ScreenOS 6.0 新性能和增进功能
Juniper NetScreen防火墙软件版本提升到6.0了, 在这里将Screen OS 6.0的新性能和增进功能作一个简单介绍。
硬件特性
1.1 16口 10/100/1000 uPIM
§ 16口 10/100/1000 通用物理接口模块 (uPIM)
§ 支持设备: SSG 140, SSG 500 系列和SSG 500M 系列
§ 基于千兆铜缆提供以太网 LAN 的连通性.
§ 此uPIM 支持达到八个桥组(bgroups)
允许把几个以太网接口组合在一起.
§ 连接模块使用 CAT-5 电缆.
1.2 8口 10/100/1000 uPIM
§ 8口 10/100/1000 通用物理接口模块 (uPIM)
§ 支持设备: SSG 140, SSG 500 系列和SSG 500M 系列
§ 基于千兆铜缆提供以太网 LAN 的连通性.
§ 此PIM 支持达到四个桥组(bgroups)
允许把几个以太网接口组合在一起.
§ 连接模块使用 CAT-5 电缆.
1.3 6口 GE SFP uPIM
§ 6口 小型可插拔的 (SFP) 通用物理接口模块 (uPIM)
§ 支持设备: SSG 140, SSG 500 系列和SSG 500M 系列
§ 基于光纤和千兆铜缆提供以太网 LAN 的连通性.
§ 非 Juniper SFP 在此次不被 JTAC支持.
§ 此 PIM 支持达到三个桥组(bgroups)
允许把几个以太网接口组合在一起.
§ 连接模块使用适当的电缆类型依赖指定使用介质:
SX和LX的单模或者多模光纤
铜缆收发器的CAT-5 电缆.
1.4 SSG 20 同步串行 Mini-PIM
§ 同步串行 Mini-物理接口模块(Mini-PIM)
§ 在 SSG 20 安全设备上支持
§ 提供串行网络介质类型的连通性.
§ 它的专用网络处理器转发数据流到 SSG 20 CPU ,在此数据流决定基于安全策略被生成.
1.5 SSG 20 单口 GE SFP Mini-PIM
§ 单口小型可插拔的 (SFP) Mini-物理接口模块(Mini-PIM)
§ 在 SSG 20 安全设备上支持
§ 基于光纤和千兆铜缆提供以太网 LAN 的连通性.
§ 非 Juniper SFP 在此次不被 JTAC支持.
§ 连接模块使用适当的电缆类型依赖指定使用介质:
SX, LX, FX, BX的单模或者多模光纤
铜缆收发器的CAT-5 电缆.
1.6 E-3 支持
§ 在 SSG 500 系列平台支持 E3 PIM.
1.7 ADSL2+ PIM
§ 在 SSG 140, SSG 520/550和SSG 520M/550M 平台上支持1x ADSL2+ PIM (附件 A或者附件B).
§ 两个新的离散的多频声(DTM)支持标准是:
ITU 992.3 (也作为 ADSL2),支持数率达到上行 1.2 Mbps 和下行12 Mbps.
ITU 992.5 (也作为 ADSL2+),支持数率达到上行 1.2 Mbps 和下行24 Mbps.
1.8 G.SHDSL PIM
§ G.SHDSL PIM为在一个单一客户前提装置(CPE) subscriber和一个中心办公 (CO)之间数据传输支持多数率, 高速, 对称数字 subscriber line 技术.
§ G.SHDSL PIM 现在在 SSG 140, SSG 520/550和 SSG 520M/550M 平台上支持.
§ ScreenOS 6.0 支持 ITU G.991.2, SHDSL 收发器离散多频 (DTM) 标准.
VPN
1.9 自动连接 VPN (AC-VPN )
§ 自动连接 VPN(AC-VPN ) 允许 在一个 hub-and-spoke VPN 网络里的 spokes 直接地在作为需要的双方之间动态地创建 VPN 通道. 在spokes之间,这不仅是潜在的地址问题, 而且减少在hub上的处理和改善所有网络性能. 因为当数据流终止流经通道时AC-VPN创建的动态通道终止连接, 把网络管理员从维护一个静态 VPN 通道的复杂网络的耗时任务里解脱出来. 所有设备必须运行 ScreenOS 6.0或者后来的.
§ 当用允许全局 IKE 心跳设置 AC VPN profile时, AC-VPN—DPD 在spoke上不工作.
1.10 通道接口的 Screen
§ 现在可以应用任何配置的 screens 到通道接口.离开通道数据流在加密之前和之后被检查. 可是, screens在基于 ASIC 平台上支持的当前限制将继续有同样限制.
防火墙
1.11 WebUI 增进
§ WebUI 改善了优化工作流, 显示诊断信息, 增强主页和分类菜单选项.
1.12 FTP Get/Put 服务增进
§ 此特性重新定义 FTP-Put和用于防火墙策略的 FTP-Get 服务定义. 在以前 ScreenOS 发布里, FTP-Put和FTP-Get在一个策略和服务组里带不同动作被配置在一起.
§ 在 ScreenOS 6.0 里, FTP Get/Put 以下增进:
• FTP / FTP-Get / FTP-Put 将不在一个单一服务组里.
• FTP/ FTP-Get /FTP-Put 将不在作为一个单一策略被定义.
• FTP-Get或者FTP-Put 作为同样的 FTP 服务 在带deny动作策略里.
• 在 WebUI 增强里的描述.
1.13 自动数据采集
§ 此特性是get 命令组成的一个基本循环脚本 , 作为一个背景过程运行, 保存输出到 flash 里的一个 FIFO 文件. 可以记录get 命令的任何系列采集背景里的信息.
§ 注意:依靠信息采集, CPU 使用受影响.
通用威胁管理
1.14 即时消息(IM)服务的防病毒扫描
§ ScreenOS 支持即时消息服务的防病毒扫描例如AIM, ICQ, Yahoo! Messenger和MSN Messenger. AV扫描支持正文/组聊天消息和文件传输/文件共享.
§ IM 客户端和协议的随后版本完成被支持. 在 IM 客户端和协议的最后版本上在最大努力基础上转发兼容性被支持.
§ 所有平台运行 AV扫描需要高内存选项. 平台支持: SSG全系列.
1.15 AV HTTP Trickling 增进
§ 此特性增进对低速连接重要.
§ 当设备接受数据时或者数据被内部 AV 引擎扫描时,它允许配置基于时间临界值发送比特位通过防火墙防止浏览器超时.
IDP和GPRS
1.16 IDP 增进
§ IDP 被推荐的动作: 现在可以在IDP 规则里允许 被推荐的 动作. 如果指定 “被推荐的” 作为一个规则里的动作, 被推荐的动作将被应用在策略规则里不指定一个动作的案例里. 如果在策略规则里指定一个动作, 将优先被推荐的动作.
§ 2 层VSYS VLAN 组: 2层VSYS VLAN 组在 ISG1000, ISG1000-IDP, ISG2000-IDP 和 NS-5400 设备上现在被支持.
§ GTP 的 IDP 检查和压缩的 GRE数据流:带 IDP 安全模块的ISG 1000和ISG 2000 现在可以检查压缩在GPRS 隧道协议 (GTP)和普通路由封装 (GRE)里的数据流.
§ NSM 日志里的 IMSI 信息: NSM IDP 日志现在在 IDP 安全设备上包含IMSI 数据. 此信息允许为威胁和攻击,在 forensic 使用提供的 subscriber-level 标识符评价过程中被探测到的,明确的评价端用户,.
§ IDP 探测器.更新到 IDP 4.0: IDP 4.0 引擎已经同步到 ScreenOS 6.0. 在带 IDP 的 ISG1000/ISG2000 上现在与作为单独 IDP 4.0 设备将有同样探测能力.
§ 基于 IDP 动作 DSCP 记号:在带 IDP 的 ISG1000/2000 上现在可以改变一个基于 IDP 动作被执行的数据包的DSCP 标记. 这将允许上行和下行设备区分基于 IDP 规则数据流优先次序.
1.17 认证服务增进
§ 增加用户 IP 地址到认证日志
§ 支持 TACACS+ 认证服务器
§ 在外部服务器和本地数据库之间区分认证优先次序
§ 增加可允许管理员 IP 地址的数目
§ 提高 RADIUS 特性
§ “Framed-pool” 支持 (RADIUS 服务器提供 IP 池, 非本地设备)
§ 可定制的界面描述
§ Called-Station-ID 属性 为区分次序目的
扩展特性
1.23 超大帧包
§ 在不带IDP 安全模块ISG 1000和ISG 2000 设备支持超大帧包。
§ 允许超大帧包, 使用 set envar CLI 命令和set max-frame-size 从 1515 直到 9830 包含的任意值。
§ 使用 unset envar max-frame-size 命令禁止超大帧包支持和返回设备到正常最大帧 尺寸 (1514 字节).
§ 超大帧包也在 NS-5000 系列(运行 MGT2和SPM2 卡)上支持.
§ 限制:超大帧包模式不支持 DI和IPv6.
§ ISG支持超大帧包 —仅ISG 4口 SFP模块支持超大帧包.在设备里所有其他 i/o 卡自动地被禁止 (包括 ISG1000 内嵌 i/o 卡), 当 max-frame-size 设置在 jumbo 范围 (1515~9830).
1.24 SSG 设备上以太网口的桥组
§ 桥组(bgroups)允许把几个以太网接口组合在一起.
§ 用 ScreenOS 6.0 启动, SSG 140 安全设备预配置三个桥组bgroups , 可以增加内嵌以太网口.
§ 在所有 SSG 设备上新的 uPIM 支持桥组.
§ 限制: SSG500/500M 系列在内嵌以太网端口上不支持桥组.
§ SSG 500 系列—桥组支持以太网交换 PIMs (uPIM), 包括16口GE, 8口GE和6口SFP. 桥组不支持单口SFP、旧的增强 PIMs (ePIM)和板载GE口. Bgroup 接口可以动态地创建和删除. 每个PIM的 bgroup 接口最大端口数的一半.
§ SSG 140— 桥组支持板载以太网口和以太网交换PIMs (uPIM). Bgroup 接口可以为PIM 动态地创建和删除. 每个PIM的 bgroup 接口最大数端口数的一半. 对于板载端口, 3 bgroup 接口被预创建. Bgroup 接口 可以仅在同样的 PIM或者系统板上被配置.
1.25 DHCP 转播流量
§ 不 DHCP 转播: 默认, ScreenOS从所有 zones (包括 V1-Untrust zone和V1-DMZ zone)转播 DHCP 请求数据包.
§ 启用此特性防止DHCP转播从一个指定zone请求数据包.
1.26 2 层 Vsys
§ ISG 1000/2000, ISG 1000/2000-IDP 和 NetScreen-5000 系列支持.
1.27 管理 IP 地址限制增强
§ 从一个安全设备可以被管理的 IP 地址合计数目增强到 50 , Vsys 的一倍. 通过 Vsys 数目生成管理者 IP 数目一个功能, 内存不在需要相关地几个管理者 IP 的低端设备上浪费, 高端设备不受人工选择的数目限制.
1.28 PPU 增进
§ 为提升吞吐量, tcp-syn-bit 检查现在在可编程处理单元(ASIC)里执行和在 NetScreen 5200和NetScreen 5400上支持.
1.29 DSCP 增进
§ 区分服务代码点 (DSCP) 作记号现在可在带 IDP 安全模块的ISG 1000 / 2000 和 NetScreen 5200/5400上支持.
1.30 USB 支持
§ USB 端口允许文件传输 例如设备配置, 用户证书,和在一个外部 USB 存储设备和内部 flash 存储之间更新版本 images. USB 功能性在 SSG 设备上是有用的.
1.31 Coredump和日志到 USB 端口
§ ScreenOS 支持 全部 coredump 文件, 日志和全部 内存 dump 文件传输到在 SSG 5 系列和SSG 20上USB 端口和在 SSG 140, SSG 500 系列,和SSG 500M 系列安全设备上USB 端口/compact flash 卡.
1.32 IPv6 支持
§ IPv6 现在在以下安全设备上支持:
NS-5000 系列(使用5000-M2管理模块 )
SSG 5 / SSG 20: IPv6 支持用在以太网接口.
(IPv6 不在无线或者WAN接口上支持.)
§ ScreenOS (6.0r2)下一版本将在ISG 1000 设备支持 IPv6.
需要说明的一点是: 目前Screen OS 6.0只支持产品ISG, SSG和NS-5000 系列,对NS其他系列暂不支持。
VSYS
1.18 虚系统增进
§ ISG 1000和ISG 2000 设备增强虚系统支持 :
• ISG 1000和ISG 2000 安全设备现在支持附加虚系统.
• ISG 1000 现在支持达到 50 个虚系统 (从 10 虚系统增强).
• ISG 2000 现在支持达到 250 虚系统 (从 50 虚系统增强 ).
• 利用这些增加虚系统的支持, 必须安装一个新的 license key.
§ 虚系统名字: 虚系统名字可以包含至多 20 个字符. 以前, 虚系统名字可以包含至多 10 个字符.
NAT
1.19 DIP 池 增进
§ 每个Vsys和每个接口DIP 池地址的数目增加到1020. 最大全局 DIP池尺寸限制是 64K.
NSRP
1.20 NSRP 动态路由同步
§ ScreenOS 6.0 现在支持动态路由同步. 可以在一个 Active/Passive NSRP 集群里同步动态路由协议 (DRP) 路由.
§ 在故障切换事件里, 在建立对等关系时新活动设备可以使用备份路由.
2 层透明模式
1.21 VLAN 重新标记
§ VLAN 重新标记提供一个选择性的屏蔽 VLAN 数据流的方法. 放置一个安全设备在并行的 2 层交换机里和配置交换仅数据流从想要屏蔽的VLANs直接到安全设备. 数据流到和从其他 VLANs 直接通过交换机期间, 消除可能被所有 VLAN 数据流通过安全设备导致吞吐量的任何影响.
§ 此项当前仅在 NS-5000 系列支持.
UAC
1.22 Infranet 认证增进
§ 在 WebUI 里认证表条目的视觉显示
• 此特性允许用活动认证表条目 (显示用户、源 IP和角色)查看用户.
§ Infranet 认证策略的附加动作字段.
• 此特性 对 UAC 2.1 有用,允许 Infranet Controller 在每个角色基础上控制附加策略动作 (AV, DI, 日志, web 过滤和anti-spam). 此项允许产生策略决定 例如为 partners或者不信任的机器激活 AV, 或者为指定角色打开 URL 过滤.
§ 认证表条目增加数目
• 设备 认证表条目
• SSG 设备 10,000
• ISG 设备 50,000
• NS-5000 系列 50,000
2001-2007 Comsenz Inc.
