NetScreen Firewall保护企业网络安全4.docx

资源描述

NetScreen Firewall保护企业网络安全4-系统实施建议基于以上的规划和分析，我们建议企业网络安全系统按照系统的实现目的，分两个步骤（两期）分别实现以下各个安全子系统：防火墙系统 VPN系统动态认证系统 1.1 系统设计的基本原则实用、先进、可发展是安全系统设计的基本原则。本建议书设计的安全系统首先是满足企业现有和可预见未来几年内的应用要求；其次是考虑在投资增加很少的前提下，选择目前可以提供最先进技术手段的设备和系统方案；最后要考虑实现的安全系统面对应用要有长远发展的能力。防火墙系统作为网络出入口的内外连接控制和网络通信加密/解密设施，不仅需要有足够的数据吞吐能力，如网络物理接口的带宽，也需要优越的网络连接的数据处理能力，例如并发连接数量和网络连接会话处理能力等。以下的防火墙系统设计将根据这些原则合理的设计系统。本建议书将重点对防火墙系统（包括VPN应用系统）提出设计建议。 1.2 安全系统实施步骤建议任何一个网络应用系统在实施和建设阶段，在进行应用系统开发的同时，首先是考虑网络基础设施的建设。防火墙系统和VPN应用系统作为现代网络系统基础设施的重要部分，毫无疑问也是我们建设网络安全系统首先需要构架的系统。这也是我们建议企业网络安全系统第一阶段需要完成的系统建设部分。动态认证系统是对网络用户对具体的应用系统或网络资源访问控制的一种加强手段。正如前面所分析，在防火墙配合的基础上可以更加有效地发挥其作用；另一方面，动态认证系统是面向具体应用的访问控制辅助手段，系统的实施范围和规模根据应用系统的要求而决定。所以我们建议动态认证系统放在防火墙系统实施完成后的第二阶段来实施。同样，漏洞扫描和入侵检测系统作为防火墙系统的辅助系统，可以有效地提高防火墙系统发挥的安全保护作用；漏洞扫描和入侵检测系统所发挥的作用，最终要靠防火墙系统的作用来体现，因为漏洞扫描和入侵检测系统“检查”和“侦测”得到的非法访问和恶意攻击，需要防火墙系统对其实施控制和拦截。所以建议也将漏洞扫描和入侵检测系统放在防火墙系统建设完成后的第二阶段实施。 1.3 防火墙系统实施建议防火墙系统是在网络基础层以上（OSI/ISO网络结构模型的2至7层）提供主要的安全技术服务手段，如表2所示。这些安全服务包括了访问认证、访问控制、信息流安全检查、数据源点鉴别等技术手段。（注：在以下的防火墙系统设计建议中，除特别进行说明的功能或技术手段不能满足设计要求以外，本建议书所有设计选择的产品都是全部满足表2和第三章提出的系统目标之要求，在本方案文档中将不再进行所有功能的详细技术实现说明。）在网络边界设置进出口控制，可以防御外来攻击、监控往来通讯流量，是企业网络安全的第一道关卡，其重要性不言而喻。网络防火墙系统从其设置的物理位置来说，最恰当的位置就是网络物理边界的出入口。所以可以说，网络安全系统最为关键的组成部分实际上是利用上述的各种技术手段，通过对网络出入口的控制实现安全服务的目的。本建议书我们采用防火墙来对企业网络的进出口进行控制，包括Internet进出口控制和广域网进出口控制。 1.3.1 Internet进出口控制绵阳总部是整个企业的中心最重要网络，通过广域网链路连接分布在各地的分部，开展各种业务应用，并采用专线连接互联网获取有用信息。从安全和管理角度考虑，建议只在总部设立一个Internet出口，各地分部统一通过总部访问互联网。（一）Internet接入结构如下图典型的企业应用所示，总部在Internet出口设立防火墙系统。为避免单点故障，防火墙系统采取双机模式构建。每台防火墙均提供4个网络接口，分别连接Internet，中立区和内部网络两台中心交换机。来自Internet的光纤专线将通过一台交换机与两台防火墙的外网口连接。中立区也需增加一台交换机，用于连接两台防火墙的中立区口、WWW服务器、邮件服务器等。（二）防火墙系统选型设计经过对多家防火墙厂商设备的综合比较，本建议书推荐采用NetScreen公司的防火墙产品。 NetScreen国际有限公司（以下简称NetScreen公司）成立于1997年10月，总部位于美国加州硅谷。 NetScreen Technologies以业界领先的防火墙/虚拟专用网络（VPN）解决建议书，加强互联网的安全能力。NetScreen专门开发基于ASIC的互联网安全系统及设备，为互联网数据中心、服务供应商及企业提供高性能防火墙、虚拟专用网及网络流量的监控功能。这种全面安全解决建议书为客户带来高性能、易于升级和管理的优点，在业内累获大奖。 NetScreen 的每一种硬件安全系统和设备，均具备防火墙、VPN和流量控制三种功能，其高性能表现备受赞扬。Infonetics Resear企业的“VPN产品市场占有率报告”显示，NetScreen主导千兆比特级防火墙市场，也在VPN产品市场高踞领导地位。NetScreen的突破性ASIC安全解决建议书，实现线速处理数据包处理，并充分利用其带宽，避免了传统类产品的瓶颈问题。我们设计企业Internet出口处采用两台组成双机模式的NetScreen防火墙（以NetScreen204为例）。NetScreen–204防火墙吞吐量高达400Mbps，提供4个100M接口，128000链接数，200Mbps VPN处理能力，支持透明模式、双机备份、负载均衡、图形管理等，流量控制功能为网络管理员提供了全部监测和管理网络的信息，诸如DMZ，服务器负载平衡和带宽优先级设置等先进功能，使NetScreen独树一帜。其详细特点如下： ? 提供了防火墙的全部安全功能（如防止拒绝服务攻击，Java/ActiveX/Zip过滤，防IP地址欺骗……）并结合了包过滤、链路过滤和应用代理服务器等技术 ? 网络地址转换（NAT）：隐藏内部的IP地址 ? 动态访问过滤(Dynamic Filter) ：自适应网络服务保护 ? URL地址的限定：限制站点的访问，过滤不需要的网站 ? 用户认证(Authentication)：只允许有授权的访问 ? 符合IPSec：可与其他厂家的设备交互操作 ? IKE密钥管理：保证密钥交换 ? DES和三级DES：最高等级的加密、解密 ? 流量带宽控制及优先级设置：按您的需求管理流量 ? 负载平衡能力：管理服务器群( Server Farms) ? 虚拟IP：将内部服务器映射为可路由地址 ? 实时日志及报警纪录：实时监控网络状态 ? 透明的，无IP地址设置：无须更改任何路由器及主机配置 ? 自带Web服务器：方便地通过流行的浏览器进行管理 ? 图形界面：可关闭远程的管理方式，只用本地的、安全的管理 ? SNMP管理方式：通过网络管理软件管理 ? 命令行界面：支持批处理方式及通过调制解调器的备用渠道进行控制两台NetScreen防火墙（500/1000，2002年7月份后100/200也支持）采取双机热备方式工作，任何一台防火墙出现故障，其任务由另一台防火墙自动接管，避免单点故障造成企业无法上网的情况发生，保证网络的无间断运行。企业的Internet应用除了浏览互联网和WWW发布外，外出员工对公司的访问也将通过Internet进行。为允许合法用户访问公司网络，同时确保通过Internet进行的业务应用的安全性，我们建议采取VPN通讯方式。利用NetScreen防火墙的VPN功能，终端工作站安装NetScreen-Remote软件或者利用WIN2000操作系统对VPN的支持，可以实现企业远程办公的安全需求。 NetScreen-Remote是一种在用户主机（桌面或笔记本电脑）上运行的软件，简化了对网络、设备或公共或非信任网络中其它主机的安全远程接入。通过采用IPSec协议和第二层通道协议[L2TP]，并以证书作为额外的选项，可以实现安全性。为了构建安全的通信通道，必须把这一软件与IPSec网关结合使用（如NetScreen家族安全设备），或与运行IPSec兼容软件的另一台主机结合使用（如NetScreen-Remote）。NetScreen-Remote支持Windows 95, 98, NT, 2000系统。 1.3.2 广域网进出口控制企业具有多个地理上分散的分部，各分部和总部之间租用电信专线互联，形成以总部为中心的集团广域网。分散的企业给网络安全管理造成了一定的难度，而且企业内部攻击的成功可能性远大于外部攻击，造成的危害更严重，因此全方位的网络保护是不仅防外，还应防内。企业内部防范主要是确保总部和各公司的安全，加强广域网的进出口控制，我们建议在总部及各分部的广域网出口处配备防火墙来加强内部网络保护，见下图。该防火墙系统起到防御内部攻击、阻止入侵行为进一步扩大升级的作用，避免某段网络范围内发生的入侵破坏扩大至整个企业网络，把来自内部攻击造成的破坏减低到最低程度，保护其它网络部分的正常工作。根据企业升级后的网络拓扑结构，广域网链路和设备都具备了较强的冗余备份能力，总部的路由器和中心交换机配置均采取了双机热备方式。考虑到总部的广域网防火墙是位于路由器和中心交换机之间，所以也必需做冗余配置，否则会成为广域网设备中的单点故障点，使路由器和中心交换机所做的备份措施失去意义。企业广域网存在ERP、VoIP、视频会议等各种高带宽应用，特别总部是整个企业网络的数据中心，进出的信息流量庞大，推荐采用两台处理性能很强的NetScreen–500防火墙，实现冗余备份（Active-Active方式）和负载均衡。每台防火墙基本配置含4个100M或1000M端口，分别连接两台路由器和两台中心交换机。 NetScreen-500是一个高性能、高度可靠、高度冗余的平台。NetScreen-500拥有750M线速处理能力，250M的3DES VPN流量，强健的攻击防范功能。为了满足高性能要求，NetScreen-500设计时采用了定制的专用千兆级ASIC，提供了加速加密和策略查找功能。此外，它使用两条处理总线，把管理流量与流经系统的流量分隔开来。这可以防止高可性流量和其它管理流量影响吞吐量性能。NetScreen-500特别适合带宽要求高的大型企业环境。 NetScreen-500技术参数性能并发会话250000，每秒的新会话数22000，防火墙性能700Mbps，三倍DES（168位）250Mbps，策略20000，时间表256 攻击检测同步攻击,ICMP flood检测(门限可选),UDP flood泛滥检测(门限可选),检测死ping,检测IP欺骗,检测端口扫描,检测陆地攻击,检测撕毁攻击,过滤IP源路由,选项检测IP地址扫描攻击,检测WinNuke攻击,Java/ActiveX/Zip/EXE,默认分组拒绝,DoS、DDoS保护防火墙网络地址转换，透明模式，实时状态的监测，实时报警，日志 VPN 10000条专用隧道，手动密钥、IKE、PKI (X.509)，DES(56位)和3DES(168位)，完全正向保密（DH群组）（1，2，5），防止回复攻击，远程接入VPN，站点间VPN，星形（轮轴和轮辐）VPN网络拓扑，L2TP 流量控制有保障的带宽，最大带宽，优先使用带宽，DiffServ标记系统管理 WebUI (HTTP 和 HTTPS),命令行界面(控制台),命令行界面(telnet),安全命令外壳(兼容ssh v1),所有管理均经过任何接口上的VPN隧道基于Web界面配置，多点管理可通过NetScreen的Global Manager集中管理虚拟系统虚拟系统最大数量25个，支持100个VLAN 工作模式透明模式（所有接口）,路由模式,NAT,PAT,VIP4个,MIP256个,IP路由-静态路由256个,基于策略的NAT,不限制每个端口的用户数高可用性（HA）高可用性（HA）,防火墙和VPN会话保护,设备故障检测,链路故障检测,故障切换网络通知管理 20个管理员，远程管理员数据库，管理网络6个，根管理、管理和只读三种用户权限，软件升级和配置变动(TFTP/WebUI) NetScreen-500外观见下图：企业各地规模较大的分部防火墙选用NetScreen-200(204/208)系列防火墙。该防火墙安装在广域网路由器设备之后，最多可提供多达4/8个100M口连接两台路由器和内部中心交换机。NetScreen–200防火墙拥有400M/550Mbps吞吐量，具有全面的防火墙安全功能，为分部的网络应用提供高安全性和良好的性能。具体的NetScreen–200产品特性参见2.1.1Internet进出口控制一节。 1.3.3 虚拟连接广域网出入口控制通过公共互联网虚拟连接的企业网，连接的两端（总部和分部）由于其承担的工作角色和工作量有比较大的差异，因此，出于实用和经济的角度考虑，本方案建议网络接入Internet的结构采取不同方式和档次的设备方案。（一）总部的接入设计在本章4.3.1节中，已经对企业总部的Internet出入口控制防火墙系统进行了设计，同样的连接应用结构也可以应用到通过Internet提供虚拟网络的接入。建议使用4.3.1的设计方案，在此不做重复的说明。在总部的物理出入口，可以是对外提供公共服务的出入口（4.3.1设计的）与企业虚拟连接广域网的接入口为同一个物理接口，即由同一个Internet公网节点提供连接；也可以是各自独立的接口，即由不同的公网节点提供连接服务。前者需要将总部的公网出入口控制防火墙的档次提高（至少选择NetScreen-500以上的档次），这是由于通过这种虚拟连接方式接入企业各地分部或商业合作伙伴有近千家，只有配置更高档的防火墙才能满足系统应用的性能要求，如同时支持的VPN通道数量、会话处理能力、网络接口带宽等等。后者的模式是再增加一个结构与4.3.1设计相同的公网接入物理接口，与前者同样的理由，向企业各分部或商业合作伙伴提供虚拟连接的出入口，其控制防火墙也需要配置功能强大和性能优异的设备，建议选择档次为NetScreen-500以上的防火墙产品，如NS500或NS1000，NS5000。（二）分部的接入设计由于分部通过公网虚拟连接接入总部网络网络的应用，考虑其数据量和应用的要求不高，而且这种非物理专线方式接入所提供的网络通信带宽也很有限，通常只有几十或几百K，因此在企业各异地分部建议采用功能满足系统实现目标、性能相对较低的防火墙设备。本方案选择NetScreen-5XP防火墙配备各分部。（有关NetScreen-5XP防火墙建立虚拟网络的组网说明请参考VPN系统的设计说明）。 1.4 VPN系统设计 VPN系统在企业网络系统中应用的目的是在一个非信任的通信网络链路或公共Internet建立一个安全和稳定的隧道。虽然在应用逻辑上，VPN和防火墙是两个独立的应用系统，但是对于先进的防火墙设备，两者是合并在同一个物理设备上的，这样的不仅可以使系统的结构和实施简单化，而且可以大大地提高系统的应用效率。在本方案设计采用的NetScreen防火墙就是这一种设备。NetScreen防火墙可以提供表2所列在网络基础层所提供的认证、数据加密和数据完整性的安全服务手段。 1.4.1 广域网链路加密企业公司总部与各地分部之间的网络向ERP、视频会议、VoIP等多种业务应用提供传输服务支持，大量的业务数据通过广域网传输，需要保证数据传输的安全可靠性，不被偷听窃取和恶意篡改。在前面广域网进出口控制一节的方案中，NetScreen产品集防火墙、VPN功能于一体，它可以充当VPN网关而无需增加任何组件。企业可直接通过总部NetScreen高端防火墙和各分部的中端NetScreen（建议采用NS100或NS200）防火墙，在总部与各分部之间建立起VPN通道，加密广域网传输的数据。NetScreen防火墙在VPN应用上有出色的性能，例如NetScreen-500能够提供250M的VPN吞吐量和10000条专用隧道，NetScreen-204能够提供200Mbps VPN处理能力和建立1000条隧道。 1.4.2 虚拟连接组网建议在4.3.3中，我们建议在企业所有通过公共Internet虚拟连接的分部或商业合作伙伴，采用NetScreen-5XP防火墙连接接入公网。5XP的防火墙和VPN应用都能满足本建议书提出的系统实现目标要求。 NetScreen-5XP不仅具有防火墙和VPN的实用功能，同时提供了在网络应用上的功能（详细参见NetScreen-5XP的功能介绍附件），这些功能在小部门的网络互联（LAN to LAN）应用中非常实用，它使5XP在网络互联中承担了互联“网关”的作用，从而省缺了这些小部门之间的LAN互联时需要配置价格不菲高层交换和路由设备。这是5XP在本方案安全应用中非常有用的意外增值。在此，我们针对NetScreen-5XP的其他应用作如下说明：一、组网条件及设备 1．企业异地小机构的网络或单机电脑可以通过接入Internet，获得静态或动态的公有或私有IP地址；企业总部有对外的固定的公共互联网IP； 2．作为建立连接的公网IP的防火墙需要使用NetScreen 高端的产品作为中心控制设备，出于高可用性的考虑，建议配置中心防火墙的备份（如下图所示右边带阴影的设备）； 3．连接分支端的网络设备选用5XP产品；二、组网原理及联网功能组网原理如下图：上图中，所有接入互联网的5XP（公网IP地址或私网IP地址），通过总部的防火墙NS500系列、1000系列（公网IP）建立以下几种网络连接（LAN-to-LAN）：（1）所有分支机构LAN与总部LAN之间的加密、认证（VPN）连接（如附图中的黑色实线）；（2）所有通过5XP连接的LAN互相可以建立通过中心防火墙路由的LAN加密虚拟连接，即Hub&Spoke方式的VPN连接（如附图中的蓝色和绿色虚线）；（3）为防止中心点因为各种原因而导致防火墙不可访问，从而造成分支点之间的互访障碍，可以配置一个冗余中心，提高整个网络的高可用性（如附图中的长虚线连接所示）；（4）特殊需求情况下，可以直接建立不经过中心防火墙路由的直接的5XP之间的LAN-to-LAN加密VPN连接（附图中的红色虚线）。以上的各种联网方式，可以通过我们提供的管理程序套件，用人工方式实现，或对用户“透明”的自动方式实现。三、优点 1．不需要向链路服务供应商租用价格昂贵的专线或者申请数量巨大的公网IP（实际上不可能），就可以实现企业网络的广域连接； 2． 5XP可作为分支机构的路由网关，实现各子网间的跨网段（非公有的企业私有网址）访问，在小型的分支机构LAN内无须配备路由和高层交换设备； 3．基于Keep – Alive消息保持的网络VPN连接的连续状态； 4．这种网络连接提供所有基于LAN to LAN连接支持的各种网络服务，如MS Windows的共享权限相互访问彼此的资源（网上邻居）、H.323传输服务、Net-meeting等等； 5． 5XP提供网络连接的流量管理，即在公网的传输效率保证的前提下，5XP提供基于策略的最小带宽保证、带宽限制、优先级带宽使用等管理功能； 6．通过5XP的管理策略，可以使分部的用户在使用Internet服务和企业网虚拟连接之间进行“透明”的区分，而且同时使用又相互不影响。四、企业的应用建议目前许多分支机构与总部之间的数据传送通过长途拨号MODEN传输或互联网的邮件服务方式进行，这种方式不仅费用高，而且永远实现不了实时的集中管理，相信企业希望有一个更加实用的解决方案。如果在总部配置一台NS1000的高性能防火墙，异地分支机构配备一台5XP，就可以实现所有分支机构和总部的实时联网，所有分支机构的员工就象在总部办公一样，这对总部对分支机构的管理将是一个极大的飞跃。此外，通过这一种网络的虚拟互联，可以实现总部与分支机构间的免费IP电话、IP传真通信，甚至用非集中的网络视频会议就可以代替大部分的人员集中式、花费很高的各类会议；两个或多个业务有直接连接的异地机构或部门不需要占用总部的网络资源实现网络连接；等等。 1.4.3 虚拟连接通信加密分部的5XP和总部的高端防火墙之间，可以建立3倍DES的VPN通道。VPN通道可实现网络通信数据的加密和认证，并且提供保证数据完整性的技术手段。 1.5 防火墙系统集中管理企业具有多个地理上分散的下属企业，为了保证企业内部网络的安全性，在前面的章节中我们建议总部及各分部建立相应的防火墙系统。这个分散的防火墙系统的设置和管理就显得非常重要，因为它某一处的漏同将影响整个企业Intranet的安全性。在此防火墙系统的管理上，有分散和集中两种方式。分散方式让各下属企业管理各自的防火墙。此方式在大型企业中存在较大的缺点，首先它对各下属企业的网络管理员要求非常高，相应提高了企业的管理成本；其次，当下属企业较多时，由于各自制定安全策略，存在安全隐患较大，同时，当出现安全问题时，由于没有实现统一监控，很难判断问题出现在何处，从而不能及时解决问题。集中方式将对所有防火墙实现集中的管理，集中制定安全策略，这将很好的克服以上缺点。我们推荐企业对防火墙系统实行统一的管理。 NetScreen防火墙可实现方便的集中管理。NetScreen的安全管理系统NetScreen Global PRO具有集中的设备配置、故障/事件管理、基于角色的监控、使用跟踪等功能。NetScreen-Global PRO提供了中央配置管理功能，可以高效地把数百条、甚至数千条策略分发到各NetScreen设备或设备群组以及NetScreen-Remote客户端。 NetScreen-Global PRO系列的关键性能在于它能够通过简便操作、直观的策略管理用户界面，迅速为设备完成部署。用户只需一次性地定义一条策略，然后将其映射采用到多个设备中。换言之，NetScreen-Global PRO为设备部署提供高度易操作性与灵活性，减少管理工作。 Global Pro还可为数量众多的移动VPN用户提供安全、方便的集中管理所有的移动用户在与中心建立VPN之前，首先需要通过身份验证。验证成功之后，才可以下在相应的配置文件，与中心防火墙建立动态的VPN连接。一旦用户关机，或者超过了设定的时间，则需要再次验证。NetScreen Global Pro的这种Authentication and Go工作模式解决了众多的移动用户带来的配置繁琐、安全性差等缺点。本建议书为企业配置的NetScreen-Global PRO Express软件适合用于多台NetScreen设备部署的企业中。通过NetScreen-Global PRO Express，企业网络管理员可以简便地管理NetScreen设备，监控整个广域网防火墙设备部署，建立网络活动图形报表及实现策略管理。 1.6 防火墙选型设计说明在企业网络安全系统中，作为当今网络基础设施的重要组成部分，防火墙系统是最重要的系统部分。防火墙选型设计建议书的优劣，不仅对实现企业网络系统的安全设计目标起着决定性的影响，而且会对整个网络系统的应用效率产生极大的影响。正如前面所提到的，企业的网络应用模式在近期的一两年后会最终全部过渡到B/S的应用结构模式，而且除了各类业务应用外，在企业的网络系统中还将存在音视频的实时应用。因此针对这些应用的网络连接应用和数据传输的特点，本建议书在充分考虑所选择的设备安全性能的因素同时，还重点考虑所选设备的网络处理能力。为了使防火墙设备的选型达到一个比较理想的结果，在此有必要对防火墙的选型作比较详细的说明。（注：以下对各厂家防火墙产品的评价数据和结果，均来自第三方中立机构的测试报告，这些第三方机构包括 —— Comweb & Network Test Inc. ，Tolly Group，台湾国立交通大学信息科学所） 1.6.1 评价防火墙产品的基本要素只有清楚如何评价防火墙产品优劣的方法，或者了解评价一个防火墙产品的基本要素，在网络安全系统设计中，才能作出一个最合适的选型设计建议书。评价一个防火墙产品优劣所设计的因素（或者技术要素）很多，很难有一个大而全的评价方法和测试手段对防火墙产品的每一个方面进行完全的评价。我们只能对防火墙产品的几大方面进行评价。对防火墙产品的评价一般是从安全性（侧重功能方面）、技术性能指标、管理的方便性等几方面综合评价。 1.6.2 评价防火墙的一般方法根据上节提到的几个方面，利用具有代表性的、被大部分产品制造商和用户认同的网络环境对防火墙产品进行客观测试，其结果基本上可以反映产品的优劣真实情况。本建议书考虑企业的网络应用特点，按照以上介绍的几方面要素，我们将从以下几方面比较评价防火墙产品，如下表：评价类别评价及比较项目 Management 1. 管理接口是否简单易用。 2. VPN tunnel 的建立过程是否简单。 3. 各家产品可否互通(互通性测试) Security 1. 系统是否有安全漏洞。 2．系统被攻击时是否会log 起来。 3．攻击DMZ 内主机时，系统是否会将攻击型态log 起来，甚至替DMZ内主机阻挡攻击。 Packet Level Firewall 1. NAT 开启及关闭时的无封包遗失最大输出性能(no-loss max throughput)及封包延迟(latency)。 2. 10 及100 条防火墙规则时的无封包遗失最大输出性能及封包延迟。 URL Level Firewall 1. 10 及100 条URL entries 时，一个web client 每秒钟所能建立的连结数(connection)与输出性能(throughput)。 2. 10 及100 条URL entries 时的最大连结(connection)数、输出性能以及交易延迟(transaction latency)。 Content Level Firewall 1．启及关闭Java / ActiveX / JavaScript 时，一个web client 每秒钟内所能建立的连结数与输出性能。 2．开启及关闭Java / ActiveX / JavaScript 时的最大连结数、输出性能以及交易延迟。 VPN 1．建立1 个LAN-to-LAN tunnel 时的无封包遗失最大输出性能及封包延迟。 2．建立20 个LAN-to-LAN tunnel 时的无封包遗失最大输出性能及封包延迟。 1.6.3 几种流行防火墙产品的比较 1.6.3.1 附件为独立的第三方测试机构的评测报告，有的侧重于功能比较，有的侧重于性能参数比较，供参考。结论：从我们对防火墙产品的认识，以及参考第三方的测试结果来看，在设计企业网络安全方案时，选择NetScreen的防火墙是目前最佳的选择。（台湾国立交通大学测试评语） 1.6.3.2 NetScreen防火墙主要安全解决方案功能介绍： 1.6.3.2.1 HA HA高可用性是NetScreen产品的最重要功能之一。NetScreen-100/200/500/1000支持简单网络连接的Active-Passive方式（NetScreen-50不久会支持），它利用NetScreen冗余协议（NSRP）实现了冗余的高可用性（HA）拓扑，该协议提供了多项功能：1.00在HA组成员之间镜像配置，在发生故障切换时确保正确的行为。2.00可以在HA组中维护所有活动会话和VPN隧道。3.00故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从本系统到远端的路径。4.00无论活动会话和VPN隧道的数量有多少，故障检测和切换到备用系统可以在不到三秒内完成。 NetScreen-500/1000的安全系统关键的高可用性冗余特性，包括自动化镜像配置、活动会话和容错VPN维护、可带电热插拔的冗余电源、风扇和处理模块。通过双接口的板卡，NetScreen 500可以实现全网状连接的Active-Active备份方式，两台设备同时工作，互为备份。除了上述Active-Passive方式所具有的功能外，还有5.00整个系统的防火墙处理能力提高一倍。6.00避免低级的网络故障导致NetScreen防火墙的不可用。 1.6.3.2.2 VSYS NetScreen设备（NetScreen500/1000）允许在一台物理防火墙中创建多个虚拟防火墙系统，每个虚拟系统拥有独立的地址簿、策略和管理等功能。虚拟系统与802.1q VLAN标记相结合，把安全域延伸到整个交换网络中。NetScreen设备和相应的VLAN交换网络，可以表现为多个具有完全安全特性的防火墙系统。优点：简化网络结构、降低维护成本。NetScreen 500为最多25个虚拟系统和100个VLAN提供软件支持，NetScreen-1000位最多250个虚拟系统和500个VLAN。基于VLAN的逻辑子接口，除了配合不同的Vsys通过一个物理接口连接到多个网络外，还可以单独使用，其表现就像一个独立的物理接口一样具有众多的可配置特性。防火墙系统会识别带由tag的帧，并转换成正常的以太帧进行防火检测、路由、策略等基本操作。 1.6.3.2.3 Mode NetScreen产品有三种工作模式：Transparent，Route，NAT。三种工作模式下，所有用户和服务器上现存的应用程序都不需修改。 Transparent方式可以将防火墙无缝隙地下装到任何现存的网络，而无须重新编号，无须重新设计网络，也不必要停工。在这种方式下，防火墙将相同子网的网段桥接起来。防火墙建立一个MAC学习表，自动地自学哪些帧要进行转发，哪些帧要忽略。对要转发的帧，再进行状态检查，实现防火、VPN、流量管理等基本功能。 Route方式能够在无须地址转换的网络之间插入防火墙。这种方式可用于保护同一企业网内部的局域网，免遭内部人员的偷窥或盗窃。防火墙的作用相当于一台路由器，同时执行严格策略检查、攻击检测等。Route方式下可以同时实现NAT功能。 NAT方式用在需要做私有地址到公有地址转换的网络环境中。三种工作模式下的网络环境示意图如下： 1.6.3.2.4 流量控制功能 NetScreen防火墙的技术核心是ASIC，可以硬件完成三大功能：防火墙、VPN、流量管理。流量管理允许网络管理员实时监视、分析和分配供各类网络流量使用的带宽，确保在部分用户使用网络时不会损害关键业务型流量。NetScreen专利流量算法可以精确控制带宽分配：设置有保障的带宽和最大带宽，类似于帧中继的带宽管理性能；通过8级优先级，为流量分配优先权；Diffserv。 NetScreen防火墙对流量的控制是基于Policy的。因为防火墙对Policy的控制可以根据源地址、目标地址、源端口、目标端口、以及时间段等多种相当灵活的因素，因此对流量的控制也是高度灵活的。应用流量控制，可以防止某些应用或某些用户无限制的消耗带宽，或防止某些攻击耗尽带宽，而有效的、有目的地合理分配。 1.6.3.3 针对企业网络，建议采用的解决方案 1.6.3.3.1 不改动现有网络设置 Mode VSYS HA 适合的NetScreen设备应用NetScreen设备的Transparent模式，可以保持现有的网络设置，而无需做任何改动。 Transparent模式下不支持对VSYS的支持，但支持VLAN tag，可以配合局部的交换机使用，由交换机区别不同部门或不同的应用 Transparent模式下NetScreen防火墙可以支持Active-Passive的HA NetScreen-50/100/204/208/500/1000 1.6.3.3.2 改动现有网络设置（或新建设的网络） Mode VSYS HA 适合的NetScreen设备应用NetScreen设备的Route模式，只需改动原有网络的路由信息。用户原先的应用设备不需改动配置。 Route模式下支持VLAN tag，可以配合局部的交换机使用，由交换机区别不同部门或不同的应用；同时支持VSYS，可以把NetScreen防火墙虚拟成多个逻辑防火墙供不同的部门或不同的应用使用 Route模式下NetScreen防火墙可以支持Active-Passive的HA以及Full-Meshed Active-Active HA，从高可用性和性能的角度来综合考虑，建议采用Full-Meshed Active-Active HA方案 NetScreen-50/100/204/208/500/1000 支持Active-Passive HA； NetScreen-500/1000支持Full-Meshed Active-Active HA。（2002年7月份NetScreen100/200系列也将支持A-A） 1.6.3.4 NetSceen产品主要性能列表 NetScreen25 NetScreen 50 NetScreen 204 NetScreen 208 NetScreen 500 吞吐量 100M 170M 400M 550M 750M 3DES处理能力 20M 50M 200M 200M 250M 会话连接数 4,000 8,000 128,000 128,000 250,000 每秒钟建立新会话数 4,000 8,000 13,000 13,000 22,000 接口数 4 4 4 8 2-8

展开阅读全文