netscreen-500方案

Netscreen-500方案

广州市新科新信息技术有限公司

2013年7月10日

xxxx系统技术方案------目录

目录

1

防火墙方案 ............................................................................................................................................. 1 1.1 1.2 1.3

NetScreen公司简介 ............................................................................................................... 1 技术特点 ................................................................................................................................. 1 NetScreen安全解决方案 ....................................................................................................... 2 1.3.1 分组过滤 ......................................................................................................................... 2 1.3.2 实时检测 ......................................................................................................................... 3 1.3.3 应用代理 ......................................................................................................................... 4 1.3.4 混合法 ............................................................................................................................. 4 1.3.5 构筑安全的网络 ............................................................................................................. 4 1.3.6 NetScreen的设计思想 ................................................................................................... 5 1.3.7 防御拒绝服务类的攻击 ............................................................................................... 11 1.3.8 常见的拒绝服务攻击 ................................................................................................... 12

Netscreen防火墙技术 .......................................................................................................... 14 虚拟专用网(VPN) ................................................................................................................ 14 虚拟系统 ............................................................................................................................... 15 高可用性 ............................................................................................................................... 15 企业外部网ExtranetVPN解决方案 .................................................................................... 16 1.8.1 模块化 ........................................................................................... 错误！未定义书签。 1.8.2 全方位管理 ................................................................................................................... 16 1.8.3 适合托管 ....................................................................................... 错误！未定义书签。

NetScreen-500 ....................................................................................................................... 16 1.9.1 NetScreen-500体系结构 .............................................................................................. 17 1.9.2 可编程的LCD .............................................................................................................. 17 1.9.3 流量管理 ....................................................................................................................... 18 1.9.4 内容过滤 ....................................................................................................................... 18 1.9.5 产品要点 ....................................................................................................................... 18 1.9.6 产品特性 ....................................................................................................................... 19

1.4 1.5 1.6 1.7 1.8

1.9

广州市新科新信息技术有限公司第1页

xxxx系统技术方案

1 防火墙方案

防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。本质上，它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通讯，只允许授权的通讯。

1.1 NetScreen公司简介

NetScreen Technologies Inc.以业界領先的防火墙/虚拟专用网络(VPN)解决方案，显着加强互联网的安全能力。NetScreen的突破性ASIC安全解决方案，实现接近联机速度的数据包处理，并能充分利用其带宽，避免了其它传统安全产品所出现的瓶颈问题。

NetScreen之全面化产品包括多种为不同应用而设计的解决方案，上至专为互联网数据中心和服务供应商设计的业界第一个千兆比特級安全系统NetScreen-1000，下至为单一远程办公者而设计的解决方案NetScreen-5。NetScreen安全系统和设备之管理操作经由NetScreen-Global PRO进行，这是一个可高度扩展的软件平台，方便系统之建置、執行和网络管制。这些安全解决方案既可直接向NetScreen联系购买，也可以经当地增值转销商、分销商、服务供应商和原厂设备制造商伙伴订购。迄今为止，NetScreen的集资总额已超过五千三百万美元。

1.2 技术特点

NetScreen在提升安全技术方面，与第三层和第四层交换器改良路由技术相类似：公司利用基于ASIC芯片的高性能解决方案代替慢速、占用大量处理器资源的基于软件的系统。NetScreen的安全系统和设备是针对市场需求而设计，內置用于加速加密和防火墙功能的定制设计ASIC芯片、高性能多总线体系结构、嵌入式高速RISC处理器以及专用操作系统。NetScreen待批专利的独特产品架构，消除了以往在一般用途处理器、个人计算或工作站上运行软件防火墙和VPN加密设备所产生的性能瓶颈现象。事实上，NetScreen不单消除这些性能瓶颈，而且同时达到ICSA的防火墙安全标准，并提供最高的数据安全（支援3DES IPSec加密技术）。

广州市新科新信息技术有限公司第1页

xxxx系统技术方案

NetScreen的GigaScreen安全ASIC芯片是目前性能、集成度均最高的安全加速芯片。GigaScreen實現业界第一個千兆比特級速率IPSec加密（1.2千兆位DES）、首次以硬件形式进行状态检验的防火墙（文件头解析、会话搜尋、策略檢查、NAT），亦是第一个集成加密、身份确认、公钥基礎設施(PKI)和防火墙加速的硬件解决方案。此解决方案具备高度扩展能力，将六个GigaScreen ASIC结合使用，令NetScreen-1000可提供极高的性能表现。

GigaScreen ASIC芯片在硬件内处理防火墙存取策略和加密运算，不仅在速度上远胜软件解决方案，还可腾出处理器資源用于管理数据流量。GigaScreen ASIC还可与NetScreen的ScreenOS和系统软件紧密集成，从而消除不必要的软件层和安全漏洞，例如建基于一般用途商业操作系统的安全产品上所发现的漏洞。NetScreen将安全功能提升到系统层次，更可节省建立额外平台层而带来的开支，额外平台层往往令其它安全产品的性能大打折扣。

NetScreen系统和设备更具备透过策略建立的流量控制功能，让管理员可以实时分配、监察及分析带宽。而数据传输可根据应用、地址、用户、数据来源、目的地或服务类别進行优先级安排，以提高带宽的使用率和网絡性能。

1.3 NetScreen安全解决方案

防火墙用于对网络之间交换的所信息流进行过滤，执行每个网络的访问控制策略。防火墙常常保护内部的“可信”网络，使之免遭“不可信”的外来者的攻击。为了避免妥协退让，防火墙本身必须要能经受攻击。防火墙还必须提供强大的监视和记录功能，才能进行安全策略的设计和检测。 1.3.1 分组过滤

很多路由器能在网络层完成基本的分组过滤。分组过滤器常被称为访问控制列表（ACL），能够处理每个TCP/IP分组所携带的数据。如图1所示，这些字段包含协议类型、信源和信宿IP地址以及信源和信宿端口号（应用类型）。建立一些定义不甚完善的分组过滤器可能是小事一桩，处理过程也相对较快。但是在安全策略复杂的大型网络中，分组过滤的增长按指数规律变慢，而且管理更加困难。单独使用分组过滤完全不能提供

广州市新科新信息技术有限公司第2页

xxxx系统技术方案

强大高速的防火墙保护。大多数可靠的网络如今都将屏蔽路由器与实时分组检测或应用代理防火墙结合起来。

图1：防火墙的类型

1.3.2 实时检测

动态的或“实时的”分组检测防火墙保持一份含有活动的TCP会话和UDP“伪”会话的表。其中每个条目记录着该会话的信源和信宿IP地址和端口号，以及当前的TCP序列号。只为那些满足定义的安全策略的TCP连接或UDP流创建条目；与这些会话相关的分组允许通过防火墙。与任何策略不匹配的会话均被拒绝，例如与现有的会话表条目不匹配的分组。

实时检测比分组过滤更加安全，因为它只开了较小的“洞”让信息流通过。例如，实时检测防火墙不允许任何主机或程序在端口80上发送任何种类的TCP信息，而是保证分组属于一个现有的会话。此外，在建立会话时它能鉴别用户，能确定分组是否确实支持HTTP，还能在应用层加入精细的约束条件（例如为了拒绝对黑名单上的站点的访问，将其URL滤掉）。

广州市新科新信息技术有限公司第3页

xxxx系统技术方案

1.3.3 应用代理

应用代理防火墙也比分组过滤更为安全，但一般要比实时检测来得慢。在应用代理防火墙中，要建立两个TCP连接：一个是在分组信源与防火墙之间，另一个是在防火墙与分组信宿之间。应用代理防火墙作为信宿的代理，截获到达的分组，检查应用的有效载荷，然后将获准通过的分组传递给信宿。在网络层，应用代理肯定会比检测分组有更多的协议组方面的开销。而且，由于每个应用都需要一个唯一的代理，代理防火墙可能比实时检测防火墙缺少灵活性，升级也较慢。另一方面，代理的实现能够提供非常精细的应用级的控制（例如，阻塞文件名以“exe”结尾的FTP传输）。 1.3.4 混合法

为了在两方面都做到最好，很多防火墙实际上是混合型的，即将实时检测和应用代理的方法结合起来。正如本文所述，NetScreen防火墙也是混合型的－他们先是采用基于硅片的实时分组检测以求高性能，继而又加入选择性代理构成对拒绝服务攻击的内在保护。

1.3.5 构筑安全的网络

由于要在可信网络与不可信网络之间建立一个强大的周边防御系统，合理地部署防火墙就成为企业网络安全的关键所在。但是防火墙并非单兵作战，它们始终应当处于第一道防线，要与能够保护整个企业不受内外攻击的补充安全措施联合部署。例如，大多数企业是把强大的周边防御系统与侦查入侵以及桌上电脑和服务器的保护结合起来。

NetScreen设备提供集成在一起的防火墙、网络地址转换（NAT）和虚拟专用网服务。将这些安全措施组合到单一平台上能大大简化网络的设计。而且，NetScreen设备能够平滑地和第三方安全产品集成在一起，如Websense的内容过滤，Web Trends的日志分析和报告，以及RADIUS、SecurID和LDAP的用户认证服务器。为了增加对单点失效的保护，NetScreen设备提供服务器负荷平衡功能，可以部署在冗余对中以获取高可用性。

广州市新科新信息技术有限公司第4页

xxxx系统技术方案

1.3.6 NetScreen的设计思想

NetScreen设备以无缝隙方式提供快速而强大的分组检测，能够和几乎任何安全网络形成一个整体。NetScreen将专用硬件平台与定制的ASIC和精细调试过的实时操作系统结合在一起，在不牺牲安全的情况下实现以线速运行的防火墙。

 专用硬件

每个NetScreen设备的核心处是一个定制的专用集成电路（ASIC）。这些ASIC是专门设计的芯片，能够加快防火墙以及加密、认证和共密钥基础设施处理的速度。由于是在硅片中完成计算密集型的工作，NetScreen在性能上远远超过了软件防火墙。实际上，因为NetScreen设备是围绕ASIC设计的，所以比那些简单地在事后追加了协处理器的所谓硬件防火墙要有效得多。

为了实现硬件和软件处理的优化集成，NetScreen采用了高速的多总线体系结构，每个ASIC都和一个RISC处理器、SDRAM和以太网接口连在一起。和使用PC硬件的防火墙不同，NetScreen是为高性能高可用性的环境设计的紧密集成系统。从双10BaseT的NetScreen-5，到千兆位的NetScreen-1000，NetScreen设备的性能按最佳性价比分阶排列。

 高性能的利器

为NT或Solaris环境开发的防火墙总要不断地追逐微软和Sun公司发行的操作系统升级。这些升级包括重新适用的内核、堆栈、驱动程序，以及改进性能和可用性的服务补丁。NetScreen的总控专用方法可以避免通用操作系统所需要的不断的维护工作。NetScreen设备中所用的RISC处理器运行的是ScreenOS。这种强化了安全性的低维护量实时操作系统与NetScreen的ASIC一样，是专为防火墙而先后设计出来的。

ScreenOS可以通过Web UI和CLI来访问，它支持配置、管理和监视作业。ScreenOS成为一个高性能的TCP/IP引擎，和ASIC协同对分组进行检测和转发。这个实时操作系统不受通用操作系统中连接表和处理的。ScreenOS能够建立多达每秒19,600个TCP连接，能够承受其他防火墙常常难以招架的HTTP暴发。如表1中所示，NetScreen-100可以在全双工的快速以太网上以200Mbps的速率对128,000个并发的TCP会话实施保护。NetScreen-1000则能以1Gbps的速率处理500,000个会话，是在SPARC60上演示的软件防火墙CheckPoint的20倍。这些有关速率的数据是由Exodus Key Labs和Comm

广州市新科新信息技术有限公司第5页

xxxx系统技术方案

Web检测出来的，在当今的任何防火墙中都属最高的。这完全仰赖NetScreen独特的系统体系结构。

表1：可升级的高性能防火墙

 集成化的策略管理

NetScreen设备能够以集成方式单点执行防火墙、虚拟专用网的功能和流量管理策略，其分类可以通过信源和信宿IP地址、协议、信源和信宿端口号（服务），以及日历时间或星期。它内置了40多种常用的互联网服务，其中包括DNS、FTP和硬防火墙H.323。还可以通过端口号添加定制的服务。

把NetScreen策略应用到（虚拟）接口上即可创建安全域。例如，NetScreen-5有两个接口：可信接口和不可信接口。NetScreen-10和-100为了隔离和保护公共服务器增加了一个非军事区（DMZ）接口。NetScreen-500和-1000采用NetScreen独特的虚拟系统技术和工业标准802.1q，分别支持多达25个和100个虚拟接口。

由于每个网络都有些区别，可以按照三种方式部署NetScreen设备，如下图所示。

广州市新科新信息技术有限公司第6页

xxxx系统技术方案

以三种方式运行的通用NetScreen

网络地址转换（NAT）方式可以让使用专用地址的主机所组成的整个网络共享防火墙的公共IP地址，也就是分配给防火墙的不可信接口的地址。在这种方式下，防火墙通过分配一个唯一的信源端口号来区分会话。例如，假设可信主机192.168.0.2和192.168.0.3都从信源端口1108发送分组。防火墙可以将这些地址转换为单一的公共IP地址206.245.160.1和两个不同的信源端口号，如61001和61002。从端口61001接收到的应答分组被转发到192.168.0.2:1108，而从端口61002接收到的应答分组被转发到192.168.0.3:1108。使用NAT方式可避免对可信网段重复编号，无须购买公共地址块，还能将可信地址段在外部世界面前隐藏起来。

路由器方式能够在无须地址转换的网络之间插入防火墙。这种方式可用于保护同一企业网内部的局域网，例如保护财政部门的子网使之免遭内部人员的偷窥或盗窃。这种方式还可用于将防火墙插到NAT路由器的后面，或插到使用现有公共地址的网络的前面（如保护电子商务服务器场）。

透明方式可以将防火墙无缝隙地下装到任何现存的网络，而无须重新编号，无须重新设计网络，也不必要停工。在这种方式下，防火墙将相同子网的网段桥接起来。防火墙从那个子网得到一个IP地址用于管理和服务器通信，除此之外就完全是透明的了。

广州市新科新信息技术有限公司第7页

xxxx系统技术方案

防火墙建立一个MAC学习表，自动地自学哪些分组要进行转发，哪些分组要忽略：

当防火墙收到一个带有未知的信源和信宿地址的帧时，它就检查是否与策略匹配。如获许可，就创建一条会话表条目，将信源地址添加到MAC学习表中，并将该帧从相对的接口转发出去。当受到应答时，那个信源地址也添加到MAC学习表中去。

当防火墙收到一个带有已知的信源和信宿地址的帧时，就将该帧从相对的接口发出。如果在应答中显示该信源和信宿是在同一网段（也就是在防火墙的同一侧），则更新MAC学习表，并在以后将这两个地址间的通信忽略。

为了使透明方式的性能最佳化，应当定义精细策略来使会话数和MAC学习表的条目数减到最小。在透明方式下也可以使用非军事区。

通过方式的选择，NetScreen设备能够适应你的拓扑结构，而无须用户重新设计网络来适应防火墙。

分组处理的过程：

为了了解NetScreenASIC和ScreenOS如何协同提高防火墙的速度，我们分析一下对分组是如何进行检测的（图3）。通过任何一个接口收到分组时，就在网络层将其截获。ScreenOS完成格式和帧的“健康检查”判断分组是否有效。例如，若MAC地址为全0，则此分组被丢弃，不再做进一步的检查。

如果分组有效，则ScreenOS搜寻会话表，判断此分组是否为现存TCP会话的一部分。（虽然UDP是无连接的，ScreenOS还是创建一个“伪会话”来代表每一个唯一的UDP流。）

若会话已经存在，则ScreenOS检查该TCP分组的序列号和代码字段，以确认该分组确实属于这个会话。例如，无效的序列号可能表示被窃用了的会话；NetScreen检测其序列号是否在本会话最近接收的,000（16位）之内。通过了这些检查的分组就被转换并按需要计算路由，然后发送出去。（此时还会完成VPN和流量管理功能，但这已超出本文所论及的范围。）

若会话不存在，则必须对分组进行分类，也就是说，必须找到处理此分组所用的策略。这正是其他防火墙的不足之处，它们需要管理员在安全和性能之间做出选择。网络越大，访问控制越精细，策略表就越大。NetScreen是在硅片中完成分组的分类，能以

广州市新科新信息技术有限公司第8页

xxxx系统技术方案

线速搜寻多达40,000个策略。若未找到策略，则将分组丢弃。若找到了相匹配的策略，就创建一个新的会话表条目，并按上述过程继续处理。

NetScreen防火墙分组处理过程

基于.25微米技术的GigaScreen ASIC是NetScreen的第二代安全加速器。这个ASIC获得了安全行业的“三连冠”，即：第一个在千兆位的速率上对Ipsec进行加密；第一个将加密、认证、共密钥基础设施和防火墙加速组合在单一芯片上；第一个基于硅片的实时分组检测防火墙。ASIC防火墙加速功能包括：支援策略搜索的硬件、TCP包头的解析、会话表维护和网络地址转换。

在硅片中实现策略搜寻成为在不牺牲安全的条件下获得更好性能的关键。NetScreen策略被存储在SDRAM中，无须系统复位即可更新。ASIC使用有限的单板存储器和高速的总线来访问策略表。其结果是，当调用ASIC对分组进行分类时，其策略引擎检查每一条策略只需4个周期（每秒2,500万次）。与此相比，软件的策略搜寻需要每条策略

广州市新科新信息技术有限公司第9页

xxxx系统技术方案

100个周期。由于被拒绝的分组通常需要将每个策略都检测到，所以快速实现这种搜寻的能力就是极其重要的。缺乏这种能力，拒绝服务类的攻击就能相当容易地得逞，只要用非授权分组将防火墙淹没就可以了。

而且，由于可以快速地搜寻策略，NetScreen设备具有很高的会话斜率。在自动丢弃附加的会话请求之前，NetScreen-100和NetScreen-1000每秒能够建立19,600个新会话。The Tolly Group进行的竞争力评估表明，此斜率为名列前茅的软件防火墙的10倍以上。

NetScreen的设计思想已经过的验证，被认为即快速又安全可靠。NetScreen防火墙已通过了ICSA的鉴定，这是一个检测防火墙的功能、安全性和记录精确性的测试实验室。1999年5月，由Data Communications杂志公布的一项测试将其测试者精品奖授予NetScreen-100，称道NetScreen集“无懈可击的安全性、令人惊叹的性能和简单易行的管理”于一身。这家丛刊用了将近1,500个策略来测量防火墙的连接并发性和转发速率。它还使用商用的和定制的端口扫描仪来证明策略实现的正确性，指出：“速度令人称道，华丽的用户界面美不胜收－但是，如果防火墙不能保护网络，这一切也都无关紧要了。”结果NetScreen-100获得成功。由CommWeb在2000年9月出版的另一家丛刊注意的是VPN性能。NetScreen再居榜首，展示了几近线速的吞吐量（图4）。

CommWeb的性能测试结果

广州市新科新信息技术有限公司第10页

xxxx系统技术方案

1.3.7 防御拒绝服务类的攻击

NetScreen提供了精确高速的分组检测功能，但还不止于此。ScreenOS对攻击信号进行扫描并选择性地使用代理技术，可以对拒绝服务（DOS）类的攻击提供非凡的防御能力。例如，在2000年初发生了使重要的电子商务站点瘫痪的、臭名昭著的DOS攻击事件：SYN泛滥。

SYN泛滥是怎样发生的

当任何一台主机要建立TCP连接时，都要经过一个“三路询问”的过程（图5）。发起方发送一个TCP分组，其中携带起始序列号和一个SYN标志位（TCP包头中编码字段里的一个有效的位）。应答方返回一个分组，其中携带它自己的起始序列号并确认收到了发起方的分组（包含SYN和ACK两个有效位）。为了完成连接建立的过程，发起方还要确认收到了应答方的分组（返回一个ACK位有效的分组）。多数TCP实现要等待60秒钟接收ACK，超时则中止“半开”的连接。

如果攻击者用SYN分组淹没了服务器，则服务器有可能达到了它的TCP连接的限度并开始拒绝合法的连接。攻击者只要发送SYN分组但从不对服务器的SYN-ACK分组加以确认，就可以做到这一点。由于服务器最多可等到60秒钟，故攻击者发送SYN的速度能够比服务器对这些分组做超时处理的速度快得多。

当一台NetScreen设备注意到了一次三路询问过程时，就在其会话表中建立一个新条目。只要ScreenOS探测到对单一的信宿每秒钟发出了200个以上的SYN，就启动NetScreend的SYN保护算法。一旦到达了这个可配置的门限，防火墙就被授权处理额外的SYN分组。也就是说，防火墙在SYN-ACK分组中返回一个随机的序列号，代表应答方确认收到了每个SYN。这种代理活动降低了攻击者的速度，使应答方能继续做它的工作。结果，NetScreen设备能够抵挡大得多的SYN泛滥。

广州市新科新信息技术有限公司第11页

xxxx系统技术方案

NetScreen抵御SYN攻击

著名的防火墙专家Tina Darmohray和Ross Oliver对此做过论证。他们在一项测试中对运行CheckPoint软件的Nokia机器与NetScreen-100进行对比。使用Nokia/CheckPoint时，受害的万维网服务器只能经受大约每秒500个SYN的攻击；速率再高则会使其完全不能响应TCP连接请求。而在NetScreen-100的保护下，受害服务器可以经受每秒大约14,000个SYN的攻击。 1.3.8 常见的拒绝服务攻击

ScreenOS可以抵御很多其他的拒绝服务类攻击。其中包括：

ICMP Flood(ICMP泛滥)：攻击者用很多ICMP回波请求将一个系统淹没，使之不

再处理有效的信息流。NetScreen防火墙可以将超出可配置门限（缺省值为每秒1000个）的ICMP回波请求丢弃。对于UDP泛滥攻击也以同样的方法加以防护。

Pingof Death（过长信息包破坏法）：一个超大的ICMP分组可以在分组头中采用重

叠的偏移值，从而产生一系列的碎片分组，继而引发信宿系统的许多不利反应，包括崩

广州市新科新信息技术有限公司第12页

xxxx系统技术方案

溃、冻结和重新启动。NetScreen防火墙可以检测并拒绝这种超大的不规则的ICMP分组。

IP Spoofing(IP欺骗)：IP欺骗就是攻击者模仿一个有效的发送方。NetScreen防火墙

通过分析每个分组的信源IP地址来抵御这种攻击。如果IP地址未包含在防火墙的路由表中，则来自那个信源的信息将被丢弃。

Port Scans(端口扫描)：攻击者通过向许多不同的信宿端口发送分组的方法常常可以

识别出有用的服务，然后发起后续攻击。NetScreen防火墙将每个信源IP扫描过的端口记录下来。如果一个信源在30毫秒内扫描了10个端口（此值可配置），则NetScreen将其标记为可能的攻击行为，并将以后来自该信源的信息丢弃。对于地址扫描攻击也以同样的方法加以防护。

Land Attack(登陆攻击)：如果攻击者发出欺骗性的SYN分组，其中的信源地址和信

宿地址均为受害方的IP地址，那么受害方就向自己发送SYN-ACK分组，建立异常的连接将表空间占据到超时为止。NetScreen防火墙把对SYN泛滥和IP欺骗的防御结合在一起，也可以阻止登陆攻击。

Tear Drop Attack(泪珠攻击)：当一个分成断片的TCP分组的第一部分和第二部分发

生重叠时，服务器在重新组装此分组时可能会崩溃。如果NetScreen防火墙发现了断片分组中的这种矛盾，就将此分组丢弃。

IP Source Route(IP源路由)：标准的IP源路由选项允许攻击者以假IP地址进入一个

网络，然后将数据发回到它的真实地址。NetScreen防火墙可以阻断所有使用源路由选项的IP信息流。

恶意的Java、ActiveX、ZIP，和EXE内容：通过下载，恶意的小应用程序和可执行文件能够安装特洛伊木马，从而危及可信网络的主机。NetScreen防火墙可以阻断所有内嵌的Java和ActiveX小应用程序并能从万维网页中剥除附带的.zip、.gzip、.tar和.exe文件。

WinNuke攻击：WinNuke是一个恶意应用程序，它通过建立的连接向一个主机发送带外（OOB）数据（一般是发往NetBIOS的139端口），引发的NetBIOS碎片重叠又导致Windows主机崩溃。NetScreen防火墙可以检查并纠正发往139端口的分组中的无效偏移量，防止和记录这种攻击企图。

广州市新科新信息技术有限公司第13页

xxxx系统技术方案

强大的周边防御系统对于任何在线公司都是至关重要的。NetScreen的可升级产品系列具有明确定义的升级方式，能为任何规模的网络提供经济高效的解决方案。对防火墙、VPV和流量管理的单点定义与执行，即可统一地通过小的远程站点和中心站点操作和使用安全策略。

NetScreen基于ASIC的设计思想能提供很高的性能而又不会牺牲安全性。ScreenOS具有充分的即开即用特点，能对DOS攻击给予即时的防御。由于补充了基于硅片的分组检测和软件DOS保护功能，NetScreen所创造的平台十分灵活，足以抵御新的攻击类型；这个平台也十分强大，足以满足最大的企业、电子商务站点和服务供应商对于可用性、吞吐量、信息爆炸和连接方面的请求。

1.4 Netscreen防火墙技术

NetScreen的全功能防火墙采用状态检测技术，可以防止入侵人员和拒绝服务攻击。NetScreen定制的GigaScreenASIC在硬件中处理防火墙访问策略和加密算法，其性能明显要高于纯软件解决方案。

 NetScreen-ScreenOS是一种经过ICSA认证的状态检测防火墙。

 全功能解决方案，采用为安全优化的硬件、操作系统和防火墙，比拼凑在一起

的基于软件的解决方案提供了更高的安全水平。  基于策略的NAT允许实现入局地址转换。  强健的攻击防范功能，包括SYN

 攻击、ICMPflood、端口扫描等攻击防范功能。

 网络地址转换(NAT)、端口地址转换(PAT)，隐藏了内部不可路由的IP地址；以

及透明模式。

 基于策略的NAT允许实现入局地址转换。

1.5 虚拟专用网(VPN)

所有NetScreen安全系统中都集成了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。

 为远程接入VPN应用和站点到站点VPN应用提供全面的VPN支持。网络设计

广州市新科新信息技术有限公司第14页

xxxx系统技术方案

可以采用集中星型VPN拓扑，实现全网状结构，简化远程办公室VPN的配置和管理，同时在主要站点之间提供冗余的高性能链路。

 NetScreen-ScreenOS经过ICSA和VPNC认证，提供了IPSec互操作能力。  3DES和DES加密，带有数字证书的IKE(PKIX.509)或预先共享  的密码或手动密钥协商。  SHA-1和MD5强力认证。

 基于策略的NAT实现了企业外部网VPN应用。

1.6 虚拟系统

NetScreen的虚拟系统允许创建多个安全域，每个安全域都拥有自己的地址簿、策略和管理功能。虚拟系统与802.1qVLAN标记相结合，把安全域延伸到整个交换网络中。NetScreen-500和相应的VLAN交换网络，可以表现为一个可支持最多500个端口的综合安全系统。

 扩展了互联网数据中心提供的服务，可以在共享的硬件平台上提供托管VPN和

防火墙。

 针对多个DMZ对企业网络分段，或在内部部门之间提供安全保护能力。  把多个VLAN映射到一个虚拟系统上。

 每个虚拟系统都采用单独的WebUI、CLI和管理访问权限。

1.7 高可用性

NetScreen的安全系统包括关键的高可用性冗余特性，包括自动化镜像配置、活动会话和容错VPN维护、可带电热插拔的冗余电源、风扇和处理模块。它利用NetScreen冗余协议实现了冗余的高可用性（HA）拓扑，该协议提供了四大功能：

 在HA群组成员之间镜像配置，在发生故障切换时确保正确的行为。  可以在HA群组中维护所有活动会话和VPN隧道。

 故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连

接起来或监控从相邻系统直到远程系统的路径。

 故障检测和切换到备用单元可以在不到六秒内完成，而不管活动会话和VPN隧

广州市新科新信息技术有限公司第15页

xxxx系统技术方案

道的数量有多少。

1.8 企业外部网ExtranetVPN解决方案

NetScreen-ScreenOS允许虚拟主机公司和企业为客户和贸易合作伙伴简便地建立安全边界，进而实现企业外部网VPN。虚拟主机现在可以使用基于NAT（网络地址转换）的技术，接收和区分各个客户的流量。这样，尽管另一个客户可以使用某个客户的专用网络地址，而流量仍可以进入一台或多台服务器。它运用安全策略，把每个客户的地址转换成NetScreen设备可以识别的不同地址，来实现这一过程。

1.9 全方位管理

NetScreen的安全系统包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从而实现真正的安全远程管理。

 采用NetScreen-GlobalManager或NetScreen-GlobalPRO实现菜单驱动的站

点管理*。

 通过内置WebUI（HTTP和HTTPS）实现基于浏览器的管理。  通过SSH、Telnet和控制台端口进入命令行界面（CLI）。  电子邮件告警、SNMP告警。

 与Syslog或WebTrends相集成，实现外部登录、监视和分析。  为最多20个管理员提供3种访问权限：根管理、管理和只读。

1.10 NetScreen-500

根据xxxx公司的网络实际情况，推荐使用NetScreen-500防火墙产品。

NetScreen-500安全系统把防火墙、VPN和流量管理功能集成到一个小型的模块化机箱。通过使用NetScreen的GigaScreenASIC，NetScreen-500可以实现高达700Mbps的防火墙吞吐量、250Mbps的3DESVPN吞吐量，支持10,000条IPSec隧道及最多250,000个并发会话。通过利用NetScreen-100和NetScreen-1000中具有的功能，NetScreen-500特别适合带宽要求高的大型企业环境、企业托管设施和提供托管安全服务的环境。

广州市新科新信息技术有限公司第16页

xxxx系统技术方案

NetScreen-500SP服务供应商系统：NetScreen-500SP是为提供托管安全服务的环境而优化的系统。NetScreen-500SP配有两个直流或交流电源、两个GBIC接口模块，并为最多25个虚拟系统和100个VLAN提供软件支持。

NetScreen-500ES企业系统：NetScreen-500ES系统是为要求快速防火墙和VPN性能、可靠性、简便管理性、及可望升级到25个安全域的大型企业环境和托管设施而优化的。NetScreen-500ES系统带有直流或交流电源和GBIC或10/100快速以太网接口模块。所有NetScreen-500ES系统都可以升级到5个、10个或25个虚拟系统。 1.10.1 NetScreen-500体系结构

NetScreen-500是一个高性能、高度可靠、高度冗余的平台。为了满足高性能要求，NetScreen-500设计时采用了定制的专用GigaScreenASIC，提供了加速加密和策略查找功能。此外，它使用两条处理总线，把管理流量与流经系统的流量分隔开来。这可以防止高可性流量和其它管理流量影响吞吐量性能。

为了满足可靠性和冗余性要求，NetScreen-500把移动部件降到最少，并提供了一个可带电热插拔的风扇模块(由四个风扇构成)和多个冗余电源。此外，NetScreen-500可以设置成高可用性拓扑，带有一个完全与防火墙会话和VPN隧道信息保持同步的故障切换系统。

硬件组件汇总如下：

 四个接口模块托架，支持GBIC或双端口10/100快速以太网接口模块  两个DB9串行端口，一个用于控制台，一个用于外部模拟调制解调器  一个10/100带外管理端口  两个冗余的10/100高可用性端口  可带电热插拔的风扇模块

 两个冗余的、可带电热插拔的电源架，可以容纳交流或直流电源  LCD显示屏，用于基本配置和状态告警 1.10.2 可编程的LCD

可编程的LCD可以用来设置基本系统功能，如：

广州市新科新信息技术有限公司第17页

xxxx系统技术方案

 接口IP地址，包括管理接口  这些接口上的管理能力选项  告警门限和状态报告  可以取消，防止篡改设备 1.10.3 流量管理

流量管理允许网络管理员实时监视、分析和分配供各类网络流量使用的带宽，确保在用户上网浏览时不会损害关键业务型流量。

 根据IP地址、用户、应用或一天中的时间进行管理  设置有保障的带宽和最大带宽  通过8级优先级，为流量分配优先权 1.10.4 内容过滤

NetScreen-500可以与Websense™内容过滤解决方案集成，封锁不适当的内容，把个人浏览推迟到非上班时间。 1.10.5 产品要点  专用集成化安全系统

高性能安全系统，在基于ASIC的硬件平台上运行NetScreen-ScreenOS防火墙和VPN软件，提供了市场领先的性能，吞吐量高达700Mbps，支持最多15,000条VPN隧道。

 可管理安全域

采用NetScreen独特的虚拟系统特性，在被管理安全服务或企业分区中可以提供最多25个安全域。  高可用性

固态设计、冗余的可带电热插拔电源和可带电热插拔风扇，在每个系统内部实现了最大的运行时间。高可用性软件允许在发生故障时切换到冗余系统，而不会丢失防火墙

广州市新科新信息技术有限公司第18页

xxxx系统技术方案

会话或VPN隧道。

 灵活的配置选项，可扩展的解决方案

多种配置，满足了单一企业部署到包括多个客户的大型互联网数据中心的要求。 1.10.6 产品特性

特性 性能 并发会话 每秒的新会话数 防火墙性能 三倍DES（168位） 策略 时间表 虚拟系统最大数量 支持的VLAN数量 透明模式（所有接口） 路由模式 NAT（网络地址转换） PAT（端口地址转换） 虚拟IP（VIP） 映射IP（MIP） IP路由—静态路由 基于策略的NAT 每个端口的用户数 同步攻击 ICMP flood检测，门限可选 UDP flood泛滥检测，门限可选 检测死ping 检测IP欺骗 检测端口扫描 检测陆地攻击 检测撕毁攻击 过滤IP源路由选项 检测IP地址扫描攻击 检测WinNuke攻击 Java/ActiveX/Zip/EXE 默认分组拒绝 DoS、DDoS保护 NetScreen-500 250,000 (1) 22,000 (1) 700 Mbps 250 Mbps 20,000 (1) 256 (1) 25 100 是 (2) 是 是 是 4 (2) 256 (1) 256 (1) 是 没有 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 是(3) 虚拟系统 工作模式 防火墙攻击检测 VPN (10,000) (1) 专用隧道 手动密钥、IKE、PKI (X.509) 是 广州市新科新信息技术有限公司第19页

xxxx系统技术方案

DES(56位)和3DES(168位) 完全正向保密（DH群组） 防止回复攻击 远程接入VPN 站点间VPN 星形（轮轴和轮辐）VPN网络拓扑 L2TP IPSec 认证 SHA-1 MD5 认证请求(PKCS 7和PKCS 10) 支持的证书服务器 Verisign认证中心 Entrust认证中心 Microsoft认证中心 RSA Keon认证中心 IPlanet (Netscape)认证中心 Baltimore认证中心 高可用性（HA） 防火墙和VPN会话保护 设备故障检测 链路故障检测 故障切换网络通知 内置（内部）数据库用户限额 RADIUS（外部）数据库 SA SecureID (外部)数据库 LDAP (外部)数据库 有保障的带宽 最大带宽 优先使用带宽 DiffServ标记 WebUI (HTTP 和 HTTPS) 命令行界面(控制台) 命令行界面(telnet) 安全命令外壳(兼容ssh v1) NetScreen-Global Manager NetScreen-Global PRO 所有管理均经过任何接口上的VPN隧道 多个管理员 远程管理员数据库 是 1, 2, 5 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 15,000 是 是 是 是(2) 是(2) 是(2) 是(2) 是 是 是 是 不适用 很快提供 是 20 (2) Radius 高可用性（HA） 防火墙与VPN用户认证 流量管理 系统管理 管理 广州市新科新信息技术有限公司第20页

xxxx系统技术方案

管理网络 根管理、管理和只读三种用户权限 软件升级和配置变动 登录/监视 系统日志 电子邮件（2个地址） WebTrends SNMP Traceroute VPN隧道监视程序 Websense URL过滤 PCMCIA卡 事件日志和告警 系统配置脚本 ScreenOS软件 高度 宽度 长度 重量 可以机架安装 交流电源输入 直流电源输入 功耗 6 是 TFTP/WebUI 外部 是 外部 是 是 是 外部（3） 440 MB，Type 2和3 是 是 是 3.5英寸 17.5英寸 17英寸 27磅 是 95 – 240可变(47到63 Hz) 选件，-48 VDC 100瓦 PCMCIA 外观尺寸和功率

广州市新科新信息技术有限公司第21页