Netscreen-1000防火墙是一种高性能的硬件防火墙,其目标用户是IDC和大型电子商务网站。所谓硬件防火墙是指策略的执行和加解密由ASIC芯片执行,因此比其它防火墙速度要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙,对于大部份的应用Netscreen防火墙是监测整个通讯状态,如果发现通讯状态不正常便拒绝进入受保护的内部网络,对于FTP或H232等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。
在Netscreen 防火墙系列中Netscren-500和Netscren-1000是两款高端产品,Netscreen-500带宽为700兆,Netscreen-1000带宽最低可达到600 兆,可升级到1000兆。适合应用在大型企业和IDC,它是业界唯一千兆级的防火墙。
Netscreen-1000为可升级的体系结构,可根据网络环境来确定配置。网络接口有两个,分别是Trust口和Untrust接口,Trust口接内部需要保护的网络;Untrust接口连接外部不安全的网络。其它端口有管理端口和HA端口等。
注:HA(High Availiablity)口是Netscreen-1000作热备份时同步口。
一.Netscreen-500和Netscreen-1000适合IDC的突出特性有:
1、 高带宽(600兆-1000兆) 高带宽的Netscreen-500和Netscreen-1000防火墙专为IDC或特大型企业网络而设计。随着主机托管市场的快速成长,IDC的出口带宽不断增加,软件防火墙无疑会成为带宽瓶颈。Netscreen防火墙以其独一无二的高吞吐数据量完全能满足IDC的宽带需求。
2、 高可靠性或热备份(HA) IDC不仅为用户提供高带宽的数据通道,而且还要能确保网络的可靠运行。由于防火墙所处的特殊位置,如果出现故障不仅对用户造成损失,而且还会对IDC的信誉造成负面影响。因此防火墙的高可靠性是应用在IDC的一个重要指标。
3、 支持多个虚拟系统(虚拟防火墙) 传统的IDC中用户的安全措施是分布式的,必需在每个用户的服务器网段安装单独的防火墙,这样作的缺点是不便于管理,占用大量机架空间。一个Netscreen-1000或Netscreen-500防火墙能为IDC用户提供多达100个虚拟的防火墙,可以给每个用户分配一个虚拟系统,并由用户管理自己的虚拟防火墙系统。
4、 支持VLAN(802.1q) 在Netscreen防火墙连接内部网的Trust接口支持绑定多个子接口和802.1q协议,因此可在IDC网络中将不同用户的网段分配给相应的接口,然后将子接口及相对应的网段分配给虚拟系统。再将虚拟系统分配给用户,因此对用户而言他们得到的是一个独立的防火墙。
二.Netscreen防火墙在IDC的典型应用 Netscreen防火墙在IDC 中的应用可分为三种情况:
■ 单个防火墙
■ 热备份防火墙(HA),从Internet入口到后端服务器每个节点完全备份
■ 带有负载均衡设备的多防火墙
1. 单个防火墙安全方案
如上图所示,Netscreen防火墙实现的功能:
1) 千兆级防火墙在为网络提供安全保护的同时,最大会话数每秒50万,保证在防火墙出口处不会形成网络流量瓶颈。
2) 通过Netscreen给不同的用户分配虚拟防火墙系统,IDC能为用户提供可管理的安全服务。
3) 入侵检测。Netscreen独有的ScreenOS结合快速的ASIC 芯片能阻挡已知所有的"黑客"攻击方法,它的抗攻击能力是其它防火墙的8-10倍。
4) 用户登录到自己的虚拟防火墙系统后可以:
● 将内部地址映射为外部地址,从而隐藏内部网络结构。
● 设置VPN。在用户和防火墙之间建立自己的VPN通道,保证用户和自己托管在IDC的主机及防火墙之间的通讯在公网传输是安全的。
● 设置访问控制规则。允许Internet用户访问对外开放的服务,其它的服务则禁止,这样能减少网络流量及安全风险。
● 设置用户访问防火墙或网络的用户名及密码。
2. 热备份防火墙(HA),从入口到后端的服务器每一个节点完全备份
如上图所示,该方案与方案一的区别是:Netscreen防火墙除了能实现单个防火墙的所有功能外,还能确保整个数据链路的高可靠性。
Netscreen防火墙的热备份实现方法:
● Netscree-1000有一个专门的100M热备份接口(HA),通过无屏蔽双绞线连接两台防火墙。两台防火墙必需是完全一样的配置,通过HA口之间的通讯保持两台设备完全同步。
● 两台设备中主设备工作另一台不工作但处于运行状态,当主设备出现故障时另一台防火墙在6-10秒内接管原来主设备的工作,所有原来的通讯不会丢失。对用户而言切换过程是透明的,仅仅是感到速度有所降低。
3.带负载均衡设备的的多防火墙
如上图所示,该方案除了能实现方案一的所有功能外,它的特点是总带宽超过1000兆。对于带宽1-3G的特殊网络,如果用一个防火墙不能满足带宽要求,可使用多个防火墙并在各防火墙之间作负载均衡来实现总带宽大于1000兆的流量。