1つのCommunityにつき最大64台までのホストに送ることが可能です。
また、8つのCommunityを作成できます。
（SceenOS6.3）

SSGシリーズではTrafficLog：4096行、EventLog：1024行
ISGシリーズではTraffic log：32000行、Event log；32000行
NS-5000シリーズではTrafficLog：16000行、EventLog：16000行
になります。この最大行数は変更することはできません。
Logの最大容量行数を超えた場合は、古いものから削除され、上書きされていきます。
また、このLogはRAMに保存するため電源を落とすとすべて削除されてしまいます。

サポートしていません。

WebUIのログ表示画面中の、「Save」ボタンを押下すればテキスト形式で取得できます。

NS/ISG/SSGの連携製品として、同じくJuniper社のSTRMやNSM（Network Security Manager）、当社製品のFIREWALLstaffなどがあります。

可能です。
専用管理ツールを使用する方法や暗号通信経由の方法もございます。

• 専用管理ツール

  NS/ISG/SSGの専用管理ツールであるNSM（Network and Security Manager）を使用します。
  専用のGUIを使用して効率よくNS/ISG/SSGの設定、管理が可能です。

• 暗号通信経由

  対向でNS/ISG/SSGを設置します。
  接続確立後はTelnetもしくはWebブラウザー経由で設定が可能です。

下記の設定方法で制限できます。

Configuration > Admin > Permitted IPsで許可するIPアドレスを設定します。
例えば、IP：10.2.0.16、Netmask：255.255.255.248 とした場合、10.2.0.16 ～ 10.2.0.23 までのアドレスからしか接続できません。

EVENT LOG、TRAFFIC LOG、SELF LOGの3種類のログ生成が可能です。

1. EVENT LOG

   システムの動作全般に関連する記録となります。
   例）システムの各モジュールの開始／停止／障害情報、アタックの検出情報、管理者ログイン、設定変更情報

2. TRAFFIC LOG

   通信のセッションレベルの記録となります。
   例）通信セッションの詳細情報、設定した通信量を超えたときのトラップ情報

3. SELF LOG

   機器でドロップされたパケット（ポリシーに拒否されたものなど）や終了したトラフィック（管理トラフィックなど）の監視および記録となります。

以下の出力先があります。

• Console

  コンソールを通じてトラブルシューティングするときに表示されます。オプションとして、アラームメッセージ（重要、警報、緊急）をコンソール画面にさせる設定が可能です。

• 内部DB

  内部データベースはログ入力に便利な宛先ですが、限られらたログスペースです。

• E-mail

  イベントログおよびトラフィックログデータをリモート管理者にE-mailで送信できます。

• Syslog

  内部DBでは保存しきれない容量のログを外部ストレージとしてSyslogサーバーに保存できます。

• CompactFlash

  内部DBでは保存しきれない容量のログを外部ストレージとしてCFに保存できます。（ISG/NetScreenシリーズ）

• USB

  内部DBでは保存しきれない容量のログを外部ストレージとしてUSBメモリー上に保存できます。
  （SSGシリーズのみ）

• ※内部DBはRAM上に保存するため、機器の再起動によりログ情報が失われることにご注意ください。

可能です。WebUIではConfiguration > Report Settings > Log Settingsにて8つのレベルから出力するものを指定可能です。
（Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging）

JuniperNetworks社のHP（以下URL）より取得可能です。

該当のOSバージョンのMIBをダウンロードしてください。

MIBファイルを登録する際は以下の順番で行ってください。

1. NS-SMI.mib

2. NS-PRODUCTS.mib

3. NS-TRAPS.mib

4. その他のMIBファイル

SSGシリーズのみOS5.4からOSの読み込み／保存、configの読み込み／保存が可能です。OS6.0からはログやcoredumpの保存をすることが可能となります。
NSシリーズではコンパクトフラッシュでの対応となります。
なお、検証実績があるUSBメモリーは以下となります。

• Kingston Datatraveler 2GB
• SanDisk Cruzer Micro 512M
• Lexar JumpDrive Firefly 1GB

• ※ScreenOSマニュアルより参照

ScreenOS5.0よりすべてのプラットフォームでOSPF・BGP・RIPをサポートしています。

DNSクライアントにはなれますが、DNSサーバーとしては運用できません。
なお、ScreenOS5.1.0以降では、DDNSクライアント機能とProxyDNS機能に対応しております。

ScreenOS5.0からNS-5GT以上、およびSSGにて可能です。
またScreenOS5.1から単一の物理インタフェースにて複数のPPPoE接続が可能になっております。

実装されています。最大3台までのDHCPサーバーを登録可能です。

Juniper社の対応状況は以下になります。

• OS5.4以降

  ISG-2000（with IDPは非対応）

• OS6.0以降

  NS-5000シリーズ（MGT2/SPM2）
  ISG-1000（with IDPは非対応）
  SSG-5 / SSG-20（WANインタフェース/Wirelessは非対応）

• OS6.1以降

  すべてのSSGシリーズ
  NS-5000シリーズ（MGT3/SPM3）

「セカンダリIP」という機能を使用し、TrustもしくはDMZのInterfaceに実IPと別にIPアドレスを設定できます。

SSGシリーズにおける帯域制御機能は、設定した各ポリシーごとに設定可能で保証帯域、最大帯域、優先順位が設定可能です。
また、1kbps単位で制御可能で8段階のDiffServ設定（IP Precedence値）も可能となっております。

• ※ISGシリーズ以上では、インタフェースに対する最大帯域、およびポリシーでのDiffServ設定のみ設定可能です。

NS/ISG/SSGは、UPnPに対応しておりません。
また、今後サポートする予定もありません。
理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウイルスに感染したホストがファイアウォールの内側にいた場合、ファイアウォールのポートをすべてOpenにしてしまい、外部からのアタックや不正進入を招いてしまう危険性があるためです。

SSG-5（SSG-5-SH-BT）およびSSG 5 Wireless（SSG-5-SH-BTW-JP）は本体に搭載されています。
その他の製品には搭載されておりません。

ScreenOSのバージョンによって異なります。
ScreenOS 4.0までの場合、TrustやDMZでのPPPoEは接続できません。
Untrustゾーンを割り当てたInterfaceのみにPPPoEを設定することが可能です。
ScreenOS 5.0以降の場合、Zoneに関係なくすべてのInterfaceにPPPoEを設定することが可能です。

インターフェイスごとに255個まで設定できます。
特定のMACに特定のIPを振ることも可能です。その場合、IPグループの設定と合わせて64個まで設定できます。

VPN経由でCRLを取得することはできません。
CRLの更新はVPNネゴシエーションを行うタイミングで実施されますが、このときVPNトンネルは確立していないためVPN経由でCRLを取得することはできません。
回避方法としては、CRL配布サーバーをMIP機能で外部公開し、対向装置からグローバルアドレスに対してアクセスします。

CRL証明書チェックを行わない設定にすることが可能です。ただしセキュリティレベルが低くなるのでご注意ください。
設定例（WebUI）：

1. Objects > Certificates　を選択し、ShowでCAを選択。

2. Server Settings　を実行し、Certificate Revocation Settings　の Check Method　で None を選択し、OKボタンを実行。

3. Objects > Certificates　を選択し、Default Cert Validation Settings　を実行。

4. Certificate Revocation Check Settings　の Check Method で None を選択し、OKボタンを実行。

CRLやCSR自体にシリアルがないのでそのような表示になります。仕様であり表示上だけの制限となるため問題はありません。

デフォルトでは設定同期しません。
設定を同期させるためには下記コマンドを追加する必要があります。
set nsrp config sync
save

NSRP-Liteは透過モードではサポートしておりません。NSRPであればサポートしております。
[参考]
NSRP-Lite Overview (KB ID: KB4268):
<http://kb.juniper.net/KB4268>
What is the difference between NSRP and NSRP Lite? (KB ID: KB7047):
<http://kb.juniper.net/KB7047>

ScreenOS5.3以降の仕様動作です。
PPPoEにより取得したDNSサーバーのIPアドレスは下記方法で確認できます。

• DNSサーバーIP確認コマンド

  （1）get dns host server-list
  →PPPoEで取得したDNSサーバーIPを含む、NS/SSGが持つDNSサーバーIPを確認
  （2）get dns host settings
  →カスタムで定義されたDNSサーバーIPを確認。WebUIではDNS欄に表示されます。

• その他

  PPPoEで取得したDNSサーバーとカスタムで定義されたDNSサーバーとで、同一の設定がある場合はPPPoEの方が優先されます。

ScreenOS5.1から対応しています。
PPPoE 同時セッションの最大数は、NS/SSGが保持できる最大サブインターフェイス数によって制限されます。

SSGシリーズのみブリッジグループ（Bgroup）という機能にて対応可能です。
複数のポートを1つのL3インタフェースとして動作させる機能になります。
ただし、下記の条件があります。

• SSG-5/20/140では、既存のインタフェースで対応可能
• SSG-320M/350M/520M/550Mでは、拡張インタフェースモジュール上でのみ対応可能
• 拡張インタフェースモジュールを跨ぐ構成は不可

• ※同一ブリッジグループ内はハードウェア的に接続・転送処理が行われます。そのため、同一ブリッジグループ内でのパケット転送はCPU処理が行われず、ポリシによるフィルタリング処理も行えないことにご注意ください。

NTPクライアントは、Ver.1/Ver.2/Ver.3に対応しております。（Ver.3はScreenOS6.0にて対応）

ScreenOS 6.0よりSNTPv4 serverとして利用可能です。

デフォルトの設定では、インターフェイスのLink down時に、mac learning tableがクリアされます。
設定確認コマンド"get mac-learn"を実行すると"link down clear mac learn table: enable"として設定を確認いただけます。
"set mac-learn"のコマンドを実行することで、インターフェイスのLink down時でもmac learning tableがクリアされない設定に変更することが可能です。

現状、対応しておりません。

ISGシリーズおよびNS5000系でリンクアグリゲート機能を使用することで可能です。
なお、以下の注意点があります。
【ISG/NS5000共通】

• モジュールをまたぐリンクアグリゲートの設定は不可となります。
• 802.3adに互換性はあるが、未対応となります
  （Cisco:側は "channel-group X mode on"）。
• 送信元IP/MAC, 宛先IP/MACによるロードバランス設定は不可となり、ラウンドロビンとなります。

【NS5000】

• 8Gモジュールのみのサポートとなります。（10Gモジュールでは使用不可となります。）
• 8Gモジュールのポート番号1～4が一つのグループ、5～8が別のグループと考え、同じグループ内でRedundantI/Fを設定する必要があります。

（例）ポート番号1番とポート番号2番の設定は可能ですが、ポート番号1番とポート番号5番の設定は不可となります。

ISGで拡張できるインタフェースの種類は以下のとおりです。

• NS-ISG-SX2
• NS-ISG-LX2
• NS-ISG-TX2
• NS-ISG-SX4（ScreenOS5.4.0r2以降サポート）
• NS-ISG-LX4（ScreenOS5.4.0r2以降サポート）
• NS-ISG-TX4（ScreenOS5.4.0r2以降サポート）
• NS-ISG-1XG（ScreenOS6.1以降サポート）

• ※NS-ISG-TX4は10/100/1000ではなく、1000Base-TのSFPのため、10/100MbpsのI/Fとの接続はできません。
• ※トランシーバが別途必要となります。

可能です。

可能です。
InterfaceのIPをMIPまたはVIPとして使用し、内部の機器とマッピングすることができます。
ただしHTTP(80)/Telnet(23)/HTTPS(443)/SNMP(161)/SSH(22)/IKE(500)サービスに対してはデフォルトのポート番号でマッピングすることができません。
回避策としては以下の三点がございます。

1. 管理用サービスのデフォルトポート番号を変更する。（SNMP(161), IKE(500)は変更不可）

2. 通信で使用するポートを、マッピングするサービスのデフォルトポート番号以外に変更する。

3. WAN側のInterface設定にて該当サービスの管理機能を無効に設定する（MIP限定の回避策、IKE(500)は回避不可）

iPhoneやiPadについてはSSGとの接続はできませんが、
Junos Pulse for iOSが使用可能なためSecureAccessであれば接続が可能です。
[参考]
http://kb.juniper.net/InfoCenter/index?page=content&id=KB9923
AndroidについてはOS2.3.4かつ標準機能のL2TP/IPSec CRT VPNにて接続が可能である事は確認しておりますが、SSGとの接続についてはサポート対象外となります。
また、SSGにおけるL2TP/IPSecでの接続について一部制限事項もあります。
[参考]
http://kb.juniper.net/kb/documents/public/VPN/ScreenOS_Windows_L2TP_IPSec.pdf

下記スロットごとバスの制限があるため、搭載するスロットによって性能が異なります。
[SSG-520(M)]
固定オンボード: 2.0Gbps
スロット1,2,4,5: 800Mbps
スロット3,6: 2.5Gbps
[SSG-550(M)]
固定オンボード: 2.0Gbps
スロット1,4: 800Mbps
スロット2,3,5.6: 2.5Gbps

6.3よりルートエントリをキャッシュして、転送速度を高速化する"route-cache"という新機能が御座います。
転送速度を高速化する代わりに、ある状況下では問題が発生する可能性がございます。トレードオフになりますが、非有効化することを当社として推奨します。
[参考]
http://kb.juniper.net/InfoCenter/index?page=content&id=KB21011

以下の機能はレイヤー2透過モードにおいてサポートされません。

• バーチャルIP、IPマッピング、PAT、ポリシーベースNAT、NAT（※1）
• バーチャルルーター
• VLAN
• OSPF、BGP、RIPv2
• アクティブ／アクティブHA（※2）
• IPアドレス割り当て

• （※1）ScreenOS6.2より、拡張IPを使用したDIPプールによるポリシーベースNAT/PATのみサポート
• （※2）SSG-520M/SSG-550M/ISG/NS-5000のみサポート

ISG,NSシリーズのみ、VSYSライセンスを投入することでカスタム作成可能な個数が、それぞれ以下のように増加します。

• カスタムVR数=VSYSライセンス数
• カスタムZone数=VSYSライセンス数x2

標準で作成可能な数に上記数値を加えた分が最大値となります。
なおこれらはVSYSの作成と排他利用になるため、VSYS設定を作成した場合はカスタムで作成できるVR/Zone数が減少します。