安泰公司NetScreen-5xp解决方案

2004-10-22　发布方：北京金网安泰　网友评论 0 条　点击进入论坛

    宽带网初露曙光
    随着IP协议的广泛应用以及快速、低价的计算机和网络互联技术在全球范围内的日益普及，新的交换技术使以铜导线为基础的电话网以及有线电视网络产生了巨大的变革，现在可以在这两种网络中进行快速的Internet信息检索，网上娱乐互动游戏以及实时的通信交流。此外，无论是在网络的边缘还是核心区域，以光纤为基础的以太局域网技术的逐步应用对于众多的网络服务技术来说是一个强有力的竞争者。随着Internet业务的增长，不断开放的计算机网络环境和日益流行的IP（网际协议）、以太网技术的进一步结合，对于所有的Internet访问提供商、内容提供商，商业公司和广大消费者来说这既是新的机遇也是巨大的挑战。
    Internet访问提供商现在处于令人羡慕的地位，不仅仅是因为他们提供了进入信息高速公路的途径，而且他们在创建一个储存访问内容的中心机房并提升了商业网络和电话服务网的速度之后，可以在远距离电讯服务中实现视频会议以及实时的娱乐互动。
    Internet内容提供商现在可充分利用高速的传播速度使客户能够访问基于信息、教育和娱乐的多媒体程序。
    商业公司能够创建虚拟电子商店使自己与贸易伙伴和客户的交流更加容易，还能够通过快速、廉价以及无处不在的网络与自己的远程办公室和雇员随时建立网上联系。
    消费者现在能够利用Internet高访问速度得到大容量的信息，创建自己的web容貌甚至通过能够畅游Internet的手机来浏览网上信息或者购买网上商品。
    在Internet时代我们面临一个紧迫的挑战，那就是网络的开放性。在过去几十年中，封闭的计算机网络系统对于外部入侵者来说是难以攻破的，是否应该保护网际间的安全通信以及接受类似的服务对于那时的消费者来说有很大的随意性。现在随着高速互联网时代的来临，上网用户数呈天文级数般地增长，对于宽带网的安全解决方案产生了新的需求----在开放的互联网上要拥有象"前辈"计算机网络那样的安全性但又要保持极高的网络通讯速度。

    宽带网的安全挑战
    当宽带网的益处日益引人注目时，与之相对的大量的挑战也出现了。各个地区的网络带宽差异以及宽带网的普及是一个棘手的问题。有线电缆和DSL服务提供商已经加快了他们的部署安装计划，连结环境在稳步改善，但仍然面临巨大的挑战。网络安全是另一个非常重要的问题，家庭PC和大型网站被黑客攻击的次数明显增加。
    宽带网面临两个崭新的安全挑战，易被黑客攻击网络的漏洞越来越多，通过公共IP网络与其他网络建立安全连结（见图一）

    黑客乐于攻击宽带网出于以下两个原因：首先"永远在线"使得黑客能够在任何时刻尤其是在无人监视网络运行情况的时候发起攻击，其次宽带连结使用静态IP地址使得黑客可以持续稳定地对那些站点发起攻击。
    黑客用很容易操作的工具扫描因特网以寻找那些有漏洞的计算机。很多宽带网用户抱怨他们的计算机每天都要数次遭到那些正在寻找系统漏洞的黑客的攻击。DSLReports.com 最近的报告指出在他们对宽带网用户进行的系统安全检测中，发现有97%的用户的计算机存在安全漏洞。一个普遍的错误是把Windows下的文件和打印机进行了共享确认，这将导致计算机暴露在外界并且具有可访性。一旦黑客侵入了系统他们将窃取机密信息，恶意损毁文件或者以这台计算机为"宿主"发送大量的信息包去攻击其他网点从而引起网络堵塞或者对方主机拒绝服务。几个月前Yahoo,eBay,E*Trade和其他一些网站先后遭到这种拒绝服务式的攻击，当俄勒冈州当局依照攻击者所留下的IP地址找到了那个通过宽带上网的PC用户时，经过调查发现他是无辜的，他的PC机被真正的攻击者所留下的"木马"所控制去攻击其他计算机。
    令人欣慰的是，容易使用管理并具有高吞吐量的宽带网安全设备现在已经面世，它可以堵住那些安全漏洞。NetScreen-5XP是一种低花费，易使用的网络安全设备，它具有高速防火墙，基于IPSec标准的VPN和流量管理等功能。

    小型公司企业的安全问题
    　　
    小型公司企业加入到宽带网后，当公司员工访问因特网时他们需要有一个保护内部网络安全的防火墙，以便阻止那些非授权的人访问公司内部网（见图2）。如果他们需要在公司里部署WEB服务器，那么他们必须执行更多复杂的安全策略并且一定只把WEB服务器允许外界访问而不是全部网络。此外，另一些安全功能也是必不可少的：防止拒绝服务攻击，防止Dos攻击（例如防止IP欺骗等），执行URL过滤以阻止员工访问不应访问的站点。

    近来，许多公司都为能够利用因特网开展业务而感到高兴，但他们并没有考虑到与因特网相关联的安全问题。随着最近越来越多的黑客入侵公司企业网或者是借"机"攻击其他网络的事件的不断发生，公司业主们开始逐渐注意到网络安全保护工作。小型公司企业需要购买使用和管理属于自己的网络安全设备，但是他们中的大多数对于制定适合于本公司的网络安全解决方案，安装和管理他们的安全设备感到无从下手。

    许多公司要求安全服务提供商提供有效的安全解决方案。另外一些客户则要求提供更全面的安全管理服务以保证增加的收益有效地转换为资本。与需求相对应的应该是一个可以轻松配置并具有集中管理和自身维护功能的设备，并且要求安全服务提供商更有效地提供一种可管理的安全服务。
    扩展企业安全范围到分支办公室和远程家庭办公室
    现在宽带连接的一个热点是公司企业可以把分支办公室和远距离家庭办公室的计算机连入到内部网络并且可以以高速度进行互访。与缓慢的拨号连接到公司网络中心相比宽带连接无论是在花费或是速度上都具有明显的优势。
    虚拟专用网(VPN)技术以IPSec加密协议作为秘匙生成标准可以使公司企业把他们的局域网范围安全扩展到他们的分支办公室和家庭远程办公室。VPN用公共IP架构，以Internet作为网络通讯桥梁来保护公司各分支网络、移动工作人员和远程家庭办公室的互连---与以前的互连方式相比明显地减少了花费。依据市场分析，使用虚拟专用网的花费不到专线连接的一半，比帧中继接入服务便宜四分之一。专家指出利用VPN进行远程访问连接可以为企业节省30%到70%的花费。
    在家里进行远程办公的人员在自己的家用PC上安装VPN客户端软件以便和远端的公司局域网相连接，从远程PC到中心网络的VPN网关之间将建立一条加密通道。然而，许多公司企业在为远程办公人员进行VPN客户设置或者在使用VPN时经常碰到问题，例如：
    为大量的远程PC安装和升级客户端软件对管理员来说是一个挑战；
    当客户端使用非Windows的操作系统时将很难调试；
    使用Linux,Mac,Solaris,BSDI的客户端很难被管理员发现，即使管理员找到了他们，在安装时也会碰到各种平台的不兼容和互不支持问题；
    在进行机密的远程协同工作时，远程PC缺乏安全性；
    如果黑客利用安全漏洞攻破了与公司网络远程互连的任意一台PC,黑客可以马上通过这台远程PC对网络发起U-turn攻击（见图三）。所谓U-turn攻击就是黑客首先获取那些不安全的远端客户机的访问权，然后利用这台PC通过VPN专用通道与总部的网络建立连接，这将使这名黑客获得完全的访问总部网络的权利，使得企业整个安全架构完全崩溃。

    另一个与安全相关的问题是当扩展企业网络到远程分支办公室和远程家庭办公室时，那些远程计算机有可能被黑客入侵并以此为"基地"去攻击其他计算机，这是一个企业潜在的对于公网的安全责任问题。

    NetScreen-5XP满足宽带网的安全需求
    一个集成的宽带网安全装置---NetScreen-5XP将清除那些安全隐患。NetScreen-5XP是一台为特定目的（为中小型企业、公司连接外部网络时提供安全保障）制造的，具有独特的专用集成电路(ASIC)设计结构并且集成了实施监控、VPN和流量管理功能的防火墙，针对下一代宽带网应用环境作了特别优化设计。

    它小巧，具有极高的性能价格比并且可以轻松管理。它能提供10M的线速处理能力，具有ICSA认证的3倍DES IPSec加密VPN和流量管理功能。安装一台NetScreen-5XP防火墙是一件非常轻松的工作，它避免了复杂的PC软件安装和配置，通过安全策略的制定可以使管理员集中管理远程办公室或家庭办公室的远端安全设备。功能齐全的NetScreen-5XP防火墙可以保护总部在与远程站点联络时敏感信息不被黑客窃取，阻止U-turn攻击的同时还可以防备黑客利用公司的远程设备发起拒绝服务攻击。

    NetScreen-5XP产品的主要性能指标：

    双向线速处理
    10Mbps防火墙线速处理能力
    10Mbps的基于IPSec3倍DES加密的VPN
    TCP/IP并发会话连接数：2,000个
    每秒新的会话：960个
    10个VPN通道
    支持地址转换（NAT）模式，路由模式和透明模式（所有端口）
    集中星型VPN网络技术
    IP地址分配：内部DHCP服务器，DHCP客户端和PPPoE客户端
    设置恢复功能
    NetScreen-5XP有两种规格。一种是10用户版本，另一种是用户数无限制版本，两者都支持10个VPN通道和2,000个用户会话数。

    NetScreen-5XP的内部构造

    NetScreen-5XP具有一个崭新设计的运算速度更快的RISC（精简指令集）CPU，它与ASIC专用芯片互连保证了高性能。可通过基于图形界面（GUI）的浏览器轻松配置管理它，也可通过Telnet以命令行（CLI）的方式或者5XP背面标准的RS232串口方式进行管理。它有两个支持全双工的10-BaseT以太网接口分别对应信任端和不信任端，一个恢复设置的硬件转换开关，可轻松配置接口的背部面板，在前面板有显示电源状态、单元工作状态和连接状态的柔和明亮的指示灯。

    安全性

    NetScreen-5XP是基于状态监测，防止入侵和拒绝服务攻击的技术而设计的。基于状态监测的NetScreen-ScreenOS（操作系统）通过了ICSA（国际消费者服务协会）的认证，NetScreen独特的ASIC体系结构结合优化的安全操作系统实现了硬件级防火墙策略访问和数据加密，这与软件类防火墙相比提供了更高级别的安全性。强大的防攻击能力可以抵御包括SYN attack,ICMP flood和Port Scan和其他多种网络攻击。它也支持网络地址翻译（NAT)、端口地址翻译（PAT）--自动隐藏内部、无法路由的IP地址，与透明模式一样，他们不用修改网络地址就可以进出防火墙访问。

    加密

    利用NetScreen高性能的千兆级ASIC芯片,NetScreen-5XP对VPN的加速性远远超越了普通PC体系的解决方案，并且它使防火墙和VPN功能可以在自己的硬件平台上同时运作而不互相影响，这也防止了两个功能设备分开运作时产生的安全漏洞。此外，NetScreen-5XP运行的ScreenOS有以下VPN特点：通过ICSA和VPNC（VPN联盟）认证的IPSec---与其他通过IPSec认证的厂商设备相兼容；NetScreen的VPN技术全面支持远端到点和点对点的VPN功能；集中星型VPN简化了配置复杂的VPN网络，通过这种拓扑结构可以轻松配置和管理远程办公室的VPN网络，在主要站点之间传送大量数据时可以以很高的速度保持连接。

    NetScreen-5XP的线速优势

    大部分以xDSL方式上网的用户似乎认为NetScreen-5XP防火墙的线速处理能力将影响他们的网络带宽，现在的带宽峰值是2Mbps。然而许多大城市的用户很快将以光纤共享的方式以1到100Mbps的带宽上网，到那时他们就会感到以2Mbps的带宽上网如同现在用56K的modem拨号上网一样缓慢。NetScreen-5XP防火墙能够提供10M线速处理能力，这将确保用户能充分使用更高的带宽而不用去更换他们的网络安全设备。

    总结

    NetScreen科技的网络安全设备和安全系统（包括客户定制的系统）对于那些正在应付宽带网的安全挑战的用户说是最理想的选择。NetScreen的安全机制采用ASIC硬件处理方式处理防火墙访问策略和加密算法，这不仅减轻了CPU管理数据流的负担，而且速度有了极大的提高。安全加速ASIC与NetScreen操作系统和系统软件紧密的集成在一起，有效地消除了软件类防火墙由于操作系统本身引起的瓶颈问题。NetScreen带来了系统级别的安全功能，消除了额外平台所带来的系统开销，这是目前在典型的PC或工作站的安全产品性能降低的一个主要原因。

    企业分支办公室或者远程办公人员需要保护他们与总部联络时的信息安全，网络安全服务提供商或网络安全管理员需要能够轻松安装并进行管理的安全设备。在即将来临的宽带互联网时代，为特定目的设计制造的，具有高性能的NetScreen-5XP防火墙，可以确保所有选择它的企业和安全服务提供商们把他们的投资安全地转换为更大的收益。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表