IDC 安全解决方案 －Netscreen防火墙

    Netscreen-1000防火墙是一种高性能的硬件防火墙，其目标用户是IDC和大型电子商务网站。所谓硬件防火墙是指策略的执行和加解密由ASIC芯片执行，因此比其它防火墙速度要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙，对于大部份的应用Netscreen防火墙是监测整个通讯状态，如果发现通讯状态不正常便拒绝进入受保护的内部网络，对于FTP或H232等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。

　　在Netscreen 防火墙系列中Netscren-500和Netscren-1000是两款高端产品，Netscreen-500带宽为700兆，Netscreen-1000带宽最低可达到600 兆，可升级到1000兆。适合应用在大型企业和IDC，它是业界唯一千兆级的防火墙。

　　Netscreen-1000为可升级的体系结构，可根据网络环境来确定配置。网络接口有两个，分别是Trust口和Untrust接口，Trust口接内部需要保护的网络；Untrust接口连接外部不安全的网络。其它端口有管理端口和HA端口等。

　　注：HA（High Availiablity）口是Netscreen-1000作热备份时同步口。

一．Netscreen-500和Netscreen-1000适合IDC的突出特性有：

　　１、 高带宽（600兆－1000兆） 高带宽的Netscreen-500和Netscreen-1000防火墙专为IDC或特大型企业网络而设计。随着主机托管市场的快速成长，IDC的出口带宽不断增加，软件防火墙无疑会成为带宽瓶颈。Netscreen防火墙以其独一无二的高吞吐数据量完全能满足IDC的宽带需求。
　　２、 高可靠性或热备份（HA） 　　IDC不仅为用户提供高带宽的数据通道，而且还要能确保网络的可靠运行。由于防火墙所处的特殊位置，如果出现故障不仅对用户造成损失，而且还会对IDC的信誉造成负面影响。因此防火墙的高可靠性是应用在IDC的一个重要指标。
　　３、 支持多个虚拟系统（虚拟防火墙） 　　传统的IDC中用户的安全措施是分布式的，必需在每个用户的服务器网段安装单独的防火墙，这样作的缺点是不便于管理，占用大量机架空间。一个Netscreen-1000或Netscreen-500防火墙能为IDC用户提供多达100个虚拟的防火墙，可以给每个用户分配一个虚拟系统，并由用户管理自己的虚拟防火墙系统。
　　４、 支持VLAN（802.1q） 在Netscreen防火墙连接内部网的Trust接口支持绑定多个子接口和802.1q协议，因此可在IDC网络中将不同用户的网段分配给相应的接口，然后将子接口及相对应的网段分配给虚拟系统。再将虚拟系统分配给用户，因此对用户而言他们得到的是一个独立的防火墙。

二．Netscreen防火墙在IDC的典型应用 Netscreen防火墙在IDC 中的应用可分为三种情况：

    ■ 单个防火墙
    ■ 热备份防火墙（HA），从Internet入口到后端服务器每个节点完全备份
    ■ 带有负载均衡设备的多防火墙
　　
    １． 单个防火墙安全方案

    如上图所示，Netscreen防火墙实现的功能：
　　１） 千兆级防火墙在为网络提供安全保护的同时，最大会话数每秒50万，保证在防火墙出口处不会形成网络流量瓶颈。
　　２） 通过Netscreen给不同的用户分配虚拟防火墙系统，IDC能为用户提供可管理的安全服务。
　　３） 入侵检测。Netscreen独有的ScreenOS结合快速的ASIC 芯片能阻挡已知所有的＂黑客＂攻击方法，它的抗攻击能力是其它防火墙的8-10倍。
　　４） 用户登录到自己的虚拟防火墙系统后可以：
　　● 将内部地址映射为外部地址，从而隐藏内部网络结构。
　　● 设置VPN。在用户和防火墙之间建立自己的VPN通道，保证用户和自己托管在IDC的主机及防火墙之间的通讯在公网传输是安全的。
　　● 设置访问控制规则。允许Internet用户访问对外开放的服务，其它的服务则禁止，这样能减少网络流量及安全风险。
　　● 设置用户访问防火墙或网络的用户名及密码。

    ２． 热备份防火墙（HA），从入口到后端的服务器每一个节点完全备份
    如上图所示，该方案与方案一的区别是：Netscreen防火墙除了能实现单个防火墙的所有功能外，还能确保整个数据链路的高可靠性。
    Netscreen防火墙的热备份实现方法：
    ● Netscree-1000有一个专门的100M热备份接口（HA），通过无屏蔽双绞线连接两台防火墙。两台防火墙必需是完全一样的配置，通过HA口之间的通讯保持两台设备完全同步。
    ● 两台设备中主设备工作另一台不工作但处于运行状态，当主设备出现故障时另一台防火墙在6-10秒内接管原来主设备的工作，所有原来的通讯不会丢失。对用户而言切换过程是透明的，仅仅是感到速度有所降低。

    ３．带负载均衡设备的的多防火墙

    如上图所示，该方案除了能实现方案一的所有功能外，它的特点是总带宽超过1000兆。对于带宽1-3Ｇ的特殊网络，如果用一个防火墙不能满足带宽要求，可使用多个防火墙并在各防火墙之间作负载均衡来实现总带宽大于1000兆的流量。

• ·Virtuozzo面向主机服务商解决方案
• ·惠普公用数据中心企业解决方案
• ·天府热线邮件系统托管解决方案[图]
• ·天府热线大型企业客户解决方案[图]
• ·互联时代企业网络化办公解决方案[图]

• ·互联时代政务信息服务门户解决方案[图]
• ·上海有孚CIIP企业信息化应用方案
• ·证券网站加速和安全解决方案
• ·35互联采用64位高速企业邮局方案
• ·宝德游戏网络IDC中心解决方案