NetScreen:

網絡安全領域領先的創新者ColinChiTechnicalConsultant1NetScreen:

網絡安全領域領先的創新者ColinChiEmail:Tel:分層次的安全途徑Critical

ResourcesIntrusion

PreventionDoSFirewallIPSec

VPNCentralmanagementPartnersolutionsVPN“Securityprofessionalsagreethatnetworksecurityrequiresamulti-layereddefense.Tomeetthechallengesposedbysophisticatedandrun-of-the-millattacks,enterpriseshavebeenforcedtodeploylayersofsecurityproducts.”-InternationalDataCorp.

通過多層次保護，NetScreen可以提供全網絡的安全，保證關鍵資源的保護-VPN,DoS,防火墻和入侵預防方案3NetScreen產品全球范圍的PRO和

IDP管理器全球范圍的PRO

快遞中心站點媒介站點小型辦公室/住宅工作者網絡核心VPN,防火墻,DoS入侵防范移動工作4NetScreen簡介網絡安全解決方案領先的創新者

IPSecVPN拒絕服務保護防火墻入侵防范功能強大的安全解決方案站點對站點，遠程訪問VPN外圍安全防火墻加固基礎設施防火墻入侵防范正在出現的應用程序，如無線局域網，IP上的語音NetScreen的創新成就防火墻/VPN第一個推出基于定制的ASIC集成防火墻/VPN設備第一個推出1、4和12Gbps防火墻設備第一個推出用于有效安全分段的虛擬系統體系結構入侵防護第一個通過丟棄惡意數據包來檢測和防止攻擊第一個采用多重方法檢測來提高攻擊檢測率第一個推出狀態簽名檢測來減少錯誤警報5重要的企業事實優良的財政業績高的、不斷增長的收入~十億美元的市場份額*全球性的大公司~500個雇員總部位于美國加州桑尼維爾

在全球范圍內有30多家辦事處被Gartner視為業內領導和構想家領先的市場份額主要回報和證明*2003年1月的數據6NetScreen的成功模式安全性VPN,DoS,防火墻和入侵防范周邊和核心安全中心管理性能基于ASIC的硬件，植根于網絡按照執行的安全任務對軟件進行了優化業主的總體費用可升級的解決方案基于協議的安全管理集成的設計和操作系統容易實現的網絡集成安全性能基于服務器的安全ity“密碼”-

應用PC應用實現目的的應用TCO7NetScreen安全方案ScreenOSGigaScreenASICScreenOSGigaScreenASICOptimizedSecurityPlatform重新設計的內部結構SingleMultiparallelGlobalPROScreenOSGigaScreenASICOptimizedSecurityPlatformNetScreen整合的技術平臺GigaScreenASIC專用加密加速ASICDES,3DES,MD5,SHA1,PKI,Session查找,TCP頭解析,認證,NAT,隨即數產生和策略查詢(每秒25million策略),流量控制.基于安全定制的操作系統硬件驅動任務協調9性能:先進硬件設計通用的處理進程

數據必須通過幾個非優化的接口每個“API”都會引入安全風險、解釋和廠商獨立性進程延遲可能造成“不可預知的行為”無法優化數據路徑PC硬件系統/冒充的硬件系統操作系統VPNCo-ProcessorCPURAMBusI/OInOut應用安全的特定處理進程

新的線速包處理進程

被優化的每個進程模塊為安全進程和性能優化的應用和硬件GigaScreenASICCPUHighSpeedBackplaneInOutRAMI/ONetScreen先進的硬件結構安全實時的操作系統集成的安全應用

10安全:ScreenOS操作系統PC系統+軟件結構操作系統VPNCo-ProcessorCPURAMBusI/O應用GigaScreenASICCPUHighSpeedBackplaneRAMI/ONetScreen先進的軟件結構安全實時的操作系統集成的安全應用

11企業級安全:安全區UntrustUnTrustTrustTrustDMZUnTrustTrustDMZ…12企業級安全:虛擬系統何謂虛擬系統:建立擁有自己的地址本、策略和管理的虛擬防火墻／VPN如何工作:通過IP地址、物理結構或VLAN標記將流量路由到虛擬系統（VSYS）VSYS可以支持多個用戶或域而不共享策略可以獨立被管理好處:簡化管理通過分割網絡提高安全性通過減少額外的硬件需求來降低TCOVsys#1Vsys#2Vsys#3Physical

InterfacesVLAN

TagsIP

Addresses13虛擬系統選項VSYSAVSYSBVSYSCInternetInternetVSYSAVSYSBVSYSCInternetVSYSAVSYSBVSYSC基于VLAN分類基于接口的分類基于IP地址的分類虛擬系統通過VLAN劃分虛擬系統通過端口劃分虛擬系統通過網段劃分NetScreen

SecurityGatewayNetScreen

SecurityGatewayNetScreen

SecurityGatewaySkipVR14企業級安全:虛擬路由器何謂虛擬路由器:隱藏私有IP地址允許多個用戶使用相同的IP地址如何工作:每個虛擬路由器擁有個自的路由域和協議分開的路由表單獨保存私有和公有IP地址OSPF/BGP4，RIPv2(5XT)好處:簡化管理將私有地址映射成公有地址支持IP重疊方案

更低的TCO私有網絡VR1內部路由表

(私有IP地址)VR2外部路由表(公有IP地址)15NetScreen集成的網絡特性NetScreen支持OSPF,BGP和RIPNetScreen-5XT以上產品都支持NetScreen-5XP不支持每個產品支持協議的實例和路由數量因硬件平臺不同而不同主要用于互操作性而不是替換Internet路由器多個ISP出口加入到OSPF網狀結構NetScreen提供業界最高的端口密度NS-5400提供多達78個物理端口集成的VLAN支持NS-5x00支持4,000VLANs網絡高可用性HAInternetNetAServiceProviderAServiceProviderBRouterBNetScreen

SecurityGatewaySkipHA16網絡集成:部署模式和動態路由何謂動態路由部署:易于安全部署而無需改變網絡配置自動學習網絡配置如何工作:支持透明、靜態和動態路由模式全產品線支持動態路由所有產品支持OSPF和／或BGPNetScreen-5XT也支持RIPv2好處:簡化網絡集成

減小手工配置的負擔增加網絡彈性–特別對VPNsNetworkTunnelA(Primary)TunnelB(Secondary)Remote

Office17可靠性:VPN路徑監控何謂VPN路徑監控:監控VPN路徑，一旦發生故障來發現可選的路徑如何工作:動態路由決定網絡的可達性VPN通道基于動態路由表而不是靜態策略路徑監控判斷故障動態路由發現新的路徑好處最小的由于VPN失效的生產力損失TunnelAMetric=1NetworkRemote

OfficeTunnelBMetric=218高可用性需求高可用性解決方案的目的就是在所有層面上提供最大的可靠性提供系統級故障恢復機制系統級HA–一旦發生災難性故障,系統自動切換到第二臺設備為了避免系統級故障切換,需要提供:設備級HA–設備盡可能的固化(沒有拆裝的部件),高質量(高MTBF值),有彈性的故障切換(冗余硬件)鏈路級HA–提供冗余的網絡鏈路網絡級HA–一旦網絡設備出故障提供可選的網絡路由(如交換機)立即切換(sub-second)系統級HA需要支持:系統間基于狀態的故障切換維護會話表,加密密鑰和安全聯盟SA等雙主動Active-active–正常工作中提供最大的帶寬19可靠性:HA高可用性SW1SW120成本有效性:集中化管理何謂集中化管理:集中管理這個平臺從相同的圖形界面管理硬件、操作系統和應用如何工作:WebUI–嵌入式web服務器HTTP和SSL通過RS232的CLI界面,Telnet和SSHNetScreen-GlobalPROSNMP–標準MIB和私有擴展Syslog–標準流量報告和告警第三方–Websense,WebTrends,其他好處快速部署的越多，錯誤發生的機會越少，支持費用越低SNMPCLIWebUI3rdPartySyslogGlobalPRO21互聯網完整的防火墻功能性

具有成本效益的遠地部署

即插即用安裝

全IP業務NAT，DHCP，PPPoE

管理動態地址

攻擊阻擋

32種攻擊防護；ASIC加速；達到每秒25K會話

內容級保護

惡意的過濾URLWebSenseURLTrendAV全面的用戶認證

RadiusSecureIDLDAPWebAuth穩固的網絡集成

實時高可用性

路由，NAT透明模式

多路由表或虛擬安全區

基于策略的NAT廣泛的應用支持

最高的性能

公司

全面管理

GlobalPRO策略，RTM，歷史的

WebUICLI易用的基本配置

SyslogSNMPWebTrends

另加一套完整的入侵檢測及預防解決方案

多法檢測在線操作；基于策略管理22Internet完整的VPN功能性

全面的RAVPN支持

遠程VPN客戶；

安全客戶-個人FW+VPN；集中的用戶認證ANG；認證和智能卡支持；

兼容性

w/CerticomPDA客戶

GlobalPRO主要站點的穩固連通性

實時高可用性冗余網關VPN通道VPN監控全網狀OSPF和BGP路由虛擬系統3DES和AES加密w/ASIC加速流量管理

；

FIPs和ICSA認證

具有成本效益的遠地

VPNPN全范圍的HW；

集中星型或全網狀VPN；

NAT穿越；

VPN撥號后備；

管理動態地址

簡易部署和NW集成NAT,NAT-T,透明模式；

設備或基于策略的管理；

NAT，DHCP，PPPoE；

集成的防火墻

全面的管理

基于策略的管理；

VPN監控；

詳細報表和發展趨向

全面的認證支持

PKI(versign,…RadiusLDAPXAUTHSecureID23前十個理想的防火墻/VPN特性RankMostDesiredFirewallFeature61%IntegratedVPN56%100Mperformance55%Additionalsecurityfunctionality49%Fail-overcapability41%Statefulinspectionengine39%Remotesoftwareupdate34%Loadbalancing/QoS/trafficshaping24%4+Ethernetports24%Appliance-based20%1GperformanceFeaturelistfromInfoneticsUserSurveyRankMostDesiredVPNFeature61%Highavailability/automaticfail-over56%Easeofuse55%Interoperability49%100Mperformance41%Digitalcertificatesupport39%PPPOEsupport34%3+Ethernetports24%Splittunneling24%1Gperformance20%VoiceoverIPFeaturelistfromInfoneticsUserSurveyNetScreen滿足所有需求24設備費用支持費用部署費用操作費用硬件購買軟件購買其他模塊集中軟件軟件購買培訓和認證硬件和軟件技術支持

軟件升級集中管理軟件支持硬件和軟件安裝

設備配置Patch安裝和測試集中管理安裝和配置Troubleshooting配置更改操作系統補丁和應用軟件升級設備故障總結:NetScreen降低TCONetScreen在以下幾個方面幫您降低費用:更低的設備費用您安全問題的最佳解決方案更寬的產品線在負載狀態下的可信賴的性能集成的安全應用靈活的配置簡單的許可證–主要基于設備用命令行和基于Web的方式的單一的管理平臺更低的部署費用更少的設備部署易于使用–減少配置時間更少的測試和加在Patch一個管理安全控制臺部署更低的操作費用易于使用更少的troubleshooting時間單一廠商支持在命令行下的高級調試選項更少的測試和patch加在投入安全的操作系統較少漏洞更低的支持費用單一設備廠商滿足所有支持需要單一的安全管理控制臺轉變為更低費用的更低的設備費用25NetScreenFW/VPN產品規格

廣泛的市場覆蓋全球范圍的PRO和

IDP管理器范圍寬廣的網絡安全解決方案全球范圍的PRO

快遞中心站點媒介站點小型辦公室/住宅工作者網絡核心VPN,防火墻,DoS入侵防范移動工作27NetScreen5000系列Console和帶外、modem接口HA接口N個接口板卡24F+2G/8GNetScreen5200N=1NetScreen5400N=328NetScreen-5000結構FlowControlFirstPacket,IKE,etc32bit-Bus064bit-Bus115GbpsswitchfabricMgmtModuleSecurePortModuleSecurePortModuleFutureTech.ModulesBackplane雙總線結構ASIC與管理模塊之間的控制信息ASIC與管理模塊之間的數據交換15G交換背板，多插槽設計(5400)為多個安全接口模塊或今后新開發的模塊而設安全接口模塊（包括今后的新模塊）之間的數據流29NetScreen-5000系列FeaturesNetScreen-5200NetScreen-5400接口24F+2G/8G72F+6G/24G處理能力4G(64Byte＞2G)300萬包2G3DES(64Byte＞1G)100萬包12G(64Byte＞6G)1000萬包6G3DES(64Byte＞3G)300萬包Sessions1,000,0001,000,000VPN250,000250,000VSYS500(4096Vlan)500(4096Vlan)HAActive-ActiveActive-Active30NetScreen5000性能表現提供高達24倍3DESVPN性能的差距提供高達16倍防火墻性能的差距MD5包大于1Gbps****31NetScreen-500LCDInterfaceModuleBaysHotSACorDCPowerSuppliesFanModuleDualHAManagementModemConsole32NS500SystemArchitecture4PowersupplyPowersupplyFanTray4FansConsoleLCD&LEDsCPUManagementbusController/BridgeGigaScreenASIC&MemoryFlashCard10/100MAC10/100MAC10/100MAC10/100MgmtHA1HA2PowerPlaneBoardTrafficInterfaceModule1TrafficInterfaceModule3Modem2(GBIC,DualMT-RJ,10/100orDual10/100)SecurityDomainsTrafficMulti-bus33NetScreen500的性能表現34NetScreen-200系列6個系統狀態指示燈:Power,Status,HA,Alarm,Sessions,Flash硬件恢復開關Console和帶外modem接口CompactFlash?slotsupporting96and512MBcards8interfacesontheNetScreen-2084interfacesontheNetScreen-20435NetScreen-204&NetScreen-208FeaturesNetScreen-204NetScreen-208Interfaces4F8FMaximumThroughput400MbpsFW200Mbps3DES550MbpsFW200Mbps3DESConcurrentsessions128,000128,000Newsessions13,00013,000HighAvailabilityActive-ActiveActive-Active36NetScreen-50/25系列硬件特性6個系統狀態指示燈:Power,Status,HA,Alarm,Sessions,Flash硬件恢復開關Console和帶外modem接口CompactFlash?slotsupporting96and512MBcards410/100Minterfaces37NetScreen50undermulti-sessions38NetScreen-50&NetScreen-25性能FeaturesNetScreen-50NetScreen-25Interfaces4F4FMaximumThroughput170MbpsFW50Mbps3DES100MbpsFW20Mbps3DESConcurrentsessions32,0008,000VPNTunnels10025HighAvailabilityActive-PassiveN/A39NetScreen-5XT專用的管理控制臺接口和外部modem接口使用外置Modem提供撥號備份功能撥號備份支持Internet和VPN流量內存是NetScreen-5XP的兩倍預裝ScreenOS企業級防火墻和VPN特性性能和處理能力70MbpsfirewallNAT2,000concurrentsessions20Mbps3DESVPN10IPSecVPNtunnels410/100交換接口共享Trustedsecurityzone(例如不能用于獨立的DMZs)110/100Untrust

自適應以太網接口

10-userandElite(無限用戶)版本40NetScreen-5XTUntrustInterface10/100Base-TAuto-sensingandAuto-correctingTrustInterfacesFourSwitching10/100Base-TAuto-sensingandAuto-correctingConsole(CLI)InterfaceDB-9RS232ModemInterfaceDB-9(HighSpeed)RS232Speedsupto115KBPowerInlet12Volts1Amp41NetScreen-5GT冗余特性連接的冗余性:撥號備份和雙Untrust接口Tunnelrouting使用

RIPv.2,BGP或OSPF高性價比高性能，強健的安全型，集成的管理降低費用。先進的安全特性集成的防火墻/VPN/DoS防護*嵌入式病毒掃描

通過安全區進行網絡訪問分隔額外的內存和CPU處理能力用于以后的安全功能高性能75MbpsFirewall/NAT20Mbps3DESVPN**Upgradeexpectedtobeavailableduringthe2ndhalfof2003foranadditionalfee.42NetScreen-5XP安全產品簡介優化用于寬帶網絡遠程和撥號用戶10MbpsASIC-basedIPSecVPNs–10tunnelsIPSec,DES/3DES,MD5,SHA-1,IKE密鑰管理狀態監測防火墻-DoS偵測NAT(mappedIP,VirtualIP),URL過濾DHCP客戶機和服務器流量控制:確保和最大帶寬WebUI,CLI,集中管理易于實施的QuickStart10用戶版本43NS5XPArchitectureMPC850PowerPCCoreUARTRTCMAC1MAC2Flash4MBBootROM.5MBSDRAM32MBNetScreenGigaScreenFW,NAT,DES,3DES,MD5,SHA-1,RND#PHYPHY32-bit/48MHzbusRS232TrustedUntrusted44NetScreenRemote:VPN遠程接入軟件支持DES&3DESIPSecVPN支持ManualKEY,IKE,PKI支持Windows9x&NT45NetScreenFW/VPN產品線

產品最大吞吐量

最大會話數最大VPN通道

最大策略數

最大虛擬系統量

高可用性

NetScreen-540012GFW&6GVPN1,000,00025,00040,000500是A/P**NetScreen-52004GFW&2GVPN1,000,00025,00040,000500是A/A*NetScreen

-500700MFW&250MVPN250,00010,00020,00025是A/ANetScreen-204/208550M/400MFW&200MVPN128,0001,0004,000NA是A/ANetScreen-100200FW&185VPN128,0001,0004,000NA是A/ANetScreen-50170MFW50MVPN32,0001001,000NA是A/PNetScreen-25100MFW20MVPN8,00025500NA否NetScreen-5XT70MFW20MVPN2,00010100NA否NetScreen-5GT75MFW20MVPN2,00010100NA否NetScreen-5XP20MFW13MVPN2,00010100NA否NetScreen-RemoteVariesbyPCNA1NANANo46DeployMonitorMaintainReport快速實施新的用戶/站點一次定義，多次使用分散管理任務發現/分析攻擊模式SLA跟蹤高效的客戶使用記帳集中在重大事件偵測攻擊源跟蹤總體性能攻擊的響應執行增加/移動/修改設備軟件版本維護NetScreen-GlobalPRO&Express47GlobalPRO&GlobalPROExpress成套包攬業務管理解決方案

配置/策略管理，實時監控

集成的NetScreeen–RemoteVPN客戶管理

多管理/基于角色的管理

預安裝和配制在SunNetra服務器上

GlobalPRO完善的歷史報表

日志數據的相關性/簡化

可擴展到10，000套設備中

可擴展的基于Web的報表模板；

第三方的報表集成，例如HP/OV

NetScreen-GlobalPRO&Express監控

配置GlobalPROUI策略管理服務器

監控報告歷史報表服務器數據收集器

OracleDB48入侵檢測系統:彌補防火墻的不足彌補防火墻的不足基于策略的規則設置，用戶設定IDP采取的動作(允許,丟棄,記錄日志,等等…)防范不必要的協議連接正常的端口阻止防火墻所不能防御的基于應用層的攻擊提供直觀的2－7層的網絡流量的控制PhysicalDatalinkNetworkTransportSessionPresentationApplicationPhysicalDatalinkNetworkTransportSessionPresentationApplication傳統的防火墻NetScreen-IDP解析第二～四層解析第二～七層49???第二層防御線,提供的功能:攻擊的識別：可以識別各類攻擊乃至針對應用層的攻擊攻擊的防御典型保護—FW+入侵檢測CorporateNetwork 防火墻是第一道抵御線，能夠提供以下的功能：

訪問控制

認證

虛擬專用網（VPN）

網絡分段隔離

DoS攻擊防御和某些網絡層攻擊的檢測50WhyNetScreenIDPIDSNetScreenIDP具有IDS所有特點具有IDS所沒有的特點，M.A.PAccuracyManagementPrevention51WhyIDP——AccuracyIDP,使用8種攻擊檢測方法來確認所有受到的攻擊事例

紅色代碼

緩沖溢流

后孔

端口掃描，網絡掃描

源自多連接協議的無效連接

后門檢測

流量簽名網絡蜜罐

DoS檢測

其它…狀態簽名

協議異常

ScriptKiddieTelnetrootIDEAL入侵檢測

IDS，只具有簽名檢測以及（或者）協議異常檢測的功能

52WhyIDP——Manage