netscreen-網(wǎng)絡(luò)安全領(lǐng)域領(lǐng)先的創(chuàng)新者

NetScreen:

網(wǎng)絡(luò)安全領(lǐng)域領(lǐng)先的創(chuàng)新者ColinChiTechnicalConsultant1NetScreen:

網(wǎng)絡(luò)安全領(lǐng)域領(lǐng)先的創(chuàng)新者ColinChiEmail:Tel:分層次的安全途徑Critical

ResourcesIntrusion

PreventionDoSFirewallIPSec

VPNCentralmanagementPartnersolutionsVPN“Securityprofessionalsagreethatnetworksecurityrequiresamulti-layereddefense.Tomeetthechallengesposedbysophisticatedandrun-of-the-millattacks,enterpriseshavebeenforcedtodeploylayersofsecurityproducts.”-InternationalDataCorp.

通過多層次保護(hù)，NetScreen可以提供全網(wǎng)絡(luò)的安全，保證關(guān)鍵資源的保護(hù)-VPN,DoS,防火墻和入侵預(yù)防方案3NetScreen產(chǎn)品全球范圍的PRO和

IDP管理器全球范圍的PRO

快遞中心站點(diǎn)媒介站點(diǎn)小型辦公室/住宅工作者網(wǎng)絡(luò)核心VPN,防火墻,DoS入侵防范移動(dòng)工作4NetScreen簡介網(wǎng)絡(luò)安全解決方案領(lǐng)先的創(chuàng)新者

IPSecVPN拒絕服務(wù)保護(hù)防火墻入侵防范功能強(qiáng)大的安全解決方案站點(diǎn)對(duì)站點(diǎn)，遠(yuǎn)程訪問VPN外圍安全防火墻加固基礎(chǔ)設(shè)施防火墻入侵防范正在出現(xiàn)的應(yīng)用程序，如無線局域網(wǎng)，IP上的語音NetScreen的創(chuàng)新成就防火墻/VPN第一個(gè)推出基于定制的ASIC集成防火墻/VPN設(shè)備第一個(gè)推出1、4和12Gbps防火墻設(shè)備第一個(gè)推出用于有效安全分段的虛擬系統(tǒng)體系結(jié)構(gòu)入侵防護(hù)第一個(gè)通過丟棄惡意數(shù)據(jù)包來檢測和防止攻擊第一個(gè)采用多重方法檢測來提高攻擊檢測率第一個(gè)推出狀態(tài)簽名檢測來減少錯(cuò)誤警報(bào)5重要的企業(yè)事實(shí)優(yōu)良的財(cái)政業(yè)績高的、不斷增長的收入~十億美元的市場份額*全球性的大公司~500個(gè)雇員總部位于美國加州桑尼維爾

在全球范圍內(nèi)有30多家辦事處被Gartner視為業(yè)內(nèi)領(lǐng)導(dǎo)和構(gòu)想家領(lǐng)先的市場份額主要回報(bào)和證明*2003年1月的數(shù)據(jù)6NetScreen的成功模式安全性VPN,DoS,防火墻和入侵防范周邊和核心安全中心管理性能基于ASIC的硬件，植根于網(wǎng)絡(luò)按照?qǐng)?zhí)行的安全任務(wù)對(duì)軟件進(jìn)行了優(yōu)化業(yè)主的總體費(fèi)用可升級(jí)的解決方案基于協(xié)議的安全管理集成的設(shè)計(jì)和操作系統(tǒng)容易實(shí)現(xiàn)的網(wǎng)絡(luò)集成安全性能基于服務(wù)器的安全ity“密碼”-

應(yīng)用PC應(yīng)用實(shí)現(xiàn)目的的應(yīng)用TCO7NetScreen安全方案ScreenOSGigaScreenASICScreenOSGigaScreenASICOptimizedSecurityPlatform重新設(shè)計(jì)的內(nèi)部結(jié)構(gòu)SingleMultiparallelGlobalPROScreenOSGigaScreenASICOptimizedSecurityPlatformNetScreen整合的技術(shù)平臺(tái)GigaScreenASIC專用加密加速ASICDES,3DES,MD5,SHA1,PKI,Session查找,TCP頭解析,認(rèn)證,NAT,隨即數(shù)產(chǎn)生和策略查詢(每秒25million策略),流量控制.基于安全定制的操作系統(tǒng)硬件驅(qū)動(dòng)任務(wù)協(xié)調(diào)9性能:先進(jìn)硬件設(shè)計(jì)通用的處理進(jìn)程

數(shù)據(jù)必須通過幾個(gè)非優(yōu)化的接口每個(gè)“API”都會(huì)引入安全風(fēng)險(xiǎn)、解釋和廠商獨(dú)立性進(jìn)程延遲可能造成“不可預(yù)知的行為”無法優(yōu)化數(shù)據(jù)路徑PC硬件系統(tǒng)/冒充的硬件系統(tǒng)操作系統(tǒng)VPNCo-ProcessorCPURAMBusI/OInOut應(yīng)用安全的特定處理進(jìn)程

新的線速包處理進(jìn)程

被優(yōu)化的每個(gè)進(jìn)程模塊為安全進(jìn)程和性能優(yōu)化的應(yīng)用和硬件GigaScreenASICCPUHighSpeedBackplaneInOutRAMI/ONetScreen先進(jìn)的硬件結(jié)構(gòu)安全實(shí)時(shí)的操作系統(tǒng)集成的安全應(yīng)用

10安全:ScreenOS操作系統(tǒng)PC系統(tǒng)+軟件結(jié)構(gòu)操作系統(tǒng)VPNCo-ProcessorCPURAMBusI/O應(yīng)用GigaScreenASICCPUHighSpeedBackplaneRAMI/ONetScreen先進(jìn)的軟件結(jié)構(gòu)安全實(shí)時(shí)的操作系統(tǒng)集成的安全應(yīng)用

11企業(yè)級(jí)安全:安全區(qū)UntrustUnTrustTrustTrustDMZUnTrustTrustDMZ…12企業(yè)級(jí)安全:虛擬系統(tǒng)何謂虛擬系統(tǒng):建立擁有自己的地址本、策略和管理的虛擬防火墻／VPN如何工作:通過IP地址、物理結(jié)構(gòu)或VLAN標(biāo)記將流量路由到虛擬系統(tǒng)（VSYS）VSYS可以支持多個(gè)用戶或域而不共享策略可以獨(dú)立被管理好處:簡化管理通過分割網(wǎng)絡(luò)提高安全性通過減少額外的硬件需求來降低TCOVsys#1Vsys#2Vsys#3Physical

InterfacesVLAN

TagsIP

Addresses13虛擬系統(tǒng)選項(xiàng)VSYSAVSYSBVSYSCInternetInternetVSYSAVSYSBVSYSCInternetVSYSAVSYSBVSYSC基于VLAN分類基于接口的分類基于IP地址的分類虛擬系統(tǒng)通過VLAN劃分虛擬系統(tǒng)通過端口劃分虛擬系統(tǒng)通過網(wǎng)段劃分NetScreen

SecurityGatewayNetScreen

SecurityGatewayNetScreen

SecurityGatewaySkipVR14企業(yè)級(jí)安全:虛擬路由器何謂虛擬路由器:隱藏私有IP地址允許多個(gè)用戶使用相同的IP地址如何工作:每個(gè)虛擬路由器擁有個(gè)自的路由域和協(xié)議分開的路由表單獨(dú)保存私有和公有IP地址OSPF/BGP4，RIPv2(5XT)好處:簡化管理將私有地址映射成公有地址支持IP重疊方案

更低的TCO私有網(wǎng)絡(luò)VR1內(nèi)部路由表

(私有IP地址)VR2外部路由表(公有IP地址)15NetScreen集成的網(wǎng)絡(luò)特性NetScreen支持OSPF,BGP和RIPNetScreen-5XT以上產(chǎn)品都支持NetScreen-5XP不支持每個(gè)產(chǎn)品支持協(xié)議的實(shí)例和路由數(shù)量因硬件平臺(tái)不同而不同主要用于互操作性而不是替換Internet路由器多個(gè)ISP出口加入到OSPF網(wǎng)狀結(jié)構(gòu)NetScreen提供業(yè)界最高的端口密度NS-5400提供多達(dá)78個(gè)物理端口集成的VLAN支持NS-5x00支持4,000VLANs網(wǎng)絡(luò)高可用性HAInternetNetAServiceProviderAServiceProviderBRouterBNetScreen

SecurityGatewaySkipHA16網(wǎng)絡(luò)集成:部署模式和動(dòng)態(tài)路由何謂動(dòng)態(tài)路由部署:易于安全部署而無需改變網(wǎng)絡(luò)配置自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)配置如何工作:支持透明、靜態(tài)和動(dòng)態(tài)路由模式全產(chǎn)品線支持動(dòng)態(tài)路由所有產(chǎn)品支持OSPF和／或BGPNetScreen-5XT也支持RIPv2好處:簡化網(wǎng)絡(luò)集成

減小手工配置的負(fù)擔(dān)增加網(wǎng)絡(luò)彈性–特別對(duì)VPNsNetworkTunnelA(Primary)TunnelB(Secondary)Remote

Office17可靠性:VPN路徑監(jiān)控何謂VPN路徑監(jiān)控:監(jiān)控VPN路徑，一旦發(fā)生故障來發(fā)現(xiàn)可選的路徑如何工作:動(dòng)態(tài)路由決定網(wǎng)絡(luò)的可達(dá)性VPN通道基于動(dòng)態(tài)路由表而不是靜態(tài)策略路徑監(jiān)控判斷故障動(dòng)態(tài)路由發(fā)現(xiàn)新的路徑好處最小的由于VPN失效的生產(chǎn)力損失TunnelAMetric=1NetworkRemote

OfficeTunnelBMetric=218高可用性需求高可用性解決方案的目的就是在所有層面上提供最大的可靠性提供系統(tǒng)級(jí)故障恢復(fù)機(jī)制系統(tǒng)級(jí)HA–一旦發(fā)生災(zāi)難性故障,系統(tǒng)自動(dòng)切換到第二臺(tái)設(shè)備為了避免系統(tǒng)級(jí)故障切換,需要提供:設(shè)備級(jí)HA–設(shè)備盡可能的固化(沒有拆裝的部件),高質(zhì)量(高M(jìn)TBF值),有彈性的故障切換(冗余硬件)鏈路級(jí)HA–提供冗余的網(wǎng)絡(luò)鏈路網(wǎng)絡(luò)級(jí)HA–一旦網(wǎng)絡(luò)設(shè)備出故障提供可選的網(wǎng)絡(luò)路由(如交換機(jī))立即切換(sub-second)系統(tǒng)級(jí)HA需要支持:系統(tǒng)間基于狀態(tài)的故障切換維護(hù)會(huì)話表,加密密鑰和安全聯(lián)盟SA等雙主動(dòng)Active-active–正常工作中提供最大的帶寬19可靠性:HA高可用性SW1SW120成本有效性:集中化管理何謂集中化管理:集中管理這個(gè)平臺(tái)從相同的圖形界面管理硬件、操作系統(tǒng)和應(yīng)用如何工作:WebUI–嵌入式web服務(wù)器HTTP和SSL通過RS232的CLI界面,Telnet和SSHNetScreen-GlobalPROSNMP–標(biāo)準(zhǔn)MIB和私有擴(kuò)展Syslog–標(biāo)準(zhǔn)流量報(bào)告和告警第三方–Websense,WebTrends,其他好處快速部署的越多，錯(cuò)誤發(fā)生的機(jī)會(huì)越少，支持費(fèi)用越低SNMPCLIWebUI3rdPartySyslogGlobalPRO21互聯(lián)網(wǎng)完整的防火墻功能性

具有成本效益的遠(yuǎn)地部署

即插即用安裝

全I(xiàn)P業(yè)務(wù)NAT，DHCP，PPPoE

管理動(dòng)態(tài)地址

攻擊阻擋

32種攻擊防護(hù)；ASIC加速；達(dá)到每秒25K會(huì)話

內(nèi)容級(jí)保護(hù)

惡意的過濾URLWebSenseURLTrendAV全面的用戶認(rèn)證

RadiusSecureIDLDAPWebAuth穩(wěn)固的網(wǎng)絡(luò)集成

實(shí)時(shí)高可用性

路由，NAT透明模式

多路由表或虛擬安全區(qū)

基于策略的NAT廣泛的應(yīng)用支持

最高的性能

公司

全面管理

GlobalPRO策略，RTM，歷史的

WebUICLI易用的基本配置

SyslogSNMPWebTrends

另加一套完整的入侵檢測及預(yù)防解決方案

多法檢測在線操作；基于策略管理22Internet完整的VPN功能性

全面的RAVPN支持

遠(yuǎn)程VPN客戶；

安全客戶-個(gè)人FW+VPN；集中的用戶認(rèn)證ANG；認(rèn)證和智能卡支持；

兼容性

w/CerticomPDA客戶

GlobalPRO主要站點(diǎn)的穩(wěn)固連通性

實(shí)時(shí)高可用性冗余網(wǎng)關(guān)VPN通道VPN監(jiān)控全網(wǎng)狀OSPF和BGP路由虛擬系統(tǒng)3DES和AES加密w/ASIC加速流量管理

；

FIPs和ICSA認(rèn)證

具有成本效益的遠(yuǎn)地

VPNPN全范圍的HW；

集中星型或全網(wǎng)狀VPN；

NAT穿越；

VPN撥號(hào)后備；

管理動(dòng)態(tài)地址

簡易部署和NW集成NAT,NAT-T,透明模式；

設(shè)備或基于策略的管理；

NAT，DHCP，PPPoE；

集成的防火墻

全面的管理

基于策略的管理；

VPN監(jiān)控；

詳細(xì)報(bào)表和發(fā)展趨向

全面的認(rèn)證支持

PKI(versign,…RadiusLDAPXAUTHSecureID23前十個(gè)理想的防火墻/VPN特性RankMostDesiredFirewallFeature61%IntegratedVPN56%100Mperformance55%Additionalsecurityfunctionality49%Fail-overcapability41%Statefulinspectionengine39%Remotesoftwareupdate34%Loadbalancing/QoS/trafficshaping24%4+Ethernetports24%Appliance-based20%1GperformanceFeaturelistfromInfoneticsUserSurveyRankMostDesiredVPNFeature61%Highavailability/automaticfail-over56%Easeofuse55%Interoperability49%100Mperformance41%Digitalcertificatesupport39%PPPOEsupport34%3+Ethernetports24%Splittunneling24%1Gperformance20%VoiceoverIPFeaturelistfromInfoneticsUserSurveyNetScreen滿足所有需求24設(shè)備費(fèi)用支持費(fèi)用部署費(fèi)用操作費(fèi)用硬件購買軟件購買其他模塊集中軟件軟件購買培訓(xùn)和認(rèn)證硬件和軟件技術(shù)支持

軟件升級(jí)集中管理軟件支持硬件和軟件安裝

設(shè)備配置Patch安裝和測試集中管理安裝和配置Troubleshooting配置更改操作系統(tǒng)補(bǔ)丁和應(yīng)用軟件升級(jí)設(shè)備故障總結(jié):NetScreen降低TCONetScreen在以下幾個(gè)方面幫您降低費(fèi)用:更低的設(shè)備費(fèi)用您安全問題的最佳解決方案更寬的產(chǎn)品線在負(fù)載狀態(tài)下的可信賴的性能集成的安全應(yīng)用靈活的配置簡單的許可證–主要基于設(shè)備用命令行和基于Web的方式的單一的管理平臺(tái)更低的部署費(fèi)用更少的設(shè)備部署易于使用–減少配置時(shí)間更少的測試和加在Patch一個(gè)管理安全控制臺(tái)部署更低的操作費(fèi)用易于使用更少的troubleshooting時(shí)間單一廠商支持在命令行下的高級(jí)調(diào)試選項(xiàng)更少的測試和patch加在投入安全的操作系統(tǒng)較少漏洞更低的支持費(fèi)用單一設(shè)備廠商滿足所有支持需要單一的安全管理控制臺(tái)轉(zhuǎn)變?yōu)楦唾M(fèi)用的更低的設(shè)備費(fèi)用25NetScreenFW/VPN產(chǎn)品規(guī)格

廣泛的市場覆蓋全球范圍的PRO和

IDP管理器范圍寬廣的網(wǎng)絡(luò)安全解決方案全球范圍的PRO

快遞中心站點(diǎn)媒介站點(diǎn)小型辦公室/住宅工作者網(wǎng)絡(luò)核心VPN,防火墻,DoS入侵防范移動(dòng)工作27NetScreen5000系列Console和帶外、modem接口HA接口N個(gè)接口板卡24F+2G/8GNetScreen5200N=1NetScreen5400N=328NetScreen-5000結(jié)構(gòu)FlowControlFirstPacket,IKE,etc32bit-Bus064bit-Bus115GbpsswitchfabricMgmtModuleSecurePortModuleSecurePortModuleFutureTech.ModulesBackplane雙總線結(jié)構(gòu)ASIC與管理模塊之間的控制信息ASIC與管理模塊之間的數(shù)據(jù)交換15G交換背板，多插槽設(shè)計(jì)(5400)為多個(gè)安全接口模塊或今后新開發(fā)的模塊而設(shè)安全接口模塊（包括今后的新模塊）之間的數(shù)據(jù)流29NetScreen-5000系列FeaturesNetScreen-5200NetScreen-5400接口24F+2G/8G72F+6G/24G處理能力4G(64Byte＞2G)300萬包2G3DES(64Byte＞1G)100萬包12G(64Byte＞6G)1000萬包6G3DES(64Byte＞3G)300萬包Sessions1,000,0001,000,000VPN250,000250,000VSYS500(4096Vlan)500(4096Vlan)HAActive-ActiveActive-Active30NetScreen5000性能表現(xiàn)提供高達(dá)24倍3DESVPN性能的差距提供高達(dá)16倍防火墻性能的差距MD5包大于1Gbps****31NetScreen-500LCDInterfaceModuleBaysHotSACorDCPowerSuppliesFanModuleDualHAManagementModemConsole32NS500SystemArchitecture4PowersupplyPowersupplyFanTray4FansConsoleLCD&LEDsCPUManagementbusController/BridgeGigaScreenASIC&MemoryFlashCard10/100MAC10/100MAC10/100MAC10/100MgmtHA1HA2PowerPlaneBoardTrafficInterfaceModule1TrafficInterfaceModule3Modem2(GBIC,DualMT-RJ,10/100orDual10/100)SecurityDomainsTrafficMulti-bus33NetScreen500的性能表現(xiàn)34NetScreen-200系列6個(gè)系統(tǒng)狀態(tài)指示燈:Power,Status,HA,Alarm,Sessions,Flash硬件恢復(fù)開關(guān)Console和帶外modem接口CompactFlash?slotsupporting96and512MBcards8interfacesontheNetScreen-2084interfacesontheNetScreen-20435NetScreen-204&NetScreen-208FeaturesNetScreen-204NetScreen-208Interfaces4F8FMaximumThroughput400MbpsFW200Mbps3DES550MbpsFW200Mbps3DESConcurrentsessions128,000128,000Newsessions13,00013,000HighAvailabilityActive-ActiveActive-Active36NetScreen-50/25系列硬件特性6個(gè)系統(tǒng)狀態(tài)指示燈:Power,Status,HA,Alarm,Sessions,Flash硬件恢復(fù)開關(guān)Console和帶外modem接口CompactFlash?slotsupporting96and512MBcards410/100Minterfaces37NetScreen50undermulti-sessions38NetScreen-50&NetScreen-25性能FeaturesNetScreen-50NetScreen-25Interfaces4F4FMaximumThroughput170MbpsFW50Mbps3DES100MbpsFW20Mbps3DESConcurrentsessions32,0008,000VPNTunnels10025HighAvailabilityActive-PassiveN/A39NetScreen-5XT專用的管理控制臺(tái)接口和外部modem接口使用外置Modem提供撥號(hào)備份功能撥號(hào)備份支持Internet和VPN流量內(nèi)存是NetScreen-5XP的兩倍預(yù)裝ScreenOS企業(yè)級(jí)防火墻和VPN特性性能和處理能力70MbpsfirewallNAT2,000concurrentsessions20Mbps3DESVPN10IPSecVPNtunnels410/100交換接口共享Trustedsecurityzone(例如不能用于獨(dú)立的DMZs)110/100Untrust

自適應(yīng)以太網(wǎng)接口

10-userandElite(無限用戶)版本40NetScreen-5XTUntrustInterface10/100Base-TAuto-sensingandAuto-correctingTrustInterfacesFourSwitching10/100Base-TAuto-sensingandAuto-correctingConsole(CLI)InterfaceDB-9RS232ModemInterfaceDB-9(HighSpeed)RS232Speedsupto115KBPowerInlet12Volts1Amp41NetScreen-5GT冗余特性連接的冗余性:撥號(hào)備份和雙Untrust接口Tunnelrouting使用

RIPv.2,BGP或OSPF高性價(jià)比高性能，強(qiáng)健的安全型，集成的管理降低費(fèi)用。先進(jìn)的安全特性集成的防火墻/VPN/DoS防護(hù)*嵌入式病毒掃描

通過安全區(qū)進(jìn)行網(wǎng)絡(luò)訪問分隔額外的內(nèi)存和CPU處理能力用于以后的安全功能高性能75MbpsFirewall/NAT20Mbps3DESVPN**Upgradeexpectedtobeavailableduringthe2ndhalfof2003foranadditionalfee.42NetScreen-5XP安全產(chǎn)品簡介優(yōu)化用于寬帶網(wǎng)絡(luò)遠(yuǎn)程和撥號(hào)用戶10MbpsASIC-basedIPSecVPNs–10tunnelsIPSec,DES/3DES,MD5,SHA-1,IKE密鑰管理狀態(tài)監(jiān)測防火墻-DoS偵測NAT(mappedIP,VirtualIP),URL過濾DHCP客戶機(jī)和服務(wù)器流量控制:確保和最大帶寬WebUI,CLI,集中管理易于實(shí)施的QuickStart10用戶版本43NS5XPArchitectureMPC850PowerPCCoreUARTRTCMAC1MAC2Flash4MBBootROM.5MBSDRAM32MBNetScreenGigaScreenFW,NAT,DES,3DES,MD5,SHA-1,RND#PHYPHY32-bit/48MHzbusRS232TrustedUntrusted44NetScreenRemote:VPN遠(yuǎn)程接入軟件支持DES&3DESIPSecVPN支持ManualKEY,IKE,PKI支持Windows9x&NT45NetScreenFW/VPN產(chǎn)品線

產(chǎn)品最大吞吐量

最大會(huì)話數(shù)最大VPN通道

最大策略數(shù)

最大虛擬系統(tǒng)量

高可用性

NetScreen-540012GFW&6GVPN1,000,00025,00040,000500是A/P**NetScreen-52004GFW&2GVPN1,000,00025,00040,000500是A/A*NetScreen

-500700MFW&250MVPN250,00010,00020,00025是A/ANetScreen-204/208550M/400MFW&200MVPN128,0001,0004,000NA是A/ANetScreen-100200FW&185VPN128,0001,0004,000NA是A/ANetScreen-50170MFW50MVPN32,0001001,000NA是A/PNetScreen-25100MFW20MVPN8,00025500NA否NetScreen-5XT70MFW20MVPN2,00010100NA否NetScreen-5GT75MFW20MVPN2,00010100NA否NetScreen-5XP20MFW13MVPN2,00010100NA否NetScreen-RemoteVariesbyPCNA1NANANo46DeployMonitorMaintainReport快速實(shí)施新的用戶/站點(diǎn)一次定義，多次使用分散管理任務(wù)發(fā)現(xiàn)/分析攻擊模式SLA跟蹤高效的客戶使用記帳集中在重大事件偵測攻擊源跟蹤總體性能攻擊的響應(yīng)執(zhí)行增加/移動(dòng)/修改設(shè)備軟件版本維護(hù)NetScreen-GlobalPRO&Express47GlobalPRO&GlobalPROExpress成套包攬業(yè)務(wù)管理解決方案

配置/策略管理，實(shí)時(shí)監(jiān)控

集成的NetScreeen–RemoteVPN客戶管理

多管理/基于角色的管理

預(yù)安裝和配制在SunNetra服務(wù)器上

GlobalPRO完善的歷史報(bào)表

日志數(shù)據(jù)的相關(guān)性/簡化

可擴(kuò)展到10，000套設(shè)備中

可擴(kuò)展的基于Web的報(bào)表模板；

第三方的報(bào)表集成，例如HP/OV

NetScreen-GlobalPRO&Express監(jiān)控

配置GlobalPROUI策略管理服務(wù)器

監(jiān)控報(bào)告歷史報(bào)表服務(wù)器數(shù)據(jù)收集器

OracleDB48入侵檢測系統(tǒng):彌補(bǔ)防火墻的不足彌補(bǔ)防火墻的不足基于策略的規(guī)則設(shè)置，用戶設(shè)定IDP采取的動(dòng)作(允許,丟棄,記錄日志,等等…)防范不必要的協(xié)議連接正常的端口阻止防火墻所不能防御的基于應(yīng)用層的攻擊提供直觀的2－7層的網(wǎng)絡(luò)流量的控制PhysicalDatalinkNetworkTransportSessionPresentationApplicationPhysicalDatalinkNetworkTransportSessionPresentationApplication傳統(tǒng)的防火墻NetScreen-IDP解析第二～四層解析第二～七層49???第二層防御線,提供的功能:攻擊的識(shí)別：可以識(shí)別各類攻擊乃至針對(duì)應(yīng)用層的攻擊攻擊的防御典型保護(hù)—FW+入侵檢測CorporateNetwork 防火墻是第一道抵御線，能夠提供以下的功能：

訪問控制

認(rèn)證

虛擬專用網(wǎng)（VPN）

網(wǎng)絡(luò)分段隔離

DoS攻擊防御和某些網(wǎng)絡(luò)層攻擊的檢測50WhyNetScreenIDPIDSNetScreenIDP具有IDS所有特點(diǎn)具有IDS所沒有的特點(diǎn)，M.A.PAccuracyManagementPrevention51WhyIDP——AccuracyIDP,使用8種攻擊檢測方法來確認(rèn)所有受到的攻擊事例

紅色代碼

緩沖溢流

后孔

端口掃描，網(wǎng)絡(luò)掃描

源自多連接協(xié)議的無效連接

后門檢測

流量簽名網(wǎng)絡(luò)蜜罐

DoS檢測

其它…狀態(tài)簽名

協(xié)議異常

ScriptKiddieTelnetrootIDEAL入侵檢測

IDS，只具有簽名檢測以及（或者）協(xié)議異常檢測的功能

52WhyIDP——Manage