Juniper Networks SSG, NetScreen

1. 操作性が素直で扱い易かった かつての SSG


SSG および NetScreen は Juniper Networks 株式会社が製造販売しているファイアウォール兼 UTM(Unified Threat Management) 製品で ある
(かつ)ては Netscreen technology 社が販売していた製品で あったが、買収されて しまった
その後 (しばら)くは NetScreen の名を冠した製品も遺存していたが、

NetScreenシリーズ セキュリティ・システム - Juniper Networks

流石に この URI は どうやら消失した らしい
もっとも、今と なっては SSG 製品も現行製品から転落してしまい、現在は以下の SRX と言う製品に切り替わって しまっている(よう)に見受けられる

SRX シリーズ ネットワーク ファイアウォール | ジュニパーネットワークス

まぁ SSG と SRX は似た様な物と言えば似ているが、操作性は大きく変更されてしまい差違に戸惑う
何故こうも変更してしまったのか、良く分からない

(ちな)みに SSG の URI は以下の通り で あった筈で あるが、こちらも既に消失している

SSGシリーズ セキュア・サービス・ゲートウェイ - Juniper Networks

私が良く採用して来たのは、SSG 140 と言う非常に薄型の機種で ある
データセンターに入ると かつては どこにでも見かけたので、一般的に扱い易い製品で あると思われていたので あろう

市場は Fortinet 社の FortiGate に首位を奪われてしまっている様で あるが、この製品は FireWall-1 寡占状態の頃から存在しているので思い入れが ある
何とか奮起して欲しい所では ある



2. 特徴


.1 機能


UTM 製品なので、大変に機能が多い

いや、多いので あるが...何とも中途半端な機能も多い様に見受けられる

尚(なお)、L3屋は この製品をルータとして WAN 回線の境界部分に設置しようと する傾向が あるが、ファイアウォールと言うものの役割を誤解しているのでは無いかと思う

SSG に ADSL 回線接続の認証やルーティングを担(にな)わせる場面を見ると、相当な違和感を覚える
ファイアウォールに経路制御設定行をコマンドラインで べたべた書いて行く人が、時々いるので ある


.2 機器冗長


NetScreen(Netscreen Redundancy Protocol) と言う HA機能に より機器の冗長化を実現する

NSRP は二機での構成を前提として おり、試した事は無いが、三重化は出来ない様で ある

Cisco 製品の HSRP の様な経路冗長機能とは根本的に異なり、サーバのクラスタ機能に近い
NSRP 有効中は論理的に一機のみが稼動している様に見え、設定変更時も待機機に対して即時に変更が反映される

切替と切戻しの動作遷移に難が あり、主稼動機に障害が発生すると待機機に自動切替が行われるが、主稼動機が復旧しても自動切戻しが行われず、待機機が継続して稼動し続ける
この場合、待機機の LAN結線を抜線する等(など)の対処が必要と なる

# この機能仕様は現在では改善されている かも知れない


.3 操作設定


ファイアウォールのルール設定は Webブラウザから GUI で操作した方が分かり易い...と思うので あるが、Cisco 屋の人はコマンドラインで操作したがる
むぅ、Cisco 屋の感覚には付いて行けないものが ある

状態確認や冗長切替と言った操作では、CUI から でしか操作出来ないものも ある

Tab で補完機能が働き、? で 簡易説明 が表示される
BackSpace は Shift と組み合わせて使用する
抽出および除外表示機能を備えており、| {include | exclude} で実現可能

Cisco を扱(あつか)える人で あれば、コマンド体系は全然難しくは無い
コマンドで設定を変更した時点で保存されて しまうので、機器に保存させずに一時的に変更したいので あれば、unset コマンドで明示的に変更反映を除外する



3. UTM として使用するもの なのか


実は私は今までの SI を行なって来た中で、SSG および NetScreen を UTM として見做(みな)した事は無い

IPS(intrusion prevention system) は誤動作時には通信が遮断されてしまうので、とても有効化しにくい
ウィルスチェック機能や Webフィルタリング機能と言ったものは、専用機や専用アプリケーションに任せた方が信頼性が高いので、敢えて使用する気には なれない

また、これらの UTM としての付加機能を有効化すると、機器の負荷が格段に上がってしまい、ファイアウォールとしての通信速度が下がる事も充分に あり得る

よって、可能で あれば通信制御のみの役割に専念させるのが良いと思う



4. 説明書


一応、日本語説明書は存在している...が、場所が分かりにくい
何故こうも探しにくい URI に置いているのか、理解に苦しむ

Juniper Networks :: Technical Documentation :: Translated Software Documentation for ScreenOS 6.0.0

しかも、訳文が少々変な箇所も あり、把握しにくい
図が間違っている様に見受けられる箇所も あり、致し方(いたしかた)無く英文説明書を見ると、それも誤記に見える

説明書が正しくないと言うのは非常に困るので、止(や)めて欲しいと切に思う



5. 関連 URI


参考と なる URI は以下の通り

ジュニパーネットワークス株式会社
# www.juniper.net/jp/jp/ とは どう言う意図でディレクトリを作ったので あろうか、不可解

ジュニパーネットワークス - Wikipedia

公開 : 2014年10月4日
戻る
pagetop