透過モードの場合のみ、マルチキャスト及びブロードキャストを通す事が可能です。
デフォルトではIPでもARPでもないユニキャストトラフィックは遮断しますがマルチキャスト及びブロードキャストは通す仕様となっております。
これらのトラフィックについてはポリシーを設定する必要がありません。

NetScreenの配下にある端末数を制限する機能ではなく、同時にWAN側へ通信できるPCを10台（10IP）に制限する機能です。
但し、UntrustからTrustへの通信もカウントされます。
また、10Userの制限はVPN、Firewall、MIP、VIPなどの全通信に影響します。
以下に3つの例を挙げて説明させて頂きます。

Trustゾーン(11個のIP)から、Untrustゾーン(1個のIP)に対し通信
→TrustゾーンからのIPが10を超過する為、11個目のIPからのアクセスは不可能
Untrustゾーン(11個のIP)から、Trustゾーン(1個のIP)に対し通信
→TrustゾーンのIPのみカウントし、10を超過していない為アクセス可能
Untrustゾーン(1個のIP)から、Trustゾーン(11個のIP)に対し通信
→TrustゾーンのIPアドレスをカウントし、Trustゾーンへ10を超えるアクセスがある為、11個目のIPへのアクセスが不可能

NetScreen-5GT Extended以上の機種においてDMZゾーンが使用できます。

ScreenOS5.0よりすべてのプラットフォームでOSPF・BGP・RIPv2をサポートしております。

グローバルIPを直接割り当てずにプライベートドレスを割り当てて宛先アドレス変換する場合はMIP、VIPなどのアドレス変換機能を使用することで可能となります。
直接サーバなどにグローバルIPを割り当てる場合はPPPoE環境の場合のみ以下のコマンドを実行することで可能になります。

set vrouter trust-vr ignore-subnet-conflict
ただしNetscreenのインタフェースには必ずIPアドレスを割り当てる必要があります。

モデムやメディアコンバータが必要になります。

DNSクライアントにはなれますが、DNSサーバとしては運用できません。
尚、ScreenOS5.1.0以降では、DDNSクライアント機能とProxyDNS機能に対応しております。

NetScreenのインタフェースのNATはポート番号も変換するので、NAPT(IPマスカレード)となります。ポリシー（フィルタルール）毎のアドレス変換を設定すればNAT、NAPTどちらも対応可能です。

はい、ポリシーで許可すれば可能です。ただしPPTPを複数セッション接続される場合には、MIPもしくは、DIP（固定ポート）のアドレス変換機能をご使用下さい。

ScreenOS5.0からNetScreen-25以上、及びSSGにて可能になりました。
またScreenOS5.1から単一の物理インタフェースにて複数のPPPoE接続が可能になっております。

Untrustインタフェースには必ずIPアドレスを割り当てる必要があるので、Unnumberedはサポートしておりません。
ただし、ISPより複数の固定IPアドレスを付与された場合に限り、Unnumberd機能と類似した動作をさせることが可能です。
例 ： フレッツ系から固定グローバルIPを8つ付与された場合
8IPの先頭アドレス ： Untrust IPアドレス
8IPの2番目〜8番目 ： ユーザ任意で割り当ててください。
使用できる残りの7IPの内の1つをDMZに割り当て、他の6IPをユーザ任意で使用できます。
また、他のISPの場合、IPアドレスの割り当てが異なる場合があります。
ただし、ISP業者によっては8IPサービスの先頭・8番目のIPを使わない旨の注意事項があります。ご使用の際にはISP業者に確認が必要になります。

上記の設定方法に付きましてはQ5を併用してご覧下さい。

ございます。最大3台まで登録可能です。

現在弊社ではIPv6をサポートしておりませんが、Juniper社の対応状況は以下になります。

・OS5.4以降
　 ISG2000　(with IDPは非対応)

・OS6.0以降
　 NS5000シリーズ（MGT2/SPM2）
　 ISG1000　(with IDPは非対応)

その他の機種についても今後拡張される予定ですが現時点では詳細な仕様は確定しておりません。

セッション数とは、あるクライアントがNetScreenを介してサーバにコネクションを確立した時に生成されるものです。
NetScreenの同時処理セッション数を考慮する場合は、クライアントがどのぐらいコネクションを生成するかを想定した上で、機器設定を行うことをお奨めします。
ちなみに、セッションは通常TCPのみに適用される概念ですが、NetScreenではUDPやICMPなどその他のプロトコルのコネクションもセッションとして管理するのでご注意ください。
トンネル数とはVPNのトンネル数のことであり、双方向のSAで１トンネルになります。

セッションによる制約となるため、該当するセッションがタイムアウトするまでの時間となります。

デフォルトでは、Untrustポートに対するpingは無効に設定されています。
以下の手順で設定を変更して下さい。
[WebUIから設定する場合]
Network>>Interface >> ZoneがUntrust の項目の"Edit"を選択し、
Service Options >Other Services のPing の項目にチェックをし、"OK"をクリックします。
[コンソールまたはTelnetからCLI設定する場合]
Set interface [untrustのinterface] manage ping

どちらのモードにも対応しています。

NetScreenには、「セカンダリIP」という機能が御座いましてTrustもしくはDMZのInterfaceに実IPと別にIPアドレスを設定できます。
ただし、「セカンダリIP」ではタグ情報を扱いませんのでVLAN構成は不可能です。タグVLANの場合はサブインタフェースを設定して下さい。

NetScreenにおける帯域制御機能は、設定した各ポリシー毎に設定可能で保証帯域、最大帯域、優先順位が設定可能です。
また、1kbps単位で制御可能で8段階のDiffServ設定（IP Precedence値）も可能となっております。
※ISGシリーズ以上では帯域制御機能ができません。

H.323とSIPに対応しています。

NetScreenに定義されている、H.323、SIPは以下のポートを登録しています。
H.323
TCP:389,522,1503,1720,1731
UDP:1719
SIP
TCP:5060
UDP:5060

1つのCommunityにつき最大8台までのホストに送ることが出来ます。
また、3つのCommunityを作成できます。

NetScreenは、UPnPに対応しておりません。
また、今後サポートする予定もありません。
理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウィルスに感染したホストがファイアウォールの内側にいた場合、ファイアウォールのポートを全てOpenにしてしまい、外部からのアタックや不正進入を招いてしまう危険性があるためです。

NetScreen-200以下のシリーズではTrafficLog：4096行、EventLog：1024行
NetScreen-500ではTrafficLog：4096行、EventLog：2048行
NetScreen-5000シリーズではTrafficLog：16000行、EventLog：16000行
になります。この最大行数は変更することはできません。
Logの最大容量行数を超えた場合は、古いものから削除され、上書きされていきます。
また、このLogはメモリに保存するため電源を落とすと全て削除されてしまいます。

NetScreen自体は、スパニングツリープロトコルを理解しませんが、透過モードの場合、デフォルトでマルチキャストを通すのでBPDUもそのまま通します。
NAT/ROUTEモードの時は破棄します。

Netscreenシリーズではすべての機種で搭載されておりません。
※SSGシリーズは搭載、およびモジュールにて搭載可能です。

L2ZoneとL3Zoneを混在させることはできません。

ADSL環境のMSS値が関係しておりフラグメントを起こしているものと思われます。
NetScreenに以下のコマンドを設定してください。
set flow all-tcp-mss 1304
save
※MSS値の1304という数字はJuniper社の推奨している値です。
場合によっては、調整が必要になります。
デフォルト値はOS4.0、5.0ともに1400です。
また、上記設定でも変化が見られない場合はFirewall機能「Deny Fragment」のチェックが外れているかを確認してください。

NetScreenには、ポートミラーリング可能な拡張インターフェースはございません。

NetScreen-RemoteのVer8から通常のVPNクライアントソフトにパーソナルファイアウォール機能をサポートした、NetScreen-Remote Security Client という製品がございます。

MACアドレスのフィルタリング機能はございません。
ただし固定でARPを設定することは可能です。

サポートしておりません。

ScreenOSのバージョンによって異なります。
ScreenOS 4.0までの場合、TrustやDMZでのPPPoEは接続できません。
Untrustを割り当てたInterfaceのみにPPPoEを設定することが可能です。
ScreenOS 5.0以降の場合、DMZ、Untrust、Trustに割り当てられた全てのInterfaceにPPPoEを設定することが可能です。

メールアドレスでのフィルタリングはできません。
ただしドメイン名にてポリシーを設定することは可能です。
ただしその場合、DNSの設定が必要になります。

NAT/ROUTEモードで動作させている場合、TCP/IP以外のプロトコルには対応しておりません。
透過モードでBypass-non-ipを設定することによりIP以外のパケットを通す事が可能です。

リアルタイムに確認することが可能です。
Reports > Policies > Traffic Shaping Graph 画面で以下の内容が確認できます。

ポリシー毎に、In / Out Traffic を 直前 100 秒間のグラフ表示
各インターフェイスの使用帯域を一覧表示

下記の二つの方式を使用しています。

Priority Queuing（優先順位待ち行列）
TCP window control（TCPレート制御）

およそ0.5ms程度です。正確には、パケット長とネットワーク速度に依存します。
VPN使用時の遅延には、3つの要素があります。

パケット受信時間
暗号化処理時間
パケット送信時間
NetScreenは最高のパフォーマンスを得る為に、暗号化専用のASICを内蔵しています。
暗号化処理時間は、機種や使用する暗号・認証アルゴリズムにより異なるため、正確な数値は提示出来ませんが、約0.3msとなってます。
これに送受信の時間を加えたものが実際の処理遅延となります。

センター、拠点のどちらかに必ず固定グローバルアドレスを割り当てる必要があります。 また、グローバルアドレスを動的に与えられたNetScreen側から通信を始めなければなりません。

NetScreenのNAT-Traversal機能を使用すれば必要ありません。
但し、その場合は対向のNetScreenに固定グローバルアドレスが必須となります。
また、NetScreen-RemoteはVer7.0以上で（NAT-Traversal）対応しています。
また、ダイアルアップルータに必要な機能は以下の3点です。

IPプロトコル50番のESPパケットを通せる事
UDP500番を通せる事
UDP4500番を通せる事（NAT-Traversal Draft2を使用する場合）

IPベースの通信であれば、通信経路に関わらずVPN通信が可能です。

NetScreenのサービスでH.323及びSIPに対応していますが、VoIP機器などの相性もあり動作に関しては保証できないため、導入前には一度検証を行って頂く必要があります。

使用できる機能できない機能に差異がでますが、通信自体には問題ありません。

他社製品との接続は推奨しておりません。
なお、ICSA(第3者機関)においてVPNの相互接続が確認されております。
また、弊社ではNetScreenと他ベンダVPN装置との通信においての設定や障害が起きた場合などのサポートは、以下の条件が成立した場合に限って、サポートをさせて頂いております。

NetScreen対向のVPN装置を提供する側にしっかりとしたSlerが存在すること。
そのSlerは、対向機種のメーカ側に十分な影響力を持つこと。(Juniper社に対しては、弊社が対応します。)
その上で、Slerと弊社間でエンドユーザ様のシステムに関して問題が発生した場合、解決のために十分な話し合いと対策を打つ事を合意すること。
そのために、Slerは対向機種メーカーに、弊社はJuniper社に該当するお客様のシステムを認知させ、トラブル発生時に両社、お客様システムを稼動させる事を優先させる旨の同意を得ること。
その上で、Slerと弊社の共同プロジェクトを立ち上げて、相互接続性の評価を行った後、システムの構築を行うこと。

マルチキャストはScreenOS5.1より対応しております。
ブロードキャストについてはトンネル上に通す事が出来ません。

双方の機器どちらかのvlan1 IP(system-ip)に固定のグローバルアドレスを割り振ることで可能です。
その場合、グローバルアドレスを持っていないNetScreen側から通信を開始する必要があります。

下記の RFC に準拠するように設計されています。
RFC 2401 Security Architecture
RFC 2403 HMAC-MD5-96
RFC 2404 HMAC-SHA-1-96
RFC 2405 ESP DES-CBC
RFC 2406 ESP
RFC 2409 IKE
RFC 2410 NULL
RFC 1851 3DES
RFC 3268 AES(Advanced Encryption Standard)

弊社ではUSBキー等を使用したVPN通信の動作保障をしておりません。

使用できます。
但し、NetScreen-RemoteにPPPoEなどの接続機能はございません。
別途接続ツールをインストールし、併用してお使いください。
但し、NetScreen-Remoteとの相性問題があり動作保証は出来ませんので、導入前に十分な検証を行って頂く必要があります。

NetScreen-Remoteは下記Windows以外のOSには対応しておりません。
Ver9.0での対応Windowsは以下の通りです。

Microsoft Windows 2000 Professional
Windows XP Professional または Home Edition （SP2はRemote Ver8.5以降)
Windows Vista（Ver9.0以降)
全て32bit版のみです。VistaはHome Basicには対応しておりません。

※以下はVer9.0ではサポート外となります。ご注意下さい。
Microsoft Windows 95 (build 950B，950C のみ)
Microsoft Windows 98 (98，98SE)
Windows ME
Windows NT 4.0 (Service Pack 4以上)

NetScreen-Remoteを使用してのドメイン参加はできません。

NetScreen-Remoteの Internal Network IP Address を設定することで可能です。
また、Xauthを利用して認証後にIPアドレスを割り当てるという方法もあります。

NetScreen-Remoteに設定した通信先以外の通信に関しては暗号化を行わないため、VPN通信中にインターネット閲覧などの並行した通信が行えます。
また、同時に複数のVPN通信をする事も可能です。

Windows2000及びXPと接続可能です。

但し、弊社では項番44の理由により推奨しておりません。

ScreenOS5.1よりGRE（GREｖ1）に対応しております。

ScreenOS5.0以降のバージョンではNetScreen5GT-Extended、NetScreen25にて、NSRP-lite(※)によるActive-Passive冗長化に対応しています。
NetScreen50以上の機種にてNSRPによるActive-Passive冗長構成が可能です。
Active-Active冗長構成は、NetScreen-200以上の機種で対応しています。
但し、NetScreen-204の場合フルメッシュ構成は出来ません。
※NSRP-Liteでは、切替発生時、通信セッション等の動的な情報が引き継げません。

NetScreenでのActive-Active構成では、ロードバランスができないため、ロードシェアリングでの動作になります。

Active-Passive構成のみサポートされます。

NetScreenは冗長が切り替わると、Gratuitous ARPをブロードキャストして周辺機器に新たなARP情報を更新させます。

ScreenOS4.0から、NSRPv2というNetScreen独自のプロトコルを使用して冗長化を構成します。

異なる機種での冗長化はサポートすることが出来ません。
また、機種のほかにScreenOSのバージョンも合わせる必要があります。

弊社で行った検証では、Active-Standbyの場合、約8秒から10秒ほどで切り替わります。
Active-Activeの場合は、秒単位での確認はしていないため精確な数値ではありませんが、PINGを流し続けている状態で、1〜2回ドロップする程度です。
デフォルトの設定では1〜2秒で切り替わります。

Radius、SecurID、LDAPサーバと連携が可能となっております。

ユーザ認証には以下の3つの方法があります。いずれも認証に成功しなければNetScreenを通過あるいはVPNの確立が出来ません。

ファイアウォール認証
HTTP、FTP、TELNET通信に限り、ユーザ認証が可能
WebAUTH
Interfaceに設定されたWebAUTH用のIPアドレスに対してHTTPアクセスでユーザ認証を行う
Xauth
VPN確立の前に行うユーザ認証

ルートCA局とNetScreen本体のローカル証明書を含め、全部で８階層サポートしています。
従って、中間CA局は６つまでのサポートとなります。

NetScreenは以下のCAをサポートしております。

VeriSign CA
Entrust CA
Microsoft CA
RSA Keon CA
iPlanet (Netscape) CA
Baltimore CA

可能です。

インターフェース毎に２５５個まで設定できます。
特定のMACに特定のIPを振ることも可能です。その場合、IPグループの設定と合わせて64個まで設定できます。

ＯＳのバージョンと機器を同一にする必要があります。

可能です。

MIPとDIPを使用することで可能になります。また、この場合ルートベースVPNを使用する必要があります。

対応していません。

NetScreenの連携製品として、NetScreen-Security Managerや日立ソフトウェアエンジニアリング社のNetInsight II Security Reporting Centerなどの製品があります。

NetScreen-Security Managerは、ロールベースの管理方式を使用し、さまざまな権限レベルとアクセス権を持った複数の管理者の安全な同時アクセスを可能にします。
管理者は、NetScreen-Security Managerシステムの関連エリアにアクセスして構成を変更したり、レポートや統計を参照したりすることができます。
NetScreenの設定・ログ収集には、独自プロトコルを使用して暗号化されていますのでセキュアな通信が可能です。

可能です。以下の方法があります。

専用管理ツール
NetScreenの専用管理ツールであるNetScreen-Security Managerを使用します。
専用のGUIを使用して効率よくNetScreenの設定が可能です。

暗号通信経由
対向でNetScreenを設置するか、NetScreen-Remote を使用します。
接続確立後はTelnetもしくは Webブラウザ経由で設定が可能です。

ストレートケーブルで接続し、9600bpsに設定する。
自動応答モード（ATS0=1）に設定。
モデムのステータスメッセージを送らないように設定。
コンソールポートには、実データのみを流す。
DTR、RTSが、highまたはONになっていること。
フロー制御を無効にする。

下記の設定方法で制限できます。

Configuration > Admin > Permitted IPsで許可するIPアドレスを設定します。
例えば、IP：10.2.0.16、Netmask：255.255.255.248 とした場合、10.2.0.17 〜 10.2.0.22 までのアドレスからしか接続できません。
（10.2.0.16および10.2.0.23はネットワークのブロードキャストアドレスのため接続可能アドレスから除きます。）

1. EVENT LOG
システムの動作全般に関連する記録です。
システムの各モジュールの開始／停止／障害情報
アタックの検出情報
管理者ログイン、設定変更情報

2. TRAFFIC LOG
通信のセッションレベルの記録です。

通信セッションの詳細情報
設定した通信量を超えた時のトラップ情報

3. SELF LOG
NetScreenに対する全てのドロップされたパケット（ポリシーに拒否されたものなど）や終了したトラフィック（管理トラフィックなど）の監視および記録です。

ドロップされたパケットおよび終了したセッションに関する情報

以下の方法があります。
Console コンソールを通じてNetScreenデバイスをトラブルシューティングするときに表示されます。
オプションとして、アラームがトリガーするときにコンソールを使用している場合、アラームメッセージ (重要、警報、緊急)のみがすぐに表示され警告するように選択できます。
内部DB NetScreenデバイスの内部データベースはログ入力に便利な宛先ですが、限られらたログスペースです。
E-mail イベントログおよびトラフィックログデータをリモート管理者に送信できます。

WebUIのログ表示画面中の、「Save」ボタンを押下すればテキスト形式で取得できます。

以下のトラップを生成します。
TRAP ID ALARM TYPE ALARM DESCRIPTION
100 (ハードウェア関連） 19 Device not working
20 Memory low
22 Fan, Power Supply failure
23 Load balance server unreachable
30 CPU usage is high
51 allocated session exceed threshold
200 (ファイアウォール関連） 3 Use

ScreenOS5.0系より出力インターフェースを指定できるようになった為通常のVPN設定を行い、VPN経由になる出力インターフェースを指定してください。

Log Levelのうち、emergency、alertがSecurity Facilityであり、critical以下のLevelは通常のFacilityとなります。

10分毎またはバッファが一杯になった時点で、NetScreenがSMTPサーバに接続し送信する仕様になっています。
また、TrafficLogを含むメールについては、24時間毎またはバッファが一杯になった時点で逐一送信されます。
設定の変更はできません。

日立ソフトウェアエンジニアリング株式会社のNetInsight II Security Reporting CenterとNetscrenを連携させることにより、ログ解析が可能となります。

WebUIよりConfiguration > Report Settings > Log Settingsにて8つのレベルから出力するものを指定可能です。
（Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging）

ジュニパーネットワークス社のHP（以下URL）より取得可能です。
http://www.juniper.net/techpubs/software/screenos/mibs.html#5.x

プルダウンから該当の機種を選択してください。別ページにリンクしますので、「Private SNMP MIB Definition（*.zip）」から使用されているOSのMIBをダウンロードして下さい。

ScreenOS 5.4において、全ての機種がEAL 4+の評価を受けております。
ただし、ScreenOSのバージョンによって、評価状況が異なります。
ISG 1000/2000, NetScreen-5200/5400(MGT2/SPM2)での、ScreenOS 6.0以降での評価は、来年末を予定しています。

はい、PSE対象品であるACケーブル／ACアダプタとも全機種にてPSE取得済です。

製品出荷後5年となっております。

機器側　IEC320-C13 　電源側　NEMA 5-15P　となっております。

NetScreen等、パソコンやコンピュータ機器は、「電気用品」には含まれません。 電気用品安全法の対象は「電気用品」ですので、NetScreenは対象外となります。なお、電源ケーブル、ACアダプタは一般に「電気用品」に該当しますが、NetScreenに添付の電源ケーブル、ACアダプタは、その機器専用の付属物という解釈により、電気用品安全法の対象外となります。

弊社取扱Juniper製品の多くは、電気通信事業法第五十二条が定める端末設備の対象外となるため、技術基準適合認定は取得しておりません。ただし、SSGシリーズなどWANインターフェイスを追加できる製品については、技術基準適合認定を取得しております。

Juniper社サイトをご覧ください。Model Number/SKU [.xls 532 KB]よりリンクされるエクセル表中における「Compliant」がYESになっている製品が上記指令に対応しております。
http://www.juniper.co.jp/environmental/