【正文】 處理能力及性能指標．具有線速帶寬且不受信息包大小影響(wirespeed)．在作地址轉(zhuǎn)換和添加策略時，性能不受任何影響．具有VPN功能，支持IPSEC,DES,TripleDES,．人工密鑰管理,自動ISAKMP密鑰管理，支持MD5．線速帶寬的包過濾．支持32000個并發(fā)連接．5000個高級訪問過濾策略．具有網(wǎng)絡(luò)地址轉(zhuǎn)換功能．支持透明模式傳輸．動態(tài)過濾，具有硬件級代理服務(wù)器功能．有實時監(jiān)控流量和報警功能．可以實現(xiàn)日志記載功能．流量控制，可以根據(jù)不同用戶及不同策略分配帶寬．支持8級用戶優(yōu)先級設(shè)置．支持服務(wù)器負載均衡．動態(tài)IP pool,實現(xiàn)端口地址轉(zhuǎn)換．支持多種標準協(xié)議：ARP,TCP/IP,UDP,ICMPDHCP, HTTP, RADUIS, Ipsec ,MD5, SHA1Des, Triple DES, IKE, ．可以通過瀏覽器，TFTP服務(wù)器，快速閃存來進行軟件版本的升級及配置參數(shù)的下載，備份．支持一主一備的管理模式 產(chǎn)品適用范圍l 企業(yè)網(wǎng) (INTRANET)Netscreen100,以其創(chuàng)記錄的100Mbps運行速度，將業(yè)界的性能標準一下子提高了十倍，創(chuàng)新的，獨特設(shè)計的軟硬件體系結(jié)構(gòu)，使Netscreen100將高速的性能，最大限度的安全性及簡單易用有機地結(jié)合在一起，有效的消除了制約傳統(tǒng)軟件類防火墻的性能瓶頸．Netscreen100是當今市場上為企業(yè)網(wǎng)（INTRANET）與互連網(wǎng)(INTERNET) 及企業(yè)內(nèi)部各單獨子網(wǎng)之間提供信息保護。管理方便，可通過串口管理，使用命令行方式。 NetScreen 產(chǎn)品也可以通過telnet來管理。如果用戶喜歡使用命令行方式或希望通過遠程來管理防火墻，可在console口連接一個調(diào)制解調(diào)器。 (不信任端口（untrusted） 在 )。不信任端口（Untrusted）可以因安全的原因而設(shè)置為取消。 管理NetScreen 產(chǎn)品可連接信任端口（Trusted ）或 不信任端口（Untrusted）然后通過web 界面來管理。NetScreen是通過建立VPN通道，由MD5實現(xiàn)的ESP信息的認證，并依從IPSec 標準 用戶的認證可由兩種方法實現(xiàn)。NetScreen 也可提供網(wǎng)絡(luò)層的 URL 過濾，并在不久的將來實現(xiàn)病毒掃描的功能。一旦一個會話結(jié)束，防火墻就結(jié)束這個連接。狀態(tài)檢查的鏈路層代理，另一方面，可實現(xiàn)硬件層。但是用戶需要廠商提供所有應(yīng)用的代理。一旦真正的用戶完成了TCP的連接后，就留下了可使黑客劫持端口號的漏洞。但它只能做到拒絕端口訪問或允許端口訪問。簡單的包過濾只檢查IP地址和端口號。 特點．獨特的ASIC設(shè)計及已申請專利保護的系統(tǒng)體系結(jié)構(gòu)．最優(yōu)的性能價格比．無用戶數(shù)目限制．獨特的負載均衡能力及流量優(yōu)先級控制能力．創(chuàng)記錄的性能，具有線速運行能力．配置簡單，管理方便．支持透明傳輸模式．設(shè)計緊湊，一些附加功能轉(zhuǎn)移到主機上完成．如日志功能．支持一主一備的管理模式 訪問控制NetScreen 使用了狀態(tài)檢查的方法來實現(xiàn)動態(tài)的包過濾。不用更改您現(xiàn)有的任何網(wǎng)絡(luò)配置就可以利用策略來管理網(wǎng)絡(luò)流量。你可以在這種方式下不分配任何IP給NetScreen網(wǎng)絡(luò)界面。網(wǎng)絡(luò)管理 該產(chǎn)品易于安裝，而且NetScreen產(chǎn)品可以遠程通過網(wǎng)絡(luò)上任何一臺具有瀏覽器的機器來管理。網(wǎng)絡(luò)控制功能象帶寬分配。NetScreen1000建立了新的VPN性能測試基準，與其它同類產(chǎn)品比較，NetScreen1000有著更高的吞吐量，更廣泛的安全性和更低的價位。并且還支持數(shù)據(jù)簽名（MD5）算法。不論NetScreen－100還是NetScreen－10都支持業(yè)界的加密標準。該產(chǎn)品與Ipsec協(xié)議兼容。防火墻NetScreen全功能防火墻包括了包過濾、代理服務(wù)器和動態(tài)線路級過濾器。根據(jù)獨立的測試機構(gòu)，KeyLab的測試報告，NetScreen－100支持32000個并發(fā)用戶連接，NetScreen10支持16000個并發(fā)連接。NetScreen1000創(chuàng)紀錄地實現(xiàn)了TCP/IP并發(fā)連接（超過256000）；策略數(shù)（多于5000）和并發(fā)的VPN連接數(shù)（超過10000）。同樣基于系統(tǒng)級的安全功能設(shè)計消除了傳輸?shù)钠款i。 性能NetScreen產(chǎn)品動態(tài)加密保護和按優(yōu)先級實時監(jiān)控未來數(shù)據(jù)，它專有的獨特的系統(tǒng)設(shè)計保證了它的高性能，ASIC芯片可以獨自處理并過濾包。NetScreen－10為中小企業(yè)提供他們負擔得起的全面的安全解決方案。另外，該產(chǎn)品允許用戶在遠程實現(xiàn)加密通信，并且這種VPN功能不影響性能。同樣，NetScreen100是業(yè)界最快的防火墻，另外，NetScreen自動調(diào)整端口速率，使其達到10M和100M自適應(yīng)。 NetScreen提供了多功能和高安全性能的無縫連接，NetScreen1000, NetScreen100 和 NetScreen10 分別提供了1000M、100M和10M的傳輸性能。由于做到了系統(tǒng)級的安全處理功能。CPU可專門負責管理數(shù)據(jù)流。NetScreen防火墻的專用ASIC芯片提供存取策略的功能。全新的技術(shù)包括定制的專有的芯片免費加盟和策略實現(xiàn)。NetScreen 遠程 VPN 客戶軟件可提供遠程VPN訪問的解決方案。它的大小類似一個CDROM。NetScreen1000 不久將要面市，它將為那些大型企業(yè)和網(wǎng)絡(luò)主干的供應(yīng)商提供千兆網(wǎng)安全的解決方案。NetScreen100 用于 100MB 傳輸?shù)木W(wǎng)絡(luò)。日立公司準備在未來三年內(nèi)賣出10000套NetScreen 產(chǎn)品。NetScreen是HP選中的二家防火墻廠家的一家，而且是唯一一家基于硬件的產(chǎn)品。1998年6月，NetScreen100 被HP公司選為它在防火墻方面的新的合作伙伴。1998年10月，NetScreen 宣布推出 NetScreen1000的產(chǎn)品。在1998年的8月和9月，NetScreen10 和NetScreen100 通過了ICSA (國際計算機安全協(xié)會)的防火墻認證。在同類產(chǎn)品中，NetScreen是唯一員工把防火墻、虛擬專用網(wǎng)（VPN）、負載均衡及流量控制結(jié)合起來，且提供100M的線速性能的產(chǎn)品。NetScreen公司的產(chǎn)品NetScreen100獲得了KeyLabs工作組的“測試首選獎”，在1998年4月舉行的數(shù)據(jù)通訊雜志的評測中。NetScreen 科技公司目前有50多名員工公司在全美的主要城市都設(shè)有辦事處，而且積極拓展海外市場。Sequoia 是一家領(lǐng)先的風險投資公司，成立于1974年，已成功地為超過350家公司提供了最初的風險投資基金，其中包括3Com 公司、Cisco 系統(tǒng)公司、Oracle 公司、Symantec 公司和Yahoo 公司等等。所有的功能全部放在有關(guān)專有的硬件平臺的盒子里，并且這些功能都有著無與倫比的性能。該項技術(shù)能有效消除傳統(tǒng)防火墻實現(xiàn)數(shù)據(jù)加盟時的性能瓶頸，能實現(xiàn)最高級別的IP安全（Ipsec），先進的系統(tǒng)級的設(shè)計允許產(chǎn)品提供多種功能，并且這些功能都具有無與倫比的性能。公司致力于發(fā)展一種新型的與網(wǎng)絡(luò)安全有關(guān)的高科技產(chǎn)品，把多種功能集成到一起，創(chuàng)造新的業(yè)界性能紀錄。公司的奠基者有過在Cisco和Intel等科技領(lǐng)先公司多年的工作經(jīng)驗。路由器過濾掉禁止或不能識別的信息，將合法的信息送到代理服務(wù)主機上，并讓其檢查，并向內(nèi)或向外轉(zhuǎn)發(fā)符合安全要求。一個獨立的屏蔽子網(wǎng)位于Intranet與Internet之間，起保護作用?；蛘呤遣捎冒鲜龉δ艿膹?fù)合型防火墻。當然可以根據(jù)具體的情況，作出一定的安全政策，并采用某種上述特定的防火墻。要注意的是，一定要定期測試備份連接系統(tǒng)。在這方面，保留幾臺調(diào)制解調(diào)器和電話線路用于緊急情況可能就足矣。信息流量大的站點應(yīng)選擇支持多設(shè)備負載均衡的VPN，原因在于提供負載均衡能力的VPN廠商非常少，目前NetScreen的防火墻產(chǎn)品支持負載均衡和流量控制的功能同時也支持冗余路徑。10) 進行備份隨著用戶對VPN的進一步熟悉，企業(yè)可能會涉及到一些由任務(wù)決定的應(yīng)用程序，例如公司要為客戶建立一個電子商店。另外，機構(gòu)中的所有網(wǎng)管員都應(yīng)該了解VPN的基本操作，認識到管理VPN的人不應(yīng)該只是那些安裝和配置的人，最終用戶也需要接受Internet了解及VPN軟件工作原理的基本培訓(xùn)。如果認證服務(wù)器還控制授權(quán)分組，例如營銷或策劃小組的授權(quán)，則系統(tǒng)還要注意核查它是否能正確地同VPN設(shè)備聯(lián)絡(luò)組信息。認證是要證明遠程用戶是她或他聲稱的身份（在外聯(lián)網(wǎng)設(shè)置中，要證明的則相反，即服務(wù)器可信）。網(wǎng)管員還要讓認證和授權(quán)程序協(xié)調(diào)起來。對此，一些廠商的實現(xiàn)的方式是，讓所有信息進入總部設(shè)備下載相關(guān)信息。在安裝前從服務(wù)器中取消所有不必要的服務(wù)、應(yīng)用程序和用戶帳戶，以確保安裝的是最新的、安全的產(chǎn)品，這樣安裝VPN軟件才是安全的。如果DNS可在Internet上看到，那么攻擊者可了解專用網(wǎng)絡(luò)的布局。如果認證服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上，防火墻的配置一定要有允許DMZ和專用網(wǎng)絡(luò)間的認證請求。這樣，防火墻需要一個類屬代理或用于傳遞封閉VPN信息 流的規(guī)則，以及允許將信息流傳送到VPN設(shè)備上的規(guī)則。如果VPN服務(wù)器在防火墻以內(nèi)，網(wǎng)絡(luò)管理員還要對防火墻進行重新配置。網(wǎng)管員需將DHCP和VPN功能協(xié)調(diào)起來，否則，客戶機可能最終將信息只發(fā)送到Internet而不是專用網(wǎng)絡(luò)上。網(wǎng)管員至少要使VPN設(shè)備的配置清楚哪些地址要保留下來供內(nèi)部使用。7) 重新配置其他網(wǎng)絡(luò)設(shè)備安裝VPN，特別是涉及IP地址管理和防火墻時，公司可能要對網(wǎng)絡(luò)上的其他設(shè)備重新進行配置。外界顧問不需要認證，他們只需同另一臺VPN服務(wù)器連接起來，這一臺服務(wù)器應(yīng)位于第二個DMZ上，以保護公司的認證服務(wù)器。其中，建立與下屬辦事處的鏈路最簡單：一對VPN服務(wù)器只需在兩個站點間建立加密通道。如果一臺認證服務(wù)器屬于DMZ子網(wǎng)，它會得到細心的管理和保護，免于內(nèi)部和外部的威脅。對于員工企業(yè)，如果絕大多數(shù)遠程用戶屬于外部機構(gòu)，將VPN設(shè)備放在DMZ網(wǎng)絡(luò)上意義更大，因為它要比內(nèi)部網(wǎng)絡(luò)更為安全，屏蔽DMZ的防火墻有助于保護其間的設(shè)備。6) 為VPN服務(wù)器選擇位置遠程用戶的從屬關(guān)系有助于確定VPN設(shè)備放置的位置。為了能對不同廠商的產(chǎn)品進行公平比較，網(wǎng)管員需考慮諸如幀長度、加密算法及密鑰長度、壓縮的使用及信息認證算法的現(xiàn)狀。正如以上所述，速度高于T1的網(wǎng)絡(luò)連接則可能需要基于硬件的VPN。例如對于基于軟件的VPN，假設(shè)采用三倍的DES（數(shù)據(jù)加密標準）加密，使用128位密鑰、數(shù)據(jù)壓縮和信息認證，這樣，200MHz Pentium處理器就能處理T1網(wǎng)絡(luò)連接。成功的VPN測試包括6個方面：首先，測試VPN是否可按照機構(gòu)的遠程訪問決策進行配置；其次，測試VPN是否支持所有正在使用的認證與授權(quán)機構(gòu)；第三，驗證VPN可有效地產(chǎn)生和分配的密鑰；第四，測試VPN是否允許遠程用戶加入到公司網(wǎng)絡(luò)中，就像他們在物理上是連接起來的一樣；第五，驗證系統(tǒng)為排除故障和提供明顯線索的能力；最后，驗證是否技術(shù)與非技術(shù)人員同樣能輕松運用VPN。企業(yè)首先要確定一個遠程用戶間的測試伙伴小組，由他們測試系統(tǒng)的情況。目前美國法律禁止128位加密算法出口，盡管未來立法可能會或多或少地放寬限制，但一般跨國經(jīng)營的美國公民可能需要部署兩個VPN系統(tǒng)：一個加密功能較弱，用于國際用戶的，一個加密功能較強，用于國內(nèi)用戶。獨立認證服務(wù)器的優(yōu)勢在于可收縮性，即無論增加多少臺訪問設(shè)備，一臺認證服務(wù)器就足矣。盡管大部分VPN可保留自己的認證數(shù)據(jù)庫，但網(wǎng)管員也希望借助于現(xiàn)有的認證服務(wù)器。Ipsec是IETF(Internet Engineering Task Force)組織為TCP/IP協(xié)議集增加的標準認證與加密功能。例如：雖然大多數(shù)公司網(wǎng)絡(luò)為多協(xié)議型，但VPN產(chǎn)品只解決IP協(xié)議的傳輸，如果其他協(xié)議如IPX或SNA需要傳送，用戶需要尋找能為這些協(xié)議加密，或者能將它們打包成IP，讓基于IP的VPN系統(tǒng)處理的方案?；诜阑饓Φ腣PN對于僅僅實施內(nèi)聯(lián)網(wǎng)應(yīng)用的企業(yè)還是蠻好的，它是軟件產(chǎn)品中最容易保證安全和管理的產(chǎn)品。這時，網(wǎng)管員可建立起所謂的非軍事區(qū)（DMZ），部分，系統(tǒng)一般使用在防火墻上的一個第三方界面，并有自己的訪問控制規(guī)則。由于很少有VPN廠商提供操作系統(tǒng)級的安全指導(dǎo)，因此，提供操作系統(tǒng)保護是這種VPN的一大優(yōu)勢。此外，它們還執(zhí)行地址的翻譯，滿足嚴格的認證功能要求，提供實時報警，具備廣泛的登錄能力。軟件系統(tǒng)的問題在于難于管理，它要求使用者熟悉主機操作系統(tǒng)、應(yīng)用程序本身以及相應(yīng)的安全機制，甚至一些軟件包需要對路由表和網(wǎng)絡(luò)地址方案進行改動。因流量類型不同，特定的通道在遠程站點可能遇到混合信息流時分優(yōu)先級，例如有些信息流需要通過VPN進入總部的數(shù)據(jù)庫，有些信息流則是在網(wǎng)上沖浪?；谲浖腣PN可能提供更多的靈活性。大部分產(chǎn)品對LAN到LAN及遠程撥號連接都支持。通常，企業(yè)的人事部門已制定有人事管理規(guī)定，這些規(guī)定可能也適用于VPN用戶。對外另外而言，決策中應(yīng)具體說明及時通報遠程用戶人員變更的步驟，被解雇的人員必須盡快從數(shù)據(jù)庫中清除。另外，還應(yīng)包括為出差旅行的員工及遠程工作站的員工提供的訪問步驟。一個機構(gòu)的安全決策應(yīng)界定何種形式的遠程訪問是允許的或不允許的，決策中還要確定相應(yīng)的VPN設(shè)備和實施選擇方法。但在機構(gòu)確定用戶時，這是嚴格急需解決的技術(shù)問題。由于外聯(lián)網(wǎng)連接可能會涉及機構(gòu)外人員，解決用戶的變化問題則很有挑戰(zhàn)性。例如，VPN需要嚴格認證，或者將對總部網(wǎng)絡(luò)的訪問限制在某個孤立的子網(wǎng)中。即不需要基于VPN的用戶認證，因為我們認為這樣的連接是安全的。如果所有這一切都萬無一失，在總部和下屬辦事處之間就可以建立一個“開放管道”的VPN。圍繞下屬辦事處，VPN要考慮的一個關(guān)鍵問題是這些辦事處的物理安全性。對于內(nèi)聯(lián)網(wǎng)連接，VPN應(yīng)提供對企業(yè)網(wǎng)絡(luò)相同的訪問途徑就好象用戶或下屬辦事處真正與總部連接起來。WAN的連接有兩類：內(nèi)聯(lián)網(wǎng)連接和外聯(lián)網(wǎng)連接。相比之下VPN比