セキュリティ機能やトラフィック制御なども搭載する「ScreenOS」

カスタムのリアルタイムOSを核に設計された「ScreenOS」は、システムの管理をつかさどる一般的なOSの機能だけでなく、セキュリティ機能やトラフィック制御などジュニパーネットワークス セキュリティ・システムのすべての機能を提供します。このコンセプトが、ファームウェアやOS、ファイアウォール、VPNなどの機能を独立したソフトウェアで、時にはサードパーティ製品を組み合わせて提供する一般的なアプライアンスとジュニパーネットワークスの一線を画すポイントであり、最高のセキュリティ・レベルと性能を目指すジュニパーネットワークスの思想を体現しています。

■ファイアウオール機能

ジュニパーネットワークスのステートフル・インスペクション・ファイアウォールは、外部からだけではなく内部からの攻撃に対しても有効で、侵入者やDoS(サービス拒否攻撃)への防御を提供します。また、以下の特長により今日のネットワークに要求される柔軟性とセキュリティを備えています。

• 専用に開発されたハードウェアとOSによる高速ステートフル・インスペクションを提供(ICSA認定).
• SYN攻撃、ICMP Flood、ポートスキャン等を含む広範なDoS攻撃防御機能：高性能ハードウェアによる処理で、攻撃下の高負荷時にも効果を発揮(各インターフェースごとに設定可)
• ネットワークアドレス変換(NAT)やポートアドレス変換(PAT)をサポート
• さらにインターフェースにIPアドレスを設定しない透過モード(L2ブリッジとして機能)も用意し、ネットワークの設定変更を最低限に抑えながら、ファイアウォール・VPN・トラフィック管理の機能を提供
• 仮想ルータ(VR)の機能や動的ルーティングもサポートし、あらゆるLAN / WAN環境に強固なセキュリティ機能を提供

■VPN(仮想プライベートネットワーク)

ジュニパーネットワークスのセキュリティゲートウェイは、ステートフル・インスペクション・ファイアウォールに加え、豊富な機能を搭載したVPNソリューションを提供します。

VPNトンネルを任意のインターフェースで開始または終端し、先進のVPNネットワークを展開できます。「ScreenOS」が持つ統合性は、復号化したVPNトラフィックを完全に検査し、さらに転送が必要であれば再度暗号化することも可能です。たとえば、大規模ネットワークでの単一システムによる複数ネットワークセグメントの防御、無線LANセグメントなどの暗号化による機密性の確保、セグメント間の継続的なトラフィック検査の実施を実現します。

• フルメッシュだけでなくハブ＆スポークのトポロジーもサポートし混在も可能で、性能、冗長化、管理負荷のバランスを最適化
• VPNデバイスとして米VPNCおよびICSAの認定を受けた、優れたIPSecの相互運用性
• ポリシーベースNATにより、プライベートIPの重複が問題となるエクストラネットでのVPN利用を実現
• VPNトンネルは始点・終点とも全てのインターフェースに設定でき、ワイヤレスLANのようにLAN側での暗号化ニーズに対してもVPNを構築可能
• IPSec NATトラバーサルをサポートし、NATによるアドレス変換が存在する経路でもVPNトンネルを利用可能(Juniperデバイス間またはJuniperデバイスと互換クライアントの間)

■バーチャリゼーション(VSYS = 仮想システム、VLAN、セキュリティゾーン)

ジュニパーネットワークス独自のVSYS機能により、システム全体を複数のセキュリティ・ドメインに分割できます。分割されたVSYSはそれぞれアドレス・ブック、セキュリティ・ポリシー、管理機能を個別に提供します。VSYSは802.1qのVLANタグと連携して機能し、スイッチ・デバイスを通じてネットワーク全体で一貫した構築が可能です。

(VSYS機能のサポート機種：5400, 5200, ISGシリーズ)

• VSYSにより1台の「NetScreen」デバイスを最大500個の仮想ファイアウォールまたはVPNゲートウェイとして利用可能
• データセンターにおいて複数の顧客やサイトに対するセキュリティ機能の集約が可能

■ハイアベイラビリティ(HA)

Juniperシステムでは冗長構成を構築し、ネットワークの可用性を最大化できます。冗長構成は同一のシステムを2台接続して、Active/Passiveあるいは移行時間を最小化できるActive/Active(OSバージョンに依存)の設定を行なえます。ジュニパーネットワークスのHAソリューションは、サードパーティやオプション製品ではなくJuniperセキュリティ・ゲートウェイに標準装備されます。

(HA機能のサポート機種：5400, 5200)

• ステートフル・フェイルオーバー(ファイアウォール及びVPN)
• 構成情報、ファイアウォールのセッションテーブル、VPN接続情報の同期
• HAインターフェースの二重化と通信の暗号化
• メッシュ構成のサポート

■トラフィック管理

リアルタイムにネットワークトラフィックのモニター・分析を行い、トラフィックの種類ごとにバンド幅を割り当て、QoSを実現することが出来ます。

• IPアドレス、ユーザー、アプリケーション、時間帯により制御
• 保証バンド幅と最大バンド幅、優先順位(8レベル)の設定
• ポリシー設定の中でDiffservスタンプの設定

■運用管理

Juniperセキュリティシステムは、ネットワーク運用者のセキュアデバイス管理を支援する強力な管理機能を提供します。リモートからの管理に対しても、VPN機能のビルトインにより管理情報は暗号化され、真にセキュアなリモート管理を実現します。さらに、複数のファイアウォールが必要な大規模環境やVPN構成に対しては、NetScreen Security Managerを使用したポリシーベースの集中管理と監視が可能です。

一元管理ソフトウェアNetScreen Security Managerの詳細

■運用支援

東京エレクトロンデバイスでは、ジュニパーネットワークス製品を使ったセキュリティシステムを快適かつ確実に運用していただくために各種サービスをご用意しております。

［システム構築支援/センドバック保守/オンサイト保守/24時間保守/セキュリティ監視・運用サービス］