NetScreen网络安全项目解决方案.doc

. NetScreen 网络安全解决方案 （一）公司背景 NetScreen 科技公司成立于1997年10月，总部位于美国加州的硅谷。公司的奠基者有过在Cisco和Intel等科技领先公司多年的工作经验。1998年11月，Robert Thomas即Sun公司的执行总裁加盟NetScreen公司，任公司总裁。 公司致力于发展一种新型的与网络安全有关的高科技产品，把多种功能集成到一起，创造新的业界性能纪录。NetScreen创建新的体系结构并已取得了专利。该项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全（Ipsec），先进的系统级的设计允许产品提供多种功能，并且这些功能都具有无与伦比的性能。 NetScreen 科技公司已经为业界在虚拟专用网领域设立了新的安全解决系统的标准。所有的功能全部放在有关专有的硬件平台的盒子里，并且这些功能都有着无与伦比的性能。 目前公司由 Sequoia Capital投资赞助。Sequoia 是一家领先的风险投资公司，成立于1974年，已成功地为超过350家公司提供了最初的风险投资基金，其中包括3Com 公司、Cisco 系统公司、Oracle 公司、Symantec 公司和Yahoo 公司等等。其部分公司的股票都已成功上市。 NetScreen 科技公司目前有50多名员工公司在全美的主要城市都设有办事处，而且积极拓展海外市场。用户群包括HP、日立、日本电讯公司和美国在线等，覆盖了欧美亚等十几个国家和地区。 NetScreen公司的产品NetScreen-100获得了KeyLabs工作组的“测试首选奖”，在1998年4月举行的数据通讯杂志的评测中，NetScreen-100的VPN吞吐量是获得第二名的2.5倍。1998年11月，NetScreen公司再次荣获“测试者选择奖”，这是数据通讯杂志的年度奖。在同类产品中，NetScreen是唯一员工把防火墙、虚拟专用网（VPN）、负载均衡与流量控制结合起来，且提供100M的线速性能的产品。NetScreen保证这一点。 在1998年的8月和9月，NetScreen-10 和NetScreen-100 通过了ICSA (国际计算机安全协会)的防火墙认证。1998年9月，NetScreen 推出了VPN远程存取客户端软件。1998年10月，NetScreen 宣布推出 NetScreen-1000的产品。这是第一个支持千兆位传输的具有防火墙和VPN功能的产品。 1998年6月，NetScreen-100 被HP公司选为它在防火墙方面的新的合作伙伴。HP的合作伙伴是在全球围年为HP提供集成解决系统，并在增强用户的Internet上的应用。NetScreen是HP选中的二家防火墙厂家的一家，而且是唯一一家基于硬件的产品。1998年12月日立公司宣布它将在日本推广NetScreen 产品。日立公司准备在未来三年卖出10000套NetScreen 产品。 （二） 产品系列 目前，NetScreen 有 NetScreen-10 用于10MB 传输的网络。NetScreen-100 用于 100MB 传输的网络。NetScreen-100 端口是自适应的端口，也可用于目前传输为10MB 并计划将来升级为100MB的网络。 NetScreen-1000 不久将要面市，它将为那些大型企业和网络主干的供应商提供千兆网安全的解决方案。 NetScreen-5 目前正在测试阶段。它的大小类似一个CDROM。它是为小型办公室或个人用户而设计的。 NetScreen 远程 VPN 客户软件可提供远程VPN访问的解决方案。 （三）产品功能与特点 NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、嵌的高速RISC CPU和专用软件。 NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现，它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。（策略存取执行防火墙保护和加密解密功能）。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。 NetScreen提供了多功能和高安全性能的无缝连接，NetScreen-1000, NetScreen-100 和 NetScreen-10 分别提供了1000M、100M和10M的传输性能。NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和流量管理于一身的防火墙产品。同样，NetScreen-100是业界最快的防火墙，另外，NetScreen自动调整端口速率，使其达到10M和100M自适应。 因为是基于硬件的设计，NetScreen是唯一一家安全解决系统的提供商，NetScreen产品的高性能允许用户享受到高速的好处，可提供多条E1线路，甚至更高如E3的线路。 另外，该产品允许用户在远程实现加密通信，并且这种VPN功能不影响性能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen－10为中小企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网部构筑安全体系。 性能 NetScreen产品动态加密保护和按优先级实时监控未来数据，它专有的独特的系统设计保证了它的高性能，ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。 用户认证和策略 NetScreen 支持高性能的存取为每一个当前用户，无论是远程还是在防火墙，支持创纪录的并行连接用户数。NetScreen-1000创纪录地实现了TCP/IP并发连接（超过256000）；策略数（多于5000）和并发的VPN连接数（超过10000）。 NetScreen-100支持每秒4370个连接，（基于32个客户），领先于它的最接近的竞争对手。根据独立的测试机构，KeyLab的测试报告，NetScreen－100支持32000个并发用户连接，NetScreen-10支持16000个并发连接。所有产品都支持超过5000个存取策略，并提供简单易用的过滤界面。 防火墙 NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。 VPN NetScreen会集了VPN功能，保证了数据在传输过程中的加密和解密，但在数据被加、解密之前，首先要满足预定的策略。 不论NetScreen－100还是NetScreen－10都支持业界的加密标准。包括网络密钥交换（IKE, 或以前的ISAKMP) 通过IP，DES，Triple DES。并且还支持数据签名（MD5）算法。NetScreen将支持X.509认证公钥算法（PKI），可以自动地管理VPN。 NetScreen-1000建立了新的VPN性能测试基准，与其它同类产品比较，NetScreen-1000有着更高的吞吐量，更广泛的安全性和更低的价位。 流量管理 流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载均衡，使该产品成为web服务器和ISP的理想产品。 网络管理 该产品易于安装，而且NetScreen产品可以远程通过网络上任何一台具有浏览器的机器来管理。 透明模式 NetScreen可以被用来作透明传输。你可以在这种方式下不分配任何IP给NetScreen网络界面。它只需要一个管理界面。不用更改您现有的任何网络配置就可以利用策略来管理网络流量。除了它可以在两台NetScreen之间运行VPN，即使有些产品可以在透明模式下工作，但它们也不能在透明模式下实现VPN。 特点 ．独特的ASIC设计与已申请专利保护的系统体系结构 ．最优的性能价格比 ．无用户数目限制 ．独特的负载均衡能力与流量优先级控制能力 ．创记录的性能，具有线速运行能力 ．配置简单，管理方便 ．支持透明传输模式 ．设计紧凑，一些附加功能转移到主机上完成．如日志功能 ．支持一主一备的管理模式 （四）访问控制 NetScreen 使用了状态检查的方法来实现动态的包过滤。这种方法也同样被其他重要的防火墙厂商CheckPoint 和 Cisco所采用。相比其他的两种方法简单的包过滤和复杂的应用网关来讲，它具有更快速和更安全的优点。 简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后，就留下了可使黑客劫持端口号的漏洞。 应用网关通过检查应用层所有的包，提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现，因此性能是很低的。 状态检查的链路层代理，另一方面，可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束，防火墙就结束这个连接。在不牺牲安全性的条件下，提供更高的性能。 NetScreen 也可提供网络层的 URL 过滤，并在不久的将来实现病毒扫描的功能。 NetScreen 产品也提供信息的和用户的认证。NetScreen是通过建立VPN通道，由MD5实现的ESP信息的认证，并依从IPSec 标准 用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。 （五）管理 NetScreen 产品可连接信任端口（Trusted ）或 不信任端口（Untrusted）然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口（Untrusted）可以因安全的原因而设置为取消。如果取消它，不信任端口是不可ping的。 (不信任端口（untrusted） 在 1.60版本以前是不可ping的)。 NetScreen 产品同样也可通过console 端口，使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙，可在console口连接一个调制解调器。Console口的访问也可因为安全原因设置为取消。 NetScreen 产品也可以通过telnet来管理。Telnet 和 Web 管理也可通过VPN 通道加密，提供安全的管理。 管理方便，可通过串口管理，使用命令行方式。也可以在图形方式下用浏览器进行管理，不分硬件平台和操作系统，只要把浏览器打开就可以通过用Web server 的方式来管理．配置简单尤其在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备，可以采用snmp的集中式管理，通过网络管理软件，如SunNetManager来进行管理．而且NetScreen还可以提供备份的远程拨号方式的管理不仅如此，为安全起见，NetScreen 可以关闭远程的管理方式，而只使用本地的、安全的管理方式。 （六）处理能力与性能指标 ．具有线速带宽且不受信息包大小影响(wirespeed) ．在作地址转换和添加策略时，性能不受任何影响 ．具有VPN功能，支持IPSEC,DES,TripleDES, ．人工密钥管理,自动ISAKMP密钥管理，支持MD5 ．线速带宽的包过滤 ．支持32000个并发连接 ．5000个高级访问过滤策略 ．具有网络地址转换功能 ．支持透明模式传输 ．动态过滤，具有硬件级代理服务器功能 ．有实时监控流量和报警功能 ．可以实现日志记载功能 ．流量控制，可以根据不同用户与不同策略分配带宽 ．支持8级用户优先级设置 ．支持服务器负载均衡 ．动态IP pool,实现端口地址转换 ．支持多种标准协议：ARP,TCP/IP,UDP,ICMP DHCP, , RADUIS, Ipsec ,MD5, SHA-1 Des, Triple -DES, IKE, X.509v3 ．可以通过浏览器，TFTP服务器，快速闪存来进行软件版本 的升级与配置参数的下载，备份 ．支持一主一备的管理模式 （七）产品适用围 l 企业网 (INTRANET) Netscreen-100,以其创记录的100Mbps运行速度，将业界的性能标准一下子提高了十倍，创新的，独特设计的软硬件体系结构，使Netscreen-100将高速的性能，最大限度的安全性与简单易用有机地结合在一起，有效的消除了制约传统软件类防火墙的性能瓶颈． Netscreen-100是当今市场上为企业网（INTRANET）与互连网(INTERNET) 与企业部各单独子网之间提供信息保护的最可信赖的解决方案．它可以被灵活　地设置在企业局域网的各个关键位置，以保护各个部门的资讯，如财务部，工程部　等关键部门，或保护重要的企业网服务器，甚至可以保护企业高层管理人员个人电脑上的敏感资讯． 将虚拟专用网(VPN)方便的能力与放火墙功能设计在同一个体系结构中，是使Netscreen-100在当今防火墙技术市场上居于领先地位的关键．VPN 保证了加密的数据在进出公司局域网和外部互连网时受到检验． Netscreen-100强大的DMZ服务器负载平衡功能，使得用牺牲网络性能换取网络安全的矛盾迎刃而解．无论需来自企业网(INTRANET)还是互连网(INTERNET)，　Netscreen-100都有能力平衡多个服务器．运用一个加权系统，网络管理员可以保证为企业部信任端口(TRUSTED)服务器和公共的隔离端口(DMZ)服务器按需分配带宽Netscreen-100的100Mbps的速度性能，保证了网络具有实时响应能力和最短的等待时间，实现了网络性能与网络安全的完美统一． l 互连网（INTERNET） Netscreen-100在防火墙市场之所以出类拔萃，是因为其实现了防火墙安全性能与高速率的完美结合．它不仅适用于单个的E1,而且适用于多个E1或E3，甚至快速以太网。Netscreen-100可以很容易地配置在任何现有的企业网络结构中。 Netscreen-100为网络管理员提供了综合的网络流量控制方法，从而实现了高效的网络流量管理。Netscreen-100的先进功能之一，优先级管理，就是对带宽按级别来分配，保证了网络数据的高效交换．这就使诸如视屏会议等特定服务和应用，在全部可用带宽围，可被确保一定比例的带宽而顺畅进行。与此相关的，Netscreen-100同时具有全面的网络分析能力，如实时的日志记录，快速准确的报警功能和方便的报表能力。 l 外部网（EXTRANET） Netscreen-100以其先进便利的VPN功能，确保特定局域网之间在互连网上以密文交换信息。在公网上开辟出一条安全通道，为用户降低成本。在Netscreen-100高速处理能力的保障下，VPN可使公司安全地进行远程数据复制与拷贝，以与对远端服务器的配置与管理。如果您的企业需要通过互连网与诸如供货商，商业伙伴，分支机构进行端到端信息交换，Netscreen-100的VPN功能将是您最安全可靠和经济有效的工具。由于VPN使用公网传输，节省了昂贵的租用专线费用，极降低了企业网络为通讯安全进行的投资。 （八） 防火墙应用示例 Trusted Network Internet NetScreen DMZ Untrusted DMZ Trusted NetScreen防火墙有三个端口－Trusted、DMZ和Untrusted。分别用于连接Intranet、Internet和DMZ三个网域。它独创的安全包处理器，将所有的流量策略、安全政策、加密和身份验证都交给硬件处理，从而大大提高了防火墙的处理性能；并且将包的生成交给软件处理；将包的路由交给路由器处理，集中实现安全策略下的高速吞吐量。 （九） VPN应用示例 连接移动的用户访问企业网的文件。 NetScreen NetScreen Clear Traffic VPN Branch Internet VPN Tunnel Headquarters 连接分支机构和企业网，并可用于提供冗余的WAN链路。 Clear Traffic VPN Partner Internet NetScreen NetScreen Headquarters VPN Tunnel 将多个分支机构通过Internet连接起来，通过密文传输，以保障企业网的安全。 （十）负载平衡的应用示例 Internet SQL Server 3 SQL Server 2 SQL Server 1 Server 1 Server 2 Server 3 DMZ Trusted VIP = 200.10.10.5 LOAD BALANCER 可由多台服务器分担网络上访问服务器的流量。 （十一） NetScreen防火墙产品客户案例 案例一: 有一个 NetScreen 客户的总部位于纽约，它的分支机构设在芝加哥和伦敦。使用专线或帧中继服务连接这些机构费用太昂贵。用户选择 NetScreen 产品通过Internet连接他们的每个分支办公室。使用网络翻译模式（NAT），用户节省了合法的IP地址，并对外隐藏了部的网络结构。同时他们使用了NetScreen VPN 功能在纽约、芝加哥和伦敦间建立起Internet上的加密通道，不仅节省了连接的开支并保证了通信的安全。 纽约总部 芝加哥办公室 VPN密文通道 NetScreen NetScreen NetScreen 企业网络结构逻辑图 明文通道 ROUTER RTR RTR Server Farm DMZ 伦敦办公室 移动用户 CEO’s Home Internet 案例二： 另一个 NetScreen 的客户是一个 Web 主机ISP。其中有少数的web服务器是非常受欢迎的，总是有很多的网络访问流量。这些流量有时就把其他的一些web服务器的带宽占满了。为确保他们的客户都能得到他们花钱所买到的访问服务。这家ISP使用NetScreen 产品作为一个流量管理工具，来管理属于不同web服务器的带宽。同时 NetScreen 产品也为这些服务器提供防火墙保护。 案例三： 中国电信总局的国家级169项目也选择了NetScreen 防火墙解决方案。169 网被称为中国公用多媒体网。他使用专用的IP地址，提供到Internet的访问服务，并与ChinaNet中国Internet主干网也叫163网相连。NetScreen 产品用以实现30个省会的地址翻译功能并同时保护169网络的安全。 五、网络安全产品的比较 （一）.keylab 测试结果 此次评测是以KeyLabs创建的性能基准FireBench来进行防火墙的性能评测, 我们将从四个方面来衡量防火墙的性能: 每秒连接数, 吞吐量, 延迟, 和并发连接数. 参加此次评测的产品如下: Ascend Communications' Pipeline 75是一个基于 ISDN "面向状态" 检查的防火墙, 它在有限的带宽下表现优秀. 在吞吐速率0.8 Mbps的情况下, Pipeline 75可能难于竞争过这里比较的其他产品. 尽管如此, 通过使用压缩算法的Pipeline 75 实际上仍可达到ISDN理论限制的6.25 倍. Cisco Pix 4.2是一个基于状态检查的防火墙,在此次评测中它可达到最高的吞吐量和最高的并发连接数,它的最高吞吐量为84.4 Mbps 和 2105.9 CPS. Cisco 不久后送回一个新版本的防火墙, 此次测试为新版本防火墙的测试结果. Digital Equipment Corp.'s AltaVista 3.1提供了应用层的包过滤. AltaVista 防火墙的测试的最好性能为 32 个客户下的吞吐量测试, 可达 60.1 Mbps. Lucent Technologies' Managed Firewall 2.0是一个基于状态检查的防火墙, 配置简单, 可通过浏览器的Java applet来管理. Lucent 防火墙测试的最好性能为 64 个客户下的吞吐量为 57.4 Mbps 和 3168 CPS. NetScreen Technologies' NetScreen 100 ver. 2因其配置简单和最高的性能价格比而获得了我们的最高评价.它是一个基于Hybrid结构的仅用硬件实现的解决方案. NetScreen 防火墙测试的最好性能为 64 个客户下, 可达到吞吐量为 84.1 Mbps 和此次测试中最高的 4123.3 CPS. 1. 测试的实施和测试方法 KeyLabs FireBench 防火墙基准 KeyLabs 创建了 FireBench, 他是一个防火墙的基准, 它模拟了一个实际的防火墙流量. FireBench 中包括了KeyLabs创建的测试工具和方法. 基准建立了实时的website的流量, 包括一个混合的和FTP的请求. 多客户从多个web服务器通过硬件或软件防火墙发出文件请求. FireBench 测试性能的容有: 每秒连接数, 吞吐量和并发连接数. 客户机的增加次序为 4, 8, 16, 32, and 64. 2. 每秒连接数的测试 每秒连接数是测量每秒通过防火墙的连接数. 尽可能快地建立连接并取消连接. 然后我们提高客户的数量直到达到最高点并开始下降.我们增加连接的增量为4. 3. 吞吐量的测试 吞吐量的测试记录了延迟和平均的Mbps 数. 我们在客户端运行一个工具软件, 它连接防火墙另一端的Internet 服务器. 通过提高客户的数量直到达到最高点并开始下降, 从而得到一个吞吐量的最大数值. 吞吐量的测试步骤如下: 1.创建连接 (无需保持) 2.发出一个 1MB FTP 和 75KB HTML 文件请求 3.收到文件 4.记录收到文件的大小 5.关闭连接 6.从第1步重新开始 网络流量通过如下的比率产生: = 75% of requests (75 Kbytes) FTP = 25% of requests (1 MB) 延迟是取通过测量由防火墙产生延迟的平均值. 4. 并发连接数的测试 并发连接数是一个衡量可同时通过防火墙的最大的连接数量. 测量最接数是通过增加客户连接的产生数量直到通过防火墙的连接数停止增加. 每个客户建立500个同时连接. 然后, 为保持这些连接, 每个客户每3秒通过每个连接发出一个100byte的的请求. 测量最大并发连接数的过程如下: 1.打开 500 个连接 2.通过每个连接发 100 byte 请求到internet server 3.在3秒记录收到请求数据的连接数 4.返回第2步 5. 测试的结果 以下的几个章节包含了每个参加测试的防火墙的配置信息. 防火墙一般都分为两种, 一种是黑盒子的硬件解决方案, 另一种是某些平台上的具有防火墙特性的操作系统. 但无论是哪一种防火墙, 一旦安装好并运行起来, 他们都是在完成防火墙的任务. 1) 4.1 Ascend Pipeline 75 -- "面向状态的" 检查 我们设置两个网段的Pipeline 75 安全访问防火墙.并使客户机和服务器间通过拨号仿真来连接. 因此全部的网段带宽可达到128kbps. Pipeline 75 是一个黑盒子硬件和软件混合的解决方案. Pipeline 75 事实上是一个运行SecureAccess软件的以太网到ISDN 的网桥/路由器. 通过终端连接进行配置.配置菜单容广泛并使用简单. 用于测试的系统硬件和SecureAccess软件价格为$1,495. Pipeline 防火墙的最好的性能测试结果为 4 个客户和18.1 CPS. 总的并发连接数为824. 应该注意尽管这个数字相比其他产品是非常低的,但这个产品只用了 128kbps 通道, 而其他的产品却使用了理论上的 200 Mbps 的通道. Pipeline 75 通过使用压缩算法, 使实际的吞吐量高于理论值. 2) 4.2 Cisco Pix -- 全状态检查 我们设置PIX ver. 4.2 为三个网段. 这样设置是因为防火墙硬件只支持三个接口. 我们设置服务器在一个网段上, 并设置DMZ区放置web服务器. PIX 是一个黑盒子的硬件解决方案. 使用串行连接建立终端连接来配置. PIX 的配置程序是最不友好的. 不提供GUI的窗口. 所有的配置参数都需要通过命令行的方式来修改. 用于测试的硬件和软件报价$22,680. PIX 防火墙的最好的性能测试结果为 64 个客户. 总的并发连接数为 35,000. 3) 4.3 DEC AltaVista -- 应用层的包过滤 我们设置两个网段的防火墙. 在每个网段上都有客户机和服务器,并建立一个应用层包过滤的DMZ网段. 这样设置可使所有的客户web和FTP访问无需经过代理. 系统硬件由一台512MB存的 DEC AlphaServer 1000A 5/500 机器运行 Digital UNIX 4.0d. 3.1版本的软件和Rev 5.1软件. 服务器包含两个Digital DE500AA 网络接口卡. AltaVista 防火墙最好的性能测试结果为 32 客户,吞吐量为 60.1 Mbps. CPS测试最好的测试结果为64 个客户1035 CPS. 总的并发连接数为 15,876. 4) 4.4 Lucent 科技 -- 状态检查 我们设置防火墙在两个网段上,客户机和服务器分别位于两个不同的网段上，这样设置是因为防火墙只支持三个接口。第三个接口用于系统管理。 Lucent 防火墙是一个黑盒子的硬件解决方案。需要用SMS--安全管理服务软件来配置和管理防火墙。SMS是基于JAVA applet, 由一个浏览器来启动。服务器的配置简单。我们在一台单300 MHz Pentium II 处理器128 MB 存的Compaq DP2000 6300MMX 机器上运行SMS软件, 运行Microsoft Windows NT server 4.0操作系统, 1GB 的硬盘文件系统。 Lucent 防火墙最好的性能测试结果为 64 个客户。吞吐量为57.4 Mbps 和 3168 CPS。总的并发连接数为 25,871。 5) 4.5 NetScreen 科技 -- Hybrid 我们设置 NetScreen 100 ver. 2 在两个网段上。客户机和服务器分别位于两个不同的网段上,这样就可以产生混合的包过滤,应用级别和状态检查。 NetScreen 防火墙是一个黑盒子的硬件解决方案。我们用浏览器或串行线配置它,不需要其他的软件。 并发连接数的测试总数为 34,321。 6) 每秒连接数的测试结果 每秒连接数 - 是每秒通过防火墙的打开和关闭的连接的总数 这个价格性能图表是表示每花费一千美元所得到的性能。 7) 吞吐量/延迟的测试结果 吞吐量 --- 是指通过防火墙的测试和FTP的数据流量的总和。 这个价格性能图表是表示每花费一千美元所得到的性能。 延迟 - 由防火墙引起的毫秒级的延迟的平均值。 8) 并发连接的测试结果 并发连接 - 并发或同时创建并通过防火墙的连接总数。 这个价格性能图表是表示每花费一千美元所得到的性能。 6．问题, 版本, 测试报告 我们测试了大部分的防火墙产品是在它们的原有状态下。Cisco 修改了部分原代码企图提高性能。任何成功的修正现有的产品或在未来的产品中,其他的厂商也都具有同样的机会增强或修正他们的产品。 NetScreen, Lucent Technologies, Cisco 和 Ascend 提供的都是黑盒子的硬件解决方案。 DEC AltaVista 使用的是带防火墙特性的操作系统。在每种情况中,一旦防火墙安装好并运行起来,机器或黑盒子都是在完成防火墙的任务。 （二）几种常见防火墙产品的比较 现在，我们来比较一下这两个领先的防火墙产品CheckPoint Firewall-1 和Cisco PIX ，然后再来看看NetScreen 有什么不同之处。 CheckPoint 是一个基于软件的产品。 首先它必须安装在一台带操作系统的机器上如NT 或 UNIX。 因此，网管员必须了解NT 或者 UNIX操作系统。 这样就增加了客户的人员和培训的开支。其次，使用的这些操作系统经常会发现安全的漏洞。如果操作系统是不安全的，那么在其上安装什么防火墙也没用。第三, 操作系统并不是仅为防火墙系统而设计。它的全部功能需要通过硬盘、文件系统来处理。这样就降低了防火墙的性能。一个软件防火墙的性能也会随着规则和策略的增加而急剧下降。正如我们所知的，用软件的方法检查规则，每一条规则就需要一个软件循环。第四，软件的解决方案是基于license 的，用户不仅需要购买防火墙的软件的license 同时还需要购买操作系统的license.。这样又增加了用户的开支。第五，虚拟专用网（ VPN）, 负载平衡和流量控制功能对于CheckPoint防火墙产品来说，都需要另外花钱购买。第六，软件安装往往是很复杂的，一般都需要很多步骤来完成，同时也使得故障查找变得复杂化。 NetScreen 防火墙产品是一个基于硬件的解决方案。它运行在自己专用的操作系统之上。如果不了解操作系统，黑客们是无法闯入的。NetScreen 是作为一个网络用品来销售的，安装时无需安装软件，并可通过web 界面进行管理。用户也无需在他们自己的机器上安装任何特定的管理软件。他们所需的只是一个Internet 浏览器。硬件的方法使得防火墙的性能大幅提高。防火墙的规则检查也不再需要逐个的循环来检查，因为所有的规则都存储在一个特定的存储区里。当硬件引擎每次需要检查规则时，就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。虚拟专用网、负载平衡、流量控制都集成在一个盒子里，用户无需额外的开支。此外，NetScreen 防火墙产品也没有用户license数的限制。 Cisco PIX 也是一个基于硬件的解决方案。它使用了一个Intel Pentium CPU 和 PCI 的总线结构。因此，事实上它就是一台PC。PIX 防火墙的 VPN 解决方案是从RedCreek OEM过来，另外加卡的功能。由于PIX 的总线结构，采用主板另外插卡的方式实现VPN不能提供很好的吞吐量性能。事实上，Cisco 已经决定放弃使用RedCreek 卡作为其VPN 的解决方案，而开始找寻其他的VPN 卡。但若不排除总线的瓶颈，无论使用任何一种卡都存在同样的问题。PIX 没有负载平衡和流量管理的解决方案。它的价格是基于用户数的。随着用户数的增加，PIX的价格也会急剧增加。 NetScreen 为实现防火墙和VPN功能使用了专用的设计。它使用了MIPS’ RISC CPU。总线结构使用的是多总线的结构。NetScreen有自己的防火墙引擎和VPN引擎。并且都是由NetScreen 设计的ASIC (Application specified Internet Circuits) 芯片。这也就是为什么我们的产品能够实现工业界最好的性能的原因。 28 / 28