NETSCREEN204产品介绍

1、NETSCREEN 204 产品介绍专用的网络安全整合式设备 - 高性能安全产品， 集成防火墙、 VPN和流量 管理功能，皆具有市场领先性能产品满足各大小商业需求 - 适用于包括宽带接入的移动用户，小型、中 型或大型企业，高流量的电子商务网站，以及其他网络安全的环境 安装和管理 - 通过使用内置的 WebUI 界面、命令行界面和 NetScreen 中 央管理方案，在几分钟内完成安装和管理，并且可以快速实施到数千台 设备上通用性 - 所有设备都提供相同核心功能和管理界面，便于管理和操作NetScreen 设备安全产品线概述NetScreen Technologies,Inc. 的整合式安全设备

2、是专为互联网网络安 全而设，将防火墙、 虚拟专用网 (VPN) 和流量管理等功能集于一体， NetScreen 整合式安全设备具有硬件加速的 IPSec 加密演算性能 ( 包括在 3DES加密的应用 下) 、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易， 可以通过内置的 WebUI、命令行界面或 NetScreen 中央管理方案进行处理。防火墙NetScreen 提供了可扩展的网络安全解决方案，适用于包括宽带移动用 户、大型企业，以至电子商务网站。 NetScreen 全功能防火墙采用实时检测技 术，可以防止入侵者和拒绝服务 (denial-of-service) 的攻击。Ne

3、tScreen 的 ScreenOS软件是 ICSA 认证的实时检测防火墙。 全功能解决方案，采用安全优化的硬件、操作系统和防火墙，比拼凑 而成的软件类方案提供更高级的安全水平。强大的攻击防御能力， 包括 SYN攻击、ICMP泛滥、端口扫描 (Port Scan) 等攻击防御能力，配备硬件加速的会话斜率(session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。提供网络地址翻译 (NAT) 、端口地址翻译 (PAT)- 隐藏内部、无法路由 的 IP 地址。虚拟专用 (VPN)所有 NetScreen 安全设备中都整合了一个全功能 VPN解决方案，它们支持站点到站点

4、VPN及远程接入 VPN应用。通过 VPNC测试，与其他通过 IPSec 认证的厂商设备兼容。三倍 DES、DES和 AES加密使用数字证书 (PKI X.509) ，自动的或手动 的 IKE 。SHA-1 和 MD5认证。同时支持网状式 (mesh) 及集中星型 (hub and spoke) 的 VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。流量管理流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带 宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键 性业务的流量。根据 IP 地址、用户、应用或时间段来进行管理。 设定保障带宽和最大带宽。以八

5、种优先等级，为流量分配优先权。支援符合行业标准的 diffserv 数据包标记， 允许 NetScreen 安全设备 在 MPLS的环境下运行。强大的 ASIC 功能NetScreen 的安全机制采用 ASIC，在硬件中处理防火墙访问策略和加密 算法， 这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的 ASIC 更可与 NetScreen 的 ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作 系统的安全产品相比， NetScreen 产品消除了不必要的软件层和安全漏洞。 NetScreen 将安全功能提升到系统层次，

6、更可以节省建立额外平台带来的开 支。目前，其他采用 PC或工作站作为平台的软件类方案，往往令系统性能大 打折扣。设备的可靠性和安全性NetScreen 将所有功能集成于单一硬件产品中，它不仅易于安装和管理， 而且能够提供更高可靠性和安全性。 由于 NetScreen 设备没有其它品牌对硬盘 驱动器和移动部件所存在的稳定型问题， 所以它是对在线时间要求极高的用户 的最佳方案。采用 NetScreen 设备，只需要对防火墙、 VPN和流量管理功能进 行配置和管理， 减轻了配置另外的硬件和操作系统。 这个做法缩短了安装的时 间，并在防范安全漏洞的工作上，减少设定的步骤。完备简易的管理NetScree

7、n 的安全设备包括强健的管理支持， 允许网络管理员安全地管理 设备。 由于 VPN功能是内置的， 因此可以对所有管理加密， 从而实现真正的安 全远程管理。采用 NetScreen-Global PRO 和 NetScreen-Global PRO Express ，以 菜单选项形式实现中央站点管理。通过内置 WebUI实现浏览操作式的管理。在频带内，可透过 SSH和 Telnet 进入命令行界面 (CLI) ；在频带外， 则可透过控制台和调制解调器端口。电子邮件告警、 SNMP traps 和告警。系统日志 (Syslog) 、简单网络管理协议 (SNMP)、WebTrends 和 Micro

8、Muse NetCool 界面可与第三方报表系统互兼容。产品外观产品概述NetScreen-204 是目前市场上功能最多的防火墙产品， 可以方便地集成在 许多不同的网络环境中， 包括大中型企业的办公室， 电子商务网站， 数据中心 和电信运营基础设施。它具有 4 个自适应 10/100M 以太网端口，延续了 NetScreen 防火墙优秀的线速处理能力 (400Mbps)- 即使在对系统资源要求极 高的应用中(诸如 VPN-3DES加密)也能保持超过 200Mbps的速率。多个可灵活配置的端口具有 4个以太网端口， 可以适应任何网络环境的要求， 在改变了简单的内、 外网的安全区域划分后 NS-2

9、00 系列具有更高的安全水准，现在可以用设备具 有的多个端口把网络划分成多个区域， 更有效地把需要保护的特别区域与潜在 威胁分离开来。在每个端口上都可以设置防火墙保护策略所有的端口都可防止拒绝服务式攻击和其他攻击， 可以针对来自于外部和 内部的攻击提供安全保护措施。每个端口都可配置针对28 种攻击手段的保护策略，以便在当今不断变化的网络中增加安全防护的机动灵活性并提高了安全 系数。VPN通道可以设置在任一端口NetScreen-204 防火墙系列可以把任一端口设置为遵守 IPSec 协议的 VPN 通道的起点或终点， 从而搭建功能更强的 VPN网络。 这个功能一个最典型的应 用就是在无线局域网

10、中： 把防火墙的内部端口设为 VPN通道的终点， 使无线网 络中的内部通讯信息得以加密而不被外界破译。 NetScreen 整合型网络安全产 品把防火墙功能和用户认证服务结合在一起， 可以锁定那些没有经过授权的网 络访问，并且在无线网络的通讯中通过加密提供信息的保密。集中星型的 (hub-and-spoke)NetScreen-204 适合部署于集中星型 (hub and spoke)VPN 网络的中央站 点。用户不需要为每个远程站点之间单独建立VPN通道， 只需在远程和中央站点间设立一个 VPN通道，让中央站点把网络流量导引到正确的远程站点。 NetScreen-204 具有高度 VPN容量

11、和处理性能，可以更容易实现上述功能。VPN高可用性（冗余设备）NetScreen-204 支持高可用性 （HA） ，维护所有对话同步，包括 IPSec 的安 全联盟 （SAs） 。由于所有会话和 IPSec SA都在设备之间被保存和维护，因此当 主系统切换到备份系统时不会发生网络中断。（* 注意：所有的功能特性都可以在 ScreenOS3.1.Or1 上实现，在低版本的 ScreenOS 中有 些功能不支持 ）性能并发会话： 128,000 每秒的新会话数： 13,000 防火墙性能： 400Mbps 三倍 DES（128位） ：200Mbps 策略： 4,000 时间表： 2564 个自适应

12、 10/100M Base-T 以太网口工作模式IP 地址分配防火墙攻击检测透明模式（所有端口）：是 路由模式在所有端口：是 NAT（网络地址转换 ） 在所有端口：是 基于策略的 NAT:是 PAT（端口地址转换）：是 虚拟 IP（Virtual IP）:4 映射 IP（Mapped IP） ： 4,000 IP 路由 - 静态路由： 256 每个端口的用户数，信任端：没有限制静态：均支持DHCP client( 动态 IP 分配 ):N/APPPoE client: 非信任端 内部 DHCP服务器：信任端 DHCP Relay: 支持同步攻击：是ICMP flood 检测: 是 UDP fl

13、ood 检测: 是 检测死 ping(Ping of death): 是 检测 IP 欺骗 (IP spoofing): 是 检测端口扫描 (Port scan): 是 检测陆地攻击 (Land attack): 是 检测撕毁攻击 (Tear drop attack):是过滤 IP 源路由选项 (Filter IP source route option): 检测 IP 地址扫描攻击 (IP address sweep attack):是检测 WinNuke attack 攻击 : 是 Java/ActiveX/Zip/EXE: 是 默认分组拒绝 (Default packet deny):

14、是 Dos & DDoS保护: 是 用户定义的不良 URL： 48Per-source session limiting: 是 Syn fragments: 是Syn and Fin bit set:是No flags in TCP:是FIN with no ACK:是ICMP fragment: 是Large ICMP: 是IP source route:是IP record route:是IP security options:是IP timestamp: 是IP stream: 是IP bad options: 是Unknown protocols: 是VPN专用隧道： 1,000 手动

15、密匙、 IKE、 PKI(X.509) ：是DES(56-bit)& 三倍 DES(168bit) 加密 encryption ：是 完全正向保密 (DH群组)Perfect forward secrecy(DH Groups) ： 1,2,5防止回复攻击 (Prevent replay attack) ：是 远程接入 VPN(Remote access VPN) ：是L2TP within IPSec ：是 站点间 VPN(Site-to-site VPN) ：是 集中星型 VPN网络拓扑：是 IPSec NAT Traversal ：是IPSec认证：SHA-1:是MD5:是PKI 认证请

16、求( PKCS 7& PKCS 10)：是 Automated certificate enrollment(SCEP) ：是 Online Certificate Status Protocol(OCSP)：是支持的证书服务器： Versign 认证中心 : 是 Entrust 认证中心 : 是 Microsoft 认证中心 : 是 RSA Keon 认证中心 : 是 IPlanet(Netscape) 认证中心 : 是 Baltimore 认证中心 : 是 DOD PKI 认证中心 : 是防火墙和 VPN用 户 认证内置（内部）数据库用户限额： 1,500 ； RADIUS（外部）数据库：

17、是； SA SecureID（ 外部）数据库：是； LDAP（外部）数据库：是；流量管理有保障的带宽：适用 最大带宽：适用 优先使用带宽：适用 DiffServ 标记：适用负载均衡轮询 Round robin ：是；加权轮询 Weighted round robin ：是；最少连接 Least connections ：是； 加权最少连接 Weighted least connections：是；高可用性 (HA)高可用性 (HA) ：是 防火墙和 VPN会话保护：是 设备故障监测：是 链路故障监测：是 故障切换网络通知：是 新 HA成员认证：是 HA流量加密：是系统管理网 址 浏 览 器 配

18、 置 管 理( WebUI:HTTP and HTTPS)； 命令行界面 - 控制台( Command line interface:console，telnet )；命令行界面 (telnet) ；安全命令外壳(兼容 ssh v1)Secure CommandS hell(ssh v1 compatible) ；NetScreen Global Pro ：在新版本的 ScreenOS 发布后可实 现；NetScreen Global Pro Express：在新版本的 ScreenOS 发布后可实现；在任何借口上经过 VPN通道可实现管理；SNMP完全自定义 MIB管理多个管理员： 20；远

19、程数据库管理： RADIUS； 网络管理： 6； 根源管理、管理和只读三种用户权限 (Root Admin,Admin,&Read Only user levels)：是；软件升级和配置变动： TFTP/WebUI/Global日志 / 监控系统日志 (Syslog): 外部；电子邮件 ( 两个地址 )E-mail(2 addresses): 是； Web Trends: 外部；SNMP是: ；Traceroute: 是；VPN通道监视程序 (VPN tunnel monitor) ：是； Websense URL过滤 : 外部External FlashCompactFlash ： 96 或 512MB可选（ 外接闪存卡 ）PCMCIA闪存 : 无