NetScreen网络安全解决方案.docx

NetScreen网络安全解决方案NetScreen网络安全解决方案(一)公司背景NetScreen科技公司成立于1997年10月,总部位于美国加州的硅谷。公司的奠基者有过在Cisco和Intel等科技领先公司多年的工作经验。1998年11月,RobertThomas即Sun公司的执行总裁加盟NetSCreen公司,任公司总裁。公同致力于发展一种新型的与网络安全有关的高科技产品,把多种功能集成到一起,创造新的业界性能纪录。NetScreen创立新的体系结构并已取得了专利。该项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全(IPSeC),先进的系统级的设计允许产品提供多种功能,而且这些功能都具有无与伦比的性能。NetScreen科技公司已经为业界在虚拟专用网领域设立了新的安全解决系统的标准。所有的功能全部放在有关专有的硬件平台的盒子里,而且这些功能都有着无与伦比的性能。当前公司由SequoiaCaPital投资赞助。Sequoia是一家领先的风险投资公司,成立于1974年,已成功地为超过350家公司提供了最初的风险投资基金,其中包括3Com公司、Cisco系统公司、Oracle公司、Symantec公司和Yahoo公司等等。其中大部分公司的股票都已成功上市。NetScreen科技公司当前有50多名员工公司在全美的主要城市都设有办事处,而且积极拓展海外市场。用户群包括HP、日立、日本电讯电话公司和美国在线等,覆盖了欧美亚等十几个国家和地区。NetScreen公司的产品NetScreen-100获得了Key1.abs工作组的“测试首选奖”，在1998年4月举行的数据通讯杂志的评测中,NetScreen-100的VPN吞吐量是获得第二名的2.5倍。1998年11月,NetScreen公司再次荣获”测试者选择奖”，这是数据通讯杂志的年度奖。在同类产品中,NetScreen是唯一员工把防火墙、虚拟专用网(VPN)、负载均衡及流量控制结合起来,且提供100M的线速性能的产品。NetSCreen保证这一点。在1998年的8月和9,NetScreen-10和NetScreen-100经过了ICSA(国际计算机安全协会)的防火墙认证。1998年9月,NetScreen推出了VPN远程存取客户端软件。1998年10月,NetScreen宣布推出NetSCreen-Io0()的产品。这是第一个支持千兆位传输的具有防火墙和VPN功能的产品。1998年6月,NetScreen-100被HP公司选为它在防火墙方面的新的合作伙伴。HP的合作伙伴是在全球范围年为HP提供集成解决系统,并在增强用户的Internet上的应用。NetScreen是HP选中的二家防火墙厂家的一家,而且是唯一一家基于硬件的产品。1998年12月日立公司宣布它将在日本推广NetScreen产品。日立公司准备在未来三年内卖出100OO套NetSCreen产品。（二）产品系列当前,NetScreen有NetScreen-IO用于IOMB传输的网络。NetScreen-100用于100MB传输的网络。NetScreen-100端口是自适应的端口,也可用于当前传输为IOMB并计划将来升级为100MB的网络。NetScreen-1000不久将要面市,它将为那些大型企业和网络主干的供应商提供千兆网安全的解决方案。NetScreen-5当前正在测试阶段。它的大小类似一个CDROMo它是为小型办公室或个人用户而设计的。NetScreen远程VPN客户软件可提供远程VPN访问的解决方案。（三）产品功能及特点NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RlSCCPU和专用软件。NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现,它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。（策略存取执行防火墙保护和加密解密功能）。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。NetScreen提供了多功能和高安全性能的无缝连接,NetScreen.1000,NetScreen-100和NetScreen-IO分别提供了1000M.100M和IOM的传输性能。NetScreen-100O是市场上唯一的千兆的集防火墙、VPN和流量管理于一身的防火墙产品。同样NetSCreen/00是业界最快的防火墙,另外,NetScreen自动调整端口速率,使其达到IOM和100M自适应。因为是基于硬件的设计,NetScreen是唯一一家安全解决系统的提供商,NetScreen产品的高性能允许用户享受到高速的好处,可提供多条El线路,甚至更高如E3的线路。另外,该产品允许用户在远程实现加密通信,而且这种VPN功能不影响性能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen-IO为中小企业提供她们负担得起的全面的安全解决方案。允许她们在自己的企业网内部构筑安全体系。性能NetSCreen产品动态加密保护和按优先级实时监控未来数据,它专有的独特的系统设计保证了它的高性能,ASIC芯片能够独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。用户认证和策略NetScreen支持高性能的存取为每一个当前用户,无论是远程还是在防火墙内,支持创纪录的并行连接用户数。NetScreen-100O创纪录地实现了TCP/IP并发连接（超过256000）;策略数（多于5000）和并发的VPN连接数（超过10000）oNetScreen-100支持每秒4370个连接,（基于32个客户）,领先于它的最接近的竞争对手。根据独立的测试机构Key1.ab的测试报告,NetScreen-100支持3个并发用户连接,NetScreen-10支持16000个并发连接。所有产品都支持超过5000个存取策略,并提供简单易用的过滤界面。防火墙NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。VPNNetScreen会集了VPN功能,保证了数据在传输过程中的加密和解密,但在数据被加、解密之前,首先要满足预定的策略。不论NetScreen-100还是NetScreen-1（）都支持业界的加密标准。包括网络密钥交换（IKE,或以前的ISAKMP）经过IEDES9TripleDESo而且还支持数据签名(MD5)算法。NetScreen招支持X.509认证公钥算法(PKI),能够自动地管理VPNoNetScreen-100O建立了新的VPN性能测试基准,与其它同类产品比较,NetScreen-1000有着更高的吞吐量,更广泛的安全性和更低的价位。流量管理流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载均衡,使该产品成为web服务器和ISP的理想产品。网络管理该产品易于安装,而且NetScreen产品能够远程经过网络上任何一台具有浏览器的机器来管理。透明模式NetScreen能够被用来作透明传输。你能够在这种方式下不分配任何IP给NetScreen网络界面。它只需要一个管理界面Q不用更改您现有的任何网络配置就能够利用策略来管理网络流量。除了它能够在两台NetScreen之间运行VPN,即使有些产品能够在透明模式下工作,但它们也不能在透明模式下实现VPNo特点.独特的ASIC设计及已申请专利保护的系统体系结构最优的性能价格比无用户数目限制.独特的负载均衡能力及流量优先级控制能力,创记录的性能,具有线速运行能力.配置简单,管理方便.支持透明传输模式.设计紧凑,一些附加功能转移到主机上完成.如日志功能.支持一主一备的管理模式（四）访问控制NetScreen使用了状态检查的方法来实现动态的包过滤。这种方法也同样被其它重要的防火墙厂商CheckPoint和Cisco所采用。相比其它的两种方法简单的包过滤和复杂的应用网关来讲,它具有更快速和更安全的优点。简单的包过滤只检查IP地址和端口号。它一般由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后,就留下了可使黑客劫持端口号的漏洞。应用网关经过检查应用层所有的包,提供了更好的安全性。可是用户需要厂商提供所有应用的代理。而且它只能用软件实现,因此性能是很低的。状态检查的链路层代理,另一方面,可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束,防火墙就结束这个连接。在不牺牲安全性的条件下,提供更高的性能。NetScreen也可提供网络层的UR1.过滤,并在不久的将来实现病毒扫描的功能。NetScreen产品也提供信息的和用户的认证。NetScreen是经过建立VPN通道,由MD5实现的ESP信息的认证,并依从IPSec标准用户的认证可由两种方法实现。用户可在防火墙上定义多达个用户或者设置一个Radius服务器来存储用户认证的信息O(五)管理NetScreen产品可连接信任端口(TrUSted)或不信任端口(UntrUSted燃后经过web界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口(Untrusted)能够因安全的原因而设置为取消。如果取消它,不信任端口是不可ping的。(不信任端口(untrusted)在1.60版本以前是不可ping的)。NetScreen产品同样也可经过console端口,使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望经过远程来管理防火墙,可在console口连接一个调制解调器。Console口的访问也可因为安全原因设置为取消。NetScreen产品也能够经过telnet来管理。Telnet和Web管理也可经过VPN通道加密,提供安全的管理。管理方便,可经过串口管理,使用命令行方式。也能够在图形方式下用浏览器进行管理,不分硬件平台和操作系统,只要把浏览器打开就能够经过用Webserver的方式来管理.配置简单特别在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备,能够采用SnmP的集中式管理,经过网络管理软件,如SUnNetManager来进行管理.而且NetSCreen还能够提供备份的远程拨号方式的管理不但如此,为安全起见,NetScreen能够关闭远程的管理方式,而只使用本地的、安全的管理方式。(六)处理能力及性能指标.具有线速带宽且不受信息包大小影响(WireSPeed).在作地址转换和添加策略时,性能不受任何影响,具有VPN功能,支持IPSECDES,TripleDES,.人工密钥管理启动ISAKMP密钥管理,支持MD5.线速带宽的包过滤.支持3个并发连接.5000个高级访问过滤策略.具有网络地址转换功能.支持透明模式传输.动态过滤,具有硬件级代理服务器功能.有实时监控流量和报警功能.能够实现日志记载功能.流量控制,能够根据不同用户及不同策略分配带宽.支持8级用户优先级设置.支持服务器负载均衡.动态IPP。1,实现端口地址转换.支持多种标准协议:ARP,TCPIP,UDP,ICMPDHCP,HTTHRADUIS,Ipsec,MD5,SHA-IDes,Triple-DES,IKE,X.509v3,能够经过浏览器,TFTP服务器,快速闪存来进行软件版本的升级及配置参数的下载,备份,支持一主一备的管理模式(七)产品适用范围企业网(INTRANET)NetSCreen-10(),以其创记录的100Mbps运行速度,将业界的性能标准一下子提高了十倍,创新的,独特设计的软硬件体系结构,使NetSCreenJOO招高速的性能,最大限度的安全性及简单易用有机地结合在一起,有效的消除了制约传统软件类防火墙的性能瓶颈.NetSereen100是当今市场上为企业网(INTRANET)与互连网(INTERNET)及企业内部各单独子网之间提供信息保护的最可信赖的解决方案.它能够被灵活地设置在企业局域网的各个关键位置,以保护各个部门的资讯,如财务部,工程部等关键部门,或保护重要的企业网服务器,甚至能够保护企业高层管理人员个人电脑上的敏感资讯.招虚拟专用网(VPN)方便的能力与放火墙功能设计在同一个体系结构中,是使Netscreen-100在当今防火墙技术市场上居于领先地位的关键.VPN保证了加密的数据在进出公司局域网和外部互连网时受到检验.Netscreen-100强大的DMZ服务器负载平衡功能,使得用牺牲网络性能换取网络安全的矛盾迎刃而解.无论需求是来自企业网(INTRANET)还是互连网(INTERNET),Netscreen-100都有能力平衡多个服务器.运用一个加权系统,网络管理员能够保证为企业内部信任端口(TRUSTED)服务器和公共的隔离端口(DMZ)服务器按需分配带宽Netscreen-100的100Mbps的速度性能,保证了网络具有实时响应能力和最短的等待时间,实现了网络性能与网络安全的完美统一.互连网(INTERNET)Netscreen-100在防火墙市场之因此出类拔萃,是因为其实现了防火墙安全性能与高速率的完美结合.它不但适用于单个的El,而且适用于多个El或E3,甚至快速以太网。Netscreen-100能够很容易地配置在任何现有的企业网络结构中。Netscreen-100为网络管理员提供了综合的网络流量控制方法,从而实现了高效的网络流量管理。Netscreen-100的先迸功能之一,优先级管理,就是对带宽按级别来分配,保证了网络数据的高效交换.这就使诸如视屏会议等特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅进行。与此相关的,Netscreen-100同时具有全面的网络分析能力,如实时的日志记录,快速准确的报警功能和方便的报表能力。外部网(EXTRANET)Netscreen-100以其先进便利的VPN功能,确保特定局域网之间在互连网上以密文交换信息。在公网上开辟出一条安全通道,为用户降低成本。在Netscreen-100高速处理能力的保障下,VPN可使公司安全地进行远程数据复制与拷贝,以及对远端服务器的配置与管理。如果您的企业需要经过互连网与诸如供货商,商业伙伴,分支机构进行端到端信息交换,NetscreenJOO的VPN功能将是您最安全可靠和经济有效的工具。由于VPN使用公网传输,节省了昂贵的租用专线费用,极大地降低了企业网络为通讯安全进行的投资。（八）防火墙应用示例UntrustedDMZNetScreen防火墙有三个端口Trusted、DMZ和Untrustedo分别用于连接Intranet、Internet和DMZ三个网域。它独创的安全包处理器）将所有的流量策略、安全政策、加密和身份验证都交给硬件处理,从而大大提高了防火墙的处理性能;而且将包的生成交给软件处理;将包的路由交给路由器处理,集中实现安全策略下的高速吞吐量。（九）VPN应用示例连接移动的用户访问企业网的文件。VPNClearTraffic连接分支机构和企业网,并可用于提供冗余的WAN链路。VPNJJ-1.1.1.UJ-JJJJEJ6ItJJtJJJJtJtJJJJ-IJJJJClearTraffic将多个分支机构经过Internet连接起来,经过密文传输,以保障企业网的安全。（十）负载平衡的应用示例DMZ3可由多台服务器分担网络上访问服务器的流量。一)NetSCreen防火墙产品客户案例案例一：有一个NetScreen客户的总部位于纽约,它的分支机构设在芝加哥和伦敦。使用专线或帧中继服务连接这些机构费用太昂贵。用户选择NetScreen产品经过Intemet连接她们的每个分支办公室。使用网络翻译模式(NAT),用户节省了合法的IP地址,并对外隐藏了内部的网络结构。同时她们使用了NetScreenVPN功能在纽约、芝加哥和伦敦间建立起Internet上的加密通道,不但节省了连接的开支并保证了通信的安全。ServerFarmDMZ芝加哥办公室移动用户CEO9SHome企业网络结构逻辑图VPN密文通道组文通道案例二：另一个NetScreen的客户是一个Web主机ISPo其中有少数的web服务器是非常受欢迎的,总是有很多的网络访问流量。这些流量有时就把其它的一些web服务器的带宽占满了。为确保她们的客户都能得到她们花钱所买到的访问服务。这家ISP使用NetScreen产品作为一个流量管理工具,来管理属于不同web服务器的带宽。同时NetScreen产品也为这些服务器提供防火墙保护。案例三:中国电信总局的国家级169项目也选择了NetScreen防火墙解决方案。169网被称为中国公用多媒体网。她使用专用的IP地址,提供到Intemet的访问服务,并与ChinaNet中国Internet主干网也叫163网相连。NetScreen产品用以实现30个省会的地址翻译功能并同时保护169网络的安全。五、网络安全产品的比较（一）.com测试结果此次评测是以Key1.abS创立的性能基准FireBenCh来进行防火墙的性能评测,我们将从四个方面来衡量防火墙的性能:每秒连接数,吞吐量,延迟,和并发连接数.参加此次评测的产品如下：AscendCommunications*Pipeline75是一个基于ISDN”面向状态”检查的防火墙,它在有限的带宽下表现优秀.在吞吐速率0.8MbPS的情况下,Pipeline75可能难于竞争过这里比较的其它产品.尽管如此,经过使用压缩算法的PiPeline75实际上仍可达到ISDN理论限制的6.25倍.CiscoPix4.2是一个基于状态检查的防火墙,在此次评测中它可达到最高的吞吐量和最高的并发连接数,它的最高吞吐量为84.4Mbps和2105.9CPS.Cisco不久后送回一个新版本的防火墙,此次测试为新版本防火墙的测试结果.DigitalEquipmentCorp.,sAltaVista3.1提供了应用层的包过滤.AltaVista防火墙的测试的最好性能为32个客户下的吞吐量测试,可达60.1Mbps.1.ucentTechnologies*ManagedFirewall2.0是一个基于状态检查的防火墙,配置简单,可经过浏览器的JaVaapplet来管理.1.ucent防火墙测试的最好性能为64个客户下的吞吐量为57.4MbpsW3168CPS.NetScreenTechnologies*NetScreen100ver.2因其配置简单和最高的性能价格比而获得了我们的最高评价.它是一个基于Hybrid结构的仅用硬件实现的解决方案.NetScreen防火墙测试的最好性能为64个客户下,可达到吞吐量为84.1Mbps和此次测试中最高的4123.3CPS.1.测试的实施和测试方法Key1.absFireBench防火墙基准Key1.abs创立了FireBench,她是一个防火墙的基准,它模拟了一个实际的防火墙流量.FireBench中包括了Key1.abS创立的测试工具和方法.基准建立了实时的WebSite的流量,包括一个混合的HTTP和FTP的请求.多客户从多个Web服务器经过硬件或软件防火墙发出文件请求.FireBench测试性能的内容有:每秒连接数,吞吐量和并发连接数.客户机的增加次序为4,8,16,32,and64.2 .每秒连接数的测试每秒连接数是测量每秒经过防火墙的连接数.尽可能快地建立连接并取消连接.然后我们提高客户的数量直到达到最高点并开始下降.我们增加连接的增量为4.3 .吞吐量的测试吞吐量的测试记录了延迟和平均的MbPS数.我们在客户端运行一个工具软件,它连接防火墙另一端的Intemet服务器.经过提高客户的数量直到达到最高点并开始下降,从而得到一个吞吐量的最大数值.吞吐量的测试步骤如下：1.创立连接(无需保持)2 .发出一个IMBFTP和75KBHTM1.文件请求3 .收到文件4 .记录收到文件的大小5 .关闭连接6 .从第1步重新开始网络流量经过如下的比率产生：HTTP=75%ofrequests(75Kbytes)FTP=25%ofrequests(1MB)延迟是取经过测量由防火墙产生延迟的平均值.4.并发连接数的测试并发连接数是一个衡量可同时经过防火墙的最大的连接数量.测量最大连接数是经过增加客户连接的产生数量直到经过防火墙的连接数停止增加.每个客户建立50()个同时连接.然后，为保持这些连接,每个客户每3秒经过每个连接发出一个100byte的HTTP的请求.测量最大并发连接数的过程如下：1 .打开500个连接2 .经过每个连接发100byteHTTP请求到internetserver3 .在3秒内记录收到请求数据的连接数4 .返回第2步5 .测试的结果以下的几个章节包含了每个参加测试的防火墙的配置信息.防火墙一般都分为两种,一种是黑盒子的硬件解决方案,另一种是某些平台上的具有防火墙特性的操作系统.但无论是哪一种防火墙,一旦安装好并运行起来,她们都是在完成防火墙的任务.1) 4.1AscendPipeline75'面向状态的”检查我们设置两个网段的PiPeline75安全访问防火墙,并使客户机和服务器间经过拨号仿真来连接.因此全部的网段带宽可达SJ128kbps.Pipeline75是一个黑盒子硬件和软件混合的解决方案Pipeline75事实上是一个运行SeCUreACCeSS软件的以太网到ISDN的网桥/路由器.经过终端连接进行配置.配置菜单内容广泛并使用简单.用于测试的系统硬件和SeCUreACCeSS软件价格为$1,495.Pipeline防火墙的最好的性能测试结果为4个客户和18.1CPS.总的并发连接数为824.应该注意尽管这个数字相比其它产品是非常低的,但这个产品只用了128kbps通道,而其它的产品却使用了理论上的200Mbps的通道.Pipeline75经过使用压缩算法,使实际的吞吐量高于理论值.2) 4.2CiSCOPix全状态检查我们设置PlXver.4.2为三个网段.这样设置是因为防火墙硬件只支持三个接口.我们设置服务器在一个网段上,并设置DMZ区放置Web服务器.Pix是一个黑盒子的硬件解决方案.使用串行连接建立终端连接来配置.PIX的配置程序是最不友好的.不提供GUl的窗.所有的配置参数都需要经过命令行的方式来修改.用于测试的硬件和软件报价$22,680.PIX防火墙的最好的性能测试结果为64个客户.总的并发连接数为35,000.3) 4.3DECAltaVista-应用层的包过滤我们设置两个网段的防火墙.在每个网段上都有客户机和服务器,并建立一个应用层包过滤的DMZ网段.这样设置可使所有的客户Web和FTP访问无需经过代理.系统硬件由一台512MB内存的DECAlphaServer100OA5/500机器运行DigitalUNIX4.0d.机版本的软件和ReV5.1软件.服务器包含两个DigitaIDE500AA网络接口卡.AltaVista防火墙最好的性能测试结果为32客户,吞吐量为60.1Mbps.CPS测试最好的测试结果为64个客户1035CPS.总的并发连接数为15,876.4) 4.41.ucent科技-状态检查我们设置防火墙在两个网段上,客户机和服务器分别位于两个不同的网段上,这样设置是因为防火墙只支持三个接口。第三个接口用于系统管理。1.ucent防火墙是一个黑盒子的硬件解决方案。需要用SMS-安全管理服务软件来配置和管理防火墙。SMS是基于JAVAapplet,由一个浏览器来启动。服务器的配置简单。我们在一台单30()MHzPentiumII处理器128MB内存的COmPaqDP6300MMX机器上运行SMS软件,运行MiCroSOftWindowsNTSerVer4.0操作系统，IGB的硬盘文件系统。1.ucent防火墙最好的性能测试结果为64个客户。吞吐量为57.4Mbps和3168CPSo总的并发连接数为25,87lo5) 4.5NetScreen科技Hybrid我们设置NetScreen100ver.2在两个网段上。客户机和服务器分别位于两个不同的网段上,这样就能够产生混合的包过滤,应用级别和状态检查。NetScreen防火墙是一个黑盒子的硬件解决方案。我们用浏览器或串行线配置它,不需要其它的软件。并发连接数的测试总数为34,32Io6)每秒连接数的测试结果7000060000500004OOOjO3000。200OQ100oQ$1632641219.1195441638«21059PUas国dSUoIPdUuoWConnectionsperSecond0。CiscoPtx3segment5612DECAtaVisU$894845092009870103S01.ucentManagedFIreHBnck¢057972296839711316$0B-,-rcenNtSen1006314125«8232944370041233BCtSeOPIX4Segment594411309234394407.565795每秒连接数-Numberofcliet是每秒经过防火墙的打开和关闭的连接的总数PncePenbrmance-ConnecfionsperSecondConnspersecondper$1OOOoccoo10-XUJnNAsotftdQm4Ptx3CiSMPtx4DECX*aUsta1.uc<mNttScrtnPipeline75SemWtSeQmeM岫ragedNstScreen100FmewaiBnck这个价格性能图表是表示每花费一千美元所得到的性能。7）吞吐量/延迟的测试结果Throughput(higherisInfer)口ASCenaPipelne750806060606CiscoPk3seamen722790768787848aDCAltsta42560593601597a1.ucertManagedFEailBrtCk510502504504574"NetScreenNetScreen100570766784791841QscoPk4semert851914578154971523316936Numberofclients吞吐量-是指经过防火墙的测试HTTP和FTP的数据流量的总和OPricePerformance-ThroughputMegabitsper$1000FmjIBrick这个价格性能图表是表示每花费一千美元所得到的性能。1.atency(lowerisbe<te()延迟-由防火墙引起的毫秒级的延迟的平均值。8）并发连接的测试结果并发连接-并发或同时创立并经过防火墙的连接总数。PricePedbfmaice-ConcurrentConnectionsFiftmilBrktc这个价格性能图表是表示每花费一千美元所得到的性能。6.问题,版本,测试报告我们测试了大部分的防火墙产品是在它们的原有状态下。CiSeO修改了部分原代码企图提高性能。任何成功的修正现有的产品或在未来的产品中,其它的厂商也都具有同样的机会增强或修正她们的产品。NetScreen,1.ucentTechnologies,Cisco和Ascend提供的都是黑盒子的硬件解决方案。DECAltaVista使用的是带防火墙特性的操作系统。在每种情况中,一旦防火墙安装好并运行起来,机器或黑盒子都是在完成防火墙的任务。（二）几种常见防火墙产品的比较现在,我们来比较一下这两个领先的防火墙产品CheckPointFirewall-I和CiscoPIX,然后再来看看NetScreen有什么不同之处。CheckPoint是一个基于软件的产品。首先它必须安装在一台带操作系统的机器上如NT或UNIXo因此,网管员必须了解NT或者UNIX操作系统。这样就增加了客户的人员和培训的开支。其次,使用的这些操作系统经常会发现安全的漏洞。如果操作系统是不安全的,那么在其上安装什么防火墙也没用。第三,操作系统并不是仅为防火墙系统而设计。它的全部功能需要经过硬盘、文件系统来处理。这样就降低了防火墙的性能。一个软件防火墙的性能也会随着规则和策略的增加而急剧下降。正如我们所知的,用软件的方法检查规则,每一条规则就需要一个软件循环。第四,软件的解决方案是基于license的,用户不但需要购买防火墙的软件的license同时还需要购买操作系统的license.o这样又增加了用户的开支。第五,虚拟专用网（VPN）,负载平衡和流量控制功能对于CheckPoint防火墙产品来说,都需要另外花钱购买。第六,软件安装往往是很复杂的,一般都需要很多步骤来完成,同时也使得故障查找变得复杂化。NetScreen防火墙产品是一个基于硬件的解决方案。它运行在自己专用的操作系统之上。如果不了解操作系统,黑客们是无法闯入的。NetScreen是作为一个网络用品来销售的,安装时无需安装软件,并可经过web界面进行管理。用户也无需在她们自己的机器上安装任何特定的管理软件。她们所需的只是一个Internet浏览器。硬件的方法使得防火墙的性能大幅提高。防火墙的规则检查也不再需要逐个的循环来检查,因为所有的规则都存储在一个特定的存储区里。当硬件引擎每次需要检查规则时,就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。虚拟专用网、负载平衡、流量控制都集成在一个盒子里,用户无需额外的开支。另外,NetScreen防火墙产品也没有用户IiCenSe数的限制。CiSCoPIX也是一个基于硬件的解决方案。它使用了一个IntelPentiumCPU和PCI的总线结构。因此,事实上它就是一台PCoPIX防火墙的VPN解决方案是从RedCreekOEM过来另外加卡的功能。由于PlX的总线结构,采用主板另外插卡的方式实现VPN不能提供很好的吞吐量性能。事实上,Cisco已经决定放弃使用RedCreek卡作为其VPN的解决方案,而开始找寻其它的VPN卡。但若不排除总线的瓶颈,无论使用任何一种卡都存在同样的问题。PIX没有负载平衡和流量管理的解决方案。它的价格是基于用户数的。随着用户数的增加,PIX的价格也会急剧增加。NetScreen为实现防火墙和VPN功能使用了专用的设计。它使用了MIPS,RISCCPU。总线结构使用的是多总线的结构。NetSCreen有自己的防火墙引擎和VPN引擎。而且都是由NetScreen设计的ASIC(ApplicationspecifiedInternetCircuits)芯片。这也就是为什么我们的产品能够实现工业界最好的性能的原因。NetScreen-100NetScreen-10CiscoPIXCheckPointNAVPnetRedCreekNetWorkAddressTrans.(NAf)XXXXXProxyXXXXXDynamicFilterXXXXXTransparentIP1.essXXXRealTimeAlarmingXXXX1.oggingXXXXXUserAuthenticationXXXXXYE2!器1.100Mpbs(IPSEC)XIOMbps(IPSEC)XXAddOnAddOnAddOnXXKeyManagement(ISAKMP)Apr-99Apr-99XXXXNetWorkFeatUreS1.oadBalancingXAddOnTrafficPrioritizationXXAddOnDMZInterfaceXXXXXManagementWebBasedConfigurationXXWindow(GUI)Configurator)XXXXXXXCommand1.ine(SerialPort)XXXSNMPXXXXXMulti-siteApril'99April'99NoYesNoYesYes