NetScreen-50产品介绍.doc

NS-50产品简介NetScreen-50产品介绍产品特点l 专用的网络安全整合式设备-高性能安全产品，集成防火墙、VPN和流量管理功能，皆具有市场领先性能l 产品满足各大小商业需求-适用于包括宽带接入的移动用户，小型、中型或大型企业，高流量的电子商务网站，以及其他网络安全的环境l 安装和管理-通过使用内置的WebUI界面、命令行界面和NetScreen中央管理方案，在几分钟内完成安装和管理，并且可以快速实施到数千台设备上l 通用性-所有设备都提供相同核心功能和管理界面，便于管理和操作NetScreen设备安全产品线概述NetScreen Technologies,Inc.的整合式安全设备是专为互联网网络安全而设，将防火墙、虚拟专用网(VPN) 和流量管理等功能集于一体，NetScreen整合式安全设备具有硬件加速的IPSec加密演算性能(包括在3DES加密的应用下)、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或NetScreen中央管理方案进行处理。防火墙NetScreen提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、大型企业，以至电子商务网站。NetScreen全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。l NetScreen的ScreenOS软件是ICSA认证的实时检测防火墙。l 全功能解决方案，采用安全优化的硬件、操作系统和防火墙，比拼凑而成的软件类方案提供更高级的安全水平。l 强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话斜率(session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。l 提供网络地址翻译(NAT)、端口地址翻译(PAT)-隐藏内部、无法路由的IP地址。虚拟专用（VPN）所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。l 通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。l 三倍DES、DES和AES加密使用数字证书(PKI X.509)，自动的或手动的IKE。l SHA-1和MD5认证。l 同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。流量管理流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。l 根据IP地址、用户、应用或时间段来进行管理。l 设定保障带宽和最大带宽。l 以八种优先等级，为流量分配优先权。l 支援符合行业标准的diffserv数据包标记，允许NetScreen安全设备在MPLS的环境下运行。强大的ASIC功能NetScreen的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与NetScreen的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，NetScreen产品消除了不必要的软件层和安全漏洞。NetScreen将安全功能提升到系统层次，更可以节省建立额外平台带来的开支。目前，其他采用PC或工作站作为平台的软件类方案，往往令系统性能大打折扣。设备的可靠性和安全性NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题，所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间，并在防范安全漏洞的工作上，减少设定的步骤。完备简易的管理NetScreen的安全设备包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从而实现真正的安全远程管理。l 采用NetScreen-Global PRO和NetScreen-Global PRO Express，以菜单选项形式实现中央站点管理。l 通过内置WebUI实现浏览操作式的管理。l 在频带内，可透过SSH和Telnet进入命令行界面(CLI)；在频带外，则可透过控制台和调制解调器端口。l 电子邮件告警、SNMP traps和告警。l 系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuse NetCool界面可与第三方报表系统互兼产品外观产品概述 NetScreen-50防火墙为中小型公司企业的办事处、远程办公室提供了一套完整的网络安全解决方案。NetScreen-50是个高性能的安全应用方案，具有四个自适应10/100 Base-以太网口（信任Trust,非信任Untrust,DMZ，另外一个留作将来使用），它能够提供170Mbps的防火墙数据流量和50Mbps的3倍DES加密VPN性能，保护局域网(LANs)以及与外网建立数据交流的mail服务器，web服务器和FTP服务器的安全。NetScreen-50支持8,000个并发TCP/IP会话和100个VPN通道。性能价格比最优的产品NetScreen-50防火墙为整合式安全设备，将防火墙、虚拟专用网(VPN)和流量管理等功能集于一体并通过ScreenOS可以方便设置与管理，是价格合理、功能齐全的网络安全整合方案。IPSec NAT穿越（Traversal）所有NetScreen设备可以通过IPSec通道连接两台NetScreen的产品，即使中间存在执行NAT的插入设备时，仍能将两台NetScreen产品连接，或将一台NetScreen产品与兼容的远程客户端连接。DHCP服务器所有的NetScreen安全设备可以配置成DHCP服务器，为内部信任网络分配IP地址。这减少了许多与IP地址管理有关的管理问题和维护时间。集中星型的（hub-and-spoke）VPNNetScreen的星型VPN特点大大简化了大规模VPN的部署，因为分支办公室和远程站点可以把总部作为中央站点，以传输远程站点之间的加密流量。NetScreen-50 系统特性（技术参数）(注意：所有的功能特性都可以在ScreenOS3.0.0r1上实现，在低版本的ScreenOS中有一些功能不支持，现有三个端口可以使用，第四个端口可以在新版本的ScreenOS中发布后使用) 性能并发会话：8,000每秒的新会话数：8,000防火墙性能：170Mbps三倍DES(128位)：50Mbps策略：1,000时间表：256工作模式透明模式（所有端口）：是路由模式：是路由模式在所有端口：是NAT(网络地址转换)：是基于策略的NAT:是PAT(端口地址转换）：是虚拟IP(Virtual IP):2映射IP(Mapped IP)：1,000IP路由-静态路由：60每个端口的用户数，信任端：没有限制 IP地址分配静态：均支持DHCP client(动态IP分配):非信任端PPPoE client:非信任端内部DHCP服务器：信任端DHCP Relay:支持防火墙攻击检测同步攻击：是ICMP flood检测:是UDP flood检测:是检测死ping(Ping of death):是检测IP欺骗(IP spoofing):是检测端口扫描(Port scan):是检测陆地攻击(Land attack):是检测撕毁攻击(Tear drop attack):是过滤IP源路由选项(Filter IP source route option):是检测IP地址扫描攻击(IP address sweep attack):是检测WinNuke attack攻击:是Java/ActiveX/Zip/EXE:是默认分组拒绝(Default packet deny):是Dos & DDoS保护:是用户定义的不良URL：48Per-source session limiting:是Syn fragments:以后的ScreenOS将支持Syn and Fin bit set:以后的ScreenOS将支持No flags in TCP:以后的ScreenOS将支持FIN with no ACK:以后的ScreenOS将支持ICMP fragment:以后的ScreenOS将支持Large ICMP:以后的ScreenOS将支持IP source route:以后的ScreenOS将支持IP record route:以后的ScreenOS将支持IP security options:以后的ScreenOS将支持IP timestamp:以后的ScreenOS将支持IP stream:以后的ScreenOS将支持IP bad options:以后的ScreenOS将支持Unknown protocols:以后的ScreenOS将支持VPN 专用隧道：100手动密匙、IKE、PKI(X.509) ：是DES(56-bit)&三倍DES(168bit)加密encryption：是完全正向保密(DH群组)Perfect forward secrecy(DH Groups)：1,2,5防止回复攻击(Prevent replay attack)：是远程接入VPN(Remote access VPN)：是L2TP within IPSec：是站点间VPN(Site-to-site VPN)：是集中星型VPN网络拓扑：是IPSec NAT Traversal：是IPSec认证：SHA-1:是MD5:是PKI认证请求（PKCS 7& PKCS 10）：是Automated certificate enrollment(SCEP)：是Online Certificate Status Protocol(OCSP)：是支持的证书服务器：Versign认证中心:是Entrust认证中心:是Microsoft认证中心:是RSA Keon认证中心:是IPlanet(Netscape)认证中心:是Baltimore认证中心:是防火墙和VPN用户认证内置（内部）数据库用户限额：500；RADIUS（外部）数据库：是；SA SecureID(外部）数据库：是；LDAP（外部）数据库：是；流 量 管 理有保障的带宽：适用最大带宽：适用优先使用带宽：适用DiffServ标记：适用负 载 均 衡轮询Round robin：N/A；加权轮询Weighted round robin：N/A；最少连接Least connections：N/A；加权最少连接Weighted least connections：N/A；高可用性(HA)高可用性(HA)：N/A；防火墙和VPN会话保护：N/A；设备故障监测：N/A；链路故障监测：N/A；故障切换网络通知：N/A；新HA成员认证：N/A；HA流量加密：N/A；系 统 管 理网 址 浏 览 器 配 置 管 理（WebUI:HTTP and HTTPS）；命令行界面-控制台（Command line interface:console，telnet）；命令行界面(telnet)；安全命令外壳（兼容ssh v1)Secure Command Shell(ssh v1 compatible)；NetScreen Global Pro Express；NetScreen Global Pro：；在任何借口上经过VPN通道可实现管理；SNMP完全自定义MIB管理多个管理员：20；远程数据库管理： RADIUS；网络管理：6；根源管理、管理和只读三种用户权限(Root Admin,Admin,&Read Only user levels)：是；软件升级和配置变动：TFTP/WebUI/Global日志/监控系统日志(Syslog):外部；电子邮件(两个地址)E-mail(2 addresses):是；Web Trends:外部；SNMP:是；Traceroute:是；VPN通道监视程序(VPN tunnel monitor)：是；Websense URL过滤:外部PCMCIAPCMCIA闪存:无；CompactFlash：96或512MB可选 事件日志和告警(Event logs & alarms):是；系统配置脚本(System config script):是；ScreenOS软件(ScreenOS software):是电源AC(交流）电源: 90-264可变VAC(47到63Hz)；功率消耗：45瓦；DC(直流）电源：-36 to -72VDC, 功率消耗：50瓦外 型 尺 寸10.8英寸(长) x 17.5英寸(宽) x 1.72英寸(高), 重量7磅支持的标准ARP, TCP/IP