Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
ノックス株式会社 ソリューション営業部
1Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ScreenOS 5.0のご案内
平成16年2月ノックス株式会社
ソリューション営業部
ノックス株式会社 ソリューション営業部
2Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
本書の内容
• ScreenOS 5.0の概要• アップグレードの注意点• ScreenOS 5.0の新機能一覧• Deep Inspection(アプリケーションレベルでのアタック防御)• アンチウィルス• VLANサポートの拡張(NetScreen-25/-50/-204/-208)• HAサポートの拡張(NetScreen-25でHA Liteをサポート)• セッション容量の増加(NetScreen-25、NetScreen-50)• ALG(Application Layer Gateway)の拡張• トンネルインターフェースの拡張• ダイナミックルーティングの拡張• ソースベースルーティング• NAT Destination• ポリシーのマルチセル対応• NetScreen-Security Manager• NetScreen製品仕様一覧
ノックス株式会社 ソリューション営業部
3Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ScreenOS 5.0の概要
• ScreenOS 5.0とは
– NetScreenセキュリティアプライアンス、セキュリティシステム向けの最新バージョン
– 様々なネットワークからの脅威に対応できるより広範なインスペクション技術を実装(Deep Inspection)
– ユーザー規模、管理形態に合わせたアンチウィルスソリューションを提供
– 様々な冗長化ソリューションを提供(対応プラットフォーム拡充、回線障害対応)
– ライフサイクル管理(導入、設定、監視、ログ・レポート、アップデート)をサポートするセキュリティ統合管理ツール(NetScreen-Security Manager)
ノックス株式会社 ソリューション営業部
4Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
アップグレードの注意点
• ScreenOS 5.0は、弊社サポートサイト(http://support.nox.co.jp/)よりダウンロード可能です。
• ご使用の機器をScreenOS 5.0にアップグレードされる前にファームウェアに同梱されている「NetScreenScreenOS Migration Guide」を必ずお読みください。
• アップグレード対象機器:NetScreen-5XP、NetScreen-5XT、NetScreen-5GT、NetScreen-25、NetScreen-50、NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-5000
• ScreenOSのバージョンアップには、ソフトウェア保守契約もしくは無償保守(ご購入ご3ヶ月間)が必要です。• ScreenOSのバージョンアップの際には、実行前に設定ファイルのバックアップを取ることを強く推奨いたします。
– バックアップ方法• WebUIより Configuration > Update > Config File > Save To File• コマンドラインより ns >get configの出力をファイル保存• TFTPサーバへの保存 ns >save config to tftp < ファイル名>
例)ns >save config to tftp 10.10.1.100 cfg-0921.txt
ノックス株式会社 ソリューション営業部
5Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ScreenOS 5.0の新機能一覧
ScreenOS 5.0の主な追加機能・変更点Deep Inspection
従来のステートフルインスペクションに加えて上位レイヤーを精査することによってアプリケーションレベルでのアタックを検知・防御
ステートフルシグネチャ(約250個)及びプロトコル異常(HTTP、FTP、SMTP、POP3、IMAP、DNS)を検知
NetScreen-5XP以外の全機種に対応(別途ライセンスキー必要)
アンチウィルスNetScreen-5GT
Trend Micro社のアンチウィルスエンジンをベースにした埋め込み型
別途ライセンスキー必要
プラットフォーム容量の拡張と機能追加VLANサポート
NetScreen-25/50 8VLANNetScreen-204/208 32VLAN
NetScreen-25でNSRP Liteサポート簡易冗長化機能(セッション、VPN同期なし)
NetScreen-25/50でセッション容量拡張NetScreen-25 16,000NetScreen-50 64,000
そのほかのセキュリティ強化点アプリケーションレベルゲートウェイ(ALG)の拡張
ノンスタンダードポートでの新規セッションをサポート
新サービス
ALGでSIP、RSHをサポートURLフィルタリング
ポリシー単位で設定可能
個別VSYSで対応可能NTPのセキュリティ強化
MD5認証を追加ネットワーク構成、信頼性の強化点
ルートベーストンネル容量の増加
トンネルインターフェースに複数のVPNをバインド
ルーティング機能の強化
RIPv2を全機種でサポートソースベースルーティング
ソースインターフェースおよびソースIPベースのルーティングをサポート
NSRPv2の強化より正確にネットワークエラーの検出をする二次チェック機能を強化
送信先NATサポートNAT Destination
ノックス株式会社 ソリューション営業部
6Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ScreenOS 5.0の新機能一覧(続き)
ネットワーク構成、信頼性の強化(続き)PPPoEの強化
PPPoEの同時複数接続をサポートDHCPの強化
ゾーンに関わらずいずれのインターフェースでもDHCPの定義が可能
DHCPサーバの強化Trustバーチャルルータのどの物理インターフェースでもDHCPサーバをサポート
VLANインターフェースへのDHCPリレー機能物理インターフェースの有効化・無効化
物理インターフェースのリンクアップ・リンクアップを自在に操作可能
導入・管理面の強化点初期導入の簡略化
NetScreen-Security Managerと連携して初期導入を簡略化
設定情報のロールバック機能
設定アップデート、設定変更中にデバイスへのアクセスが失われた際に、事前の設定を自動的に復旧
ログ情報の強化
PermitやDenyなどアクションをトラフィックログ内容に追加
Deep InspectionのDropやResetもログ内容に追加
複数のSyslogサーバサポート4台までのSyslogサーバを設定可能TCPをサポート
SSHv2互換Rapid Deployment
リモート機器本体に最低限の設定のみを行った上で、NetScreen-Security Managerにアクセスして全設定をダウンロード
自動シグネチャアップデート
アタックシグネチャの自動アップデートをサポート(シグネチャアップデートサービスの購読が必要)
ポリシー設定の強化点複数のアドレス、サービスフィールドを単一のポリシーに設定可能
ノックス株式会社 ソリューション営業部
7Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
Deep Inspection
• 従来のステートフルインスペクションで行っていたLayer 3、4での検査に加えてアプリケーションレベル(Layer 7)での検査を行いアプリケーションレベルでのアタックや異常パケットを検知してアクション(Dropなど)を施します。
• HTTP、SMTP、POP3、IMAP、FTP、DNSのセッションをアプリケーションレベルで検査します。• 約250個のステートフルシグネチャによるアタックパターン検知を行います。
Src IP Dst IP Src Port Dst Port Protocol
Payload
Src IP Dst IP Src Port Dst Port Protocol
Payload
ステートフルインスペクションLayer 3、4(IP、ポート番号)をベースとしたポリシー
ポリシーマッチNO
YES
Drop
NODrop
YES
Deep Inspection
Forward packet
アタック検知
NO
YES
NO
Deep Inspectionで定義されたアクション
YES
DropCloseIgnore
Deep Inspectionアプリケーションレベルをベースとしたアクション
検査方法セッションの初期パケット→ポリシー検査セッション中のパケット→ステイト情報、セッションテーブル
検査方法アプリケーションレイヤーでのシグネチャマッチングプロトコル規則から逸脱した異常通信を検知
ポリシー許可
ノックス株式会社 ソリューション営業部
8Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
Deep Inspectionのライセンス形態
• Deep Inspectionライセンスについて– Deep Inspection機能を使用するには、1年ごとのシグネチャサービスをご購入いただく必要があります。
NS-DI-xx
既存もしくは新規購入機器
1年 1年
NS-DI-xxExpire Expire
NS-DI-xxExpire
Deep Inspectionシグネチャサービス
NS-MNT-xx NS-MNT-xx NS-MNT-xx本体保守
更新 更新
ノックス株式会社 ソリューション営業部
9Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
Deep Inspection(続き)
• Deep Inspection機能 FAQQ. Deep Inspectionとは?
A. NetScreen Technologies., Inc.が開発した最新のファイアウォール技術で、従来のステイトフルインスペクションでは対応できなかったアプリケーションレベルでのアタックをゲートウェイにおいて検知・防御する技術です。アタック検知は、サービスフィールドアタックパターンのシグネチャ照合とプロトコル異常の検出によって行われます。
Q. 使用方法について?A. Deep Inspection機能を使用するには、まずScreenOS 5.0にバージョンアップを行う必要があります。また、機能を有効にするために別途追加費用が必要となります。
Q. 対応プラットフォームは?A. ScreenOS 5.0が対応している全プラットフォーム( NetScreen-5XPを除く)でDeep Inspection機能を使用することが出来ます。
Q. NetScreen-IDPとの違いは?A. Deep Inspection機能はNetScreen-IDPの技術をベースに開発されています。ただしNetScreen-IDPで提供されるネットワークハニーポット機能、バックドア検知機能などは対応しておりません。また、サービスフィールドアタックパターンで使用されるシグネチャ数もNetScreen-IDPでは約1,800個に対して約250個、プロトコル異常検知の対応プロトコル数もNetScreen-IDPでは約50個に対して6個(HTTP、FTP、SMTP、IMAP、POP3、DNS)となっております。
Q. Deep Inspectionのアクションとは?A. Deep Inspectionではアタックパターンやプロトコル異常の内容に基づいてルールベースでアクション(Close、Close Client、
Close Server、Drop、Drop Packet、Ignore、None)を定義することが出来ます。Q. パフォーマンスへの影響は?
A. 設定内容や構成に依存しますが一般的にDeep Inspectionを使用することによってある程度のパフォーマンスの低下が見込まれます。
ノックス株式会社 ソリューション営業部
10Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
アンチウィルス
• NetScreenのアンチウィルスソリューション– 埋め込み型
• NetScreen-5GT– Trend Micro社のアンチウィルススキャンエンジンを搭載– 定義ファイルはNetScreen-5GTがTrend Active Update Serviceから自動的にアップデート(マニュアルアップデートも可能)
– ポリシーベースでのスキャン定義– スキャンレベル、定義ファイルは詳細設定可能
– 小規模・拠点向け
Virus Scanning Application Programming Interface (VSAPI)
TO: AFROM: BSubject:: CCC
TO: AFROM: BSubject:: CCCAttachmentHas been Dropped
NetScreen-5GTのアンチウィルス
ノックス株式会社 ソリューション営業部
11Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
アンチウィルス(NetScreen-5GT)
• NetScreen-5GTのアンチウィルス設定画面
アンチウィルスライセンスキーをインストールするとConfig > Update > ScreenOS/Keysライセンス情報欄に AV: Enableと表示され、メインメニューが右図のように変化します。
ポリシー画面にアンチウィルス設定欄が表示されます。
ノックス株式会社 ソリューション営業部
12Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
アンチウィルスのライセンス形態
• アンチウィルスのライセンスについて– アンチウィルス機能は以下のいずれかの方法により可能です。
NS-AV-5GTNS-AV-5GTPNS-AV-5GTE
新規購入機器
1年 1年
NS-AVS-5GTNS-AVS-5GTPNS-AVS-5GTEExpire Expire
NS-AVS-5GTNS-AVS-5GTPNS-AVS-5GTEExpire
NetScreen-5GTAnti Virusアップグレード
NS-MNT1-5GTNS-MNT1-5GTP
NS-MNT2-5GTNS-MNT2-5GTP
NS-MNT2-5GTNS-MNT2-5GTP本体保守
更新 更新
NetScreen-5GTAnti VirusDeep Inspectionバンドル
NS-5GT-007NS-5GT-107
既存機器
NS-AVS-5GTNS-AVS-5GTPNS-AVS-5GTEExpire Expire
NS-AVS-5GTNS-AVS-5GTPNS-AVS-5GTEExpire
NS-5GT-007-AVNS-5GT-107-AVNS-5GT-207-AV
ノックス株式会社 ソリューション営業部
13Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
アンチウィルス(続き)
• アンチウィルス機能 FAQQ. NetScreenでアンチウィルス機能を使用するには?
A. 埋め込み型のアンチウィルス機能はNetScreen-5GTでのみ提供されます。既存のNetScreen-5GTでアンチウィルス機能を使用するにはアップグレード費用が必要となります。新規購入の場合はアンチウィルス機能をバンドルしたモデルが追加されます。NetScreen- NetScreen-25/50/204/208/500ではTrend Micro社のInterScan Virus Wall 3.6とCSP(ContentScanning Protocol)と連携してゲートウェイ型のアンチウィルスを実現します。
Q. NetScreen-5GTでアンチウィルス機能を使用するメリットは?A. ほとんどの企業がデスクトップPCやノートPCにアンチウィルスソフトをインストールして対策を施しているにもかかわらず社会問題となるようなウィルス被害の問題が後を絶ちません。一つの要因として定義ファイルが最新でないことやアンチウィルス機能そのものが有効になっていないユーザーがいるなど管理面での不備が挙げられます。このような場合、NetScreen-5GTがゲートウェイレベルでの防御を行い、ウィルス対策をマルチレイヤー化することによってより有効な対策を施すことが可能になります。また、集中管理ツールが導入されていない拠点ネットワークなどでは特に有効な手段となります。
Q. NetScreen-5GTのアンチウィルス機能の動作とは?A. ポリシーベースで設定を行うことが出来るため、アンチウィルスが有効となっているポリシーにマッチするトラフィックのみを精査の対象とします。NetScreen-5GTがウィルスを含むメールを検知した場合、添付ファイルを破棄し、メール受信者には添付ファイルが感染していたため破棄された旨のメッセージを本文に付加して送信します。
Q. NetScreen-5GTでアンチウィルス機能を使用した場合の遅延は?A. 遅延は発生します。NetScree-5GTがスキャンする前にはストリームを再構築する必要があります。結果としてその時間が遅延となります。ただし、使用環境にもよりますが多くの場合この遅延は微少と考えられる程度と思われます。
Q. NetScreen-5GTでアンチウィルス機能を使用した場合のスループットへの影響は?A. NetScreen-5GTでアンチウィルス機能を使用した場合、本来の最大スループットである75Mbpsに到達することは出来ません。スループット劣化の度合いは設定内容に依存しますが、カタログスペック(75Mbps)を想定した環境でNetScreen-5GTを導入する場合はアンチウィルス機能の使用について考慮する必要があります。
Q. NetScreen-5GTでスキャンできるファイルに最大数?A. デフォルトでは4MBのファイルを8個までスキャンできるように設定されています。この値は変更可能です。
ノックス株式会社 ソリューション営業部
14Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
アンチウィルス(続き)
• アンチウィルス機能 FAQ(続き)Q. NetScreen-5GTでスキャンできる最大ファイルサイズ?
A. 20MBです。設定により20MBを超えるファイルを検知した場合に通過させるかドロップするかを選択できます。Q. ZIPファイルを検知した場合?
A. NetScreen-5GTはZIPファイルを解凍してウィルスをスキャンします。Q. NetScreen-5GTのアンチウィルスエンジンに含まれるシグネチャ数?
A. 現時点では80,000以上のパターンが含まれます。Q. パターンファイルの保存は?
A. パターンファイルはNetScreen-5GTのフラッシュメモリ(不揮発メモリ)に保存されます。Q. パターンファイルの自動更新は?
A. NetScreen-5GTがTrend Active Update Serviceにアクセスして自動アップデートを行います。アップデート周期(デフォルトは15分)は設定可能です。また、手動でのアップデートも可能です。
ノックス株式会社 ソリューション営業部
15Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
• VLAN(802.1Q)サポート– これまで上位機種もしくはオプションライセンスのみでの対応であったVLAN(802.1Q)ベースのサブインターフェースを標準サポート
– VLAN(802.1Q)対応一覧
プラットフォーム容量の拡張と機能追加
IEEE 802.1QVLANトランク
スイッチ
サブインターフェース
32(オプションで32VLAN追加)*
0(オプションで32VLAN)*
NetScreen-204
0(オプションで32VLAN)*
00ScreenOS 4.0
32(オプションで32VLAN追加)*
88ScreenOS 5.0
NetScreen-208NetScreen-50NetScreen-25
*Virtualization Keyにより増加。さらにバーチャルルータ(5個)とカスタムゾーン(10個)が追加されます。
ノックス株式会社 ソリューション営業部
16Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
プラットフォーム容量の拡張と機能追加(続き)
• NetScreen-25でHA Liteサポート– HA Lite アクティブ・スタンバイ構成でセッション同期、SA(VPN)の同期には未対応– NetScreen冗長機能対応一覧
• 同時セッション容量増加(NetScreen-25/50)– NetScreen同時セッション容量一覧
アクティブ/スタンバイアクティブ/アクティブ
アクティブ/スタンバイアクティブ/アクティブ
NetScreen-204
アクティブ/スタンバイアクティブ/アクティブアクティブ/アクティブ(フルメッシュ)
アクティブ/スタンバイなしScreenOS 4.0
アクティブ/スタンバイアクティブ/アクティブアクティブ/アクティブ(フルメッシュ)
アクティブ/スタンバイアクティブ/スタンバイ(Lite)
ScreenOS 5.0
NetScreen-208NetScreen-50NetScreen-25
16,0008,000ScreenOS 4.064,00016,000ScreenOS 5.0
NetScreen-50NetScreen-25
ノックス株式会社 ソリューション営業部
17Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
その他のセキュリティ面での強化点
• ALG(Application Layer Gateway)の拡張– 定義済みALGにSIP、RSHを追加(NAT対応は次バージョン予定)– アプリケーションレイヤーの情報を認識
• 動的に開くポートを自動的にサポート– 非標準ポートで始動するセッションをサポート
• カスタムで作成したサービスを定義済みサービス(Predefined Service)にマッピング• Deep Inspection使用時に重要
• URLフィルタリングをポリシーベースで設定可能– ポリシーのAdvanceメニューでON/OFFを指定
ノックス株式会社 ソリューション営業部
18Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ネットワーク構成、信頼性の強化
• トンネルインターフェースに複数のVPNをバインド– 多拠点VPNの構成に有効
VPN-1
VPN-2
Tunnel. 1 2.2.2.2
Trust 192.168.1.0/24
Trust 192.168.2.0/24
VPN-1Tunnel.1 3.3.3.3
VPN-2Tunnel.1 4.4.4.4
3.3.3.3Tunnel.1192.168.1.0
4.4.4.4
ネクストホップ
Tunnel.1192.168.2.0
インターフェースDestination
ルートテーブル
VPN-13.3.3.3
VPN-24.4.4.4
VPNネクストホップ
NHTBテーブル
NHTB(Next-Hop Tunnel Binding)NHTBテーブルに定義されたVPNをネクストホップゲートウェイにマップ
ノックス株式会社 ソリューション営業部
19Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ネットワーク構成、信頼性の強化(続き)
• ダイナミックルーティングプロトコルの拡張– RIPv2を全機種で対応
• ソースベースルーティング– ソースアドレスをベースにルーティング
10.1.1.0/24 10.1.2.0/24
1.1.1.0/24
2.2.2.1/24
3.3.3.1/24
set route 1.1.1.0/24 interface eth2 2.2.2.1set vr trust route source 10.1.2.0/24 interface eth3 3.3.3.1set vr trust enable-source-routing
ソースアドレスが10.1.2.0/24のトラフィックは3.3.3.1のルータをゲートウェイとしてルーティング
使用例)特定のアドレス帯に対してURLフィルタリング、ウィルスキャン、メールスキャン、IDPなどの処理を行いたい
URLフィルタリングメールスキャンウィルススキャンIDP etc..
eth2 eth3
ノックス株式会社 ソリューション営業部
20Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ネットワーク構成、信頼性の強化(続き)
• NAT Destination (NAT-Dst)– 送信先アドレスを変換
• マッピング– 1対1– 多対1– 多対多(アドレスシフティング)
• NAT-Dst 1対1
44444
Src-Port
80
Dst-Port
62.10.2.101.1.1.10
ProtocolDst-IPSrc-IP
1.1.1.10 192.168.1.10
Trust 192.168.1.254/24
Untrust2.2.2.1
44444
Src-Port
80
Dst-Port
6192.168.1.101.1.1.10
ProtocolDst-IPSrc-IP
ノックス株式会社 ソリューション営業部
21Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ネットワーク構成、信頼性の強化(続き)
• NAT Destination (NAT-Dst)(続き)• NAT-Dst 多対1
44444
Src-Port
23
Dst-Port
62.10.2.101.1.1.10
ProtocolDst-IPSrc-IP
1.1.1.10 192.168.1.10
Trust 192.168.1.254/24
Untrust2.2.2.1
44444
Src-Port
23
Dst-Port
6192.168.1.101.1.1.10
ProtocolDst-IPSrc-IP
1.1.1.9
55555
Src-Port
80
Dst-Port
62.10.3.101.1.1.9
ProtocolDst-IPSrc-IP
55555
Src-Port
80
Dst-Port
6192.168.1.101.1.1.9
ProtocolDst-IPSrc-IP
ノックス株式会社 ソリューション営業部
22Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ネットワーク構成、信頼性の強化(続き)
• NAT Destination (NAT-Dst)(続き)• NAT-Dst 多対多(アドレスシフティング)
44444
Src-Port
80
Dst-Port
62.10.2.111.1.1.10
ProtocolDst-IPSrc-IP
1.1.1.10
192.168.1.10
Trust 192.168.1.254/24
Untrust2.2.2.1
44444
Src-Port
80
Dst-Port
6192.168.1.111.1.1.10
ProtocolDst-IPSrc-IP
1.1.1.9
55555
Src-Port
80
Dst-Port
62.10.3.101.1.1.9
ProtocolDst-IPSrc-IP
55555
Src-Port
80
Dst-Port
6192.168.1.101.1.1.9
ProtocolDst-IPSrc-IP
192.168.1.11
192.168.1.12
192.168.1.13
44444
Src-Port
80
Dst-Port
62.10.2.131.1.1.10
ProtocolDst-IPSrc-IP
44444
Src-Port
80
Dst-Port
6192.168.1.131.1.1.10
ProtocolDst-IPSrc-IP
44444
Src-Port
80
Dst-Port
62.10.3.121.1.1.10
ProtocolDst-IPSrc-IP
44444
Src-Port
80
Dst-Port
6192.168.1.121.1.1.10
ProtocolDst-IPSrc-IP
ノックス株式会社 ソリューション営業部
23Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
ポリシー設定の強化点
• 単一ポリシーのマルチセル化– ポリシー設定画面にてアドレス、サービスのグループ定義が可能– 他のファイアウォール製品からのポリシー移植を容易に
~ScreenOS 4.0
あらかじめObject設定画面でグループ化が必要
set policy id 4 from "Trust" to "Untrust" "Trust_1" "Any" "DNS" permit log set policy id 4set src-address "Trust_2"set src-address "Trust_3"set service "FTP"set service "HTTP"set service "MAIL"exit
ポリシー設定画面からグループ化が可能
ノックス株式会社 ソリューション営業部
24Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
NetScreen-Security Manager
• NetScreenセキュリティ製品の統合管理– デバイスのライフサイクルをサポート
• 導入 Rapid Deployment、他拠点導入作業の簡素化• 設定 共通設定をテンプレート化、VPN設定作業を簡素化• 監視 アタック、ログ、デバイス監視(ネットワーク、インターフェースなど)、HA切り替わり• アップデート シグネチャ、ScreenOS、設定ファイル
ノックス株式会社 ソリューション営業部
25Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
NetScreen-Security Manager
• 3-Tierアーキテクチャ
UI(User Interface)
GUIサーバ/デバイスサーバ
デバイス
UI(User Interface)
デバイスサーバ
デバイス
は全てTCP(SHA-1認証、AES暗号付き)通信
GUIサーバ
最大1,000台まで管理
ログ、レポートアラート設定ファイル
JAVAベースGUI
Windows 2000Windows NTWindows XP
Solaris 8, 9Red Hat Linux 8.0, 9.0
NetScreen-5XP/5XT/5GTNetScreen-25/50NetScreen-204/208NetScreen-500NetScreen-5200/5400
ScreenOS 4.0.0/4.0.0 Dial2/4.0.1/4.0.3ScreenOS 5.0.0以降
ノックス株式会社 ソリューション営業部
26Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
NetScreen製品一覧
NetScreenファイアウォール/VPNシリーズNetScreen-5XT/EliteNetScreen-5GT/Plus/AVバンドルNetScreen-25NetScreen-50NetScreen-204NetScreen-208NetScreen-500NetScreen-5200NetScreen-5400
NetScreenクライアントソフトウェアNetScreen-Remote VPNクライアントNetScreen-Remote Securityクライアント
NetScreen統合管理ソフトウェアNetScreen-Security Manager
NetScreen不正侵入検知・防御システムNetScreen-IDP 10NetScreen-IDP 100NetScreen-IDP 500NetScreen-IDP 1000
NetScreenセキュアアクセスシリーズNetScreen-SA 1010/1020/1030NetScreen-SA 3010/3020/3030/3040/3050NetScreen-SA 5020/5030/5040/5050/5060
ノックス株式会社 ソリューション営業部
27Copyright (C) 2003 NOX Co., Ltd. All Rights Reserved.
NetScreen製品仕様一覧(FW/VPN)
5 * 10/100Base-T
1 * 10/100Base-T(Untrust)
4 * 10/100Base-T(Trust)
4 * 10/100Base-T
4 * 10/100Base-T
4/8 * 10/100Base-T
8 * 10/100Base-Tもしくは8 * mini-GBIC(SX/LX)もしくは4 * GBIC(SX/LX)組み合わせ可能
8 * mini-GBICもしくは
2 * mini-GBIC
24 * 10/100Base-T
24 * mini-GBICもしくは
6 * mini-GBIC
72 * 10/100Base-T
インターフェース
N/AN/A10010FW:75Mbps
VPN(3DES):20Mbps
2,000NetScreen-5GT
N/AN/A10010FW: 70MB
VPN(3DES):20Mbps
2,000NetScreen-5XT
500VSYS
(オプション)
4,000VLAN
ACT/ACT(Full Mesh)ACT/ACTACT/SBY
40,00016,000FW:4Gbps
VPN(3DES):2Gbps
1,000,000NetScreen-5400
32VLAN
(オプションで64VLANまで)
ACT/ACT(Full Mesh/208)ACT/ACTACT/SBY
4,0001,000FW:400/550Mbps
VPN(3DES):200Mbps
128,000NetScreen-204/208
8
8
25VSYS
100VLAN
500VSYS
(オプション)
4,000VLAN
VSYS
/VLAN
ACT/SBY(HA Lite)
ACT/SBY
ACT/ACT(Full Mesh)ACT/ACTACT/SBY
ACT/ACT(Full Mesh)ACT/ACTACT/SBY
冗長構成
20,00010,000FW:700Mbps
VPN(3DES):250Mbps
250,000NetScreen-500
1,000100
400(Remote)
FW:170Mbps
VPN(3DES):50Mbps
64,000NetScreen-50
50025
100(Remote)
FW:100Mbps
VPN(3DES):20Mbps
16,000NetScreen-25
40,00016,000FW:2Gbps
VPN(3DES):1Gbps
500,000NetScreen-5200
ポリシーVPNパフォーマンス同時セッションモデル
(ScreenS 5.0の仕様)