SSG/ISGシリーズからSRXシリーズ マイグレーションのススメ

セキュリティ

Juniper Network(以下、Juniper)のSSG/ISGシリーズは、1998年の登場以来、高い安定性・信頼性や、ScreenOSによる操作性が高く評価され、現在でも多くの企業に採用されています。

しかし、20152016年には販売が終了し、その後サポートが終了することが既に発表されています。

そこで今回は、既にアナウンスされているSSG/ISGシリーズ販売終了の内容と、後継機種へのスムーズなマイグレーションを実施していただくための情報をお伝えします。

トラブルの発生を抑え、効率よくマイグレーションをしていただくために、是非お役立てください。

SSG/ISGシリーズ販売終了予定について

ロングセラー製品として多くの企業で導入されているSSG/ISGシリーズについて、ついに昨年20158月一部製品の販売終了が発表されました。

該当製品については以下のリンクよりご確認ください。

SSG/ISGシリーズ販売終了・サポート終了情報

SSGシリーズ 販売終了日 ISGシリーズ 販売終了日
SSG-5 2015年123 NS-5200 2016年51
SSG-20 2015年123 NS-5400 2016年51
SSG-140 2016年131 NS-ISG-1000 2016年51
SSG-320M 2016年131 NS-ISG-2000 2016年51
SSG-350M 2016年131
SSG-520M 2016年131
SSG-550M 2016年131

 

後継機種のご案内と早期マイグレーションのお勧め

iStock_000057046974_Fullハードウェアのサポート期間は、販売終了後5年間ですが、老朽化や将来のサポート切れを考慮すると、できる限り早期のマイグレーションをお勧めします。 以下が後継機種の対応表になります。御社の規模に応じてそれぞれ推奨機器がありますので、SSG導入当時からネットワークの規模が拡大された場合などはご配慮頂き上位機種へのマイグレーションもご検討ください。

後継機種について

後継機種の対応表を用意していますので、詳しくはこちらをご参照ください。

 

SRXシリーズへのマイグレーションには以下のようなメリットがあります。Juniper Networks“SRXシリーズへのマイグレーションのメリット

  1. SSG/ISGシリーズの機能はJunos OS上で動作させることを目的に開発されているため、SRXシリーズは概ねSSG/ISGシリーズの機能を踏襲しており、ZoneVirtual RouterなどのSSG/ISGシリーズの機能についても引き継がれています
  2. 新たなセキュリティの脅威が発生する中、アプリケーションの可視化、コントロールやインテリジェンスの活用が求められています。旧来のプラットフォームはそれらに対応するには十分なスペックを持っておらず、今後のセキュリティ対策を考える上で、グレードアップした新たなプラットフォームの採用が必要です。
  3. SSG/ISGシリーズのインターフェースに似たGUIが、SRXシリーズ用のオープンソースツールCW4Sとして提供されています
  4. SRXシリーズ発売後、メモリ利用率検証やバグ修正サイクルの短縮、GUIやファイルシステムの改善を行い、現在はSSG/ISGシリーズ以上の安定性を確保しています。

以上のように、SSG/ISGシリーズからSRXシリーズへのマイグレーションの場合は、機能や運用の継承が可能となり、移行時の負荷とリスクを最小限に抑えることができます。

SRXシリーズ以外の機種にマイグレーションする場合の問題点

ssgsrx2SRXシリーズ以外の機種にマイグレーションする場合は、以下のような点にご注意ください。

・ZoneやVirtual Routerなどの設定をうまく引き継ぐことができず、一からポリシーの設定をやり直す必要がある。

・機能やインターフェースが異なるため、新たに検証作業やトレーニングが必要となる。

このように、SRXシリーズ以外の製品へマイグレーションする場合は、移行時の設定や検証工数などが発生すると共に、再設定や運用手順変更に伴うリスクも考慮する必要があります。

SRXシリーズの特長

前述の通り、SRXシリーズへのマイグレーションは移行時の負荷とリスクを低減することができます。

その他にもSRXシリーズは次のような特長を持っています。

  • アプリケーションの可視化やコントロールが可能な次世代ファイアウォールが搭載可能(別途ライセンス追加が必要)
  • ルーティング機能が搭載されセキュアルーターとして利用できる
  • Juniper共通のJunos OS搭載により、JuniperのルーターやスイッチなどとCLIが統一。運用負荷が軽減されマネージドセキュリティサービスを利用したセキュリティ運用のアウトソーシングが行える

SRXシリーズの安定性について

ssgsrx4SSG/ISGシリーズが誇る高い安定性と信頼性は、現在も多くの企業に支持されており、後継機へのマイグレーションに積極的ではないユーザが多数いらっしゃるのも事実です。

しかし、SRXシリーズはSSG/ISGシリーズの安定性・信頼性を凌駕する程に、SRXシリーズ自体をリリースした当初からも更に進化を遂げ、大きく安定性が向上しました。

 

SRXシリーズリリース後からの主な更新ポイント

1.ハードウェアの改善

JUNOSコードやIDPAnti-Virusシグネチャデータベースの増加によるメモリ不足が発生し、UTM/IDP利用時のハングアップする現象がありましたが、現在販売をしている機器はメモリのグレードアップがされている等、ハードウェアの信頼性が大幅に改善されています。

2.ソフトウェアの改善

Juniper製品はONE JUNOSのコンセプトのもとスイッチ製品、ルータ製品と共通のソフトウェアコードでソフトウェアをリリースしていました。さらにSRXの場合、ベースOSは他ラインナップとは変えず、SRXにフォーカスしたOSのリリースを行い、結果的に迅速なソフトウェアバグの修正が出来るようになりました。

3.OSファイルシステムの改善

電源を切る際に機器のShut Downをしないとファイルシステムが破損し、復旧に時間がかかる事象がありましたが、Junos10.x OS よりDual Partition が導入され、Shut Downをしなくとも正常に起動が可能となりました。また、Junos10.x OS時点では、破損したファイルシステムは、マニュアルで再構築するか再インストールの必要がありましたが、Junos12.1×45以降では、破損したファイルがあった場合でも自動復旧の機能を搭載しています。

既にSSG/ISGシリーズ以上のレベルに達していると判断され、国内外の大手企業を筆頭に、多くの企業で導入実績があります。今後サポートが終了し、経年劣化も心配されるSSG/ISGシリーズと比較した場合、SRXシリーズへの早期移行がお勧めです。

SRXシリーズへのマイグレーションの手引きのご案内

最後に、SSG/ISGシリーズとSRXシリーズの主な機能について、設定方法の違いをまとめた資料をご案内させていただきます。

日商エレクトロニクスの1500台を超えるSRXシリーズの納品実績で培ったノウハウを基に、基本的な設定からHA構成の設定方法まで、SSG/ISGシリーズからSRXシリーズへのマイグレーション時の初期設定に必要な情報が網羅されている簡易設定資料です。スムーズなマイグレーションと安定した運用のために、是非お役立てください。

参考リンク

SRXシリーズ

※「Junos」は、Juniper Networks.Incの登録商標です。

後継機種について

ブランチモデル SSG SRX
SOHO/営業所向け SSG5SSG5/SSG20 srx300SRX300
同時セッション 8,000 / 16,000 (Extended) 64,000
ファイアウォール 160Mbps 1Gbps
VPN 40Mbps 100Mbps
SSG140SSG140 srx320SRX320
同時セッション 48,000 94,000
ファイアウォール 350Mbps 1Gbps
VPN 100Mbps 100Mbps
中・小規模企業/支社向け SSG320SSG320 srx340SRX340
同時セッション 64,000 256,000
ファイアウォール 450Mbps 3Gbps
VPN 175Mbps 150Mbps
SSG350SSG350 srx345SRX345
同時セッション 128,000 256,000
ファイアウォール 550Mbps 6Gbps
VPN 225Mbps 200Mbps
大・中規模企業/本社向け SSG520SSG520 srx550SRX550
同時セッション 128,000 375,000
ファイアウォール 650Mbps 5.5Gbps
VPN 300Mbps 1Gbps
SSG550SSG550 srx1500SRX1500-AC
同時セッション 256,000 2,000,000
ファイアウォール 1Gbps 10Gbps
VPN 500Mbps 1Gbps
大規模企業/本社向け NS-5200NS-5200 srx1500SRX1500-AC
同時セッション 1,000,000 2,000,000
ファイアウォール 10Gbps 10Gbps
VPN 5Gbps 1Gbps
NS-5400NS-5400 srx5400SRX5400-AC
同時セッション 2,000,000 28,000,000
ファイアウォール 30Gbps 65Gbps
VPN 15Gbps 43Gbps
NS-ISG-1000NS-ISG-1000 srx1500SRX1500-AC
同時セッション 500,000 2,000,000
ファイアウォール 2Gbps 10Gbps
VPN 1Gbps 1Gbps
NS-ISG-2000NS-ISG-2000 srx1500SRX1500-AC
同時セッション 1,000,000 2,000,000
ファイアウォール 4Gbps 10Gbps
VPN 2Gbps 1Gbps

関連記事