NetScreen网络安全解决方案.docx

《NetScreen网络安全解决方案.docx》由会员分享，可在线阅读，更多相关《NetScreen网络安全解决方案.docx（31页珍藏版）》请在优知文库上搜索。

1、NetScreen网络安全解决方案NetScreen网络安全解决方案(一)公司背景NetScreen科技公司成立于1997年10月,总部位于美国加州的硅谷。公司的奠基者有过在Cisco和Intel等科技领先公司多年的工作经验。1998年11月,RobertThomas即Sun公司的执行总裁加盟NetSCreen公司,任公司总裁。公同致力于发展一种新型的与网络安全有关的高科技产品,把多种功能集成到一起,创造新的业界性能纪录。NetScreen创立新的体系结构并已取得了专利。该项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全(IPSeC),先进的系统级的设计允许产品提供

2、多种功能,而且这些功能都具有无与伦比的性能。NetScreen科技公司已经为业界在虚拟专用网领域设立了新的安全解决系统的标准。所有的功能全部放在有关专有的硬件平台的盒子里,而且这些功能都有着无与伦比的性能。当前公司由SequoiaCaPital投资赞助。Sequoia是一家领先的风险投资公司,成立于1974年,已成功地为超过350家公司提供了最初的风险投资基金,其中包括3Com公司、Cisco系统公司、Oracle公司、Symantec公司和Yahoo公司等等。其中大部分公司的股票都已成功上市。NetScreen科技公司当前有50多名员工公司在全美的主要城市都设有办事处,而且积极拓展海外市场。

3、用户群包括HP、日立、日本电讯电话公司和美国在线等,覆盖了欧美亚等十几个国家和地区。NetScreen公司的产品NetScreen-100获得了Key1.abs工作组的“测试首选奖”，在1998年4月举行的数据通讯杂志的评测中,NetScreen-100的VPN吞吐量是获得第二名的2.5倍。1998年11月,NetScreen公司再次荣获”测试者选择奖”，这是数据通讯杂志的年度奖。在同类产品中,NetScreen是唯一员工把防火墙、虚拟专用网(VPN)、负载均衡及流量控制结合起来,且提供100M的线速性能的产品。NetSCreen保证这一点。在1998年的8月和9,NetScreen-10和N

4、etScreen-100经过了ICSA(国际计算机安全协会)的防火墙认证。1998年9月,NetScreen推出了VPN远程存取客户端软件。1998年10月,NetScreen宣布推出NetSCreen-Io0()的产品。这是第一个支持千兆位传输的具有防火墙和VPN功能的产品。1998年6月,NetScreen-100被HP公司选为它在防火墙方面的新的合作伙伴。HP的合作伙伴是在全球范围年为HP提供集成解决系统,并在增强用户的Internet上的应用。NetScreen是HP选中的二家防火墙厂家的一家,而且是唯一一家基于硬件的产品。1998年12月日立公司宣布它将在日本推广NetScreen产

5、品。日立公司准备在未来三年内卖出100OO套NetSCreen产品。（二）产品系列当前,NetScreen有NetScreen-IO用于IOMB传输的网络。NetScreen-100用于100MB传输的网络。NetScreen-100端口是自适应的端口,也可用于当前传输为IOMB并计划将来升级为100MB的网络。NetScreen-1000不久将要面市,它将为那些大型企业和网络主干的供应商提供千兆网安全的解决方案。NetScreen-5当前正在测试阶段。它的大小类似一个CDROMo它是为小型办公室或个人用户而设计的。NetScreen远程VPN客户软件可提供远程VPN访问的解决方案。（三）产品

6、功能及特点NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RlSCCPU和专用软件。NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现,它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。（策略存取执行防火墙保护和加密解密功能）。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。NetScreen提供了多功能和高安全性能的无缝连接,NetScreen.1000,NetScreen-100和NetScr

7、een-IO分别提供了1000M.100M和IOM的传输性能。NetScreen-100O是市场上唯一的千兆的集防火墙、VPN和流量管理于一身的防火墙产品。同样NetSCreen/00是业界最快的防火墙,另外,NetScreen自动调整端口速率,使其达到IOM和100M自适应。因为是基于硬件的设计,NetScreen是唯一一家安全解决系统的提供商,NetScreen产品的高性能允许用户享受到高速的好处,可提供多条El线路,甚至更高如E3的线路。另外,该产品允许用户在远程实现加密通信,而且这种VPN功能不影响性能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen-I

8、O为中小企业提供她们负担得起的全面的安全解决方案。允许她们在自己的企业网内部构筑安全体系。性能NetSCreen产品动态加密保护和按优先级实时监控未来数据,它专有的独特的系统设计保证了它的高性能,ASIC芯片能够独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。用户认证和策略NetScreen支持高性能的存取为每一个当前用户,无论是远程还是在防火墙内,支持创纪录的并行连接用户数。NetScreen-100O创纪录地实现了TCP/IP并发连接（超过256000）;策略数（多于5000）和并发的VPN连接数（超过10000）oNetS

9、creen-100支持每秒4370个连接,（基于32个客户）,领先于它的最接近的竞争对手。根据独立的测试机构Key1.ab的测试报告,NetScreen-100支持3个并发用户连接,NetScreen-10支持16000个并发连接。所有产品都支持超过5000个存取策略,并提供简单易用的过滤界面。防火墙NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。VPNNetScreen会集了VPN功能,保证了数据在传输过程中的加密和解密,但在数据被加、解密之前,首先要满足预定的策略。不论NetScreen-100还

10、是NetScreen-1（）都支持业界的加密标准。包括网络密钥交换（IKE,或以前的ISAKMP）经过IEDES9TripleDESo而且还支持数据签名(MD5)算法。NetScreen招支持X.509认证公钥算法(PKI),能够自动地管理VPNoNetScreen-100O建立了新的VPN性能测试基准,与其它同类产品比较,NetScreen-1000有着更高的吞吐量,更广泛的安全性和更低的价位。流量管理流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载均衡,使该产品成为web服务器和ISP的理想产品。网络管理该产品易于安装,而且NetScre

11、en产品能够远程经过网络上任何一台具有浏览器的机器来管理。透明模式NetScreen能够被用来作透明传输。你能够在这种方式下不分配任何IP给NetScreen网络界面。它只需要一个管理界面Q不用更改您现有的任何网络配置就能够利用策略来管理网络流量。除了它能够在两台NetScreen之间运行VPN,即使有些产品能够在透明模式下工作,但它们也不能在透明模式下实现VPNo特点.独特的ASIC设计及已申请专利保护的系统体系结构最优的性能价格比无用户数目限制.独特的负载均衡能力及流量优先级控制能力,创记录的性能,具有线速运行能力.配置简单,管理方便.支持透明传输模式.设计紧凑,一些附加功能转移到主机上完

12、成.如日志功能.支持一主一备的管理模式（四）访问控制NetScreen使用了状态检查的方法来实现动态的包过滤。这种方法也同样被其它重要的防火墙厂商CheckPoint和Cisco所采用。相比其它的两种方法简单的包过滤和复杂的应用网关来讲,它具有更快速和更安全的优点。简单的包过滤只检查IP地址和端口号。它一般由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后,就留下了可使黑客劫持端口号的漏洞。应用网关经过检查应用层所有的包,提供了更好的安全性。可是用户需要厂商提供所有应用的代理。而且它只能用软件实现,因此性能是很低的。状态检查的链路层

13、代理,另一方面,可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束,防火墙就结束这个连接。在不牺牲安全性的条件下,提供更高的性能。NetScreen也可提供网络层的UR1.过滤,并在不久的将来实现病毒扫描的功能。NetScreen产品也提供信息的和用户的认证。NetScreen是经过建立VPN通道,由MD5实现的ESP信息的认证,并依从IPSec标准用户的认证可由两种方法实现。用户可在防火墙上定义多达个用户或者设置一个Radius服务器来存储用户认证的信息O(五)管理NetScreen产品可连接信任端口(TrUSted)或不信任端口(UntrUSted燃后经过web界面来管理。并

14、提供了跨Internet来实现远程管理能力。不信任端口(Untrusted)能够因安全的原因而设置为取消。如果取消它,不信任端口是不可ping的。(不信任端口(untrusted)在1.60版本以前是不可ping的)。NetScreen产品同样也可经过console端口,使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望经过远程来管理防火墙,可在console口连接一个调制解调器。Console口的访问也可因为安全原因设置为取消。NetScreen产品也能够经过telnet来管理。Telnet和Web管理也可经过VPN通道加密,提供安全的管理。管理方便,可经过串口管理,使用命令行方式。也

15、能够在图形方式下用浏览器进行管理,不分硬件平台和操作系统,只要把浏览器打开就能够经过用Webserver的方式来管理.配置简单特别在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备,能够采用SnmP的集中式管理,经过网络管理软件,如SUnNetManager来进行管理.而且NetSCreen还能够提供备份的远程拨号方式的管理不但如此,为安全起见,NetScreen能够关闭远程的管理方式,而只使用本地的、安全的管理方式。(六)处理能力及性能指标.具有线速带宽且不受信息包大小影响(WireSPeed).在作地址转换和添加策略时,性能不受任何影响,具有VPN功能,支持IPSECDE

16、S,TripleDES,.人工密钥管理启动ISAKMP密钥管理,支持MD5.线速带宽的包过滤.支持3个并发连接.5000个高级访问过滤策略.具有网络地址转换功能.支持透明模式传输.动态过滤,具有硬件级代理服务器功能.有实时监控流量和报警功能.能够实现日志记载功能.流量控制,能够根据不同用户及不同策略分配带宽.支持8级用户优先级设置.支持服务器负载均衡.动态IPP。1,实现端口地址转换.支持多种标准协议:ARP,TCPIP,UDP,ICMPDHCP,HTTHRADUIS,Ipsec,MD5,SHA-IDes,Triple-DES,IKE,X.509v3,能够经过浏览器,TFTP服务器,快速闪存来进行软件版本的升级及配置参数的下载,备份