NETSCREEN 25技术参数
产品特点
- 专用的网络安全整合式设备--高性能安全产品,集成防火墙、VPN和流量管理功能,皆具有市场领先性能
- 产品满足各大小商业需求--适用于包括宽带接入的移动用户,小型、中型或大型企业,高流量的电子商务网站,以及其他网络安全的环境
- 安装和管理--通过使用内置的WebUI界面、命令行界面和NetScreen中央管理方案,在几分钟内完成安装和管理,并且可以快速实施到数千台设备上
- 通用性--所有设备都提供相同核心功能和管理界面,便于管理和操作
NetScreen设备安全产品线概述
NetScreen Technologies,Inc.的整合式安全设备是专为互联网网络安全而设,将防火墙、虚拟专用网(VPN) 和流量管理等功能集于一体,NetScreen整合式安全设备具有硬件加速的IPSec加密演算性能(包括在3DES加密的应用下)、低延时,可以无缝地部署到任何网络。设备安装和操控也是非常容易,可以通过内置的WebUI、命令行界面或NetScreen中央管理方案进行处理。
防火墙
NetScreen提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、大型企业,以至电子商务网站。NetScreen全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。
- NetScreen的ScreenOS软件是ICSA认证的实时检测防火墙。
- 全功能解决方案,采用安全优化的硬件、操作系统和防火墙,比拼凑而成的软件类方案提供更高级的安全水平。
- 强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速的会话斜率(session ramp rates)性能,即使在最关键性的环境下也可以提供安全保护。
- 提供网络地址翻译(NAT)、端口地址翻译(PAT)--隐藏内部、无法路由的IP地址。
虚拟专用(VPN)
所有NetScreen安全设备中都整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
- 通过VPNC测试,与其他通过IPSec认证的厂商设备兼容。
- 三倍DES、DES和AES加密使用数字证书(PKI X.509),自动的或手动的IKE。
- SHA-1和MD5认证。
- 同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。
流量管理
流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽,有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。
- 根据IP地址、用户、应用或时间段来进行管理。
- 设定保障带宽和最大带宽。
- 以八种优先等级,为流量分配优先权。
- 支援符合行业标准的diffserv数据包标记,允许NetScreen安全设备在MPLS的环境下运行。
强大的ASIC功能
NetScreen的安全机制采用ASIC,在硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与NetScreen的ScreenOS操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,NetScreen产品消除了不必要的软件层和安全漏洞。NetScreen将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。
设备的可靠性和安全性
NetScreen将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题,所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备,只需要对防火墙、VPN和流量管理功能进行配置和管理,减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间,并在防范安全漏洞的工作上,减少设定的步骤。
完备简易的管理
NetScreen的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。由于VPN功能是内置的,因此可以对所有管理加密,从而实现真正的安全远程管理。
- 采用NetScreen-Global PRO和NetScreen-Global PRO Express,以菜单选项形式实现中央站点管理。
- 通过内置WebUI实现浏览操作式的管理。
- 在频带内,可透过SSH和Telnet进入命令行界面(CLI);在频带外,则可透过控制台和调制解调器端口。
- 电子邮件告警、SNMP traps和告警。
- 系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuse NetCool界面可与第三方报表系统互兼容。
产品外观
产品概述
NetScreen-25防火墙为中小型公司企业的办事处、远程办公室提供了一套完整的网络安全解决方案。NetScreen-25是个高性能的安全应用方案,具有四个自适应10/100 Base-以太网口(信任Trust,非信任Untrust,DMZ,另外一个留作将来使用),它能够提供100Mbps的防火墙数据流量和20Mbps的3倍DES加密VPN性能,保护局域网(LANs)以及与外网建立数据交流的mail服务器,web服务器和FTP服务器的安全。NetScreen-25支持16,000个并发TCP/IP会话和25个VPN通道。
性能价格比最优的产品
NetScreen-25防火墙为整合式安全设备,将防火墙、虚拟专用网(VPN)和流量管理等功能集于一体并通过ScreenOS可以方便设置与管理,是价格合理、功能齐全的网络安全整合方案。
NAT穿越
所有NetScreen设备可以通过IPSec通道连接两台NetScreen的产品,即使中间存在执行NAT的插入设备时,仍能将两台NetScreen产品连接,或将一台NetScreen产品与兼容的远程客户端连接。
DHCP服务器
所有的NetScreen安全设备可以配置成DHCP服务器,为内部信任网络分配IP地址。这减少了许多与IP地址管理有关的管理问题和维护时间。
集中星型的(hub-and-spoke)VPN
NetScreen的星型VPN特点大大简化了大规模VPN的部署,因为分支办公室和远程站点可以把总部作为中央站点,以传输远程站点之间的加密流量。
性能 | 并发会话:16,000
每秒的新会话数:7,000
防火墙性能:100Mbps
三倍DES(128位):20Mbps
策略:500
时间表:256 |
工作模式 | 透明模式(所有端口):是
路由模式:是
路由模式在所有端口:是
NAT(网络地址转换):是
基于策略的NAT:是
PAT(端口地址转换):是
虚拟IP(Virtual IP):2
映射IP(Mapped IP):500
IP路由--静态路由:2000
每个端口的用户数,信任端:没有限制 |
IP地址分配 |
静态:均支持
DHCP client(动态IP分配):非信任端
PPPoE client:非信任端
内部DHCP服务器:信任端
DHCP Relay:支持
|
防火墙攻击检测 | 同步攻击:是
ICMP flood检测:是
UDP flood检测:是
检测死ping(Ping of death):是
检测IP欺骗(IP spoofing):是
检测端口扫描(Port scan):是
检测陆地攻击(Land attack):是
检测撕毁攻击(Tear drop attack):是
过滤IP源路由选项(Filter IP source route option):是
检测IP地址扫描攻击(IP address sweep attack):是
检测WinNuke attack攻击:是
Java/ActiveX/Zip/EXE:是
默认分组拒绝(Default packet deny):是
Dos & DDoS保护:是
用户定义的不良URL:48
Per-source session limiting:是
Syn fragments:支持
Syn and Fin bit set:支持
No flags in TCP:支持
FIN with no ACK:支持
ICMP fragment:支持
Large ICMP:支持
IP source route:支持
IP record route:支持
IP security options:支持
IP timestamp:支持
IP stream:支持
IP bad options:支持
Unknown protocols:支持 |
VPN | 专用隧道:25
手动密匙、IKE、PKI(X.509) :是
DES(56-bit)&三倍DES(168bit)加密encryption:是
完全正向保密(DH群组)Perfect forward secrecy(DH Groups):1,2,5
防止回复攻击(Prevent replay attack):是
远程接入VPN(Remote access VPN):是
L2TP within IPSec:是
站点间VPN(Site-to-site VPN):是
集中星型VPN网络拓扑:是
IPSec NAT Traversal:是 |
IPSec | 认证:
SHA-1:是
MD5:是
PKI认证请求(PKCS 7& PKCS 10):是
Automated certificate enrollment(SCEP):是
Online Certificate Status Protocol(OCSP):是 支持的证书服务器:
Versign认证中心:是
Entrust认证中心:是
Microsoft认证中心:是
RSA Keon认证中心:是
IPlanet(Netscape)认证中心:是
Baltimore认证中心:是 |
|
防火墙和VPN用户
认证 | 内置(内部)数据库用户限额:250;
RADIUS(外部)数据库:是;
SA SecureID(外部)数据库:是;
LDAP(外部)数据库:是; |
流 量 管 理 | 有保障的带宽:适用
最大带宽:适用
优先使用带宽:适用
DiffServ标记:适用 |
负 载 均 衡 | 轮询Round robin:N/A;
加权轮询Weighted round robin:N/A;
最少连接Least connections:N/A;
加权最少连接Weighted least connections:N/A |
高可用性(HA) | 高可用性(HA):N/A;
防火墙和VPN会话保护:N/A;
设备故障监测:N/A;
链路故障监测:N/A;
故障切换网络通知:N/A;
新HA成员认证:N/A;
HA流量加密:N/A; |
系 统 管 理 | 网 址 浏 览 器 配 置 管 理(WebUI:HTTP and HTTPS);
命令行界面(Command line interface:console,telnet);
安全命令外壳(兼容ssh v1)Secure Command Shell(ssh v1 compatible);
NetScreen Global Pro Express:是;
NetScreen Global Pro:是;
所有管理均经过任何接口上的VPN隧道:是 |
管理 | 多个管理员:20;
远程数据库管理: RADIUS;
网络管理:6;
根管理、管理和只读三种用户权限(Root Admin,Admin,&Read Only user levels):是;
软件升级和配置变动:TFTP/WebUI/Global |
日志/监控 | 系统日志(Syslog):外部;
电子邮件(两个地址)E-mail(2 addresses):是;
Web Trends:外部;
SNMP:是;
Traceroute:是;
VPN隧道监视程序(VPN tunnel monitor):是;
Websense URL过滤:外部 |
PCMCIA | PCMCIA Flash卡:无;
CompactFlash:96 or 512MB可选
事件日志和告警(Event logs & alarms):是;
系统配置脚本(System config script):是;
ScreenOS软件(ScreenOS software):是 |
电源 | AC(交流)电源: 90-264可变(47到63Hz);功率消耗:45瓦;
DC(直流)电源:选件,NA; |
外 型 尺 寸 | 10.8英寸(长) x 17.5英寸(宽) x 1.72英寸(高), 重量7磅
可以机架安装 |
工作环境温度 | 5-40oC(40到105F) |
湿度 | 5% - 90%,无冷凝 |
支持的标准 | ARP, TCP/IP, UDP, ICMP, HTTP, RADIUS, IPSec (IPESP), MD5,SHA-1, AES, DES, 3DES, IKE (ISAKMP), TFTP (client), SNMP,X.509v3, DHCP, PPPoE |
安全标准认证 | 安全认证:FCC, UL, CE, CUL, C-Tick, VCCI, BSMI, CSA |
平均故障间隔时间
(Bellcore model) | 8.1年 |
