サービス (このカテゴリのTOPに戻る)
| SecurePlanetとは | ゲートキーパーサービスパック |
| VPNマネージメントサービス | Firewallマネージメントサービス |
| SecurIDヘルプデスクサービス | 不正アクセス対策サービス |
| SecurID認証代行サービス | FAQ |
(質問一覧に戻る)
取り扱い機器は以下になります。
- NetScreen-5GTK
- NetScreen-5XT
- NetScreen-25
- NetScreen-50
- NetScreen-204
Q.Netscreen各機器のInterface数はいくつになりますか?
以下の構成になっております。
| Line up | Network Interface | Port数 |
| NetScreen-5XT | 10/100Base-T | 5 |
| NetScreen-25 | 10/100Base-T | 4 |
| NetScreen-50 | 10/100Base-T | 4 |
| NetScreen-204 | 10/100Base-T | 4 |
Q.FirewallのPerformanceを教えてください。
| Line up | スループット | セッション数 | VPNスループット |
| NetScreen-5XT | 70 Mbps | 2000 | 20 Mbps |
| NetScreen-5GT | 75 Mbps | 2000 | 10 Mbps |
| NetScreen-25 | 100 Mbps | 8000 | 20 Mbps |
| NetScreen-50 | 170 Mbps | 32000 | 50 Mbps |
| NetScreen-204 | 400 Mbps | 128000 | 200 Mbps |
Q.NS-5XTの4つあるTrust Interfaceの使用方法を教えてください。
Trust側ネットワークの4つのPortsは、HUBとして動作します。
Q.Trust / Untrust / DMZ Interfaceとは何ですか?
Trust Interface
Firewallの内部側(LAN側)のインターフェースを示します。LAN側ネットワークを接続します。
Untrust Interface
Firewallの外部側(Global側)のインターフェースを示します。インターネットとの接続に使用します。
DMZ Interface
DeMilitarized Zone(非武装地帯)の略で一般的に公開サーバなどを設置するネットワークとして利用されます(NS-25以上の機種にて実装されています)。
5XTでは10UserとElite(無制限)の2種類があります。
5GTでは標準で10Userですが、5GT+(無制限)もございます。
Q.NS-5XTの10User制限とは、何が基準になっていますか?
NetScreenが持つTrust側からUntrust側への通信の為のセッションテーブルの保持できる送信元のIP Addressの数になります。
Q.同時セッション数を超えた場合、Packet処理はどうなりますか?
同時セッション数を越える場合、それまで張られていたセッションを維持し、新しくきた要求を破棄します。
Stateful Inspection方式を採用しています。
Q.Stateful Inspection方式とは、どの様な方式ですか?
パケットフィルタリング方式のFirewallではTCPのヘッダ(Port番号やIPアドレス)までしか判断しませんが、Stateful Packet Inspection(パケット状態監視)ではセッションまで管理します。
NetScreenではStateful Inspection方式を採用しておりますので、FTPのセッションに応じてデータポートを開放いたします。FTP-dataが20番以外であってもStatefullにパケット処理を行うことが可能です。
Transparent Mode, Route Mode, NAT Modeの3種類があります。
Transparent Mode(L2 Mode)
- 同一セグメント内の特定のグループをファイアーウォールで保護したいような場合に最適です。ネットワークの設定を変更する必要がなく、安易な設置を行うことができます。
- 各InterfaceのIP Addressを設定することなくNetScreenを導入することが可能です。
- ルーティングプロトコルやタグ付のVLANパケットを透過する設定可能になっています。
- ファイヤーウォール機能とVPN機能を同時に提供できます。
※標準サービスでは提供しておりません。ご利用を検討される場合には別途ご連絡ください。
NAT Mode
- Trust側からUntrust側への通信においてUntrust InterfaceのIP Addressに変換されます。
- NetScreenのuntrust側(Global側)のインターフェイスにに割り当てられているIPアドレスに変換します。
- 返信の際それぞれのトラフィックの発信者を識別する為、ソースポートの値を自動的に変換・復元
します。
Route Mode
- 通常のRouter同様に動作いたします。
- Static routeのみサポートいたします。
Mapped IPとは、Untrust側からTrust側への通信に対して1つのIPアドレスに宛てられたTrafficを別のIPアドレスに直接1対1でマッピングするものになります。
一般的にStatic-NAT(1対1NAT)と呼ばれているものと同様になります。
Virtual IPとは、Untrust側からTrust側による通信に対して、1つIPアドレス宛の特定のポートの通信をFirewall内部の別のIPアドレスにフォワーディングする機能となります。
一般的にIPマスカレードと呼ばれているものと同様になります。
5GT/5XT/25/50/204のUntrust InterfaceにてPPPoE clientがサポートされています。設定においてMTUサイズ(MSS)の変更、自動再接続なども可能です。×DSL環境への導入にご利用いただけます。
Q.NetScreenを使ってADSL接続する為にはどの様な構成になりますか?
ADSLモデムとUntrust Interfaceを直接Ethernetケーブルで接続してください。特に両者の間にBroad Band Routerを用意する必要はございません。
NetScreenでは現状Unnumbered機能はサポートしておりませんが、設定により複数IPアドレスサービスでのUnnumbered的動作をさせることができます。
冗長化機能です。二台のNetscreenの一台をバックアップとして使用し、Master側のNetscreenが使用できなくなった場合にStandby機へと自動的に切り替わります。この際、Session(VPNのSA含む)情報は引き継がれますので通信は保持されます。
※NS-25ではセッション情報の引継ぎがおこなわれません、ご注意ください。
Q.どのようにHigh Availabilityは実現されますか?
Netscreen HAポート間においてNSRP(NetScreen Redundant Protocol)により冗長化のための情報交換が行われます。設定情報、セッション情報は全て同期されます。
NS-25以上の機器にてサポートされます。
Q.HAが切り替わった際にInterfaceのIPアドレスはどうなりますか?
NetScreenのSlave(バックアップ側)はMaster側と同じIP,MAC(Virtual IP,Virtual MAC)を持ちますので、そのままMasterを引き継げます
