网络安全 频道

NetScreen-1000B防火墙应用示例

    访问控制

    NetScreen 使用了状态检查的方法来实现动态的包过滤。 相比其他的两种方法简单的包过滤和复杂的应用网关来讲,它具有更快速和更安全的优点。 简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后,就留下了可使黑客劫持端口号的漏洞。 应用网关通过检查应用层所有的包,提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现,因此性能是很低的。 状态检查的链路层代理,另一方面,可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束,防火墙就结束这个连接。在不牺牲安全性的条件下,提供更高的性能。 NetScreen 也可提供网络层的 URL 过滤,并在不久的将来实现病毒扫描的功能。NetScreen 产品也提供信息的和用户的认证。NetScreen是通过建立VPN通道,由MD5实现的ESP信息的认证,并依从IPSec 标准 用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。

    管理 NetScreen 产品可连接信任端口(Trusted )或 不信任端口(Untrusted)然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口(Untrusted)可以因安全的原因而设置为取消。如果取消它,不信任端口是不可ping的。 (不信任端口(untrusted) 在 1。60版本以前是不可ping的)。 NetScreen 产品同样也可通过console 端口,使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙,可在console口连接一个调制解调器Console口的访问也可因为安全原因设置为取消。 NetScreen 产品也可以通过telnet来管理。Telnet 和Web 管理也可通过VPN 通道加密,提供安全的管理。 管理方便,可通过串口管理,使用命令行方式。也可以在图形方式下用浏览器进行管理,不分硬件平台和操作系统,只要把浏览器打开就可以通过用Web server 的方式来管理。配置简单尤其在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备,可以采用snmp的集中式管理,通过网络管理软件,如SunNetManager来进行管理。而且NetScreen还可以提供备份的远程拨号方式的管理不仅如此,为安全起见,NetScreen 可以关闭远程的管理方式,而只使用本地的、安全的管理方式。

    处理能力及性能指标 。
    具有线速带宽且不受信息包大小影响(wirespeed) 。
    在作地址转换和添加策略时,性能不受任何影响 。
    具有VPN功能,支持IPSEC,DES,TripleDES,人工密钥管理,自动ISAKMP密钥管理,支持MD5 。
    线速带宽的包过滤 。
    支持128,000 个并发连接 。
    5000个高级访问过滤策略 。
    具有网络地址转换功能 。
    支持透明模式传输 。
    动态过滤,具有硬件级代理服务器功能 。
    有实时监控流量和报警功能 。
    可以实现日志记载功能 。
    流量控制,可以根据不同用户及不同策略分配带宽。
    支持8级用户优先级设置 。
    支持服务器负载均衡 。
    动态IP pool,实现端口地址转换 。

0
相关文章