ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソフトウェア
  3. SG3600
  4. 特長/機能
  5. 機能詳細
ここから本文です。

SG3600 - 機能詳細

ファイアウォール機能

アクセス制御

設定したファイアウォールルールに従い、通過するパケットのアクセス制御を行います。また、ステートフルインスペクション型のパケットフィルタリング機能により、パケットの状態を管理し不正なパケットを拒否します。
IIPv6による通信のアクセス制御も可能 (※1)です。

  • ※1マルチドメイン機能利用時、IPv6は未対応です。

IDS/IPS機能 (SG3600LJシリーズ、SG3600LGシリーズはオプション)

パケットヘッダの異常などを検知するアノマリ検知や、大量パケットによるDoS攻撃を検知・防御します。

アプリケーション制御 ※2 (オプション)

ネットエージェント社のOne Point Wallを搭載しています。
アプリケーションレイヤ(L7)レベルでの通信を制御し、情報漏えいにつながるリスクのあるアプリケーションを検知、ブロックします。

  • ※2本製品の冗長化機能を利用する場合は、運用系、待機系の両方のアプリケーション制御機能(One Point Wall)に対して同じ設定を行う必要があります。
    アプリケーション制御機能はProxy サーバ機能と同時に利用することはできません。
    マルチドメイン機能には未対応です。

<参考>

アドレス変換機能(NAT/NAPT)

外部ネットワークと内部ネットワークとの相互通信を可能とするため、アドレス変換機能を実現します。(※3)

  • ※3アドレス変換機能は外部インタフェースでのみ使用できます。

VPN ※4

IPsec、L2TP/IPsec、SSL-VPN のいずれかを使用して安全なネットワークアクセスを実現します。
L2TP/IPsec では、スマートフォンやタブレット端末から特別なアプリを使用せずにVPN 接続ができます。

  • ※4冗長化機能およびマルチドメイン機能には未対応です。
    クライアント用ソフトウェアは用意していません。IPsecはWindowsなどのOSの機能を使用してください。
    SSL-VPNのクライアント用ソフトウェアはOpenVPNなどを使用してください。

ユーザ認証

あらかじめ定められたユーザに対してのみ、ファイアウォール機能によって守られたサービスを公開するため、その許可されたユーザ情報の管理、およびファイアウォールを通過するためのユーザ認証を行います。

利用者毎のアクセス制御/ログ記録

Active Directoryと連携し、利用者のログオン情報をもとに、アクセス制御を行います。
また、通信ログに利用者名を記録することができます。

マルチドメイン機能
(SG3600LJシリーズ、SG3600LGシリーズはオプション)

標準のファイアウォール機能に加え、1台で複数のドメイン(仮想ファイアウォール)を最大12まで実行できます。
各ドメインに独立したファイアウォールルールを設定することができ(※5)、それぞれ管理者を分けることもできます。
1つのドメインには最大10インタフェース(※6)まで割り当てることができます。
SG3600シリーズではマルチドメイン機能のことを「仮想ファイアウォール機能」とも表記します。

  • ※5IDS/IPS機能の一部の検知項目は、全てのファイアウォールで設定が共通です。
  • ※6物理インタフェースの場合。
    マルチドメイン機能ではタグVLAN(IEEE802.1Q)に対応していますが、マルチドメイン機能でタグVLANを使用する場合は仮想インタフェースの割り当ては4つまでです。
    マルチドメイン機能のタグVLANでは1つの物理インタフェースを4つの仮想インタフェースとして扱うため、通信性能が低下します。
    R15以前のモデルでは物理インタフェースの場合でも割り当ては最大4つまでです。

各種サーバ機能

SG3600LGシリーズ、SG3600LMシリーズでは以下のサーバ機能を動作させることが可能です。
サーバ機能は1,000名程度の規模での利用を想定しています。各種サーバ機能はマルチドメイン機能には未対応です。

メールサーバ(SMTPサーバ/POPサーバ ※7)

SMTPによるメール送受信、POPによるメール受信が可能です。また、メール受信のためのユーザ管理も可能です。
SPF (Sender Policy Framework)にも対応し、メールの送信元アドレスの偽装を防止することができます。

  • ※7本製品の冗長化機能を利用する場合は、POP サーバを利用することはできません。

DNSサーバ

Zoneデータの編集、オプション設定が可能です。

Proxyサーバ ※8

Webページのキャッシングが可能です。また、宛先ドメイン毎の上位プロキシ指定、ダウンロードサイズおよびタイムアウト時間の設定が可能です。

  • ※8アプリケーション制御機能と同時に利用することはできません。

NTPサーバ

SG3600シリーズ本体の時刻同期、および内部ネットワークのパソコンに対する時刻同期応答が可能です。

DHCPサーバ ※9

内部ネットワークのパソコンに対してIPアドレス等の設定情報を提供することが可能です。

  • ※9Management Consoleからの設定はできません。コマンドラインで設定する必要があります。

高信頼性

冗長化機能を標準搭載

冗長化機能を実装することで、万が一の場合にも待機しているファイアウォールへ自動的に切り替えて、止まらないファイアウォールシステムを実現します。セッション同期により、フェイルオーバ発生時に接続中のセッションを維持します。(※10)

  • ※10基本ファイアウォールのみセッション維持に対応

HDD冗長(RAID1) ※11 、電源冗長 ※12

HDDを2台(RAID1構成)搭載したモデル、電源を2つ搭載したモデルを用意しています。万が一、片方のHDDや電源が故障した場合でも運用を継続することが可能です。また、故障したHDDや電源の交換時も運用を止める必要がありません。

  • ※11SG3600LJ-H、SG3600LJ-HP、SG3600LG-H、SG3600LG-HP、SG3600LM-H、SG3600LM-HPに搭載
  • ※12SG3600LJ-HP、SG3600LG-HP、SG3600LM-HPに搭載

ホスト型IDS機能

稼動に必要なファイルを常時監視しており、例えば運用中の誤った操作などによりファイルが書き換えられた場合でも、自動的に元のファイルに戻し、運用を継続することが可能です。

プロセス監視リスタート機能

稼動すべきプロセスを常時監視しており、何らかの要因でそのプロセスがダウンした時でも、再度立ち上げを試みる機能です。これにより、可用性を向上させます。

運用管理

Management Console

ネットワークの設定から、ファイアウォールルールの設定まで行うことのできる、統一されたWebベースのユーザインタフェース(※13)です。日本語で詳細に記述されたオンラインヘルプにより、設定・運用をサポートします。

  • ※13Microsoft Internet Explorer(日本語版, Windows版) を推奨します。
    Microsoft Internet Explorer 8~10 を使用する場合は互換表示モードを使用してください。
    Microsoft Internet Explorer 11 を使用する場合は互換表示モードを使用しない設定にしてください。

システムの状態がひと目でわかるダッシュボード

CPU 使用率やメモリ使用率、通信量など、リソースの状況をダッシュボード画面に表示します。管理者はひと目でシステムの状況を把握できます。
また、リソース情報を指定のタイミングでHTML にして管理者に通知します。

ファイアウォールルールの履歴管理

ファイアウォールルールの設定履歴を自動的に保存します。万が一誤った設定を行った場合でも、簡単な操作で元のルールを復元することができます。

オンラインアップデート ※14

簡単な操作により、インターネット上のパッチサーバから自動的にパッチを取得し適用することができます。

  • ※14本製品がインターネットに接続できる必要があります。また、ソフトウェア保守を手配し、有効なサポートキーを本製品に投入済みであることが必要です。

導入の容易性

初期導入設定ツール、Management Console(かんたん設定/詳細設定)により、簡単に導入、運用を開始することができます。また、ネットワークインタフェースをSG3600LJ、SG3600LGシリーズは4ポート、SG3600LMシリーズは12ポート装備しているので、ハードウェアの追加購入無しでDMZの構築が可能です。
設定情報をUSBメモリ(別途手配)にバックアップすることができ、再セットアップを行う場合でも、USBメモリのバックアップ情報をもとに簡単に設定を復元することが可能です。
また、従来製品のUNIVERGE SG3000 シリーズから設定を簡単に引き継ぐことができます。

その他

動的ルーティング

RIP/RIPng に対応しています。ネットワーク構成の変更にも柔軟に対応可能です。

ブリッジ接続 ※15

既存ネットワーク内へのファイアウォール導入を容易にするブリッジ機能の搭載により、ネットワーク構成を変更することなく設置が可能です。

  • ※15ブリッジ接続の場合は、冗長化機能、アプリケーション制御、アドレス変換および各種サーバ機能を利用することはできません。
    マルチドメイン機能を利用する場合、ブリッジ接続は利用できません。

ポートミラーリング ※16

1つのネットワークインタフェースに流れるパケットを、他の2つのネットワークインタフェースにミラーして送信することができます。
障害発生時に、通信を監視することで調査を円滑に進めることができます。

  • ※16SG3600宛てに送られた通信、SG3600から送出される通信、SG3600をプロキシとして使用した通信をミラーリングすることはできません。
    Management Console からの設定はできません。コマンドラインで設定する必要があります。

リンクアグリゲーション ※17

複数の物理ネットワークインタフェースを束ねて1つの論理ネットワークインタフェースとして設定することができます。これにより、通信帯域を増やしたり、1つの物理ネットワークインタフェースに障害が発生した場合でも残りの通信帯域で通信ができるため可用性が向上します。
物理ネットワークインタフェースを3つまで束ねることができ、4組までの論理ネットワークインタフェースを設定できます。本機能で利用できる物理ネットワークインタフェースは8つまでです。
「eth0」、「eth1」、「eth2」、「eth3」(LANポート1~4番)はリンクアグリゲーションのインタフェースとしては使用できません。
SG3600LJシリーズ、SG3600LGシリーズで本機能を利用する場合は、ネットワークインタフェースを増設する必要があります。

  • ※17Management Consoleからの設定はできません。コマンドラインで設定する必要があります。

ページの先頭へ戻る