【IT168 专稿】Netscreen-1000防火墙是一种高性能的硬件防火墙,其目标用户是IDC和大型电子商务网站。所谓硬件防火墙是指策略的执行和加解密由ASIC芯片执行,因此比其它防火墙速度要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙,对于大部份的应用Netscreen防火墙是监测整个通讯状态,如果发现通讯状态不正常便拒绝进入受保护的内部网络,对于FTP或H232等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。
在Netscreen 防火墙系列中Netscren-500和Netscren-1000是两款高端产品,Netscreen-500带宽为700兆,Netscreen-1000带宽最低可达到600 兆,可升级到1000兆。适合应用在大型企业和IDC,它是业界唯一千兆级的防火墙。
Netscreen-1000为可升级的体系结构,可根据网络环境来确定配置。网络接口有两个,分别是Trust口和Untrust接口,Trust口接内部需要保护的网络;Untrust接口连接外部不安全的网络。其它端口有管理端口和HA端口等。
注:HA(High Availiablity)口是Netscreen-1000作热备份时同步口。
一.Netscreen-500和Netscreen-1000适合IDC的突出特性有:
1、 高带宽(600兆-1000兆) 高带宽的Netscreen-500和Netscreen-1000防火墙专为IDC或特大型企业网络而设计。随着主机托管市场的快速成长,IDC的出口带宽不断增加,软件防火墙无疑会成为带宽瓶颈。Netscreen防火墙以其少有的高吞吐数据量完全能满足IDC的宽带需求。
2、 高可靠性或热备份(HA)IDC不仅为用户提供高带宽的数据通道,而且还要能确保网络的可靠运行。由于防火墙所处的特殊位置,如果出现故障不仅对用户造成损失,而且还会对IDC的信誉造成负面影响。因此防火墙的高可靠性是应用在IDC的一个重要指标。
3、 支持多个虚拟系统(虚拟防火墙)传统的IDC中用户的安全措施是分布式的,必需在每个用户的服务器网段安装单独的防火墙,这样作的缺点是不便于管理,占用大量机架空间。一个Netscreen-1000或Netscreen-500防火墙能为IDC用户提供多达100个虚拟的防火墙,可以给每个用户分配一个虚拟系统,并由用户管理自己的虚拟防火墙系统。
4、 支持VLAN(802.1q)在Netscreen防火墙连接内部网的Trust接口支持绑定多个子接口和802.1q协议,因此可在IDC网络中将不同用户的网段分配给相应的接口,然后将子接口及相对应的网段分配给虚拟系统。再将虚拟系统分配给用户,因此对用户而言他们得到的是一个独立的防火墙。