NETSCREEN204產(chǎn)品介紹

1、NETSCREEN 204 產(chǎn)品介紹專用的網(wǎng)絡(luò)安全整合式設(shè)備 - 高性能安全產(chǎn)品， 集成防火墻、 VPN和流量 管理功能，皆具有市場領(lǐng)先性能產(chǎn)品滿足各大小商業(yè)需求 - 適用于包括寬帶接入的移動用戶，小型、中 型或大型企業(yè)，高流量的電子商務(wù)網(wǎng)站，以及其他網(wǎng)絡(luò)安全的環(huán)境 安裝和管理 - 通過使用內(nèi)置的 WebUI 界面、命令行界面和 NetScreen 中 央管理方案，在幾分鐘內(nèi)完成安裝和管理，并且可以快速實(shí)施到數(shù)千臺 設(shè)備上通用性 - 所有設(shè)備都提供相同核心功能和管理界面，便于管理和操作NetScreen 設(shè)備安全產(chǎn)品線概述NetScreen Technologies,Inc. 的整合式安全設(shè)備

2、是專為互聯(lián)網(wǎng)網(wǎng)絡(luò)安 全而設(shè)，將防火墻、 虛擬專用網(wǎng) (VPN) 和流量管理等功能集于一體， NetScreen 整合式安全設(shè)備具有硬件加速的 IPSec 加密演算性能 ( 包括在 3DES加密的應(yīng)用 下) 、低延時(shí)，可以無縫地部署到任何網(wǎng)絡(luò)。設(shè)備安裝和操控也是非常容易， 可以通過內(nèi)置的 WebUI、命令行界面或 NetScreen 中央管理方案進(jìn)行處理。防火墻NetScreen 提供了可擴(kuò)展的網(wǎng)絡(luò)安全解決方案，適用于包括寬帶移動用 戶、大型企業(yè)，以至電子商務(wù)網(wǎng)站。 NetScreen 全功能防火墻采用實(shí)時(shí)檢測技 術(shù)，可以防止入侵者和拒絕服務(wù) (denial-of-service) 的攻擊。Ne

3、tScreen 的 ScreenOS軟件是 ICSA 認(rèn)證的實(shí)時(shí)檢測防火墻。 全功能解決方案，采用安全優(yōu)化的硬件、操作系統(tǒng)和防火墻，比拼湊 而成的軟件類方案提供更高級的安全水平。強(qiáng)大的攻擊防御能力， 包括 SYN攻擊、ICMP泛濫、端口掃描 (Port Scan) 等攻擊防御能力，配備硬件加速的會話斜率(session ramp rates)性能，即使在最關(guān)鍵性的環(huán)境下也可以提供安全保護(hù)。提供網(wǎng)絡(luò)地址翻譯 (NAT) 、端口地址翻譯 (PAT)- 隱藏內(nèi)部、無法路由 的 IP 地址。虛擬專用 (VPN)所有 NetScreen 安全設(shè)備中都整合了一個(gè)全功能 VPN解決方案，它們支持站點(diǎn)到站點(diǎn)

4、VPN及遠(yuǎn)程接入 VPN應(yīng)用。通過 VPNC測試，與其他通過 IPSec 認(rèn)證的廠商設(shè)備兼容。三倍 DES、DES和 AES加密使用數(shù)字證書 (PKI X.509) ，自動的或手動 的 IKE 。SHA-1 和 MD5認(rèn)證。同時(shí)支持網(wǎng)狀式 (mesh) 及集中星型 (hub and spoke) 的 VPN網(wǎng)絡(luò)，可按VPN部署的需求，配置用其一或整合兩種網(wǎng)絡(luò)拓?fù)洹Ａ髁抗芾砹髁抗芾碓试S網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)視、分析和分配各類網(wǎng)絡(luò)流量使用的帶 寬，有助確保在用戶上網(wǎng)瀏覽時(shí)或在執(zhí)行其他非關(guān)鍵性應(yīng)用時(shí)而不會影響關(guān)鍵 性業(yè)務(wù)的流量。根據(jù) IP 地址、用戶、應(yīng)用或時(shí)間段來進(jìn)行管理。 設(shè)定保障帶寬和最大帶寬。以八

5、種優(yōu)先等級，為流量分配優(yōu)先權(quán)。支援符合行業(yè)標(biāo)準(zhǔn)的 diffserv 數(shù)據(jù)包標(biāo)記， 允許 NetScreen 安全設(shè)備 在 MPLS的環(huán)境下運(yùn)行。強(qiáng)大的 ASIC 功能NetScreen 的安全機(jī)制采用 ASIC，在硬件中處理防火墻訪問策略和加密 算法， 這方面運(yùn)算的速度是軟件類方案不能相比的；同時(shí)它還可以省出中央處理器資源用于管理數(shù)據(jù)流。這種安全加密的 ASIC 更可與 NetScreen 的 ScreenOS操作系統(tǒng)和系統(tǒng)軟件緊密地集成起來，與其他基于通用的商用操作 系統(tǒng)的安全產(chǎn)品相比， NetScreen 產(chǎn)品消除了不必要的軟件層和安全漏洞。 NetScreen 將安全功能提升到系統(tǒng)層次，

6、更可以節(jié)省建立額外平臺帶來的開 支。目前，其他采用 PC或工作站作為平臺的軟件類方案，往往令系統(tǒng)性能大 打折扣。設(shè)備的可靠性和安全性NetScreen 將所有功能集成于單一硬件產(chǎn)品中，它不僅易于安裝和管理， 而且能夠提供更高可靠性和安全性。 由于 NetScreen 設(shè)備沒有其它品牌對硬盤 驅(qū)動器和移動部件所存在的穩(wěn)定型問題， 所以它是對在線時(shí)間要求極高的用戶 的最佳方案。采用 NetScreen 設(shè)備，只需要對防火墻、 VPN和流量管理功能進(jìn) 行配置和管理， 減輕了配置另外的硬件和操作系統(tǒng)。 這個(gè)做法縮短了安裝的時(shí) 間，并在防范安全漏洞的工作上，減少設(shè)定的步驟。完備簡易的管理NetScree

7、n 的安全設(shè)備包括強(qiáng)健的管理支持， 允許網(wǎng)絡(luò)管理員安全地管理 設(shè)備。 由于 VPN功能是內(nèi)置的， 因此可以對所有管理加密， 從而實(shí)現(xiàn)真正的安 全遠(yuǎn)程管理。采用 NetScreen-Global PRO 和 NetScreen-Global PRO Express ，以 菜單選項(xiàng)形式實(shí)現(xiàn)中央站點(diǎn)管理。通過內(nèi)置 WebUI實(shí)現(xiàn)瀏覽操作式的管理。在頻帶內(nèi)，可透過 SSH和 Telnet 進(jìn)入命令行界面 (CLI) ；在頻帶外， 則可透過控制臺和調(diào)制解調(diào)器端口。電子郵件告警、 SNMP traps 和告警。系統(tǒng)日志 (Syslog) 、簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)、WebTrends 和 Micro

8、Muse NetCool 界面可與第三方報(bào)表系統(tǒng)互兼容。產(chǎn)品外觀產(chǎn)品概述NetScreen-204 是目前市場上功能最多的防火墻產(chǎn)品， 可以方便地集成在 許多不同的網(wǎng)絡(luò)環(huán)境中， 包括大中型企業(yè)的辦公室， 電子商務(wù)網(wǎng)站， 數(shù)據(jù)中心 和電信運(yùn)營基礎(chǔ)設(shè)施。它具有 4 個(gè)自適應(yīng) 10/100M 以太網(wǎng)端口，延續(xù)了 NetScreen 防火墻優(yōu)秀的線速處理能力 (400Mbps)- 即使在對系統(tǒng)資源要求極 高的應(yīng)用中(諸如 VPN-3DES加密)也能保持超過 200Mbps的速率。多個(gè)可靈活配置的端口具有 4個(gè)以太網(wǎng)端口， 可以適應(yīng)任何網(wǎng)絡(luò)環(huán)境的要求， 在改變了簡單的內(nèi)、 外網(wǎng)的安全區(qū)域劃分后 NS-2

9、00 系列具有更高的安全水準(zhǔn)，現(xiàn)在可以用設(shè)備具 有的多個(gè)端口把網(wǎng)絡(luò)劃分成多個(gè)區(qū)域， 更有效地把需要保護(hù)的特別區(qū)域與潛在 威脅分離開來。在每個(gè)端口上都可以設(shè)置防火墻保護(hù)策略所有的端口都可防止拒絕服務(wù)式攻擊和其他攻擊， 可以針對來自于外部和 內(nèi)部的攻擊提供安全保護(hù)措施。每個(gè)端口都可配置針對28 種攻擊手段的保護(hù)策略，以便在當(dāng)今不斷變化的網(wǎng)絡(luò)中增加安全防護(hù)的機(jī)動靈活性并提高了安全 系數(shù)。VPN通道可以設(shè)置在任一端口NetScreen-204 防火墻系列可以把任一端口設(shè)置為遵守 IPSec 協(xié)議的 VPN 通道的起點(diǎn)或終點(diǎn)， 從而搭建功能更強(qiáng)的 VPN網(wǎng)絡(luò)。 這個(gè)功能一個(gè)最典型的應(yīng) 用就是在無線局域網(wǎng)

10、中： 把防火墻的內(nèi)部端口設(shè)為 VPN通道的終點(diǎn)， 使無線網(wǎng) 絡(luò)中的內(nèi)部通訊信息得以加密而不被外界破譯。 NetScreen 整合型網(wǎng)絡(luò)安全產(chǎn) 品把防火墻功能和用戶認(rèn)證服務(wù)結(jié)合在一起， 可以鎖定那些沒有經(jīng)過授權(quán)的網(wǎng) 絡(luò)訪問，并且在無線網(wǎng)絡(luò)的通訊中通過加密提供信息的保密。集中星型的 (hub-and-spoke)NetScreen-204 適合部署于集中星型 (hub and spoke)VPN 網(wǎng)絡(luò)的中央站 點(diǎn)。用戶不需要為每個(gè)遠(yuǎn)程站點(diǎn)之間單獨(dú)建立VPN通道， 只需在遠(yuǎn)程和中央站點(diǎn)間設(shè)立一個(gè) VPN通道，讓中央站點(diǎn)把網(wǎng)絡(luò)流量導(dǎo)引到正確的遠(yuǎn)程站點(diǎn)。 NetScreen-204 具有高度 VPN容量

11、和處理性能，可以更容易實(shí)現(xiàn)上述功能。VPN高可用性（冗余設(shè)備）NetScreen-204 支持高可用性 （HA） ，維護(hù)所有對話同步，包括 IPSec 的安 全聯(lián)盟 （SAs） 。由于所有會話和 IPSec SA都在設(shè)備之間被保存和維護(hù)，因此當(dāng) 主系統(tǒng)切換到備份系統(tǒng)時(shí)不會發(fā)生網(wǎng)絡(luò)中斷。（* 注意：所有的功能特性都可以在 ScreenOS3.1.Or1 上實(shí)現(xiàn)，在低版本的 ScreenOS 中有 些功能不支持 ）性能并發(fā)會話： 128,000 每秒的新會話數(shù)： 13,000 防火墻性能： 400Mbps 三倍 DES（128位） ：200Mbps 策略： 4,000 時(shí)間表： 2564 個(gè)自適應(yīng)

12、 10/100M Base-T 以太網(wǎng)口工作模式IP 地址分配防火墻攻擊檢測透明模式（所有端口）：是 路由模式在所有端口：是 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換 ） 在所有端口：是 基于策略的 NAT:是 PAT（端口地址轉(zhuǎn)換）：是 虛擬 IP（Virtual IP）:4 映射 IP（Mapped IP） ： 4,000 IP 路由 - 靜態(tài)路由： 256 每個(gè)端口的用戶數(shù)，信任端：沒有限制靜態(tài)：均支持DHCP client( 動態(tài) IP 分配 ):N/APPPoE client: 非信任端 內(nèi)部 DHCP服務(wù)器：信任端 DHCP Relay: 支持同步攻擊：是ICMP flood 檢測: 是 UDP fl

13、ood 檢測: 是 檢測死 ping(Ping of death): 是 檢測 IP 欺騙 (IP spoofing): 是 檢測端口掃描 (Port scan): 是 檢測陸地攻擊 (Land attack): 是 檢測撕毀攻擊 (Tear drop attack):是過濾 IP 源路由選項(xiàng) (Filter IP source route option): 檢測 IP 地址掃描攻擊 (IP address sweep attack):是檢測 WinNuke attack 攻擊 : 是 Java/ActiveX/Zip/EXE: 是 默認(rèn)分組拒絕 (Default packet deny):

14、是 Dos & DDoS保護(hù): 是 用戶定義的不良 URL： 48Per-source session limiting: 是 Syn fragments: 是Syn and Fin bit set:是No flags in TCP:是FIN with no ACK:是ICMP fragment: 是Large ICMP: 是IP source route:是IP record route:是IP security options:是IP timestamp: 是IP stream: 是IP bad options: 是Unknown protocols: 是VPN專用隧道： 1,000 手動

15、密匙、 IKE、 PKI(X.509) ：是DES(56-bit)& 三倍 DES(168bit) 加密 encryption ：是 完全正向保密 (DH群組)Perfect forward secrecy(DH Groups) ： 1,2,5防止回復(fù)攻擊 (Prevent replay attack) ：是 遠(yuǎn)程接入 VPN(Remote access VPN) ：是L2TP within IPSec ：是 站點(diǎn)間 VPN(Site-to-site VPN) ：是 集中星型 VPN網(wǎng)絡(luò)拓?fù)洌菏?IPSec NAT Traversal ：是IPSec認(rèn)證：SHA-1:是MD5:是PKI 認(rèn)證請

16、求( PKCS 7& PKCS 10)：是 Automated certificate enrollment(SCEP) ：是 Online Certificate Status Protocol(OCSP)：是支持的證書服務(wù)器： Versign 認(rèn)證中心 : 是 Entrust 認(rèn)證中心 : 是 Microsoft 認(rèn)證中心 : 是 RSA Keon 認(rèn)證中心 : 是 IPlanet(Netscape) 認(rèn)證中心 : 是 Baltimore 認(rèn)證中心 : 是 DOD PKI 認(rèn)證中心 : 是防火墻和 VPN用 戶 認(rèn)證內(nèi)置（內(nèi)部）數(shù)據(jù)庫用戶限額： 1,500 ； RADIUS（外部）數(shù)據(jù)庫：

17、是； SA SecureID（ 外部）數(shù)據(jù)庫：是； LDAP（外部）數(shù)據(jù)庫：是；流量管理有保障的帶寬：適用 最大帶寬：適用 優(yōu)先使用帶寬：適用 DiffServ 標(biāo)記：適用負(fù)載均衡輪詢 Round robin ：是；加權(quán)輪詢 Weighted round robin ：是；最少連接 Least connections ：是； 加權(quán)最少連接 Weighted least connections：是；高可用性 (HA)高可用性 (HA) ：是 防火墻和 VPN會話保護(hù)：是 設(shè)備故障監(jiān)測：是 鏈路故障監(jiān)測：是 故障切換網(wǎng)絡(luò)通知：是 新 HA成員認(rèn)證：是 HA流量加密：是系統(tǒng)管理網(wǎng) 址 瀏 覽 器 配

18、 置 管 理( WebUI:HTTP and HTTPS)； 命令行界面 - 控制臺( Command line interface:console，telnet )；命令行界面 (telnet) ；安全命令外殼(兼容 ssh v1)Secure CommandS hell(ssh v1 compatible) ；NetScreen Global Pro ：在新版本的 ScreenOS 發(fā)布后可實(shí) 現(xiàn)；NetScreen Global Pro Express：在新版本的 ScreenOS 發(fā)布后可實(shí)現(xiàn)；在任何借口上經(jīng)過 VPN通道可實(shí)現(xiàn)管理；SNMP完全自定義 MIB管理多個(gè)管理員： 20；遠(yuǎn)

19、程數(shù)據(jù)庫管理： RADIUS； 網(wǎng)絡(luò)管理： 6； 根源管理、管理和只讀三種用戶權(quán)限 (Root Admin,Admin,&Read Only user levels)：是；軟件升級和配置變動： TFTP/WebUI/Global日志 / 監(jiān)控系統(tǒng)日志 (Syslog): 外部；電子郵件 ( 兩個(gè)地址 )E-mail(2 addresses): 是； Web Trends: 外部；SNMP是: ；Traceroute: 是；VPN通道監(jiān)視程序 (VPN tunnel monitor) ：是； Websense URL過濾 : 外部External FlashCompactFlash ： 96 或 512MB可選（ 外接閃存卡 ）PCMCIA閃存 : 無