透過モードの場合のみ、マルチキャスト及びブロードキャストを通す事が可能です。
デフォルトではIPでもARPでもないユニキャストトラフィックは遮断しますがマルチキャスト及びブロードキャストは通す仕様となっております。
これらのトラフィックについてはポリシーを設定する必要がありません。
SSGシリーズすべての機種で対応しております。
SSGシリーズすべての機種でOSPF・BGP・RIPv2をサポートしております。
グローバルIPを直接割り当てずにプライベートドレスを割り当てて宛先アドレス変換する場合はMIP、VIPなどのアドレス変換機能を使用することで可能となります。
直接サーバなどにグローバルIPを割り当てる場合はPPPoE環境の場合のみ以下のコマンドを実行することで可能になります。
set vrouter trust-vr ignore-subnet-conflict
ただしNetScreenのインタフェースには必ずIPアドレスを割り当てる必要があります。
モデムやメディアコンバータが必要になります。
DNSクライアントにはなれますが、DNSサーバとしては運用できません。 尚、DDNSクライアント機能とProxyDNS機能に対応しております。
NetScreenのインタフェースのNATはポート番号も変換するので、NAPT(IPマスカレード)となります。ポリシー(フィルタルール)毎のアドレス変換を設定すればNAT、NAPTどちらも対応可能です。
はい、ポリシーで許可すれば可能です。ただしPPTPを複数セッション接続される場合には、MIPもしくは、DIP(固定ポート)のアドレス変換機能をご使用下さい。
SSGシリーズすべての機種で可能です。
また、単一の物理インタフェースにて複数のPPPoE接続が可能になっております。
Untrustインタフェースには必ずIPアドレスを割り当てる必要があるので、Unnumberedはサポートしておりません。
ただし、ISPより複数の固定IPアドレスを付与された場合に限り、Unnumberd機能と類似した動作をさせることが可能です。
例 : フレッツ系から固定グローバルIPを8つ付与された場合
8IPの先頭アドレス : Untrust IPアドレス
8IPの2番目〜8番目 : ユーザ任意で割り当ててください。
使用できる残りの7IPの内の1つをDMZに割り当て、他の6IPをユーザ任意で使用できます。
また、他のISPの場合、IPアドレスの割り当てが異なる場合があります。
ただし、ISP業者によっては8IPサービスの先頭・8番目のIPを使わない旨の注意事項があります。ご使用の際にはISP業者に確認が必要になります。
上記の設定方法に付きましてはQ4と合わせてご覧下さい。
ございます。最大3台まで登録可能です。
現在弊社ではIPv6をサポートしておりませんが、
Juniper社の対応状況は以下になります。
・OS6.0以降
SSG5 / SSG20 (WANインタフェース/Wirelessは非対応)
その他の機種についても今後拡張される予定ですが現時点では詳細な仕様は確定しておりません。
セッション数とは、あるクライアントがSSGを介してサーバにコネクションを確立した時に生成されるものです。
SSGの同時処理セッション数を考慮する場合は、クライアントがどのぐらいコネクションを生成するかを想定した上で、機器設定を行うことをお奨めします。
ちなみに、セッションは通常TCPのみに適用される概念ですが、SSGではUDPやICMPなどその他のプロトコルのコネクションもセッションとして管理するのでご注意ください。
トンネル数とはVPNのトンネル数のことであり、双方向のSAで1トンネルになります。
セッションによる制約となるため、該当するセッションがタイムアウトするまでの時間となります。
デフォルトでは、Untrustポートに対するpingは無効に設定されていますので、有効にしてください。
ただし、実運用時には無効に設定されることを推奨いたします。
どちらのモードにも対応しています。
SSGには、「セカンダリIP」という機能が御座いましてTrustもしくはDMZのInterfaceに実IPと別にIPアドレスを設定できます。
ただし、「セカンダリIP」ではタグ情報を扱いませんのでVLAN構成は不可能です。 タグVLANの場合はサブインタフェースを設定して下さい。
SSGにおける帯域制御機能は、設定した各ポリシー毎に設定可能で保証帯域、最大帯域、優先順位が設定可能です。
また、1kbps単位で制御可能で8段階のDiffServ設定(IP Precedence値)も可能となっております。
H.323とSIPに対応しています。
SSGに定義されている、H.323、SIPは以下のポートを登録しています。
H.323
TCP:389,522,1503,1720,1731
UDP:1719
SIP
TCP:5060
UDP:5060
1つのCommunityにつき最大8台までのホストに送ることが出来ます。
また、3つのCommunityを作成できます。
SSGは、UPnPに対応しておりません。
また、今後サポートする予定もありません。
理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウィルスに感染したホストがファイアウォールの内側にいた場合、ファイアウォールのポートを全てOpenにしてしまい、外部からのアタックや不正進入を招いてしまう危険性があるためです。
TrafficLog:4096行、EventLog:1024行
になります。この最大行数は変更することはできません。
Logの最大容量行数を超えた場合は、古いものから削除され、上書きされていきます。
また、このLogはメモリに保存するため電源を落とすと全て削除されてしまいます。
SSG自体は、スパニングツリープロトコルを理解しませんが、透過モードの場合、デフォルトでマルチキャストを通すのでBPDUもそのまま通します。
NAT/ROUTEモードの時は破棄します。
L2ZoneとL3Zoneを混在させることはできません。
ADSL環境のMSS値が関係しておりフラグメントを起こしているものと思われます。
NetScreenに以下のコマンドを設定してください。
set flow all-tcp-mss 1304
save
※MSS値の1304という数字はJuniper社の推奨している値です。
場合によっては、調整が必要になります。
デフォルト値は1400です。
また、上記設定でも変化が見られない場合はFirewall機能「Deny Fragment」のチェックが外れているかを確認してください。
SSGには、ポートミラーリング可能な拡張インターフェースはございません。
MACアドレスのフィルタリング機能はございません。
ただし固定でARPを設定することは可能です。
サポートしておりません。
DMZ、Untrust、Trustに割り当てられた全てのInterfaceにPPPoEを設定することが可能です。
メールアドレスでのフィルタリングはできません。
ただしドメイン名にてポリシーを設定することは可能です。
ただしその場合、DNSの設定が必要になります。
NAT/ROUTEモードで動作させている場合、TCP/IP以外のプロトコルには対応しておりません。
透過モードでBypass-non-ipを設定することによりIP以外のパケットを通す事が可能です。
リアルタイムに確認することが可能です。
Reports > Policies > Traffic Shaping Graph 画面で以下の内容が確認できます。
ポリシー毎に、In / Out Traffic を 直前 100 秒間のグラフ表示
各インターフェイスの使用帯域を一覧表示
下記の二つの方式を使用しています。
Priority Queuing(優先順位待ち行列)
TCP window control(TCPレート制御)
およそ0.5ms程度です。 正確には、パケット長とネットワーク速度に依存します。
VPN使用時の遅延には、3つの要素があります。
パケット受信時間
暗号化処理時間
パケット送信時間
暗号化処理時間は、機種や使用する暗号・認証アルゴリズムにより異なるため、正確な数値は提示出来ませんが、約0.3msとなってます。
これに送受信の時間を加えたものが実際の処理遅延となります。
センター、拠点のどちらかに必ず固定グローバルアドレスを割り当てる必要があります。
また、グローバルアドレスを動的に与えられたNetScreen側から通信を始めなければなりません。
SSGのNAT-Traversal機能を使用すれば必要ありません。
但し、その場合は対向のSSGに固定グローバルアドレスが必須となります。
また、NetScreen-RemoteはVer7.0以上で(NAT-Traversal)対応しています。
また、ダイアルアップルータに必要な機能は以下の3点です。
IPプロトコル50番のESPパケットを通せる事
UDP500番を通せる事
UDP4500番を通せる事(NAT-Traversal Draft2を使用する場合)
IPベースの通信であれば、通信経路に関わらずVPN通信が可能です。
SSGのサービスでH.323及びSIPに対応していますが、VoIP機器などの相性もあり動作に関しては保証できないため、導入前には一度検証を行って頂く必要があります。
使用できる機能できない機能に差異がでますが、通信自体には問題ありません。
他社製品との接続は推奨しておりません。
なお、ICSA(第3者機関)においてVPNの相互接続が確認されております。
また、弊社ではNetScreenと他ベンダVPN装置との通信においての設定や障害が起きた場合などのサポートは、以下の条件が成立した場合に限って、サポートをさせて頂いております。
SSG対向のVPN装置を提供する側にしっかりとしたSlerが存在すること。
そのSlerは、対向機種のメーカ側に十分な影響力を持つこと。(Juniper社に対しては、弊社が対応します。)
その上で、Slerと弊社間でエンドユーザ様のシステムに関して問題が発生した場合、解決のために十分な話し合いと対策を打つ事を合意すること。
そのために、Slerは対向機種メーカーに、弊社はJuniper社に該当するお客様のシステムを認知させ、トラブル発生時に両社、お客様システムを稼動させる事を優先させる旨の同意を得ること。
その上で、Slerと弊社の共同プロジェクトを立ち上げて、相互接続性の評価を行った後、システムの構築を行うこと。
マルチキャストは対応しております。
ブロードキャストについてはトンネル上に通す事が出来ません。
双方の機器どちらかのvlan1 IP(system-ip)に固定のグローバルアドレスを割り振ることで可能です。
その場合、グローバルアドレスを持っていないSSG側から通信を開始する必要があります。
下記の RFC に準拠するように設計されています。
RFC 2401 Security Architecture
RFC 2403 HMAC-MD5-96
RFC 2404 HMAC-SHA-1-96
RFC 2405 ESP DES-CBC
RFC 2406 ESP
RFC 2409 IKE
RFC 2410 NULL
RFC 1851 3DES
RFC 3268 AES(Advanced Encryption Standard)
NetScreen-Remoteは下記Windows以外のOSには対応しておりません。
Ver9.0での対応Windowsは以下の通りです。
Microsoft Windows 2000 Professional
Windows XP Professional または Home Edition (SP2はRemote Ver8.5以降)
Windows Vista(Remote Ver9.0以降)
全て32bit版のみです。VistaはHome Basicには対応しておりません。
※以下はVer9.0ではサポート外となります。ご注意下さい。
Microsoft Windows 95 (build 950B,950C のみ)
Microsoft Windows 98 (98,98SE)
Windows ME
Windows NT 4.0 (Service Pack 4以上)
NetScreen-Remoteを使用してのドメイン参加はできません。
NetScreen-Remoteの Internal Network IP Address を設定することで可能です。
また、Xauthを利用して認証後にIPアドレスを割り当てるという方法もあります。
NetScreen-Remoteに設定した通信先以外の通信に関しては暗号化を行わないため、VPN通信中にインターネット閲覧などの並行した通信が行えます。
また、同時に複数のVPN通信をする事も可能です。
Windows2000及びXPと接続可能です。
但し、弊社では項番41の理由により推奨しておりません。
GRE(GREv1)に対応しております。
ScreenOS 6.0より、全てのSSGシリーズでActive-Active、Active-Passiveの冗長構成が可能です。
ScreenOS 5.4まではSSG550(M)のみがActive-Activeにも対応できました。
SSGでのActive-Active構成では、ロードバランスができないため、ロードシェアリングでの動作になります。
Active-Passive構成のみサポートです。ScreenOS 6.1よりActive-Active構成も可能となります。
SSGは冗長が切り替わると、Gratuitous ARPをブロードキャストして周辺機器に新たなARP情報を更新させます。
NSRPv2というJuniper社独自のプロトコルを使用して冗長化を構成します。
異なる機種での冗長化はサポートすることが出来ません。
また、機種のほかにScreenOSのバージョンも合わせる必要があります。
弊社で行った検証では、Active-Standbyの場合、約8秒から10秒ほどで切り替わります。
Active-Activeの場合は、秒単位での確認はしていないため精確な数値ではありませんが、PINGを流し続けている状態で、1〜2回ドロップする程度です。
デフォルトの設定では1〜2秒で切り替わります。
Radius、SecurID、LDAPサーバと連携が可能となっております。
ユーザ認証には以下の3つの方法があります。いずれも認証に成功しなければSSGを通過あるいはVPNの確立が出来ません。
ファイアウォール認証
HTTP、FTP、TELNET通信に限り、ユーザ認証が可能
WebAUTH
Interfaceに設定されたWebAUTH用のIPアドレスに対してHTTPアクセスでユーザ認証を行う
Xauth
VPN確立の前に行うユーザ認証
ルートCA局とSSG本体のローカル証明書を含め、全部で8階層サポートしています。
従って、中間CA局は6つまでのサポートとなります。
インターフェース毎に255個まで設定できます。
特定のMACに特定のIPを振ることも可能です。その場合、IPグループの設定と合わせて64個まで設定できます。
OSのバージョンと機器を同一にする必要があります。
バージョンを変更する再にリブートを伴いますので一旦HAリンクを外した上でスタンドアロンの状態で変更を行ってください。
MIPとDIPを使用することで可能になります。また、この場合ルートベースVPNを使用する必要があります。
対応していません。
NetScreenの連携製品として、NetScreen-Security Managerや日立ソフトウェアエンジニアリング株式会社のNetInsight II Security Reporting Centerなどの製品があります。
NetScreen-Security Managerは、ロールベースの管理方式を使用し、さまざまな権限レベルとアクセス権を持った複数の管理者の安全な同時アクセスを可能にします。
管理者は、NetScreen-Security Managerシステムの関連エリアにアクセスして構成を変更したり、レポートや統計を参照したりすることができます。
NetScreenの設定・ログ収集には、独自プロトコルを使用して暗号化されていますのでセキュアな通信が可能です。
可能です。以下の方法があります。
専用管理ツール
SSGの専用管理ツールであるNetScreen-Security Managerを使用します。
専用のGUIを使用して効率よくNetScreenの設定が可能です。
暗号通信経由
対向でSSGを設置するか、NetScreen-Remote を使用します。
接続確立後はTelnetもしくは Webブラウザ経由で設定が可能です。
下記の設定方法で制限できます。
Configuration > Admin > Permitted IPsで許可するIPアドレスを設定します。
例えば、IP:10.2.0.16、Netmask:255.255.255.248 とした場合、10.2.0.17 〜 10.2.0.22 までのアドレスからしか接続できません。
(10.2.0.16および10.2.0.23はネットワークのブロードキャストアドレスのため接続可能アドレスから除きます。)
1. EVENT LOG
システムの動作全般に関連する記録です。
システムの各モジュールの開始/停止/障害情報
アタックの検出情報
管理者ログイン、設定変更情報
2. TRAFFIC LOG
通信のセッションレベルの記録です。
通信セッションの詳細情報
設定した通信量を超えた時のトラップ情報
3. SELF LOG
すべてのドロップされたパケット(ポリシーに拒否されたものなど)や終了したトラフィック(管理トラフィックなど) の監視および記録です。
以下の方法があります。
Console コンソールを通じてSSGをトラブルシューティングするときに表示されます。
オプションとして、アラームがトリガーするときにコンソールを使用している場合、アラームメッセージ (重要、警報、緊急)のみがすぐに表示され警告するように選択できます。
内部DB SSGデバイスの内部データベースはログ入力に便利な宛先ですが、限られらたログスペースです。
E-mail イベントログおよびトラフィックログデータをリモート管理者に送信できます。
Syslog ログをSSGからSyslogサーバへ送信することで、内部DBでは保存しきれないログを保存できます。
WebUIのログ表示画面中の、「Save」ボタンを押下すればテキスト形式で取得できます。
以下のトラップを生成します。
TRAP ID ALARM TYPE ALARM DESCRIPTION
100 (ハードウェア関連) 19 Device not working
20 Memory low
22 Fan, Power Supply failure
23 Load balance server unreachable
30 CPU usage is high
51 allocated session exceed threshold
200 (ファイアウォール関連) 3 Use
通常のVPN設定を行い、VPN経由になる出力インターフェースを指定してください。
Log Levelのうち、emergency、alertがSecurity Facilityであり、critical以下のLevelは通常のFacilityとなります。
10分毎またはバッファが一杯になった時点で、SSGがSMTPサーバに接続し送信する仕様になっています。
また、TrafficLogを含むメールについては、24時間毎またはバッファが一杯になった時点で逐一送信されます。
設定の変更はできません。
日立ソフトウェアエンジニアリング株式会社のNetInsight II Security Reporting CenterとSSGを連携させることにより、ログ解析が可能となります。
WebUIよりConfiguration > Report Settings > Log Settingsにて8つのレベルから出力するものを指定可能です。
(Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging)
ジュニパーネットワークス社のHP(以下URL)より取得可能です。
http://www.juniper.net/techpubs/software/screenos/mibs.html#5.x
プルダウンから該当の機種を選択してください。別ページにリンクしますので、「Private SNMP MIB Definition(*.zip)」から使用されているOSのMIBをダウンロードして下さい。
下記のパラメータにおいて、文字数・文字の制限はありますか?
・Host name
・user name
・password
・Preshared key
・local ID
・IKE Identity
文字数は以下の通りです。日本語(2バイト文字)は、文字化けなどの恐れもある為、設定しないでください。
・Host name 1文字以上62文字以内
・user name 1文字以上45文字以内
・password 1文字以上15文字以内
・Preshared key 1文字以上127文字以内
・local ID 1文字以上127文字以内
・IKE Identity 1文字以上224文字以内
【使用不可能文字】
? (半角スペース)
【1文字目のみ使用不可能文字】
# " | >
MIBファイルを登録する際は以下の順番で行って下さい。
(1)NS-SMI.mib
(2)NS-PRODUCTS.mib
(3)NS-TRAPS.mib
(4)その他のMIBファイル
また、ScreenOS5.0のMIBファイルでは、NS-TRAPS.mibの110行〜130行 について、「,」が漏れている
構文エラーを含んでいるため、SNMPマネージャによってはエラーとなります。
エラーとなる場合は、「,」を追加して下さい。
仕様です。
表示内容は異なっていますが、設定自体は同じですので問題ありません。
例)
■WebUIの[Save To File]で保存した内容
unset vrouter "trust-vr" auto-route-export
■get configの表示内容
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
SSG自身がインターネットに繋がる状況にすることが必要です。
DNS等の設定を行ってください。また、上位にプロキシサーバを経由しないことも必要です。
使えます。ただし、SSGから通信が出来るようにDNSやIP、デフォルトルート等の設定が必要です。
Flash上に保存されます。
各機能毎に以下のポート番号を許可して下さい。
AV・・・HTTP(TCP 80)
DI(IPS)・・・HTTPS(TCP 443)
URLフィルタリング・・・UDP 9020ポート
ただし1024以上であれば変更可能
SPAM・・・DNS(TCP 53)
いいえ、アンチスパム機能はSMTPにしか対応しておりません。そのため内部側にメールサーバを設置している場合のみ機能します。外部のメールサーバを利用している場合は機能しません。
いいえ、なくてもフィルタリングされます。
設定した文字列と同じ文字列を含むアドレスをフィルタリングしますので、 "/"以前が一致していればフィルタにかかります。
はい、配下のページにもフィルタがかかります。
URLフィルタで設定したURLと、同じ文字列を含むアドレスのページを
フィルタリングします。
各ハードウェアによって違います。
SSG5では30のカテゴリーが作成でき、一つのカテゴリーにURLを20登録することができます。(合計するとURL上限は600)
同様に、
SSG140・・・カテゴリー上限50、1カテゴリーのURL上限50
SSG520・・・カテゴリー上限20、1カテゴリーのURL上限40
SSG550・・・カテゴリー上限20、1カテゴリーのURL上限50
また、このカテゴリはプロファイル項目にてそのカテゴリをPermitするかBlockするかを設定できます。
WebUI上の左の項目からObjects > Services > Custom を選んでいただき、右上のNewボタンを押下することにより現れた画面で設定することができます。
一つのサービス名称で、8つのサービスを下記のように定義することができます。
TCP・UDPの場合
発信元ポート番号の範囲と宛先ポート番号の範囲を入力してください。
ICMPの場合
Type,Codeを入力してください。
その他プロトコルの場合
Transport protocolにて”other”を選択し、10進でプロトコル番号を入力してください。
そして、発信元ポート番号の範囲と宛先ポート番号の範囲を入力してください。
NetScreen は ポリシーで許可された UDP パケットを通過させる度に、送信元アドレス, 宛先アドレス, ポート番号をテーブルに記憶します。
このテーブルは、最終パケットの通過から約1分後にクリアされます。
ポリシーに記述されていない UDP パケットを受信した場合には、テーブルとの照合が行われ、アドレスとポート番号が一致したパケットのみが接続を許可されます。
定義方法は同じです。ポリシーを定義するときにサービスをFTPと選択してください。
ただし、ScreenOS4.x以降で「アクティブモード」においてデータポートを20番以外で使用する場合には、
CLIより
set ftp data-port any
save
を入力してください。
ご使用のFTPサーバがMicrosoftまたはCiscoですと、パッシブモードでの通信ができない場合があります。
通常、ログインまではできますがlsコマンド等を実行しても何も表示されません。
これは、サーバがRFC非準拠である為に起こる事象です。対処方法としまして、RFC非準拠サーバをサポートする為の以下コマンドをお試し下さい。
set ftp non-rfc-support
save
この情報は、Juniper社のknowledge base(Solution ID: nskb3258)にも記載されております。
FTP-GETは、FTP GETだけを許可するよう設計されており、FTP PUTの要求は拒否します。
反対に、FTP-PUTは、FTP PUTだけを許可しFTP GETの要求は拒否します。
この2つが1グループに含まれると、結果としてお互いに背反し合ってしまいFTP PUTもGETも実行することができなくなってしまいます。
定義済みのFTPサービスを使用してください。
この情報は、Juniper社のknowledge base(Solution ID: nskb3523)にも記載されております。
VPN経由でCRLを取得することは出来ません。
CRLの更新はVPNネゴシエーションを行うタイミングで実施されますが、このときVPNトンネルは確立していない為VPN経由でCRLを取得することはできません。
回避方法としては、CRL配布サーバをMIP機能で外部公開し、対向NetScreenからグローバルアドレスでアクセスします。
CRL証明書チェックを行わない設定にすることが可能ですが、セキュリティレベルが低くなるのでご注意下さい。
設定例(WebUI):
(1)Objects > Certificates を選択し、ShowでCAを選択。
(2)Server Settings を実行し、Certificate Revocation Settings の Check Method で None を選択し、OKボタンを実行。
(3)Objects > Certificates を選択し、Default Cert Validation Settings を実行。
(4)Certificate Revocation Check Settings の Check Method で None を選択し、OKボタンを実行。
仕様上は可能ですが、Juniper社によりますとCAによって正常に更新できない場合があるとの事ですので導入前に十分な検証をお願い致します。
*参考までに、Juniper社での検証時に使用したCAは Verisign とのことです。
**証明書及びCRLも該当します。
NetBIOS の Name Service, Datagram Service, Session Service を通過させればよいので、下記のようになります。
発信元ポート番号 宛先ポート番号 -
Low High Low High Transport Rev Ack
137 65535 137 139 TCP - -
137 65535 137 139 UDP - -
CRLやCSR自体にシリアルがないのでそのような表示になります。
仕様ですので問題ありません。
EPSV、EPRTコマンドはIPv6の実装であり
現行のScreenOS(IPv4)ではサポートしていません。
PASV、PORTコマンドが使用可能な
IPv4での通信設定に変更して下さい。
Cannot establish FTP connection using EPSV and EPRT (KB ID: KB5913, nskb348)
<http://kb.juniper.net/KB5913>
いいえ、できません。
[参考]
NSRP-Lite Overview (KB ID: KB4268):
<http://kb.juniper.net/KB4268>
What is the difference between NSRP and NSRP Lite? (KB ID: KB7047):
<http://kb.juniper.net/KB7047>
ScreenOS5.3以降の仕様動作です。
PPPoEにより取得したDNSサーバのIPアドレスは下記方法で確認できます。
■DNSサーバIP確認コマンド
(1) get dns host server-list
→PPPoEで取得したDNSサーバIPを含む、NetScreenが持つDNSサーバIPを確認できる。
(2) get dns host settings
→カスタムで定義されたDNSサーバIPを確認できる。WebUIではDNS欄に表示する。
■その他
PPPoEで取得したDNSサーバとカスタムで定義されたDNSサーバとで、
同一の設定がある場合はPPPoEの方が優先されます。
はい。MIP(マップIP) もしくは VIP(仮想IP) という機能が使用できます。
外部アドレス:内部アドレス = 1:1
MIPという機能が該当します。
Trust側にある単一の機器に、 仮想的にUntrust側のIPを割り当てます。
外部アドレス:内部アドレス = 1:N
VIPという機能が該当します。
Trust側にある複数の機器に、仮想的にUntrust側のIP・Portを割り当てます。
Untrust側のIPは1つですが、Portを変えることでTrust側の複数のマシンに接続できます。
SSG 5/20/520/550はScreenOS 5.4にて、EAL 4+の評価を取得しています。
またScreenOS 6.2で、SSGシリーズ全機種取得予定(2009年Q1)となっております。
SSGシリーズ全機種に対応しています。
はい、PSE対象品であるACケーブル/ACアダプタとも全機種にてPSE取得済です。
機器側:IEC320-C13, 電源側:NEMA 5-15Pになります。
また、SSG-5,SSG-20,NS-5XP,NS-5XT,NS-5GTにに付属されているACアダプタは YP-13 7A 125V「JIS C 8303」に該当します。
Extendedライセンスにより冗長化がサポートされます。また以下のように最大数が増加します。
セッション数 :最大数が4000から8000に増加
VPNトンネル数 :最大数が25から40に増加
VLAN数 :最大数が10から50に増加
VoIP通話数 :最大数が32から48に増加
NetScreen/SSG製品は電気用品安全法の対象外となります。
また、同梱されている電源ケーブルについても、その装置専用で使用して頂く事で電気用品安全法の対象外となります。
但し、SSG-5,SSG-20,NS-5XP,NS-5XT,NS-5GTに付属されているACアダプタは「電気用品」に該当します。
弊社取扱Juniper製品の多くは、電気通信事業法第五十二条が定める端末設備の対象外となるため、技術基準適合認定は取得しておりません。ただし、SSGシリーズなどWANインターフェイスを追加できる製品については、技術基準適合認定を取得しております。
Juniper社サイトをご覧ください。Model Number/SKU [.xls 532 KB]よりリンクされるエクセル表中における「Compliant」がYESになっている製品が上記指令に対応しております。
http://www.juniper.co.jp/environmental/