NetScreen網(wǎng)絡(luò)安全解決策劃方案

1、NetScreen 網(wǎng)絡(luò)安全解決方案（一）公司背景NetScreen 科技公司成立于1997年10月，總部位于美國(guó)加州的硅谷。公司的奠基者有過在Cisco和Intel等科技領(lǐng)先公司多年的工作經(jīng)驗(yàn)。1998年11月，Robert Thomas即Sun公司的執(zhí)行總裁加盟NetScreen公司，任公司總裁。公司致力于進(jìn)展一種新型的與網(wǎng)絡(luò)安全有關(guān)的高科技產(chǎn)品，把多種功能集成到一起，制造新的業(yè)界性能紀(jì)錄。NetScreen創(chuàng)建新的體系結(jié)構(gòu)并已取得了專利。該項(xiàng)技術(shù)能有效消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)不的IP安全（Ipsec），先進(jìn)的系統(tǒng)級(jí)的設(shè)計(jì)同意產(chǎn)品提供多種功能，同時(shí)這些功能都具有

2、無與倫比的性能。NetScreen 科技公司差不多為業(yè)界在虛擬專用網(wǎng)領(lǐng)域設(shè)立了新的安全解決系統(tǒng)的標(biāo)準(zhǔn)。所有的功能全部放在有關(guān)專有的硬件平臺(tái)的盒子里，同時(shí)這些功能都有著無與倫比的性能。目前公司由 Sequoia Capital投資贊助。Sequoia 是一家領(lǐng)先的風(fēng)險(xiǎn)投資公司，成立于1974年，已成功地為超過350家公司提供了最初的風(fēng)險(xiǎn)投資基金，其中包括3Com 公司、Cisco 系統(tǒng)公司、Oracle 公司、Symantec 公司和Yahoo 公司等等。其中大部分公司的股票都已成功上市。NetScreen 科技公司目前有50多名職員公司在全美的要緊都市都設(shè)有辦事處，而且積極拓展海外市場(chǎng)。用戶群

3、包括HP、日立、日本電訊電話公司和美國(guó)在線等，覆蓋了歐美亞等十幾個(gè)國(guó)家和地區(qū)。NetScreen公司的產(chǎn)品NetScreen-100獲得了KeyLabs工作組的“測(cè)試首選獎(jiǎng)”，在1998年4月進(jìn)行的數(shù)據(jù)通訊雜志的評(píng)測(cè)中，NetScreen-100的VPN吞吐量是獲得第二名的2.5倍。1998年11月，NetScreen公司再次榮獲“測(cè)試者選擇獎(jiǎng)”，這是數(shù)據(jù)通訊雜志的年度獎(jiǎng)。在同類產(chǎn)品中，NetScreen是唯一職員把防火墻、虛擬專用網(wǎng)（VPN）、負(fù)載均衡及流量操縱結(jié)合起來，且提供100M的線速性能的產(chǎn)品。NetScreen保證這一點(diǎn)。在1998年的8月和9月，NetScreen-10 和Net

4、Screen-100 通過了ICSA (國(guó)際計(jì)算機(jī)安全協(xié)會(huì))的防火墻認(rèn)證。1998年9月，NetScreen 推出了VPN遠(yuǎn)程存取客戶端軟件。1998年10月，NetScreen 宣布推出 NetScreen-1000的產(chǎn)品。這是第一個(gè)支持千兆位傳輸?shù)木哂蟹阑饓蚔PN功能的產(chǎn)品。1998年6月，NetScreen-100 被HP公司選為它在防火墻方面的新的合作伙伴。HP的合作伙伴是在全球范圍年為HP提供集成解決系統(tǒng)，并在增強(qiáng)用戶的Internet上的應(yīng)用。NetScreen是HP選中的二家防火墻廠家的一家，而且是唯一一家基于硬件的產(chǎn)品。1998年12月日立公司宣布它將在日本推廣NetScre

5、en 產(chǎn)品。日立公司預(yù)備在以后三年內(nèi)賣出10000套NetScreen 產(chǎn)品。產(chǎn)品系列目前，NetScreen 有 NetScreen-10 用于10MB 傳輸?shù)木W(wǎng)絡(luò)。NetScreen-100 用于 100MB 傳輸?shù)木W(wǎng)絡(luò)。NetScreen-100 端口是自適應(yīng)的端口，也可用于目前傳輸為10MB 并打算今后升級(jí)為100MB的網(wǎng)絡(luò)。NetScreen-1000 不久將要面市，它將為那些大型企業(yè)和網(wǎng)絡(luò)主干的供應(yīng)商提供千兆網(wǎng)安全的解決方案。NetScreen-5 目前正在測(cè)試時(shí)期。它的大小類似一個(gè)CDROM。它是為小型辦公室或個(gè)人用戶而設(shè)計(jì)的。NetScreen 遠(yuǎn)程 VPN 客戶軟件可提供遠(yuǎn)程

6、VPN訪問的解決方案。（三）產(chǎn)品功能及特點(diǎn)NetScreen產(chǎn)品是基于安全包處理器的產(chǎn)品。全新的技術(shù)包括定制的專有的芯片免費(fèi)加盟和策略實(shí)現(xiàn)。高性能的多總線體系結(jié)構(gòu)、內(nèi)嵌的高速RISC CPU和專用軟件。NetScreen防火墻的專用ASIC芯片提供存取策略的功能。該功能以硬件方式實(shí)現(xiàn)，它比軟件防火墻有著無可比擬的速度優(yōu)勢(shì)。CPU可專門負(fù)責(zé)治理數(shù)據(jù)流。（策略存取執(zhí)行防火墻愛護(hù)和加密解密功能）。由于做到了系統(tǒng)級(jí)的安全處理功能。NetScreen消除了基于PC平臺(tái)的防火墻的需治理多個(gè)部件所引起的性能下降的瓶頸。 NetScreen提供了多功能和高安全性能的無縫連接，NetScreen-1000, N

7、etScreen-100 和 NetScreen-10 分不提供了1000M、100M和10M的傳輸性能。NetScreen-1000是市場(chǎng)上唯一的千兆的集防火墻、VPN和流量治理于一身的防火墻產(chǎn)品。同樣，NetScreen-100是業(yè)界最快的防火墻，另外，NetScreen自動(dòng)調(diào)整端口速率，使其達(dá)到10M和100M自適應(yīng)。 因?yàn)槭腔谟布脑O(shè)計(jì)，NetScreen是唯一一家安全解決系統(tǒng)的提供商，NetScreen產(chǎn)品的高性能同意用戶享受到高速的好處，可提供多條E1線路，甚至更高如E3的線路。另外，該產(chǎn)品同意用戶在遠(yuǎn)程實(shí)現(xiàn)加密通信，同時(shí)這種VPN功能不阻礙性能。NetScreen提供給ISP們

8、一個(gè)價(jià)廉物美的安全解決方案。NetScreen10為中小企業(yè)提供他們負(fù)擔(dān)得起的全面的安全解決方案。同意他們?cè)谧约旱钠髽I(yè)網(wǎng)內(nèi)部構(gòu)筑安全體系。 性能NetScreen產(chǎn)品動(dòng)態(tài)加密愛護(hù)和按優(yōu)先級(jí)實(shí)時(shí)監(jiān)控以后數(shù)據(jù)，它專有的獨(dú)特的系統(tǒng)設(shè)計(jì)保證了它的高性能，ASIC芯片能夠獨(dú)自處理并過濾包。先進(jìn)的多總線結(jié)構(gòu)比基于PC的平臺(tái)上的防火墻產(chǎn)品快。同樣基于系統(tǒng)級(jí)的安全功能設(shè)計(jì)消除了傳輸?shù)钠款i。用戶認(rèn)證和策略NetScreen 支持高性能的存取為每一個(gè)當(dāng)前用戶，不管是遠(yuǎn)程依舊在防火墻內(nèi)，支持創(chuàng)紀(jì)錄的并行連接用戶數(shù)。NetScreen-1000創(chuàng)紀(jì)錄地實(shí)現(xiàn)了TCP/IP并發(fā)連接（超過256000）；策略數(shù)（多于500

9、0）和并發(fā)的VPN連接數(shù)（超過10000）。NetScreen-100支持每秒4370個(gè)連接，（基于32個(gè)客戶），領(lǐng)先于它的最接近的競(jìng)爭(zhēng)對(duì)手。依照獨(dú)立的測(cè)試機(jī)構(gòu)，KeyLab的測(cè)試報(bào)告，NetScreen100支持32000個(gè)并發(fā)用戶連接，NetScreen-10支持16000個(gè)并發(fā)連接。所有產(chǎn)品都支持超過5000個(gè)存取策略，并提供簡(jiǎn)單易用的過濾界面。防火墻NetScreen全功能防火墻包括了包過濾、代理服務(wù)器和動(dòng)態(tài)線路級(jí)過濾器。該產(chǎn)品提供了高級(jí)的包檢查和事件日志功能。該產(chǎn)品與Ipsec協(xié)議兼容。VPN NetScreen會(huì)集了VPN功能，保證了數(shù)據(jù)在傳輸過程中的加密和解密，但在數(shù)據(jù)被加、解密

10、之前，首先要滿足預(yù)定的策略。不論NetScreen100依舊NetScreen10都支持業(yè)界的加密標(biāo)準(zhǔn)。包括網(wǎng)絡(luò)密鑰交換（IKE, 或往常的ISAKMP) 通過IP，DES，Triple DES。同時(shí)還支持?jǐn)?shù)據(jù)簽名（MD5）算法。NetScreen將支持X.509認(rèn)證公鑰算法（PKI），能夠自動(dòng)地治理VPN。NetScreen-1000建立了新的VPN性能測(cè)試基準(zhǔn)，與其它同類產(chǎn)品比較，NetScreen-1000有著更高的吞吐量，更廣泛的安全性和更低的價(jià)位。流量治理 流量治理提供給網(wǎng)絡(luò)治理員所有必須的信息去監(jiān)控和治理網(wǎng)絡(luò)流量。網(wǎng)絡(luò)操縱功能象帶寬分配。流量?jī)?yōu)先級(jí)和負(fù)載均衡，使該產(chǎn)品成為web服務(wù)

11、器和ISP的理想產(chǎn)品。網(wǎng)絡(luò)治理 該產(chǎn)品易于安裝，而且NetScreen產(chǎn)品能夠遠(yuǎn)程通過網(wǎng)絡(luò)上任何一臺(tái)具有掃瞄器的機(jī)器來治理。透明模式NetScreen能夠被用來作透明傳輸。你能夠在這種方式下不分配任何IP給NetScreen網(wǎng)絡(luò)界面。它只需要一個(gè)治理界面。不用更改您現(xiàn)有的任何網(wǎng)絡(luò)配置就能夠利用策略來治理網(wǎng)絡(luò)流量。除了它能夠在兩臺(tái)NetScreen之間運(yùn)行VPN，即使有些產(chǎn)品能夠在透明模式下工作，但它們也不能在透明模式下實(shí)現(xiàn)VPN。 特點(diǎn)獨(dú)特的ASIC設(shè)計(jì)及已申請(qǐng)專利愛護(hù)的系統(tǒng)體系結(jié)構(gòu)最優(yōu)的性能價(jià)格比無用戶數(shù)目限制獨(dú)特的負(fù)載均衡能力及流量?jī)?yōu)先級(jí)操縱能力創(chuàng)記錄的性能，具有線速運(yùn)行能力配置簡(jiǎn)單，治理

12、方便支持透明傳輸模式設(shè)計(jì)緊湊，一些附加功能轉(zhuǎn)移到主機(jī)上完成如日志功能支持一主一備的治理模式（四）訪問操縱NetScreen 使用了狀態(tài)檢查的方法來實(shí)現(xiàn)動(dòng)態(tài)的包過濾。這種方法也同樣被其他重要的防火墻廠商CheckPoint 和 Cisco所采納。相比其他的兩種方法簡(jiǎn)單的包過濾和復(fù)雜的應(yīng)用網(wǎng)關(guān)來講，它具有更快速和更安全的優(yōu)點(diǎn)。簡(jiǎn)單的包過濾只檢查IP地址和端口號(hào)。它通常由路由器來實(shí)現(xiàn)。但它只能做到拒絕端口訪問或同意端口訪問。它不能了解連接的狀態(tài)。一旦真正的用戶完成了TCP的連接后，就留下了可使黑客劫持端口號(hào)的漏洞。應(yīng)用網(wǎng)關(guān)通過檢查應(yīng)用層所有的包，提供了更好的安全性。然而用戶需要廠商提供所有應(yīng)用的代理

13、。而且它只能用軟件實(shí)現(xiàn)，因此性能是專門低的。狀態(tài)檢查的鏈路層代理，另一方面，可實(shí)現(xiàn)硬件層。防火墻保持所有的TCP會(huì)話的檢查。一旦一個(gè)會(huì)話結(jié)束，防火墻就結(jié)束那個(gè)連接。在不犧牲安全性的條件下，提供更高的性能。NetScreen 也可提供網(wǎng)絡(luò)層的 URL 過濾，并在不久的今后實(shí)現(xiàn)病毒掃描的功能。 NetScreen 產(chǎn)品也提供信息的和用戶的認(rèn)證。NetScreen是通過建立VPN通道，由MD5實(shí)現(xiàn)的ESP信息的認(rèn)證，并依從IPSec 標(biāo)準(zhǔn)用戶的認(rèn)證可由兩種方法實(shí)現(xiàn)。用戶可在防火墻上定義多達(dá)2000 個(gè)用戶或者設(shè)置一個(gè) Radius 服務(wù)器來存儲(chǔ)用戶認(rèn)證的信息。（五）治理NetScreen 產(chǎn)品可連接

14、信任端口（Trusted ）或 不信任端口（Untrusted）然后通過web 界面來治理。并提供了跨Internet來實(shí)現(xiàn)遠(yuǎn)程治理能力。不信任端口（Untrusted）能夠因安全的緣故而設(shè)置為取消。假如取消它，不信任端口是不可ping的。 (不信任端口（untrusted） 在 1.60版本往常是不可ping的)。 NetScreen 產(chǎn)品同樣也可通過console 端口，使用命令行方式進(jìn)行治理。假如用戶喜愛使用命令行方式或希望通過遠(yuǎn)程來治理防火墻，可在console口連接一個(gè)調(diào)制解調(diào)器。Console口的訪問也可因?yàn)榘踩壒试O(shè)置為取消。 NetScreen 產(chǎn)品也能夠通過telnet來治理

15、。Telnet 和 Web 治理也可通過VPN 通道加密，提供安全的治理。治理方便，可通過串口治理，使用命令行方式。也能夠在圖形方式下用掃瞄器進(jìn)行治理，不分硬件平臺(tái)和操作系統(tǒng)，只要把掃瞄器打開就能夠通過用Web server 的方式來治理配置簡(jiǎn)單尤其在配置三個(gè)端口的IP時(shí)專門方便關(guān)于大型網(wǎng)絡(luò)中多個(gè)NetScreen設(shè)備，能夠采納snmp的集中式治理，通過網(wǎng)絡(luò)治理軟件，如SunNetManager來進(jìn)行治理而且NetScreen還能夠提供備份的遠(yuǎn)程撥號(hào)方式的治理不僅如此，為安全起見，NetScreen 能夠關(guān)閉遠(yuǎn)程的治理方式，而只使用本地的、安全的治理方式。（六）處理能力及性能指標(biāo)具有線速帶寬且

16、不受信息包大小阻礙(wirespeed)在作地址轉(zhuǎn)換和添加策略時(shí)，性能不受任何阻礙具有VPN功能，支持IPSEC,DES,TripleDES,人工密鑰治理,自動(dòng)ISAKMP密鑰治理，支持MD5線速帶寬的包過濾支持32000個(gè)并發(fā)連接5000個(gè)高級(jí)訪問過濾策略具有網(wǎng)絡(luò)地址轉(zhuǎn)換功能支持透明模式傳輸動(dòng)態(tài)過濾，具有硬件級(jí)代理服務(wù)器功能有實(shí)時(shí)監(jiān)控流量和報(bào)警功能能夠?qū)崿F(xiàn)日志記載功能流量操縱，能夠依照不同用戶及不同策略分配帶寬支持8級(jí)用戶優(yōu)先級(jí)設(shè)置支持服務(wù)器負(fù)載均衡動(dòng)態(tài)IP pool,實(shí)現(xiàn)端口地址轉(zhuǎn)換支持多種標(biāo)準(zhǔn)協(xié)議：ARP,TCP/IP,UDP,ICMPDHCP, HTTP, RADUIS, Ipsec

17、,MD5, SHA-1Des, Triple -DES, IKE, X.509v3能夠通過掃瞄器，TFTP服務(wù)器，快速閃存來進(jìn)行軟件版本的升級(jí)及配置參數(shù)的下載，備份支持一主一備的治理模式（七）產(chǎn)品適用范圍企業(yè)網(wǎng) (INTRANET)Netscreen-100,以其創(chuàng)記錄的100Mbps運(yùn)行速度，將業(yè)界的性能標(biāo)準(zhǔn)一下子提高了十倍，創(chuàng)新的，獨(dú)特設(shè)計(jì)的軟硬件體系結(jié)構(gòu)，使Netscreen-100將高速的性能，最大限度的安全性及簡(jiǎn)單易用有機(jī)地結(jié)合在一起，有效的消除了制約傳統(tǒng)軟件類防火墻的性能瓶頸Netscreen-100是當(dāng)今市場(chǎng)上為企業(yè)網(wǎng)（INTRANET）與互連網(wǎng)(INTERNET) 及企業(yè)內(nèi)部各

18、單獨(dú)子網(wǎng)之間提供信息愛護(hù)的最可信賴的解決方案它能夠被靈活地設(shè)置在企業(yè)局域網(wǎng)的各個(gè)關(guān)鍵位置，以愛護(hù)各個(gè)部門的資訊，如財(cái)務(wù)部，工程部等關(guān)鍵部門，或愛護(hù)重要的企業(yè)網(wǎng)服務(wù)器，甚至能夠愛護(hù)企業(yè)高層治理人員個(gè)人電腦上的敏感資訊將虛擬專用網(wǎng)(VPN)方便的能力與放火墻功能設(shè)計(jì)在同一個(gè)體系結(jié)構(gòu)中，是使Netscreen-100在當(dāng)今防火墻技術(shù)市場(chǎng)上居于領(lǐng)先地位的關(guān)鍵VPN 保證了加密的數(shù)據(jù)在進(jìn)出公司局域網(wǎng)和外部互連網(wǎng)時(shí)受到檢驗(yàn)Netscreen-100強(qiáng)大的DMZ服務(wù)器負(fù)載平衡功能，使得用犧牲網(wǎng)絡(luò)性能換取網(wǎng)絡(luò)安全的矛盾迎刃而解不管需求是來自企業(yè)網(wǎng)(INTRANET)依舊互連網(wǎng)(INTERNET)，Netscr

19、een-100都有能力平衡多個(gè)服務(wù)器運(yùn)用一個(gè)加權(quán)系統(tǒng)，網(wǎng)絡(luò)治理員能夠保證為企業(yè)內(nèi)部信任端口(TRUSTED)服務(wù)器和公共的隔離端口(DMZ)服務(wù)器按需分配帶寬Netscreen-100的100Mbps的速度性能，保證了網(wǎng)絡(luò)具有實(shí)時(shí)響應(yīng)能力和最短的等待時(shí)刻，實(shí)現(xiàn)了網(wǎng)絡(luò)性能與網(wǎng)絡(luò)安全的完美統(tǒng)一互連網(wǎng)（INTERNET）Netscreen-100在防火墻市場(chǎng)之因此出類拔萃，是因?yàn)槭聦?shí)上現(xiàn)了防火墻安全性能與高速率的完美結(jié)合它不僅適用于單個(gè)的E1,而且適用于多個(gè)E1或E3，甚至快速以太網(wǎng)。Netscreen-100能夠?qū)ｉT容易地配置在任何現(xiàn)有的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中。Netscreen-100為網(wǎng)絡(luò)治理員提供了

20、綜合的網(wǎng)絡(luò)流量操縱方法，從而實(shí)現(xiàn)了高效的網(wǎng)絡(luò)流量治理。Netscreen-100的先進(jìn)功能之一，優(yōu)先級(jí)治理，確實(shí)是對(duì)帶寬按級(jí)不來分配，保證了網(wǎng)絡(luò)數(shù)據(jù)的高效交換這就使諸如視屏?xí)h等特定服務(wù)和應(yīng)用，在全部可用帶寬范圍內(nèi)，可被確保一定比例的帶寬而順暢進(jìn)行。與此相關(guān)的，Netscreen-100同時(shí)具有全面的網(wǎng)絡(luò)分析能力，如實(shí)時(shí)的日志記錄，快速準(zhǔn)確的報(bào)警功能和方便的報(bào)表能力。外部網(wǎng)（EXTRANET）Netscreen-100以其先進(jìn)便利的VPN功能，確保特定局域網(wǎng)之間在互連網(wǎng)上以密文交換信息。在公網(wǎng)上開發(fā)出一條安全通道，為用戶降低成本。在Netscreen-100高速處理能力的保障下，VPN可使公司

21、安全地進(jìn)行遠(yuǎn)程數(shù)據(jù)復(fù)制與拷貝，以及對(duì)遠(yuǎn)端服務(wù)器的配置與治理。假如您的企業(yè)需要通過互連網(wǎng)與諸如供貨商，商業(yè)伙伴，分支機(jī)構(gòu)進(jìn)行端到端信息交換，Netscreen-100的VPN功能將是您最安全可靠和經(jīng)濟(jì)有效的工具。由于VPN使用公網(wǎng)傳輸，節(jié)約了昂貴的租用專線費(fèi)用，極大地降低了企業(yè)網(wǎng)絡(luò)為通訊安全進(jìn)行的投資。防火墻應(yīng)用示例TrustedNetworkInternetNetScreenDMZUntrustedDMZTrustedTrustedNetworkInternetNetScreenDMZUntrustedDMZTrustedNetScreen防火墻有三個(gè)端口Trusted、DMZ和Untrust

22、ed。分不用于連接Intranet、Internet和DMZ三個(gè)網(wǎng)域。它獨(dú)創(chuàng)的安全包處理器，將所有的流量策略、安全政策、加密和身份驗(yàn)證都交給硬件處理，從而大大提高了防火墻的處理性能；同時(shí)將包的生成交給軟件處理；將包的路由交給路由器處理，集中實(shí)現(xiàn)安全策略下的高速吞吐量。VPN應(yīng)用示例連接移動(dòng)的用戶訪問企業(yè)網(wǎng)的文件。NetScreenNetScreenClear TrafficVPNBranchInternetVPN TunnelHeadquartersNetScreenNetScreenClear TrafficVPNBranchInternetVPN TunnelHeadquarters連接分

23、支機(jī)構(gòu)和企業(yè)網(wǎng)，并可用于提供冗余的WAN鏈路。Clear TrafficVPNPartnerInternetNetScreenNetScreenHeadquartersVPN TunnelClear TrafficVPNPartnerInternetNetScreenNetScreenHeadquartersVPN Tunnel將多個(gè)分支機(jī)構(gòu)通過Internet連接起來，通過密文傳輸，以保障企業(yè)網(wǎng)的安全。（十）負(fù)載平衡的應(yīng)用示例InternetSQLServer3SQLServer2SQLServer1HTTPServer1HTTPServer2HTTPServer3DMZTrustedVIP

24、 =LOADBALANCERInternetSQLServer3SQLServer2SQLServer1HTTPServer1HTTPServer2HTTPServer3DMZTrustedVIP =LOADBALANCER可由多臺(tái)服務(wù)器分擔(dān)網(wǎng)絡(luò)上訪問服務(wù)器的流量。NetScreen防火墻產(chǎn)品客戶案例案例一:有一個(gè) NetScreen 客戶的總部位于紐約，它的分支機(jī)構(gòu)設(shè)在芝加哥和倫敦。使用專線或幀中繼服務(wù)連接這些機(jī)構(gòu)費(fèi)用太昂貴。用戶選擇 NetScreen 產(chǎn)品通過Internet連接他們的每個(gè)分支辦公室。使用網(wǎng)絡(luò)翻譯模式（NAT），用戶節(jié)約了合法的IP地址，并對(duì)外隱藏了內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)。同時(shí)他

25、們使用了NetScreen VPN 功能在紐約、芝加哥和倫敦間建立起Internet上的加密通道，不僅節(jié)約了連接的開支并保證了通信的安全。紐約總部芝加哥辦公室VPN密文通道NetScreenNetScreenNetScreen企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)邏輯圖明文通道ROUTERRTRRTRServer FarmDMZ倫敦辦公室移動(dòng)用戶CEOs HomeInternet紐約總部芝加哥辦公室VPN密文通道NetScreenNetScreenNetScreen企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)邏輯圖明文通道ROUTERRTRRTRServer FarmDMZ倫敦辦公室移動(dòng)用戶CEOs HomeInternet案例二：另一個(gè) NetSc

26、reen 的客戶是一個(gè) Web 主機(jī)ISP。其中有少數(shù)的web服務(wù)器是特不受歡迎的，總是有專門多的網(wǎng)絡(luò)訪問流量。這些流量有時(shí)就把其他的一些web服務(wù)器的帶寬占滿了。為確保他們的客戶都能得到他們花鈔票所買到的訪問服務(wù)。這家ISP使用NetScreen 產(chǎn)品作為一個(gè)流量治理工具，來治理屬于不同web服務(wù)器的帶寬。同時(shí) NetScreen 產(chǎn)品也為這些服務(wù)器提供防火墻愛護(hù)。案例三：中國(guó)電信總局的國(guó)家級(jí)169項(xiàng)目也選擇了NetScreen 防火墻解決方案。169 網(wǎng)被稱為中國(guó)公用多媒體網(wǎng)。他使用專用的IP地址，提供到Internet的訪問服務(wù)，并與ChinaNet中國(guó)Internet主干網(wǎng)也叫163網(wǎng)

27、相連。NetScreen 產(chǎn)品用以實(shí)現(xiàn)30個(gè)省會(huì)的地址翻譯功能并同時(shí)愛護(hù)169網(wǎng)絡(luò)的安全。五、網(wǎng)絡(luò)安全產(chǎn)品的比較（一）測(cè)試結(jié)果 此次評(píng)測(cè)是以KeyLabs創(chuàng)建的性能基準(zhǔn)FireBench來進(jìn)行防火墻的性能評(píng)測(cè), 我們將從四個(gè)方面來衡量防火墻的性能: 每秒連接數(shù), 吞吐量, 延遲, 和并發(fā)連接數(shù). 參加此次評(píng)測(cè)的產(chǎn)品如下: Ascend Communications Pipeline 75 是一個(gè)基于 ISDN 面向狀態(tài) 檢查的防火墻, 它在有限的帶寬下表現(xiàn)優(yōu)秀. 在吞吐速率0.8 Mbps的情況下, Pipeline 75可能難于競(jìng)爭(zhēng)過那個(gè)地點(diǎn)比較的其他產(chǎn)品. 盡管如此, 通過使用壓縮算法的P

28、ipeline 75 實(shí)際上仍可達(dá)到ISDN理論限制的6.25 倍. Cisco Pix 4.2 是一個(gè)基于狀態(tài)檢查的防火墻,在此次評(píng)測(cè)中它可達(dá)到最高的吞吐量和最高的并發(fā)連接數(shù),它的最高吞吐量為84.4 Mbps 和 2105.9 CPS. Cisco 不久后送回一個(gè)新版本的防火墻, 此次測(cè)試為新版本防火墻的測(cè)試結(jié)果. Digital Equipment Corp.s AltaVista 3.1 提供了應(yīng)用層的包過濾. AltaVista 防火墻的測(cè)試的最好性能為 32 個(gè)客戶下的吞吐量測(cè)試, 可達(dá) 60.1 Mbps. Lucent Technologies Managed Firewall

29、 2.0 是一個(gè)基于狀態(tài)檢查的防火墻, 配置簡(jiǎn)單, 可通過掃瞄器的Java applet來治理. Lucent 防火墻測(cè)試的最好性能為 64 個(gè)客戶下的吞吐量為 57.4 Mbps 和 3168 CPS. NetScreen Technologies NetScreen 100 ver. 2 因其配置簡(jiǎn)單和最高的性能價(jià)格比而獲得了我們的最高評(píng)價(jià).它是一個(gè)基于Hybrid結(jié)構(gòu)的僅用硬件實(shí)現(xiàn)的解決方案. NetScreen 防火墻測(cè)試的最好性能為 64 個(gè)客戶下, 可達(dá)到吞吐量為 84.1 Mbps 和此次測(cè)試中最高的 4123.3 CPS. 測(cè)試的實(shí)施和測(cè)試方法 KeyLabs FireBenc

30、h 防火墻基準(zhǔn) KeyLabs 創(chuàng)建了 FireBench, 他是一個(gè)防火墻的基準(zhǔn), 它模擬了一個(gè)實(shí)際的防火墻流量. FireBench 中包括了KeyLabs創(chuàng)建的測(cè)試工具和方法. 基準(zhǔn)建立了實(shí)時(shí)的website的流量, 包括一個(gè)混合的HTTP和FTP的請(qǐng)求. 多客戶從多個(gè)web服務(wù)器通過硬件或軟件防火墻發(fā)出文件請(qǐng)求. FireBench 測(cè)試性能的內(nèi)容有: 每秒連接數(shù), 吞吐量和并發(fā)連接數(shù). 客戶機(jī)的增加次序?yàn)?4, 8, 16, 32, and 64. 每秒連接數(shù)的測(cè)試 每秒連接數(shù)是測(cè)量每秒通過防火墻的連接數(shù). 盡可能快地建立連接并取消連接. 然后我們提高客戶的數(shù)量直到達(dá)到最高點(diǎn)并開始下

31、降.我們?cè)黾舆B接的增量為4. 吞吐量的測(cè)試 吞吐量的測(cè)試記錄了延遲和平均的Mbps 數(shù). 我們?cè)诳蛻舳诉\(yùn)行一個(gè)工具軟件, 它連接防火墻另一端的Internet 服務(wù)器. 通過提高客戶的數(shù)量直到達(dá)到最高點(diǎn)并開始下降, 從而得到一個(gè)吞吐量的最大數(shù)值. 吞吐量的測(cè)試步驟如下: 1.創(chuàng)建連接 (無需保持) 2.發(fā)出一個(gè) 1MB FTP 和 75KB HTML 文件請(qǐng)求 3.收到文件 4.記錄收到文件的大小 5.關(guān)閉連接6.從第1步重新開始 網(wǎng)絡(luò)流量通過如下的比率產(chǎn)生: HTTP = 75% of requests (75 Kbytes) FTP = 25% of requests (1 MB) 延遲是

32、取通過測(cè)量由防火墻產(chǎn)生延遲的平均值.并發(fā)連接數(shù)的測(cè)試 并發(fā)連接數(shù)是一個(gè)衡量可同時(shí)通過防火墻的最大的連接數(shù)量. 測(cè)量最大連接數(shù)是通過增加客戶連接的產(chǎn)生數(shù)量直到通過防火墻的連接數(shù)停止增加. 每個(gè)客戶建立500個(gè)同時(shí)連接. 然后, 為保持這些連接, 每個(gè)客戶每3秒通過每個(gè)連接發(fā)出一個(gè)100byte的HTTP的請(qǐng)求. 測(cè)量最大并發(fā)連接數(shù)的過程如下:1.打開 500 個(gè)連接 2.通過每個(gè)連接發(fā) 100 byte HTTP 請(qǐng)求到internet server 3.在3秒內(nèi)記錄收到請(qǐng)求數(shù)據(jù)的連接數(shù) 4.返回第2步 測(cè)試的結(jié)果 以下的幾個(gè)章節(jié)包含了每個(gè)參加測(cè)試的防火墻的配置信息. 防火墻一般都分為兩種, 一

33、種是黑盒子的硬件解決方案, 另一種是某些平臺(tái)上的具有防火墻特性的操作系統(tǒng). 但不管是哪一種防火墻, 一旦安裝好并運(yùn)行起來, 他們差不多上在完成防火墻的任務(wù). 4.1 Ascend Pipeline 75 - 面向狀態(tài)的 檢查我們?cè)O(shè)置兩個(gè)網(wǎng)段的Pipeline 75 安全訪問防火墻.并使客戶機(jī)和服務(wù)器間通過撥號(hào)仿真來連接. 因此全部的網(wǎng)段帶寬可達(dá)到128kbps. Pipeline 75 是一個(gè)黑盒子硬件和軟件混合的解決方案. Pipeline 75 事實(shí)上是一個(gè)運(yùn)行SecureAccess軟件的以太網(wǎng)到ISDN 的網(wǎng)橋/路由器. 通過終端連接進(jìn)行配置.配置菜單內(nèi)容廣泛并使用簡(jiǎn)單. 用于測(cè)試的系

34、統(tǒng)硬件和SecureAccess軟件價(jià)格為$1,495. Pipeline 防火墻的最好的性能測(cè)試結(jié)果為 4 個(gè)客戶和18.1 CPS. 總的并發(fā)連接數(shù)為824. 應(yīng)該注意盡管那個(gè)數(shù)字相比其他產(chǎn)品是特不低的,但那個(gè)產(chǎn)品只用了 128kbps 通道, 而其他的產(chǎn)品卻使用了理論上的 200 Mbps 的通道. Pipeline 75 通過使用壓縮算法, 使實(shí)際的吞吐量高于理論值. 4.2 Cisco Pix - 全狀態(tài)檢查 我們?cè)O(shè)置PIX ver. 4.2 為三個(gè)網(wǎng)段. 如此設(shè)置是因?yàn)榉阑饓τ布恢С秩齻€(gè)接口. 我們?cè)O(shè)置服務(wù)器在一個(gè)網(wǎng)段上, 并設(shè)置DMZ區(qū)放置web服務(wù)器. PIX 是一個(gè)黑盒子的

35、硬件解決方案. 使用串行連接建立終端連接來配置. PIX 的配置程序是最不友好的. 不提供GUI的窗口. 所有的配置參數(shù)都需要通過命令行的方式來修改. 用于測(cè)試的硬件和軟件報(bào)價(jià)$22,680. PIX 防火墻的最好的性能測(cè)試結(jié)果為 64 個(gè)客戶. 總的并發(fā)連接數(shù)為 35,000. 4.3 DEC AltaVista - 應(yīng)用層的包過濾 我們?cè)O(shè)置兩個(gè)網(wǎng)段的防火墻. 在每個(gè)網(wǎng)段上都有客戶機(jī)和服務(wù)器,并建立一個(gè)應(yīng)用層包過濾的DMZ網(wǎng)段. 如此設(shè)置可使所有的客戶web和FTP訪問無需通過代理. 系統(tǒng)硬件由一臺(tái)512MB內(nèi)存的 DEC AlphaServer 1000A 5/500 機(jī)器運(yùn)行 Digit

36、al UNIX 4.0d. 3.1版本的軟件和Rev 5.1軟件. 服務(wù)器包含兩個(gè)Digital DE500AA 網(wǎng)絡(luò)接口卡. AltaVista 防火墻最好的性能測(cè)試結(jié)果為 32 客戶,吞吐量為 60.1 Mbps. CPS測(cè)試最好的測(cè)試結(jié)果為64 個(gè)客戶1035 CPS. 總的并發(fā)連接數(shù)為 15,876. 4.4 Lucent 科技 - 狀態(tài)檢查 我們?cè)O(shè)置防火墻在兩個(gè)網(wǎng)段上,客戶機(jī)和服務(wù)器分不位于兩個(gè)不同的網(wǎng)段上，如此設(shè)置是因?yàn)榉阑饓χ恢С秩齻€(gè)接口。第三個(gè)接口用于系統(tǒng)治理。Lucent 防火墻是一個(gè)黑盒子的硬件解決方案。需要用SMS-安全治理服務(wù)軟件來配置和治理防火墻。SMS是基于JAVA

37、 applet, 由一個(gè)掃瞄器來啟動(dòng)。服務(wù)器的配置簡(jiǎn)單。我們?cè)谝慌_(tái)單300 MHz Pentium II 處理器128 MB 內(nèi)存的Compaq DP2000 6300MMX 機(jī)器上運(yùn)行SMS軟件, 運(yùn)行Microsoft Windows NT server 4.0操作系統(tǒng), 1GB 的硬盤文件系統(tǒng)。 Lucent 防火墻最好的性能測(cè)試結(jié)果為 64 個(gè)客戶。吞吐量為57.4 Mbps 和 3168 CPS。 總的并發(fā)連接數(shù)為 25,871。4.5 NetScreen 科技 - Hybrid 我們?cè)O(shè)置 NetScreen 100 ver. 2 在兩個(gè)網(wǎng)段上。 客戶機(jī)和服務(wù)器分不位于兩個(gè)不同的網(wǎng)段

38、上,如此就能夠產(chǎn)生混合的包過濾,應(yīng)用級(jí)不和狀態(tài)檢查。NetScreen 防火墻是一個(gè)黑盒子的硬件解決方案。我們用掃瞄器或串行線配置它,不需要其他的軟件。并發(fā)連接數(shù)的測(cè)試總數(shù)為 34,321。每秒連接數(shù)的測(cè)試結(jié)果 PRIVATE TYPE=PICT;ALT=每秒連接數(shù) - 是每秒通過防火墻的打開和關(guān)閉的連接的總數(shù) PRIVATE TYPE=PICT;ALT=那個(gè)價(jià)格性能圖表是表示每花費(fèi)一千美元所得到的性能。吞吐量/延遲的測(cè)試結(jié)果 PRIVATE TYPE=PICT;ALT=吞吐量 - 是指通過防火墻的測(cè)試HTTP和FTP的數(shù)據(jù)流量的總和。 PRIVATE TYPE=PICT;ALT=那個(gè)價(jià)格性能

39、圖表是表示每花費(fèi)一千美元所得到的性能。PRIVATE TYPE=PICT;ALT=延遲 - 由防火墻引起的毫秒級(jí)的延遲的平均值。并發(fā)連接的測(cè)試結(jié)果 并發(fā)連接 - 并發(fā)或同時(shí)創(chuàng)建并通過防火墻的連接總數(shù)。 PRIVATE TYPE=PICT;ALT=那個(gè)價(jià)格性能圖表是表示每花費(fèi)一千美元所得到的性能。6問題, 版本, 測(cè)試報(bào)告 我們測(cè)試了大部分的防火墻產(chǎn)品是在它們的原有狀態(tài)下。Cisco 修改了部分原代碼企圖提高性能。任何成功的修正現(xiàn)有的產(chǎn)品或在以后的產(chǎn)品中,其他的廠商也都具有同樣的機(jī)會(huì)增強(qiáng)或修正他們的產(chǎn)品。NetScreen, Lucent Technologies, Cisco 和 Ascend 提供的差不多上黑盒子的硬件解決方案。 DEC AltaVista 使用的是帶防火墻特性的操作系統(tǒng)。 在每種情況中,一旦防火墻安裝好并運(yùn)行起來,機(jī)器或黑盒子差不多上在完成防火墻的任務(wù)。 （二）幾種常見防火墻產(chǎn)品的比較現(xiàn)在，我們來比較一下這兩個(gè)領(lǐng)先的防火墻產(chǎn)品CheckPoint Firewall-1 和Cis