访问控制

    NetScreen 使用了状态检查的方法来实现动态的包过滤。 相比其他的两种方法简单的包过滤和复杂的应用网关来讲，它具有更快速和更安全的优点。 简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后，就留下了可使黑客劫持端口号的漏洞。 应用网关通过检查应用层所有的包，提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现，因此性能是很低的。 状态检查的链路层代理，另一方面，可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束，防火墙就结束这个连接。在不牺牲安全性的条件下，提供更高的性能。 NetScreen 也可提供网络层的 URL 过滤，并在不久的将来实现病毒扫描的功能。NetScreen 产品也提供信息的和用户的认证。NetScreen是通过建立VPN通道，由MD5实现的ESP信息的认证，并依从IPSec 标准 用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。

    管理 NetScreen 产品可连接信任端口（Trusted ）或 不信任端口（Untrusted）然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口（Untrusted）可以因安全的原因而设置为取消。如果取消它，不信任端口是不可ping的。 (不信任端口（untrusted） 在 1。60版本以前是不可ping的)。 NetScreen 产品同样也可通过console 端口，使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙，可在console口连接一个调制解调器Console口的访问也可因为安全原因设置为取消。 NetScreen 产品也可以通过telnet来管理。Telnet 和Web 管理也可通过VPN 通道加密，提供安全的管理。 管理方便，可通过串口管理，使用命令行方式。也可以在图形方式下用浏览器进行管理，不分硬件平台和操作系统，只要把浏览器打开就可以通过用Web server 的方式来管理。配置简单尤其在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备，可以采用snmp的集中式管理，通过网络管理软件，如SunNetManager来进行管理。而且NetScreen还可以提供备份的远程拨号方式的管理不仅如此，为安全起见，NetScreen 可以关闭远程的管理方式，而只使用本地的、安全的管理方式。

    处理能力及性能指标 。
    具有线速带宽且不受信息包大小影响(wirespeed) 。
    在作地址转换和添加策略时，性能不受任何影响 。
    具有VPN功能，支持IPSEC,DES,TripleDES,人工密钥管理,自动ISAKMP密钥管理，支持MD5 。
    线速带宽的包过滤 。
    支持128,000 个并发连接 。
    5000个高级访问过滤策略 。
    具有网络地址转换功能 。
    支持透明模式传输 。
    动态过滤，具有硬件级代理服务器功能 。
    有实时监控流量和报警功能 。
    可以实现日志记载功能 。
    流量控制，可以根据不同用户及不同策略分配带宽。
    支持8级用户优先级设置 。
    支持服务器负载均衡 。
    动态IP pool,实现端口地址转换 。