1、NETSCREEN 204 产品介绍 专用的网络安全整合式设备-高性能安全产品,集成防火墙、VPN 和流量管理功能,皆具有市场领先性能 产品满足各大小商业需求-适用于包括宽带接入的移动用户,小型、中型或大型企业,高流量的电子商务网站,以及其他网络安全的环境 安装和管理-通过使用内置的 WebUI 界面、命令行界面和 NetScreen 中央管理方案,在几分钟内完成安装和管理,并且可以快速实施到数千台设备上 通用性-所有设备都提供相同核心功能和管理界面,便于管理和操作NetScreen 设备安全产品线概述NetScreen Technologies,Inc.的整合式安全设备是专为互联网网络安全而
2、设,将防火墙、虚拟专用网(VPN) 和流量管理等功能集于一体,NetScreen 整合式安全设备具有硬件加速的 IPSec 加密演算性能(包括在 3DES加密的应用下)、低延时,可以无缝地部署到任何网络。设备安装和操控也是非常容易,可以通过内置的 WebUI、命令行界面或 NetScreen 中央管理方案进行处理。防火墙NetScreen 提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、大型企业,以至电子商务网站。NetScreen 全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。 NetScreen 的 ScreenOS 软件是 I
3、CSA 认证的实时检测防火墙。 全功能解决方案,采用安全优化的硬件、操作系统和防火墙,比拼凑而成的软件类方案提供更高级的安全水平。 强大的攻击防御能力,包括 SYN 攻击、ICMP 泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速的会话斜率(session ramp rates)性能,即使在最关键性的环境下也可以提供安全保护。 提供网络地址翻译(NAT)、端口地址翻译(PAT)-隐藏内部、无法路由的 IP 地址。虚拟专用(VPN)所有 NetScreen 安全设备中都整合了一个全功能 VPN 解决方案,它们支持站点到站点 VPN 及远程接入 VPN 应用。 通过 VPNC 测试
4、,与其他通过 IPSec 认证的厂商设备兼容。 三倍 DES、DES 和 AES 加密使用数字证书(PKI X.509),自动的或手动的 IKE。 SHA-1 和 MD5 认证。 同时支持网状式(mesh)及集中星型(hub and spoke)的 VPN 网络,可按 VPN 部署的需求,配置用其一或整合两种网络拓扑。流量管理流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽,有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。 根据 IP 地址、用户、应用或时间段来进行管理。 设定保障带宽和最大带宽。 以八种优先等级,为流量分配优先权。 支援符合行业标
5、准的 diffserv 数据包标记,允许 NetScreen 安全设备在 MPLS 的环境下运行。强大的 ASIC 功能NetScreen 的安全机制采用 ASIC,在硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的 ASIC 更可与 NetScreen 的ScreenOS 操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,NetScreen 产品消除了不必要的软件层和安全漏洞。NetScreen 将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。目前,其他采用 PC
6、或工作站作为平台的软件类方案,往往令系统性能大打折扣。设备的可靠性和安全性NetScreen 将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。由于 NetScreen 设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题,所以它是对在线时间要求极高的用户的最佳方案。采用 NetScreen 设备,只需要对防火墙、VPN 和流量管理功能进行配置和管理,减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间,并在防范安全漏洞的工作上,减少设定的步骤。完备简易的管理NetScreen 的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。由于 VPN
7、 功能是内置的,因此可以对所有管理加密,从而实现真正的安全远程管理。 采用 NetScreen-Global PRO 和 NetScreen-Global PRO Express,以菜单选项形式实现中央站点管理。 通过内置 WebUI 实现浏览操作式的管理。 在频带内,可透过 SSH 和 Telnet 进入命令行界面(CLI);在频带外,则可透过控制台和调制解调器端口。 电子邮件告警、SNMP traps 和告警。 系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends 和MicroMuse NetCool 界面可与第三方报表系统互兼容。产品外观产品概述 NetScreen
8、-204 是目前市场上功能最多的防火墙产品,可以方便地集成在许多不同的网络环境中,包括大中型企业的办公室,电子商务网站,数据中心和电信运营基础设施。它具有 4 个自适应 10/100M 以太网端口,延续了NetScreen 防火墙优秀的线速处理能力(400Mbps)-即使在对系统资源要求极高的应用中(诸如 VPN-3DES 加密)也能保持超过 200Mbps 的速率。多个可灵活配置的端口具有 4 个以太网端口,可以适应任何网络环境的要求,在改变了简单的内、外网的安全区域划分后 NS-200 系列具有更高的安全水准,现在可以用设备具有的多个端口把网络划分成多个区域,更有效地把需要保护的特别区域与
9、潜在威胁分离开来。在每个端口上都可以设置防火墙保护策略所有的端口都可防止拒绝服务式攻击和其他攻击,可以针对来自于外部和内部的攻击提供安全保护措施。每个端口都可配置针对 28 种攻击手段的保护策略,以便在当今不断变化的网络中增加安全防护的机动灵活性并提高了安全系数。VPN 通道可以设置在任一端口NetScreen-204 防火墙系列可以把任一端口设置为遵守 IPSec 协议的 VPN通道的起点或终点,从而搭建功能更强的 VPN 网络。这个功能一个最典型的应用就是在无线局域网中:把防火墙的内部端口设为 VPN 通道的终点,使无线网络中的内部通讯信息得以加密而不被外界破译。NetScreen 整合型
10、网络安全产品把防火墙功能和用户认证服务结合在一起,可以锁定那些没有经过授权的网络访问,并且在无线网络的通讯中通过加密提供信息的保密。集中星型的(hub-and-spoke)NetScreen-204 适合部署于集中星型(hub and spoke)VPN 网络的中央站点。用户不需要为每个远程站点之间单独建立 VPN 通道,只需在远程和中央站点间设立一个 VPN 通道,让中央站点把网络流量导引到正确的远程站点。NetScreen-204 具有高度 VPN 容量和处理性能,可以更容易实现上述功能。VPN 高可用性(冗余设备)NetScreen-204 支持高可用性(HA),维护所有对话同步,包括
11、IPSec 的安全联盟(SAs)。由于所有会话和 IPSec SA 都在设备之间被保存和维护,因此当主系统切换到备份系统时不会发生网络中断。(*注意:所有的功能特性都可以在 ScreenOS3.1.Or1 上实现,在低版本的 ScreenOS 中有一些功能不支持 ) 性能并发会话:128,000每秒的新会话数:13,000防火墙性能:400Mbps三倍 DES(128 位):200Mbps策略:4,000时间表:2564 个自适应 10/100M Base-T 以太网口工作模式透明模式(所有端口):是路由模式在所有端口:是NAT(网络地址转换)在所有端口:是基于策略的 NAT:是PAT(端口地
12、址转换):是虚拟 IP(Virtual IP):4映射 IP(Mapped IP):4,000IP 路由-静态路由:256每个端口的用户数,信任端:没有限制 IP 地址分配静态:均支持DHCP client(动态 IP 分配):N/APPPoE client:非信任端内部 DHCP 服务器:信任端DHCP Relay:支持防火墙攻击检测同步攻击:是ICMP flood 检测:是UDP flood 检测:是检测死 ping(Ping of death):是检测 IP 欺骗(IP spoofing):是检测端口扫描(Port scan):是检测陆地攻击(Land attack):是检测撕毁攻击(T
13、ear drop attack):是过滤 IP 源路由选项(Filter IP source route option):是检测 IP 地址扫描攻击(IP address sweep attack):是检测 WinNuke attack 攻击:是Java/ActiveX/Zip/EXE:是默认分组拒绝(Default packet deny):是Dos & DDoS 保护:是用户定义的不良 URL:48Per-source session limiting:是Syn fragments:是Syn and Fin bit set:是No flags in TCP:是FIN with no ACK
14、:是ICMP fragment:是Large ICMP:是IP source route:是IP record route:是IP security options:是IP timestamp:是IP stream:是IP bad options:是Unknown protocols:是VPN 专用隧道:1,000手动密匙、IKE、PKI(X.509) :是DES(56-bit)&三倍 DES(168bit)加密 encryption:是完全正向保密(DH 群组)Perfect forward secrecy(DH Groups):1,2,5防止回复攻击(Prevent replay atta
15、ck):是远程接入 VPN(Remote access VPN):是L2TP within IPSec:是站点间 VPN(Site-to-site VPN):是集中星型 VPN 网络拓扑:是IPSec NAT Traversal:是IPSec认证:SHA-1:是MD5:是PKI 认证请求(PKCS 7& PKCS 10):是Automated certificate enrollment(SCEP):是Online Certificate Status Protocol(OCSP):是支持的证书服务器:Versign 认证中心:是Entrust 认证中心:是Microsoft 认证中心:是RS
16、A Keon 认证中心:是IPlanet(Netscape)认证中心:是Baltimore 认证中心:是DOD PKI 认证中心:是防火墙和 VPN 用户认证内置(内部)数据库用户限额:1,500;RADIUS(外部)数据库:是;SA SecureID(外部)数据库:是;LDAP(外部)数据库:是;流 量 管 理有保障的带宽:适用最大带宽:适用优先使用带宽:适用DiffServ 标记:适用负 载 均 衡轮询 Round robin:是;加权轮询 Weighted round robin:是;最少连接 Least connections:是;加权最少连接 Weighted least conne
17、ctions:是;高可用性(HA)高可用性(HA):是防火墙和 VPN 会话保护:是设备故障监测:是链路故障监测:是故障切换网络通知:是新 HA 成员认证:是HA 流量加密:是系 统 管 理网 址 浏 览 器 配 置 管 理(WebUI:HTTP and HTTPS);命令行界面-控制台(Command line interface:console,telnet);命令行界面(telnet);安全命令外壳(兼容 ssh v1)Secure Command Shell(ssh v1 compatible);NetScreen Global Pro:在新版本的 ScreenOS 发布后可实现;Ne
18、tScreen Global Pro Express:在新版本的 ScreenOS 发布后可实现;在任何借口上经过 VPN 通道可实现管理;SNMP 完全自定义 MIB管理多个管理员:20;远程数据库管理: RADIUS;网络管理:6;根源管理、管理和只读三种用户权限(Root Admin,Admin,&Read Only user levels):是;软件升级和配置变动:TFTP/WebUI/Global日志/监控系统日志(Syslog):外部;电子邮件(两个地址)E-mail(2 addresses):是;Web Trends:外部;SNMP:是;Traceroute:是;VPN 通道监视
19、程序(VPN tunnel monitor):是;Websense URL 过滤:外部External Flash CompactFlash:96 或 512MB 可选(外接闪存卡) PCMCIA 闪存:无;事件日志和告警(Event logs & alarms):是;系统配置脚本(System config script):是;ScreenOS 软件(ScreenOS software):是电源AC(交流)电源: 90-264 可变 VAC(47 到 63Hz);功率消耗:45 瓦;DC(直流)电源:-36 to -72VDC, 功率消耗:50 瓦外 型 尺 寸 10.8 英寸(长) x 1
20、7.5 英寸(宽) x 1.73 英寸(高), 重量7 磅可堆叠 支持支持的标准ARP, TCP/IP, UDP, ICMP, HTTP, RADIUS, IPSec (IPESP), MD5,SHA-1, AES, DES, 3DES, IKE (ISAKMP), TFTP (client), SNMP,X.509v3, DHCP, PPPoE安全标准认证 安全认证:FCC, UL, CE, CUL, C-Tick, VCCI, BSMI, CSA工作环境温度 5-40oC(40 到 105F)湿度 5%-90%,无冷凝平均故障间隔时间(Bellcore model)6.8 年NetScreen 产品保修和服务标准硬件的保修期为一年。根据公布的产品规范,系统软件的保修期为 90 天。另外还提供可选的硬件维修和软件订购服务。建议采用这些服务,以保证系统获得定期软件更新,并保证为最终用户提供高可用性。NetScreen 还提供电话支持服务和培训教程。
