(一)高性能的防火墙产品
NetScreen-100防火墙产品是基于安全包处理器的高性能产品。全新的技术包括定制的专有的ASIC芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC CPU和专用软件。
NetScreen-100防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现,它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。(策略存取执行防火墙保护功能)。由于做到了系统级的安全处理功能。NetScreen-100消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。
NetScreen-100提供了多功能和高安全性能的无缝连接,并提供了100M的传输性能。同样,NetScreen-100是业界最快的防火墙,另外,NetScreen-100自动调整端口速率,使其达到10M和100M自适应。
因为是基于硬件的设计,NetScreen-100防火墙产品的高性能允许用户享受到高速的好处,可提供多条E1线路,甚至更高如E3的线路。
NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen-10为中小企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部构筑安全体系。
(二)性能
NetScreen-100防火墙产品动态加密保护和按优先级实时监控未来数据,它专有的独特的系统设计保证了它的高性能,ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。
用户认证和策略
NetScreen -100为每一个当前用户提供高性能的存取,无论是远程还是在防火墙内,支持创纪录的并行连接用户数。NetScreen-100支持每秒4370个连接,(基于32个客户),领先于它的最接近的竞争对手。根据独立的测试机构,KeyLab的测试报告,NetScreen-100支持32000个并发用户连接,支持超过5000个存取策略,并提供简单易用的过滤界面。
防火墙
NetScreen-100全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。
流量管理
流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载均衡,使该产品成为web服务器和ISP的理想产品。
网络管理
该产品易于安装,而且NetScreen-100防火墙产品可以远程通过网络上任何一台具有浏览器的机器来管理。
透明模式
NetScreen-100可以被用来作透明传输。你可以在这种方式下不分配任何IP给NetScreen网络界面。它只需要一个管理界面。不用更改你现有的任何网络配置就可以利用策略来管理网络流量。
特点
独特的ASIC设计及已申请专利保护的系统体系结构
最优的性能价格比
无用户数目限制
独特的负载均衡能力及流量优先级控制能力
创记录的性能,具有线速运行能力
配置简单,管理方便
支持透明传输模式
设计紧凑,一些附加功能转移到主机上完成如日志功能
支持一主一备的管理模式
(一)访问控制
NetScreen-100 使用了状态检查的方法来实现动态的包过滤。这种方法也同样被其他重要的防火墙厂商CheckPoint 和 Cisco所采用。相比其他的两种方法简单的包过滤和复杂的应用网关来讲,它具有更快速和更安全的优点。
简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后,就留下了可使黑客劫持端口号的漏洞。
应用网关通过检查应用层所有的包,提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现,因此性能是很低的。
状态检查的链路层代理,另一方面,可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束,防火墙就结束这个连接。在不牺牲安全性的条件下,提供更高的性能。
NetScreen-100也可提供网络层的 URL 过滤,并在不久的将来实现病毒扫描的功能。
NetScreen-100 产品也提供用户的认证。
用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。
(二)管理
NetScreen-100防火墙产品可连接信任端口(Trusted )或 不信任端口(Untrusted)然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口(Untrusted)可以因安全的原因而设置为取消。如果取消它,不信任端口是不可ping的。 (不信任端口(untrusted) 在 1.60版本以前是不可ping的)。
NetScreen-100同样也可通过console 端口,使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙,可在console口连接一个调制解调器。Console口的访问也可因为安全原因设置为取消。
NetScreen-100也可以通过telnet来管理。Telnet 和 Web 管理也可通过VPN 通道加密,提供安全的管理。
管理方便,可通过串口管理,使用命令行方式。也可以在图形方式下用浏览器进行管理,不分硬件平台和操作系统,只要把浏览器打开就可以通过用Web server 的方式来管理配置简单尤其在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备,可以采用snmp的集中式管理,通过网络管理软件,如SunNetManager来进行管理。而且NetScreen-100还可以提供备份的远程拨号方式的管理不仅如此,为安全起见,NetScreen-100可以关闭远程的管理方式,而只使用本地的、安全的管理方式。
(三)处理能力及性能指标
具有线速带宽且不受信息包大小影响(wirespeed)
在作地址转换和添加策略时,性能不受任何影响
线速带宽的包过滤
支持32000个并发连接
5000个高级访问过滤策略
具有网络地址转换功能
支持透明模式传输
动态过滤,具有硬件级代理服务器功能
有实时监控流量和报警功能
可以实现日志记载功能
流量控制,可以根据不同用户及不同策略分配带宽
支持8级用户优先级设置
支持服务器负载均衡
动态IP pool,实现端口地址转换
支持多种标准协议:ARP,TCP/IP,UDP,ICMP,DHCP, HTTP, RADUIS,
可以通过浏览器,TFTP服务器,快速闪存来进行软件版本的升级及配置参数的下载,备份
支持一主一备的管理模式
(四)产品适用范围
企业网 (INTRANET)
Netscreen-100,以其100Mbps运行速度,创新的、独特设计的软硬件体系结构,使Netscreen-100将高速的性能,最大限度的安全性及简单易用有机地结合在一起,有效的消除了制约传统软件类防火墙的性能瓶颈。
Netscreen-100可以被灵活地设置在企业局域网的各个关键位置,以保护各个部门的资讯,如财务部,工程部 等关键部门,或保护重要的企业网服务器,甚至可以保护企业高层管理人员个人电脑上的敏感资讯。
Netscreen-100强大的DMZ服务器负载平衡功能,使得用牺牲网络性能换取网络安全的矛盾迎刃而解无论需求是来自企业网(INTRANET)还是互连网(INTERNET), Netscreen-100都有能力平衡多个服务器运用一个加权系统,网络管理员可以保证为企业内部信任端口(TRUSTED)服务器和公共的隔离端口(DMZ)服务器按需分配带宽Netscreen-100的100Mbps的速度性能,保证了网络具有实时响应能力和短的等待时间,实现了网络性能与网络安全的统一。
互连网(INTERNET)
Netscreen-100不仅适用于单个的E1,而且适用于多个E1或E3,甚至快速以太网。
Netscreen-100可以很容易地配置在任何现有的企业网络结构中。
Netscreen-100为网络管理员提供了综合的网络流量控制方法,从而实现了高效的网络流量管理。Netscreen-100的先进功能之一,优先级管理,就是对带宽按级别来分配,保证了网络数据的高效交换要,这就使诸如视屏会议等特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅进行。与此相关的,Netscreen-100同时具有全面的网络分析能力,如实时的日志记录,快速准确的报警功能和方便的报表能力。
外部网(EXTRANET)
Netscreen-100以其先进包过滤防火墙的功能,确保局域网与公网间传输信息的安全,并有效地防止网络黑客的攻击。
(五) 防火墙应用示例
NetScreen-100防火墙有三个端口-Trusted、DMZ和Untrusted。分别用于连接Intranet、Internet和DMZ三个网域。它独创的安全包处理器,将所有的流量策略、安全政策、加密和身份验证都交给硬件处理,从而大大提高了防火墙的处理性能;并且将包的生成交给软件处理;将包的路由交给路由器处理,集中实现安全策略下的高速吞吐量。
(六)负载平衡的应用示例
可由多台服务器分担网络上访问服务器的流量。
