FVX538ProSafeVPN防火墙200常见问题解答.doc

FVX538 ProSafe VPN防火墙200常见问题解答1. 什么是 FVX538 ProSafe VPN防火墙200？ FVX538是网络安全设备，它通过两个宽带调制解调器连线(具备两个广域网端口)，比如DSL或者电缆，可以用来将成长型商用网络内多达253个的局域网用户PC机安全地连接到互联网Internet或广域网2. 它是路由器么？ 是的，它是一个路由器与安全设备的综合体。FVX538除了提供一个网络地址转换(NAT)路由器具有的所有功能外，还有更多安全上的特性3. FVX538有哪些优点？ FVX538对网络提供额外的安全保证，是因为它具有传统NAT路由器不具备的四项重要性质a. 支持两个广域网连接，具有负载平衡，链路聚合，链路冗余等功能b. 能够同时支持200个VPN隧道的VPN终端接入，并具有3DES和AES加密的功能c. 支持QoS服务质量d. 支持简单网络管理协议SNMP与NETGEAR公司的管理软件包如NMS100协调工作e. 基于URL或URL关键字的静态内容过滤f. 根据状态包检测拒绝服务攻击保护g. 日志记录，报告，和入侵检测系统告警h. 可上架，厚度1Ui. 一个用于本地管理的控制端口j. 一个具有5个用户许可的Prosafe VPN客户端软件k. 1个硬件DMZ端口4. 它的其它安全特性如何？比如说防病毒能力 选用FVX538，你的购买是有投资保证的。这是因为FVX538可以在2005年里升级成防病毒，防垃圾邮件，防间谍程序，IDS和SSL VPN等诸多功能。5. 什么是虚拟专用网？ 不同的组织对虚拟专用网有不同的定义。VPN是指具体的机构用户将两个或多个其私有的计算机系统通过某个通用的公网平台如Internet进行互联，然后采用包括认证及加密等技术在内的诸多安全措施确保这些私有的计算机系统能通过这个通用的公网平台实现互联互通。VPNs可以存在于一台独立的计算机和一个专用网络间（客户机服务器模式），也可以在远程局域网和专用网络间（服务器服务器模式）。不同的产品具有不同的安全性，但是大多数安全专家认为，VPNs具有加密，对远程用户或主机授权，以及对公网上的潜在攻击者屏蔽专用网络拓扑信息的机制。6. 什么是VPN终端节点，它有什么功能？ VPN终端节点的功能是：与其它的VPN客户端 (Client-to-box)或者VPN终端节点(box-to-box)建立一条VPN隧道7. FVX538能够同时支持多少条VPN隧道？ 作为它的标准功能，FVX538能够同时支持200条VPN隧道。可以连接总部，分支办公室，移动用户以及合作伙伴等。8. 什么是加密？ 加密是通过数学的方法，将数据由明码电文转换成不能解释的密码文。通常，除了明码电文，加密时还需要提供一个数字密钥。电文和密钥经过加密操作处理后，数据将变得不规则从而确保它的保密性。解密过程是加密的逆操作，它将密码文转换成明码文。9. 在VPN中的数据是如何加密的？ 数据通过软件或专门的硬件加密协处理器进行加密，如FVX538就采用Cavium CN501 加密协处理器进行高速的数据加密。10. 什么是DES和3 DES？ DES，也称为数字加密标准，是在数据传输中发送方与接收方都必须知道一个相同的密钥，用来加密和解密文件，或生成和校验授权密码。NETGEAR DES应用56比特的密钥来加密。而3DES或者称3倍DES，由DES演变而来，应用168位的密钥提供较DES更安全的数据传输。安全专家认为3DES实质上不可能被破译。当然，由于反映时间长且吞吐量下降，它也需要设备有更高的处理能力。11. 什么是IKE? Internet密钥交换是由IETF制定的密钥交换协议。一个IKE安全关联（IKE SA）自动协商加密与认证算法。通过IKE，最初的交换鉴别VPN会话并自动协商用于网络传输中的密钥。12. 什么是安全关联 SA？ 安全关联是一组与一条特定隧道相关的安全设置。一个安全关联将所有建立VPN隧道的设置集中起来。可以建立不同的SA来连接分支机构，进行安全的远程管理，通过没有安全支持的信道。所有SA都需要独特的加密方法，IPsec网关地址以及目的网络地址。IKE包含一个共享的密码。13. 什么是PPTP？ 点对点隧道协议建立在点对点协议（PPP）功能之上，它通过互联网建立到目的地址或主机的隧道，提供远程接入。PPTP通过GRE（generic routing encapsulation）协议封装PPP包，从而PPTP可以灵活处理IP之外的协议。14. 什么是IPSec？ 互联网安全协议IPSec是一个成熟的VPN标准，包括授权以及对在互联网中传输的数据加密。VPN技术应用IPSec加密所有流出的数据，解密所有流入数据，将公用网络，比如说互连网Internet，作为传输媒介。IPSec支持两种模式：传输和隧道。传输模式加密每个数据包的数据，而不机密报头信息。隧道模式更加安全，因为它将报头和数据同时加密。在接收端，一个应用IPSec的接收设备解码每个数据包。发送设备和接收设备必须共享一个密钥。 通常,用于管理密匙的协议标准IKE是和IPSec标准共同一起使用的。不同于PPTP，IPSec只为IP协议服务，而对其它协议不提供安全保证。PPTP支持多种协议，但不如IPSec安全。15. 为什么不直接将电脑联入英特网，而还需要一台路由器？ 随着电脑应用进入家庭和商业领域，人们越来越多的在家用电脑上存储有价值的信息，网络计算机共享网络资源，网络安全成为一个重要问题。仅仅将一个PC机直接连到DSL或者电缆调制解调器，不能为避免黑客攻击提供必要的安全防范。路由器可以提供网络地址转换功能，为上述问题提供了简捷的解决办法。16. 什么是网络地址转换(NAT)？ NAT应用在路由器中，用来阻止黑客攻击局域网。路由器一端的局域网中的”私有”IP地址，将被NAT转换，在外部的互联网看到的，是一个新的公共网IP地址。这个简单措施的优点是，多达253台局域网中的设备，可以被隐藏起来，或者说，被“化妆”从而化解了网络攻击者企图到达某个特定计算机的企图。在互联网Internet上，仅能看到路由器的广域网口IP地址。这项技术通常应用于宽带路由器，为避免黑客攻击提供了初步的保障。17. 路由器和防火墙一样么？ 不一样。尽管在描述路由器隐藏计算机IP地址的能力时，通常应用“firewall”，但真正的防火墙应用静态包检测的技术SPI。防火墙提供更高的安全性，因此，通常防火墙比NAT路由器要昂贵。防火墙允许管理员设置IP地址或域名，当请求来自设置的IP时，允许访问，其它的请求则被过滤掉。防火墙还允许远程访问专用网，这需要应用安全登陆程序和授权证书（VPNs）。防火墙可以被用来防止拒绝服务攻击，以及应用软件提供内容过滤，禁止访问设定的网址。另外还有广泛的报告机制，也就是通常称之为IDS的功能。FVX538，FVS338，FVS318，FWG114P等系列产品都属于真正的防火墙。18. 什么是静态包检测(SPI)？ 静态包检测应用于防火墙上，不仅仅将IP地址从互联网上隐藏起来，还查看每个独立包中的信息，比如他的源地址和目的地址以及它应用的协议，从而根据预设的准则作出相应的反应。通过静态包检测，可以知道包的内容，从而用来防止DoS攻击。19. 什么是DoS拒绝服务攻击？ DoS攻击就是一台或多台电脑发出服务请求而引起目标主机或服务器的功能崩溃。发起DoS攻击的一种方式可以是不停地ping目的主机，要求目的主机响应。如果请求服务的包足够多，那这台不幸的服务器将不能对请求包快速应答，同时也不能执行其它功能。DoS的结果就是拒绝服务。20. SPI如何拒绝“Ping of Death”或者SYNDos攻击？ 路由器将检测每个包，如果它在一定时间内发现许多特定的来自相同地址的Ping包，那这些包将会被抛弃。举另外一个例子，路由器会知道发送请求的源地址属于内部局域网还是局域网外。如果攻击是外部的广域网发起，而攻击包应用的是内部的源地址，一般的路由器速度将会变慢，因为他们不能分辨出响应哪里。基于状态包检测的路由器能够将包的状态和之前的包进行比较，决定哪个源地址是错误的，攻击包将被丢弃，从而避免网络速度的降低。21. DoS攻击有哪些类型？利用TCP/IP中的漏洞进行DoS攻击譬如“Ping of Death”和“Teardrop”： 应用TCP/IP标准中的缺陷的攻击，如SYN Flood和LANAttacks。 以无用的数据充斥网络进行攻击，比如Smurf attack 应用假的IP地址22. 什么是内容过滤？ 路由器能够根据预先设定的规则拒绝用户访问网站。内容过滤可以应用于很多方式。比较流行的方法包括通过页面URL过滤，URL关键字以及一周中的某天和一天中的某个时段。23. FVX538也采用内容过滤么？ 是的。在FVX538的标准功能中包含有内容过滤。这种类型的过滤称为“静态内容过滤”。24. 一台FVX538支持多少用户? 一台FVX538支持多达253个用户。25. 在哪里可以买到这类产品？ FVX538于2005年1月中旬在全球面市。26. FVX538应用哪种处理器？ FVX538应用566 MHz的Intel Xscale IXP42527. FVX538有多少内存？ FVX538拥有16Mb的falsh闪存和32Mb的DRAM，为用户将来功能升级提供充足的空间。28. 如何建立一条VPN隧道至另外一个节点? 为建立VPN隧，你需要：a. 在分支办公室配置一台可以建立VPN隧道的设备，如FVS338b. 针对移动用户的客户端软件，或者可以结束VPN隧道的其它设备，如另一台FVX538。也可以将一个支持IPSec协议的路由器和客户端软件共同使用，来保证远程站点的安全连接。29. 如果需多接点的 VPNs,怎么办？ 同样应用上述规则，对每个节点应用相同的客户端软件或防火墙路由器。30. FVX538支持哪些VPN客户端软件？ FVX538支持NETGEAR Prosafe VPN客户端软件，应用于单用户和五用户(VPN01L & VPN05L)以及Safenet客户端(Soft-PK, SoftRemote)，可在.下载。31. 其他的VPN客户端会怎么样? 一旦其它VPN客户端(比如Microsoft, Nortel, Checkpoint,等等)的兼容性完成确认，NETGEAR将提供对它们进行设置的应用指南，这些指南将在NETGEAR支持的站点得到。然而这些客户端不能作为技术支持服务的一部分。32. 其它VPN硬件设备会怎么样？ 经验证，NETGEAR FVX538与其它FVX538兼容，并通过技术支持站点得到技术支持。同VPN软件客户端相似，技术支持站点也将提供与其它VPN硬件设备的应用指南，但不作为技术支持服务的一部分。33. FVX538支持什么平台？ FVX538可以用于支持TCP/IP协议并且能够应用Netscape 和Windows IE浏览器的平台，如Macintosh, Linux, UNIX等。34. 除了NETGEAR的产品，FVX538能与其它网络产品协调工作么？ 除了NETGEAR 自身的产品，如果其它网络产品应用以太网标准802.3并通过VPNC鉴定，FVX538也可以与它们协调工作。35. 应用FVX538连接到互联网有多容易？ 你可以使用你现存的Web浏览器譬如Netscaper或者Internet Explorer设置FVX538。将你的Cable/DSL调制解调器连接到FVX538后面的广域网端口，将剩余的计算机连接到局域网端口，然后在你的Web浏览器的URL地址栏键入配置FVX538。登陆后，启动Smart Wizard智能安装向导并按照指示操作。完整的信息请参照说明书。36. FVX538支持“Auto Uplink”,什么是“Auto Uplink”？ 当连接到其它局域网设备如交换机或集线器时，Auto uplink提供为局域网端口提供检测正确的连接请求（MDI或者MDI-X）的能力。由于具备这种优点，它省去了对交错电缆以及在设备上要求具备专门的“上连”端口的需求，使得连接到其它设备更加方便。37. FVX538与我现有的电缆和DSL因特网服务能协调工作么？ FVX538可以与大多数电缆和DSL互联网服务提供商协调工作，然而，有一些服务提供商要求特定的配置，如主机名、域名等。调制解调器有一个以太端口与路由器相连。38. 静态IP与动态IP寻址有什么区别？ 静态地址，是当用户第一次注册互联网服务时，永久分配给用户的地址。动态分配IP地址是当你连接到网络时，暂时分配的，它有一个预先设定的使用时限。39. 应用FVX538时，我怎样才能玩网络游戏，如帝国时代，地震，虚幻竞技场等，以及怎样使用Napster, ICQ, AIM等应用？ 通过Web配置界面，使FVX538具备公网服务器的功能。一般来讲，VPN产品不推荐游戏玩家使用，因为安全级别问题，为了安全连接所需要的处理，以及加密使得吞吐量减缓，这可能对反应时间产生不利的影响。40. FVX538支持“DMZ”硬件么？ 是的。FVX538支持暴露主机服务，或者被称为DMZ。这就允许你在防火墙外设置一台设备，如web服务器或用于游戏的PC机。详细情况请参照说明书。41. 什么是PPPoE？ PPPoE（基于以太网的点对点协议）是指IETF的PPP工作组提出的RF