【正文】 用戶認(rèn)證和策略NetScreen 支持高性能的存取為每一個當(dāng)前用戶，無論是遠(yuǎn)程還是在防火墻內(nèi)，支持創(chuàng)紀(jì)錄的并行連接用戶數(shù)。NetScreen1000創(chuàng)紀(jì)錄地實現(xiàn)了TCP/IP并發(fā)連接（超過256000）；策略數(shù)（多于5000）和并發(fā)的VPN連接數(shù)（超過10000）。NetScreen100支持每秒4370個連接，（基于32個客戶），領(lǐng)先于它的最接近的競爭對手。根據(jù)獨立的測試機(jī)構(gòu)，KeyLab的測試報告，NetScreen－100支持32000個并發(fā)用戶連接，NetScreen10支持16000個并發(fā)連接。所有產(chǎn)品都支持超過5000個存取策略，并提供簡單易用的過濾界面。防火墻NetScreen全功能防火墻包括了包過濾、代理服務(wù)器和動態(tài)線路級過濾器。該產(chǎn)品提供了高級的包檢查和事件日志功能。該產(chǎn)品與Ipsec協(xié)議兼容。VPN NetScreen會集了VPN功能，保證了數(shù)據(jù)在傳輸過程中的加密和解密，但在數(shù)據(jù)被加、解密之前，首先要滿足預(yù)定的策略。不論NetScreen－100還是NetScreen－10都支持業(yè)界的加密標(biāo)準(zhǔn)。包括網(wǎng)絡(luò)密鑰交換（IKE, 或以前的ISAKMP) 通過IP，DES，Triple DES。并且還支持?jǐn)?shù)據(jù)簽名（MD5）算法。（PKI），可以自動地管理VPN。NetScreen1000建立了新的VPN性能測試基準(zhǔn)，與其它同類產(chǎn)品比較，NetScreen1000有著更高的吞吐量，更廣泛的安全性和更低的價位。流量管理 流量管理提供給網(wǎng)絡(luò)管理員所有必須的信息去監(jiān)控和管理網(wǎng)絡(luò)流量。網(wǎng)絡(luò)控制功能象帶寬分配。流量優(yōu)先級和負(fù)載均衡，使該產(chǎn)品成為web服務(wù)器和ISP的理想產(chǎn)品。網(wǎng)絡(luò)管理該產(chǎn)品易于安裝，而且NetScreen產(chǎn)品可以遠(yuǎn)程通過網(wǎng)絡(luò)上任何一臺具有瀏覽器的機(jī)器來管理。 NetScreen可以被用來作透明傳輸。你可以在這種方式下不分配任何IP給NetScreen網(wǎng)絡(luò)界面。它只需要一個管理界面。不用更改您現(xiàn)有的任何網(wǎng)絡(luò)配置就可以利用策略來管理網(wǎng)絡(luò)流量。除了它可以在兩臺NetScreen之間運行VPN，即使有些產(chǎn)品可以在透明模式下工作，但它們也不能在透明模式下實現(xiàn)VPN。 特點l 獨特的ASIC設(shè)計及已申請專利保護(hù)的系統(tǒng)體系結(jié)構(gòu)l 最優(yōu)的性能價格比l 無用戶數(shù)目限制l 獨特的負(fù)載均衡能力及流量優(yōu)先級控制能力l 創(chuàng)記錄的性能，具有線速運行能力l 配置簡單，管理方便l 支持透明傳輸模式l 設(shè)計緊湊，一些附加功能轉(zhuǎn)移到主機(jī)上完成．如日志功能l 支持一主一備的管理模式3．4訪問控制NetScreen 使用了狀態(tài)檢查的方法來實現(xiàn)動態(tài)的包過濾。 相比其他的兩種方法簡單的包過濾和復(fù)雜的應(yīng)用網(wǎng)關(guān)來講，它具有更快速和更安全的優(yōu)點。簡單的包過濾只檢查IP地址和端口號。它通常由路由器來實現(xiàn)。但它只能做到拒絕端口訪問或允許端口訪問。它不能了解連接的狀態(tài)。一旦真正的用戶完成了TCP的連接后，就留下了可使黑客劫持端口號的漏洞。應(yīng)用網(wǎng)關(guān)通過檢查應(yīng)用層所有的包，提供了更好的安全性。但是用戶需要廠商提供所有應(yīng)用的代理。而且它只能用軟件實現(xiàn)，因此性能是很低的。狀態(tài)檢查的鏈路層代理，另一方面，可實現(xiàn)硬件層。防火墻保持所有的TCP會話的檢查。一旦一個會話結(jié)束，防火墻就結(jié)束這個連接。在不犧牲安全性的條件下，提供更高的性能。NetScreen 也可提供網(wǎng)絡(luò)層的 URL 過濾，并在不久的將來實現(xiàn)病毒掃描的功能。 NetScreen 產(chǎn)品也提供信息的和用戶的認(rèn)證。NetScreen是通過建立VPN通道，由MD5實現(xiàn)的ESP信息的認(rèn)證，并依從IPSec 標(biāo)準(zhǔn) 用戶的認(rèn)證可由三種方法實現(xiàn)。用戶可在防火墻上定義多達(dá)1500 個用戶或者設(shè)置一個 Radius 服務(wù)器或Secur ID server來存儲和認(rèn)證用戶信息。3．5 管理NetScreen 產(chǎn)品可連接信任端口（Trusted ）或 不信任端口（Untrusted）然后通過web 界面來管理。并提供了跨Internet來實現(xiàn)遠(yuǎn)程管理能力。不信任端口（Untrusted）可以因安全的原因而設(shè)置為取消。如果取消它，不信任端口是不可ping的。 (不信任端口（untrusted） 在 )。 圖一、NetScreen防火墻遠(yuǎn)程管理示意圖NetScreen 產(chǎn)品同樣也可通過console 端口，使用命令行方式進(jìn)行管理。如果用戶喜歡使用命令行方式或希望通過遠(yuǎn)程來管理防火墻，可在console口連接一個調(diào)制解調(diào)器。Console口的訪問也可因為安全原因設(shè)置為取消。 NetScreen 產(chǎn)品也可以通過telnet來管理。Telnet 和 Web 管理也可通過VPN 通道加密，提供安全的管理。管理方便，可通過串口管理，使用命令行方式。也可以在圖形方式下用瀏覽器進(jìn)行管理，不分硬件平臺和操作系統(tǒng)，只要把瀏覽器打開就可以通過用Web server 的方式來管理．配置簡單尤其在配置三個端口的IP時很方便。對于大型網(wǎng)絡(luò)中多個NetScreen設(shè)備，可以采用snmp的集中式管理，通過NS　Global manager可管理多達(dá)1000臺Netscreen設(shè)備。而且NetScreen還可以提供備份的遠(yuǎn)程撥號方式的管理。不僅如此，為安全起見，NetScreen 可以關(guān)閉遠(yuǎn)程的管理方式，而只使用本地的、安全的管理方式。3．6 處理能力及性能指標(biāo)．具有線速帶寬且不受信息包大小影響(wirespeed)．在作地址轉(zhuǎn)換和添加策略時，性能不受任何影響．具有VPN功能，支持IPSEC,DES,TripleDES,．人工密鑰管理,自動ISAKMP密鑰管理，支持MD5．線速帶寬的包過濾．支持64，000個并發(fā)連接．5000個高級訪問過濾策略．具有網(wǎng)絡(luò)地址轉(zhuǎn)換功能．支持透明模式傳輸．動態(tài)過濾，具有硬件級代理服務(wù)器功能．有實時監(jiān)控流量和報警功能．可以實現(xiàn)日志記載功能．流量控制，可以根據(jù)不同用戶及不同策略分配帶寬．支持8級用戶優(yōu)先級設(shè)置．支持服務(wù)器負(fù)載均衡．動態(tài)IP pool,實現(xiàn)端口地址轉(zhuǎn)換．支持多種標(biāo)準(zhǔn)協(xié)議：ARP,TCP/IP,UDP,ICMPDHCP, HTTP, RADUIS, Ipsec, MD5, SHA1Des, Triple DES, IKE, ，．可以通過瀏覽器，TFTP服務(wù)器，快速閃存來進(jìn)行軟件版本的升級及配置參數(shù)的下載，備份．支持一主一備的管理模式3．7 產(chǎn)品適用范圍l 企業(yè)網(wǎng) (INTRANET)Netscreen100，以其創(chuàng)記錄的100Mbps運行速度，將業(yè)界的性能標(biāo)準(zhǔn)一下子提高了十倍，創(chuàng)新的，獨特設(shè)計的軟硬件體系結(jié)構(gòu)，使Netscreen100將高速的性能，最大限度的安全性及簡單易用有機(jī)地結(jié)合在一起，有效的消除了制約傳統(tǒng)軟件類防火墻的性能瓶頸。Netscreen100是當(dāng)今市場上為企業(yè)網(wǎng)（INTRANET）與互連網(wǎng)(INTERNET) 及企業(yè)內(nèi)部各單獨子網(wǎng)之間提供信息保護(hù)的最可信賴的解決方案。它可以被靈活地設(shè)置在企業(yè)局域網(wǎng)的各個關(guān)鍵位置，以保護(hù)各個部門的資訊，如財務(wù)部，工程部　等關(guān)鍵部門，或保護(hù)重要的企業(yè)網(wǎng)服務(wù)器，甚至可以保護(hù)企業(yè)高層管理人員個人電腦上的敏感資訊。將虛擬專用網(wǎng)(VPN)方便的能力與放火墻功能設(shè)計在同一個體系結(jié)構(gòu)中，是使Netscreen100在當(dāng)今防火墻技術(shù)市場上居于領(lǐng)先地位的關(guān)鍵。VPN 保證了加密的數(shù)據(jù)在進(jìn)出公司局域網(wǎng)和外部互連網(wǎng)時受到檢驗。Netscreen100強(qiáng)大的DMZ服務(wù)器負(fù)載平衡功能，使得用犧牲網(wǎng)絡(luò)性能換取網(wǎng)絡(luò)安全的矛盾迎刃而解。無論需求是來自企業(yè)網(wǎng)(INTRANET)還是互連網(wǎng)(INTERNET)，　Netscreen100都有能力平衡多個服務(wù)器。運用一個加權(quán)系統(tǒng)，網(wǎng)絡(luò)管理員可以保證為企業(yè)內(nèi)部信任端口(TRUSTED)服務(wù)器和公共的隔離端口(DMZ)服務(wù)器按需分配帶寬Netscreen100的100Mbps的速度性能，保證了網(wǎng)絡(luò)具有實時響應(yīng)能力和最短的等待時間，實現(xiàn)了網(wǎng)絡(luò)性能與網(wǎng)絡(luò)安全的完美統(tǒng)一。l 互聯(lián)網(wǎng)（INTERNET）Netscreen100在防火墻市場之所以出類拔萃，是因為其實現(xiàn)了防火墻安全性能與高速率的完美結(jié)合。它不僅適用于單個的E1，而且適用于多個E1或E3，甚至快速以太網(wǎng)。Netscreen100可以很容易地配置在任何現(xiàn)有的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中。Netscreen100為網(wǎng)絡(luò)管理員提供了綜合的網(wǎng)絡(luò)流量控制方法，從而實現(xiàn)了高效的網(wǎng)絡(luò)流量管理。Netscreen100的先進(jìn)功能之一，優(yōu)先級管理，就是對帶寬按級別來分配，保證了網(wǎng)絡(luò)數(shù)據(jù)的高效交換。這就使諸如視屏?xí)h等特定服務(wù)和應(yīng)用，在全部可用帶寬范圍內(nèi)，可被確保一定比例的帶寬而順暢進(jìn)行。與此相關(guān)的，Netscreen100同時具有全面的網(wǎng)絡(luò)分析能力，如實時的日志記錄，快速準(zhǔn)確的報警功能和方便的報表能力。l 外聯(lián)網(wǎng)（EXTRANET）Netscreen100以其先進(jìn)便利的VPN功能，確保特定局域網(wǎng)之間在互聯(lián)網(wǎng)上以密文交換信息。在公網(wǎng)上開辟出一條安全通道，為用戶降低成本。在Netsc