【正文】 不論NetScreen－100還是NetScreen－10都支持業(yè)界的加密標(biāo)準(zhǔn)。并且還支持?jǐn)?shù)據(jù)簽名（MD5）算法。NetScreen1000建立了新的VPN性能測試基準(zhǔn)，與其它同類產(chǎn)品比較，NetScreen1000有著更高的吞吐量，更廣泛的安全性和更低的價(jià)位。網(wǎng)絡(luò)控制功能象帶寬分配。網(wǎng)絡(luò)管理該產(chǎn)品易于安裝，而且NetScreen產(chǎn)品可以遠(yuǎn)程通過網(wǎng)絡(luò)上任何一臺(tái)具有瀏覽器的機(jī)器來管理。你可以在這種方式下不分配任何IP給NetScreen網(wǎng)絡(luò)界面。不用更改您現(xiàn)有的任何網(wǎng)絡(luò)配置就可以利用策略來管理網(wǎng)絡(luò)流量。 特點(diǎn)l 獨(dú)特的ASIC設(shè)計(jì)及已申請(qǐng)專利保護(hù)的系統(tǒng)體系結(jié)構(gòu)l 最優(yōu)的性能價(jià)格比l 無用戶數(shù)目限制l 獨(dú)特的負(fù)載均衡能力及流量優(yōu)先級(jí)控制能力l 創(chuàng)記錄的性能，具有線速運(yùn)行能力l 配置簡單，管理方便l 支持透明傳輸模式l 設(shè)計(jì)緊湊，一些附加功能轉(zhuǎn)移到主機(jī)上完成．如日志功能l 支持一主一備的管理模式3．4訪問控制NetScreen 使用了狀態(tài)檢查的方法來實(shí)現(xiàn)動(dòng)態(tài)的包過濾。簡單的包過濾只檢查IP地址和端口號(hào)。但它只能做到拒絕端口訪問或允許端口訪問。一旦真正的用戶完成了TCP的連接后，就留下了可使黑客劫持端口號(hào)的漏洞。但是用戶需要廠商提供所有應(yīng)用的代理。狀態(tài)檢查的鏈路層代理，另一方面，可實(shí)現(xiàn)硬件層。一旦一個(gè)會(huì)話結(jié)束，防火墻就結(jié)束這個(gè)連接。NetScreen 也可提供網(wǎng)絡(luò)層的 URL 過濾，并在不久的將來實(shí)現(xiàn)病毒掃描的功能。NetScreen是通過建立VPN通道，由MD5實(shí)現(xiàn)的ESP信息的認(rèn)證，并依從IPSec 標(biāo)準(zhǔn) 用戶的認(rèn)證可由三種方法實(shí)現(xiàn)。3．5 管理NetScreen 產(chǎn)品可連接信任端口（Trusted ）或 不信任端口（Untrusted）然后通過web 界面來管理。不信任端口（Untrusted）可以因安全的原因而設(shè)置為取消。 (不信任端口（untrusted） 在 )。如果用戶喜歡使用命令行方式或希望通過遠(yuǎn)程來管理防火墻，可在console口連接一個(gè)調(diào)制解調(diào)器。 NetScreen 產(chǎn)品也可以通過telnet來管理。管理方便，可通過串口管理，使用命令行方式。對(duì)于大型網(wǎng)絡(luò)中多個(gè)NetScreen設(shè)備，可以采用snmp的集中式管理，通過NS　Global manager可管理多達(dá)1000臺(tái)Netscreen設(shè)備。不僅如此，為安全起見，NetScreen 可以關(guān)閉遠(yuǎn)程的管理方式，而只使用本地的、安全的管理方式。Netscreen100是當(dāng)今市場上為企業(yè)網(wǎng)（INTRANET）與互連網(wǎng)(INTERNET) 及企業(yè)內(nèi)部各單獨(dú)子網(wǎng)之間提供信息保護(hù)的最可信賴的解決方案。將虛擬專用網(wǎng)(VPN)方便的能力與放火墻功能設(shè)計(jì)在同一個(gè)體系結(jié)構(gòu)中，是使Netscreen100在當(dāng)今防火墻技術(shù)市場上居于領(lǐng)先地位的關(guān)鍵。Netscreen100強(qiáng)大的DMZ服務(wù)器負(fù)載平衡功能，使得用犧牲網(wǎng)絡(luò)性能換取網(wǎng)絡(luò)安全的矛盾迎刃而解。運(yùn)用一個(gè)加權(quán)系統(tǒng)，網(wǎng)絡(luò)管理員可以保證為企業(yè)內(nèi)部信任端口(TRUSTED)服務(wù)器和公共的隔離端口(DMZ)服務(wù)器按需分配帶寬Netscreen100的100Mbps的速度性能，保證了網(wǎng)絡(luò)具有實(shí)時(shí)響應(yīng)能力和最短的等待時(shí)間，實(shí)現(xiàn)了網(wǎng)絡(luò)性能與網(wǎng)絡(luò)安全的完美統(tǒng)一。它不僅適用于單個(gè)的E1，而且適用于多個(gè)E1或E3，甚至快速以太網(wǎng)。Netscreen100為網(wǎng)絡(luò)管理員提供了綜合的網(wǎng)絡(luò)流量控制方法，從而實(shí)現(xiàn)了高效的網(wǎng)絡(luò)流量管理。這就使諸如視屏?xí)h等特定服務(wù)和應(yīng)用，在全部可用帶寬范圍內(nèi)，可被確保一定比例的帶寬而順暢進(jìn)行。l 外聯(lián)網(wǎng)（EXTRANET）Netscreen100以其先進(jìn)便利的VPN功能，確保特定局域網(wǎng)之間在互聯(lián)網(wǎng)上以密文交換信息。在Netscreen100高速處理能力的保障下，VPN可使公司安全地進(jìn)行遠(yuǎn)程數(shù)據(jù)復(fù)制與拷貝，以及對(duì)遠(yuǎn)端服務(wù)器的配置與管理。由于VPN使用公網(wǎng)傳輸，節(jié)省了昂貴的租用專線費(fèi)用，極大地降低了企業(yè)網(wǎng)絡(luò)為通訊安全進(jìn)行的投資。具有以太網(wǎng)線速的處理性能，為中小型企業(yè)、分公司提供安全及高性能的Internet 連接。NetScreen10對(duì)性能和易用性進(jìn)行專門優(yōu)化，各種商業(yè)環(huán)境。支持的協(xié)議ARP，TCP/IP，UDP，ICMP，HTTP，RADIUS，IPSec（IPESP），MD5，SHA1，三倍DES，IKE（ISAKMP），TFTP（客戶端）SNMP 接口三個(gè)10BaseT以太網(wǎng)端口：（信任端口、非信任端口、DMZ），RS232診斷端口，PCMCIA插槽 軟件升級(jí)Web瀏覽器，TFTP服務(wù)器 電源通電電源，100240VAC（自適應(yīng)），功率消耗30W 安全認(rèn)證UL，F(xiàn)CC，CE，DUL，ICSA 圖二、NetScreen10的應(yīng)用環(huán)境視圖3．8．2 NetScreen100NetScreen100是一個(gè)專門為網(wǎng)絡(luò)安全方面設(shè)計(jì)的Internet安全設(shè)備，它為電子商務(wù)站點(diǎn)、ASP/ISP 數(shù)據(jù)中心和企業(yè)中心站點(diǎn)、網(wǎng)絡(luò)銀行等提供專門優(yōu)化的防火墻、VPN流量控制（帶寬監(jiān)控）功能NetScreen100包括了一個(gè)專門設(shè)計(jì)的ASIC以加速加密工程和防火墻功能，一個(gè)高性能的多總線結(jié)構(gòu)，內(nèi)（錢？？？）嵌高速RISCCPU和專用的軟件。NetScreen在消除了性能瓶頸的同時(shí)依然提供了ICSA認(rèn)證的全狀態(tài)監(jiān)測防火墻安全和最高級(jí)的3DESIPSec加密的數(shù)據(jù)安全。NetScreen100創(chuàng)建了新的防火墻性能基準(zhǔn)，它用基于全狀態(tài)監(jiān)測的技術(shù)實(shí)現(xiàn)了用戶訪問控制，提供了具有線速性能的ICSA認(rèn)證的防火墻安全。l 高容量：128,000個(gè)并發(fā)TCP會(huì)話連接l 健壯的對(duì)包括SYN攻擊、ICMP flood、端口掃描和其他許多攻擊的防護(hù)l 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、端口地址轉(zhuǎn)換（PAT）和虛擬IP（VIP）——隱藏內(nèi)部IP編址和保留IP地址l DMZ端口提供一個(gè)單獨(dú)、隔離的網(wǎng)絡(luò)來部署連接公網(wǎng)的服務(wù)器如Web、EMail、FTP等l 透明模式——基于網(wǎng)橋的網(wǎng)絡(luò)操作，對(duì)其他網(wǎng)絡(luò)設(shè)備和攻擊者不可見l 通過內(nèi)部數(shù)據(jù)庫，RADIUS和SecureID對(duì)用戶進(jìn)行認(rèn)證l WebSense URL地址過濾l 高可用性——用兩臺(tái)NetScreen100提供故障恢復(fù)功能（具有多機(jī)備份的功能） VPNNetScreen100目前以其便利的VPN功能，確保特定局域網(wǎng)之間在公網(wǎng)上以密文交互信息，它支持端對(duì)端和遠(yuǎn)程訪問的VPN應(yīng)用。集成的VPN功能通過加密的VPN通道也使安全的遠(yuǎn)程管理得以實(shí)現(xiàn)。在網(wǎng)絡(luò)的對(duì)外出口處以及在總行和分行之間的連接都設(shè)置防火墻將是最理想的選擇，因此我們?cè)诒痉桨钢薪ㄗh福建興業(yè)銀行在所有與外部網(wǎng)出口都配置NetScreen系列防火墻，以及在總行與分行的業(yè)務(wù)網(wǎng)的連接處也配置防火墻，對(duì)外防止黑客入侵，對(duì)內(nèi)以防止內(nèi)部人員的惡意攻擊或由于內(nèi)部人員造成的網(wǎng)絡(luò)安全問題。在分行采用NetScreen10防火墻，為連接各銀行網(wǎng)點(diǎn)提供安全防護(hù)。另銀行通過INTERNET網(wǎng)上進(jìn)行業(yè)務(wù)時(shí)，由于分行與INTERNE都有出口，也帶來了一定的風(fēng)險(xiǎn)，我們建議在連接INTERNET的出口上也配置NetScreen10防火墻?，F(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；由于整個(gè)網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在達(dá)？？？接終端進(jìn)行攻擊的可能；另一方面銀行開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口現(xiàn)在沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口攻擊銀行，可能造成巨大損失。假冒終端/操作員：興業(yè)銀行網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過公網(wǎng)與銀行業(yè)務(wù)前置機(jī)相連國內(nèi)銀行以出現(xiàn)多起在傳輸線路上搭接終端的案例?，F(xiàn)有操作員身份識(shí)別唯一，但口令的安全性非常弱因此存在大量操作員假冒的安全風(fēng)險(xiǎn)。其他安全風(fēng)險(xiǎn)：主要有病毒、系統(tǒng)安全（主要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置）以及系統(tǒng)的安全備份等。 圖四、銀行網(wǎng)絡(luò)安全防火墻保護(hù)總體示意圖 通常銀行，也包括福建興業(yè)銀行網(wǎng)絡(luò)中用到的通信線路涉及到：、FR、DDN、ISDN、撥號(hào)等通信接口和協(xié)議，因此，最佳的方案是在網(wǎng)絡(luò)層上采用先進(jìn)的NETSCREEN網(wǎng)絡(luò)安全技術(shù)，以有效的阻止外來的攻擊和保證業(yè)務(wù)數(shù)據(jù)在公網(wǎng)上的安全傳輸，同時(shí)在應(yīng)用層上提供對(duì)敏感數(shù)據(jù)加密消息進(jìn)行完整性鑒別及密鑰管理因此可以通過各級(jí)分行節(jié)點(diǎn)配備NETSCREEN100 來保證IP包的機(jī)密性。4．3 總行與分行業(yè)務(wù)系統(tǒng)和OA系統(tǒng)的安全設(shè)計(jì)4．3．1 各業(yè)務(wù)系統(tǒng)的分離興業(yè)銀行有網(wǎng)絡(luò)上開展各種應(yīng)用，包括人民幣業(yè)務(wù)系統(tǒng)、外匯業(yè)務(wù)系統(tǒng)、內(nèi)部OA系統(tǒng)等一系列的業(yè)務(wù)，這些業(yè)務(wù)之間存在一定的聯(lián)系，但又要防備侵權(quán)使用資源，特別是銀行業(yè)務(wù)系統(tǒng)與辦公OA系統(tǒng)，所以各業(yè)務(wù)系統(tǒng)的隔離是保障業(yè)系統(tǒng)安全的一個(gè)重環(huán)節(jié)。在總行的局域網(wǎng)當(dāng)中，通過具有第二層（支持VLAN劃分，VLAN為虛擬局域網(wǎng)）或三層交換的交換機(jī)（支持VLAN劃分及網(wǎng)內(nèi)路由），劃分業(yè)務(wù)系統(tǒng)在一個(gè)VLAN范圍內(nèi)，OA系統(tǒng)在另的一個(gè)VLAN范圍內(nèi)，各VLAN之間不