两极人生,八度空间

Fight for my CISSP and PMP

首页 新随笔 联系 聚合 管理
  156 Posts :: 22 Stories :: 67 Comments :: 0 Trackbacks
Netscreen-1000防火墙是一种高性能的硬件防火墙,其目标用户是IDC和大型电子商务网站。所谓硬件防火墙是指策略的执行和加解密由ASIC芯片执行,因此比其它防火墙速度要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙,对于大部份的应用Netscreen防火墙是监测整个通讯状态,如果发现通讯状态不正常便拒绝进入受保护的内部网络,对于FTP或H232等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。

  在Netscreen 防火墙系列中Netscren-500和Netscren-1000是两款高端产品,Netscreen-500带宽为700兆,Netscreen-1000带宽最低可达到600 兆,可升级到1000兆。适合应用在大型企业和IDC,它是业界唯一千兆级的防火墙。

  Netscreen-1000为可升级的体系结构,可根据网络环境来确定配置。网络接口有两个,分别是Trust口和Untrust接口,Trust口接内部需要保护的网络;Untrust接口连接外部不安全的网络。其它端口有管理端口和HA端口等。

  注:HA(High Availiablity)口是Netscreen-1000作热备份时同步口。

一.Netscreen-500和Netscreen-1000适合IDC的突出特性有:

  1、 高带宽(600兆-1000兆) 高带宽的Netscreen-500和Netscreen-1000防火墙专为IDC或特大型企业网络而设计。随着主机托管市场的快速成长,IDC的出口带宽不断增加,软件防火墙无疑会成为带宽瓶颈。Netscreen防火墙以其独一无二的高吞吐数据量完全能满足IDC的宽带需求。
  2、 高可靠性或热备份(HA)   IDC不仅为用户提供高带宽的数据通道,而且还要能确保网络的可靠运行。由于防火墙所处的特殊位置,如果出现故障不仅对用户造成损失,而且还会对IDC的信誉造成负面影响。因此防火墙的高可靠性是应用在IDC的一个重要指标。
  3、 支持多个虚拟系统(虚拟防火墙)   传统的IDC中用户的安全措施是分布式的,必需在每个用户的服务器网段安装单独的防火墙,这样作的缺点是不便于管理,占用大量机架空间。一个Netscreen-1000或Netscreen-500防火墙能为IDC用户提供多达100个虚拟的防火墙,可以给每个用户分配一个虚拟系统,并由用户管理自己的虚拟防火墙系统。
  4、 支持VLAN(802.1q) 在Netscreen防火墙连接内部网的Trust接口支持绑定多个子接口和802.1q协议,因此可在IDC网络中将不同用户的网段分配给相应的接口,然后将子接口及相对应的网段分配给虚拟系统。再将虚拟系统分配给用户,因此对用户而言他们得到的是一个独立的防火墙。

二.Netscreen防火墙在IDC的典型应用 Netscreen防火墙在IDC 中的应用可分为三种情况:

    ■ 单个防火墙
    ■ 热备份防火墙(HA),从Internet入口到后端服务器每个节点完全备份
    ■ 带有负载均衡设备的多防火墙
  
    1. 单个防火墙安全方案

    如上图所示,Netscreen防火墙实现的功能:
  1) 千兆级防火墙在为网络提供安全保护的同时,最大会话数每秒50万,保证在防火墙出口处不会形成网络流量瓶颈。
  2) 通过Netscreen给不同的用户分配虚拟防火墙系统,IDC能为用户提供可管理的安全服务。
  3) 入侵检测。Netscreen独有的ScreenOS结合快速的ASIC 芯片能阻挡已知所有的"黑客"攻击方法,它的抗攻击能力是其它防火墙的8-10倍。
  4) 用户登录到自己的虚拟防火墙系统后可以:
  ● 将内部地址映射为外部地址,从而隐藏内部网络结构。
  ● 设置VPN。在用户和防火墙之间建立自己的VPN通道,保证用户和自己托管在IDC的主机及防火墙之间的通讯在公网传输是安全的。
  ● 设置访问控制规则。允许Internet用户访问对外开放的服务,其它的服务则禁止,这样能减少网络流量及安全风险。
  ● 设置用户访问防火墙或网络的用户名及密码。

    2. 热备份防火墙(HA),从入口到后端的服务器每一个节点完全备份
    如上图所示,该方案与方案一的区别是:Netscreen防火墙除了能实现单个防火墙的所有功能外,还能确保整个数据链路的高可靠性。
    Netscreen防火墙的热备份实现方法:
    ● Netscree-1000有一个专门的100M热备份接口(HA),通过无屏蔽双绞线连接两台防火墙。两台防火墙必需是完全一样的配置,通过HA口之间的通讯保持两台设备完全同步。
    ● 两台设备中主设备工作另一台不工作但处于运行状态,当主设备出现故障时另一台防火墙在6-10秒内接管原来主设备的工作,所有原来的通讯不会丢失。对用户而言切换过程是透明的,仅仅是感到速度有所降低。

    3.带负载均衡设备的的多防火墙

    如上图所示,该方案除了能实现方案一的所有功能外,它的特点是总带宽超过1000兆。对于带宽1-3G的特殊网络,如果用一个防火墙不能满足带宽要求,可使用多个防火墙并在各防火墙之间作负载均衡来实现总带宽大于1000兆的流量。

posted on 2007-02-01 11:41 Jerome 阅读(1213) 评论(2)  编辑 收藏 引用 所属分类: Telecommunication and Network Security

Feedback

# re: IDC 安全解决方案 -Netscreen防火墙 2007-02-02 23:46 JIT
博主写的很好,学到很多东西。。。  回复  更多评论
  

只有注册用户登录后才能发表评论。