r3.0, Checksum: ae2c7a1b, Total Memory: 512MB
B L d バ ジ のBoot Loaderバージョンの確認が可能です
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
36
![Page 38: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/38.jpg)
Netscreen Redundancy Protocol(NSRP)の拡張Netscreen Redundancy Protocol(NSRP)の拡張
– CLIにて、“get nsrp”コマンドを入力した際に表示される情報にuptime(起動時間)の項目が追加されました
VSD group info:init hold time: 5
uptime(起動時間)の項目が追加されました。<以前のバージョン>
init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)master always exist: disabledgroup priority preempt holddown inelig master PB other membersgroup priority preempt holddown inelig master PB other members
0 100 no 3 no myself 11212160total number of vsd groups: 1Total iteration=363,time=3753794,max=71748,min=7506,average=10341
VSD group info:init hold time: 8heartbeat lost threshold: 3
Uptime(起動時間)が表示されます
<OS6.3から>
heartbeat interval: 1000(ms)master always exist: disabledgroup priority preempt holddown inelig master PB other members myself uptime
0 100 no 3 no myself 11212160 00:04:11
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
ytotal number of vsd groups: 1Total iteration=589,time=5611290,max=86530,min=3349,average=9526
37
![Page 39: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/39.jpg)
Track-IPのTimeout設定Track IPのTimeout設定
– I/F Monitor及びNSRP Track-IPの指定に、ICMP Timeoutの設定が可能になりました Timeout値は1 60秒の範囲で設定可能です可能になりました。Timeout値は1~60秒の範囲で設定可能です。(Default 1秒)
Timeoutを設定します
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
38
![Page 40: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/40.jpg)
Policy反映時間指定Policy反映時間指定
– 以下のCLIコマンドを入力することで、Policyの設定から反映までの間隔を0 10(秒)の値で設定することが可能になりました これにより間隔を0~10(秒)の値で設定することが可能になりました。これにより、ポリシー反映時の負荷を軽減し、より効率的に通信を行うことが可能になりました。
set policy install hold-interval <値>
例) ”set policy install hold-interval 1”の場合設定 反映
約1秒
”set policy install hold-interval 10”の場合設定 反映
約10秒
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
39
約10秒
![Page 41: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/41.jpg)
設定可能数の拡張設定可能数の拡張
– ISGシリーズにおいてアドレスグループ数が以下の値に拡張されましたた。
ISG1000 512 → 4096ISG2000 1024 4096ISG2000 1024 → 4096
– ISGシリーズ/NS5000シリーズにおいてカスタムサービス数が以下の値に拡張されました値に拡張されました。
2048 → 4096
– Ipsec-nat algのタイムアウト最大値が以下の値に拡張されました。
180秒 → 3600秒
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
40
![Page 42: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/42.jpg)
設定可能数の拡張設定可能数の拡張
– SSG 550においてVPNトンネル数の上限数が以下の値に拡張されましたした。
1000 → 2048
– SNMPの1 コミュニティあたりのホスト数が以下の値に拡張されました。
40 6440 → 64
– NetScreen 5000においてBGP redistributable routesが以下の値にNetScreen 5000においてBGP redistributable routesが以下の値に拡張されました。
6000 → 170006000 000
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
41
![Page 43: SOS63ScreenOS6.3 のご案内 - NOX User Supportsupport.nox.co.jp/juniper/download/new/ScreenOS6.3.pdfeth0/0 192.168.1.1/24 Trust 0017.cb4c.6b00 - D - eth0/1 0.0.0.0/0 DMZ 0017.cb4c.6b05](https://reader034.vdocuments.mx/reader034/viewer/2022051407/5aff24a57f8b9a864d8ffc2c/html5/thumbnails/43.jpg)
Thank you!
Copyright (C) 2010 NOX Co., Ltd. All Rights Reserved.ノックス株式会社 ネットワーク事業部
42