netscreen-网络安全领域领先的创新者

NetScreen:

网络安全领域领先的创新者ColinChiTechnicalConsultant1NetScreen:

网络安全领域领先的创新者ColinChiEmail:Tel:分层次的安全途径Critical

ResourcesIntrusion

PreventionDoSFirewallIPSec

VPNCentralmanagementPartnersolutionsVPN“Securityprofessionalsagreethatnetworksecurityrequiresamulti-layereddefense.Tomeetthechallengesposedbysophisticatedandrun-of-the-millattacks,enterpriseshavebeenforcedtodeploylayersofsecurityproducts.”-InternationalDataCorp.

通过多层次保护，NetScreen可以提供全网络的安全，保证关键资源的保护-VPN,DoS,防火墙和入侵预防方案3NetScreen产品全球范围的PRO和

IDP管理器全球范围的PRO

快递中心站点媒介站点小型办公室/住宅工作者网络核心VPN,防火墙,DoS入侵防范移动工作4NetScreen简介网络安全解决方案领先的创新者

IPSecVPN拒绝服务保护防火墙入侵防范功能强大的安全解决方案站点对站点，远程访问VPN外围安全防火墙加固基础设施防火墙入侵防范正在出现的应用程序，如无线局域网，IP上的语音NetScreen的创新成就防火墙/VPN第一个推出基于定制的ASIC集成防火墙/VPN设备第一个推出1、4和12Gbps防火墙设备第一个推出用于有效安全分段的虚拟系统体系结构入侵防护第一个通过丢弃恶意数据包来检测和防止攻击第一个采用多重方法检测来提高攻击检测率第一个推出状态签名检测来减少错误警报5重要的企业事实优良的财政业绩高的、不断增长的收入~十亿美元的市场份额*全球性的大公司~500个雇员总部位于美国加州桑尼维尔

在全球范围内有30多家办事处被Gartner视为业内领导和构想家领先的市场份额主要回报和证明*2003年1月的数据6NetScreen的成功模式安全性VPN,DoS,防火墙和入侵防范周边和核心安全中心管理性能基于ASIC的硬件，植根于网络按照执行的安全任务对软件进行了优化业主的总体费用可升级的解决方案基于协议的安全管理集成的设计和操作系统容易实现的网络集成安全性能基于服务器的安全ity“密码”-

应用PC应用实现目的的应用TCO7NetScreen安全方案ScreenOSGigaScreenASICScreenOSGigaScreenASICOptimizedSecurityPlatform重新设计的内部结构SingleMultiparallelGlobalPROScreenOSGigaScreenASICOptimizedSecurityPlatformNetScreen整合的技术平台GigaScreenASIC专用加密加速ASICDES,3DES,MD5,SHA1,PKI,Session查找,TCP头解析,认证,NAT,随即数产生和策略查询(每秒25million策略),流量控制.基于安全定制的操作系统硬件驱动任务协调9性能:先进硬件设计通用的处理进程

数据必须通过几个非优化的接口每个“API”都会引入安全风险、解释和厂商独立性进程延迟可能造成“不可预知的行为”无法优化数据路径PC硬件系统/冒充的硬件系统操作系统VPNCo-ProcessorCPURAMBusI/OInOut应用安全的特定处理进程

新的线速包处理进程

被优化的每个进程模块为安全进程和性能优化的应用和硬件GigaScreenASICCPUHighSpeedBackplaneInOutRAMI/ONetScreen先进的硬件结构安全实时的操作系统集成的安全应用

10安全:ScreenOS操作系统PC系统+软件结构操作系统VPNCo-ProcessorCPURAMBusI/O应用GigaScreenASICCPUHighSpeedBackplaneRAMI/ONetScreen先进的软件结构安全实时的操作系统集成的安全应用

11企业级安全:安全区UntrustUnTrustTrustTrustDMZUnTrustTrustDMZ…12企业级安全:虚拟系统何谓虚拟系统:建立拥有自己的地址本、策略和管理的虚拟防火墙／VPN如何工作:通过IP地址、物理结构或VLAN标记将流量路由到虚拟系统（VSYS）VSYS可以支持多个用户或域而不共享策略可以独立被管理好处:简化管理通过分割网络提高安全性通过减少额外的硬件需求来降低TCOVsys#1Vsys#2Vsys#3Physical

InterfacesVLAN

TagsIP

Addresses13虚拟系统选项VSYSAVSYSBVSYSCInternetInternetVSYSAVSYSBVSYSCInternetVSYSAVSYSBVSYSC基于VLAN分类基于接口的分类基于IP地址的分类虚拟系统通过VLAN划分虚拟系统通过端口划分虚拟系统通过网段划分NetScreen

SecurityGatewayNetScreen

SecurityGatewayNetScreen

SecurityGatewaySkipVR14企业级安全:虚拟路由器何谓虚拟路由器:隐藏私有IP地址允许多个用户使用相同的IP地址如何工作:每个虚拟路由器拥有个自的路由域和协议分开的路由表单独保存私有和公有IP地址OSPF/BGP4，RIPv2(5XT)好处:简化管理将私有地址映射成公有地址支持IP重叠方案

更低的TCO私有网络VR1内部路由表

(私有IP地址)VR2外部路由表(公有IP地址)15NetScreen集成的网络特性NetScreen支持OSPF,BGP和RIPNetScreen-5XT以上产品都支持NetScreen-5XP不支持每个产品支持协议的实例和路由数量因硬件平台不同而不同主要用于互操作性而不是替换Internet路由器多个ISP出口加入到OSPF网状结构NetScreen提供业界最高的端口密度NS-5400提供多达78个物理端口集成的VLAN支持NS-5x00支持4,000VLANs网络高可用性HAInternetNetAServiceProviderAServiceProviderBRouterBNetScreen

SecurityGatewaySkipHA16网络集成:部署模式和动态路由何谓动态路由部署:易于安全部署而无需改变网络配置自动学习网络配置如何工作:支持透明、静态和动态路由模式全产品线支持动态路由所有产品支持OSPF和／或BGPNetScreen-5XT也支持RIPv2好处:简化网络集成

减小手工配置的负担增加网络弹性–特别对VPNsNetworkTunnelA(Primary)TunnelB(Secondary)Remote

Office17可靠性:VPN路径监控何谓VPN路径监控:监控VPN路径，一旦发生故障来发现可选的路径如何工作:动态路由决定网络的可达性VPN通道基于动态路由表而不是静态策略路径监控判断故障动态路由发现新的路径好处最小的由于VPN失效的生产力损失TunnelAMetric=1NetworkRemote

OfficeTunnelBMetric=218高可用性需求高可用性解决方案的目的就是在所有层面上提供最大的可靠性提供系统级故障恢复机制系统级HA–一旦发生灾难性故障,系统自动切换到第二台设备为了避免系统级故障切换,需要提供:设备级HA–设备尽可能的固化(没有拆装的部件),高质量(高MTBF值),有弹性的故障切换(冗余硬件)链路级HA–提供冗余的网络链路网络级HA–一旦网络设备出故障提供可选的网络路由(如交换机)立即切换(sub-second)系统级HA需要支持:系统间基于状态的故障切换维护会话表,加密密钥和安全联盟SA等双主动Active-active–正常工作中提供最大的带宽19可靠性:HA高可用性SW1SW120成本有效性:集中化管理何谓集中化管理:集中管理这个平台从相同的图形界面管理硬件、操作系统和应用如何工作:WebUI–嵌入式web服务器HTTP和SSL通过RS232的CLI界面,Telnet和SSHNetScreen-GlobalPROSNMP–标准MIB和私有扩展Syslog–标准流量报告和告警第三方–Websense,WebTrends,其他好处快速部署的越多，错误发生的机会越少，支持费用越低SNMPCLIWebUI3rdPartySyslogGlobalPRO21互联网完整的防火墙功能性

具有成本效益的远地部署

即插即用安装

全IP业务NAT，DHCP，PPPoE

管理动态地址

攻击阻挡

32种攻击防护；ASIC加速；达到每秒25K会话

内容级保护

恶意的过滤URLWebSenseURLTrendAV全面的用户认证

RadiusSecureIDLDAPWebAuth稳固的网络集成

实时高可用性

路由，NAT透明模式

多路由表或虚拟安全区

基于策略的NAT广泛的应用支持

最高的性能

公司

全面管理

GlobalPRO策略，RTM，历史的

WebUICLI易用的基本配置

SyslogSNMPWebTrends

另加一套完整的入侵检测及预防解决方案

多法检测在线操作；基于策略管理22Internet完整的VPN功能性

全面的RAVPN支持

远程VPN客户；

安全客户-个人FW+VPN；集中的用户认证ANG；认证和智能卡支持；

兼容性

w/CerticomPDA客户

GlobalPRO主要站点的稳固连通性

实时高可用性冗余网关VPN通道VPN监控全网状OSPF和BGP路由虚拟系统3DES和AES加密w/ASIC加速流量管理

；

FIPs和ICSA认证

具有成本效益的远地

VPNPN全范围的HW；

集中星型或全网状VPN；

NAT穿越；

VPN拨号后备；

管理动态地址

简易部署和NW集成NAT,NAT-T,透明模式；

设备或基于策略的管理；

NAT，DHCP，PPPoE；

集成的防火墙

全面的管理

基于策略的管理；

VPN监控；

详细报表和发展趋向

全面的认证支持

PKI(versign,…RadiusLDAPXAUTHSecureID23前十个理想的防火墙/VPN特性RankMostDesiredFirewallFeature61%IntegratedVPN56%100Mperformance55%Additionalsecurityfunctionality49%Fail-overcapability41%Statefulinspectionengine39%Remotesoftwareupdate34%Loadbalancing/QoS/trafficshaping24%4+Ethernetports24%Appliance-based20%1GperformanceFeaturelistfromInfoneticsUserSurveyRankMostDesiredVPNFeature61%Highavailability/automaticfail-over56%Easeofuse55%Interoperability49%100Mperformance41%Digitalcertificatesupport39%PPPOEsupport34%3+Ethernetports24%Splittunneling24%1Gperformance20%VoiceoverIPFeaturelistfromInfoneticsUserSurveyNetScreen满足所有需求24设备费用支持费用部署费用操作费用硬件购买软件购买其他模块集中软件软件购买培训和认证硬件和软件技术支持

软件升级集中管理软件支持硬件和软件安装

设备配置Patch安装和测试集中管理安装和配置Troubleshooting配置更改操作系统补丁和应用软件升级设备故障总结:NetScreen降低TCONetScreen在以下几个方面帮您降低费用:更低的设备费用您安全问题的最佳解决方案更宽的产品线在负载状态下的可信赖的性能集成的安全应用灵活的配置简单的许可证–主要基于设备用命令行和基于Web的方式的单一的管理平台更低的部署费用更少的设备部署易于使用–减少配置时间更少的测试和加在Patch一个管理安全控制台部署更低的操作费用易于使用更少的troubleshooting时间单一厂商支持在命令行下的高级调试选项更少的测试和patch加在投入安全的操作系统较少漏洞更低的支持费用单一设备厂商满足所有支持需要单一的安全管理控制台转变为更低费用的更低的设备费用25NetScreenFW/VPN产品规格

广泛的市场覆盖全球范围的PRO和

IDP管理器范围宽广的网络安全解决方案全球范围的PRO

快递中心站点媒介站点小型办公室/住宅工作者网络核心VPN,防火墙,DoS入侵防范移动工作27NetScreen5000系列Console和带外、modem接口HA接口N个接口板卡24F+2G/8GNetScreen5200N=1NetScreen5400N=328NetScreen-5000结构FlowControlFirstPacket,IKE,etc32bit-Bus064bit-Bus115GbpsswitchfabricMgmtModuleSecurePortModuleSecurePortModuleFutureTech.ModulesBackplane双总线结构ASIC与管理模块之间的控制信息ASIC与管理模块之间的数据交换15G交换背板，多插槽设计(5400)为多个安全接口模块或今后新开发的模块而设安全接口模块（包括今后的新模块）之间的数据流29NetScreen-5000系列FeaturesNetScreen-5200NetScreen-5400接口24F+2G/8G72F+6G/24G处理能力4G(64Byte＞2G)300万包2G3DES(64Byte＞1G)100万包12G(64Byte＞6G)1000万包6G3DES(64Byte＞3G)300万包Sessions1,000,0001,000,000VPN250,000250,000VSYS500(4096Vlan)500(4096Vlan)HAActive-ActiveActive-Active30NetScreen5000性能表现提供高达24倍3DESVPN性能的差距提供高达16倍防火墙性能的差距MD5包大于1Gbps****31NetScreen-500LCDInterfaceModuleBaysHotSACorDCPowerSuppliesFanModuleDualHAManagementModemConsole32NS500SystemArchitecture4PowersupplyPowersupplyFanTray4FansConsoleLCD&LEDsCPUManagementbusController/BridgeGigaScreenASIC&MemoryFlashCard10/100MAC10/100MAC10/100MAC10/100MgmtHA1HA2PowerPlaneBoardTrafficInterfaceModule1TrafficInterfaceModule3Modem2(GBIC,DualMT-RJ,10/100orDual10/100)SecurityDomainsTrafficMulti-bus33NetScreen500的性能表现34NetScreen-200系列6个系统状态指示灯:Power,Status,HA,Alarm,Sessions,Flash硬件恢复开关Console和带外modem接口CompactFlash™slotsupporting96and512MBcards8interfacesontheNetScreen-2084interfacesontheNetScreen-20435NetScreen-204&NetScreen-208FeaturesNetScreen-204NetScreen-208Interfaces4F8FMaximumThroughput400MbpsFW200Mbps3DES550MbpsFW200Mbps3DESConcurrentsessions128,000128,000Newsessions13,00013,000HighAvailabilityActive-ActiveActive-Active36NetScreen-50/25系列硬件特性6个系统状态指示灯:Power,Status,HA,Alarm,Sessions,Flash硬件恢复开关Console和带外modem接口CompactFlash™slotsupporting96and512MBcards410/100Minterfaces37NetScreen50undermulti-sessions38NetScreen-50&NetScreen-25性能FeaturesNetScreen-50NetScreen-25Interfaces4F4FMaximumThroughput170MbpsFW50Mbps3DES100MbpsFW20Mbps3DESConcurrentsessions32,0008,000VPNTunnels10025HighAvailabilityActive-PassiveN/A39NetScreen-5XT专用的管理控制台接口和外部modem接口使用外置Modem提供拨号备份功能拨号备份支持Internet和VPN流量内存是NetScreen-5XP的两倍预装ScreenOS企业级防火墙和VPN特性性能和处理能力70MbpsfirewallNAT2,000concurrentsessions20Mbps3DESVPN10IPSecVPNtunnels410/100交换接口共享Trustedsecurityzone(例如不能用于独立的DMZs)110/100Untrust

自适应以太网接口

10-userandElite(无限用户)版本40NetScreen-5XTUntrustInterface10/100Base-TAuto-sensingandAuto-correctingTrustInterfacesFourSwitching10/100Base-TAuto-sensingandAuto-correctingConsole(CLI)InterfaceDB-9RS232ModemInterfaceDB-9(HighSpeed)RS232Speedsupto115KBPowerInlet12Volts1Amp41NetScreen-5GT冗余特性连接的冗余性:拨号备份和双Untrust接口Tunnelrouting使用

RIPv.2,BGP或OSPF高性价比高性能，强健的安全型，集成的管理降低费用。先进的安全特性集成的防火墙/VPN/DoS防护*嵌入式病毒扫描

通过安全区进行网络访问分隔额外的内存和CPU处理能力用于以后的安全功能高性能75MbpsFirewall/NAT20Mbps3DESVPN**Upgradeexpectedtobeavailableduringthe2ndhalfof2003foranadditionalfee.42NetScreen-5XP安全产品简介优化用于宽带网络远程和拨号用户10MbpsASIC-basedIPSecVPNs–10tunnelsIPSec,DES/3DES,MD5,SHA-1,IKE密钥管理状态监测防火墙-DoS侦测NAT(mappedIP,VirtualIP),URL过滤DHCP客户机和服务器流量控制:确保和最大带宽WebUI,CLI,集中管理易于实施的QuickStart10用户版本43NS5XPArchitectureMPC850PowerPCCoreUARTRTCMAC1MAC2Flash4MBBootROM.5MBSDRAM32MBNetScreenGigaScreenFW,NAT,DES,3DES,MD5,SHA-1,RND#PHYPHY32-bit/48MHzbusRS232TrustedUntrusted44NetScreenRemote:VPN远程接入软件支持DES&3DESIPSecVPN支持ManualKEY,IKE,PKI支持Windows9x&NT45NetScreenFW/VPN产品线

产品最大吞吐量

最大会话数最大VPN通道

最大策略数

最大虚拟系统量

高可用性

NetScreen-540012GFW&6GVPN1,000,00025,00040,000500是A/P**NetScreen-52004GFW&2GVPN1,000,00025,00040,000500是A/A*NetScreen

-500700MFW&250MVPN250,00010,00020,00025是A/ANetScreen-204/208550M/400MFW&200MVPN128,0001,0004,000NA是A/ANetScreen-100200FW&185VPN128,0001,0004,000NA是A/ANetScreen-50170MFW50MVPN32,0001001,000NA是A/PNetScreen-25100MFW20MVPN8,00025500NA否NetScreen-5XT70MFW20MVPN2,00010100NA否NetScreen-5GT75MFW20MVPN2,00010100NA否NetScreen-5XP20MFW13MVPN2,00010100NA否NetScreen-RemoteVariesbyPCNA1NANANo46DeployMonitorMaintainReport快速实施新的用户/站点一次定义，多次使用分散管理任务发现/分析攻击模式SLA跟踪高效的客户使用记帐集中在重大事件侦测攻击源跟踪总体性能攻击的响应执行增加/移动/修改设备软件版本维护NetScreen-GlobalPRO&Express47GlobalPRO&GlobalPROExpress成套包揽业务管理解决方案

配置/策略管理，实时监控

集成的NetScreeen–RemoteVPN客户管理

多管理/基于角色的管理

预安装和配制在SunNetra服务器上

GlobalPRO完善的历史报表

日志数据的相关性/简化

可扩展到10，000套设备中

可扩展的基于Web的报表模板；

第三方的报表集成，例如HP/OV

NetScreen-GlobalPRO&Express监控

配置GlobalPROUI策略管理服务器

监控报告历史报表服务器数据收集器

OracleDB48入侵检测系统:弥补防火墙的不足弥补防火墙的不足基于策略的规则设置，用户设定IDP采取的动作(允许,丢弃,记录日志,等等…)防范不必要的协议连接正常的端口阻止防火墙所不能防御的基于应用层的攻击提供直观的2－7层的网络流量的控制PhysicalDatalinkNetworkTransportSessionPresentationApplicationPhysicalDatalinkNetworkTransportSessionPresentationApplication传统的防火墙NetScreen-IDP解析第二～四层解析第二～七层49???第二层防御线,提供的功能:攻击的识别：可以识别各类攻击乃至针对应用层的攻击攻击的防御典型保护—FW+入侵检测CorporateNetwork 防火墙是第一道抵御线，能够提供以下的功能：

访问控制

认证

虚拟专用网（VPN）

网络分段隔离

DoS攻击防御和某些网络层攻击的检测50WhyNetScreenIDPIDSNetScreenIDP具有IDS所有特点具有IDS所没有的特点，M.A.PAccuracyManagementPrevention51WhyIDP——AccuracyIDP,使用8种攻击检测方法来确认所有受到的攻击事例

红色代码

缓冲溢流

后孔

端口扫描，网络扫描

源自多连接协议的无效连接

后门检测

流量签名网络蜜罐

DoS检测

其它…状态签名

协议异常

ScriptKiddieTelnetrootIDEAL入侵检测

IDS，只具有签名检测以及（或者）协议异常检测的功能

52WhyIDP——Manage