產(chǎn)品特點(diǎn)
1.多功能的安全系統(tǒng)
集成化的網(wǎng)絡(luò)安全解決方案,包括了具有狀態(tài)監(jiān)測(cè)功能的防火墻��、強(qiáng)健的DoS保護(hù)�、高性能的IPSec虛擬專用網(wǎng)絡(luò)(VPN)及
流量管理功能。
2.模塊化����、插槽式的系統(tǒng)架構(gòu)
系列化定制、高性能����、集成化的安全系統(tǒng),可以為大型企業(yè)及運(yùn)營(yíng)商提供靈活且具高度擴(kuò)展能力的安全解決方案�。
3.業(yè)界領(lǐng)先的性能
防火墻性能可提升至12Gbps傳輸速率,而VPN性能則可提升至6Gbps傳輸速率����。
4.虛擬系統(tǒng)
采用邏輯分區(qū)法,將系統(tǒng)劃分成多個(gè)不同的體系���,各具獨(dú)立的流量、策略和管理分區(qū)�����,可以在單一系統(tǒng)內(nèi)進(jìn)行多部門或多客戶架構(gòu)式
安全區(qū)域的部署��。
5.全方位管理
Juniper的安全系統(tǒng)具備強(qiáng)大管理支持,讓網(wǎng)絡(luò)管理員可安全地管理設(shè)備���。由于VPN功能是內(nèi)建的�����,因此可以對(duì)所有管理加密����,
從而實(shí)現(xiàn)真正安全的遠(yuǎn)程管理�����。管理功能包括:
*內(nèi)建的Web UI(HTTP及HTTPS)使網(wǎng)絡(luò)管理可以以瀏覽器方式進(jìn)行�����。
*可透過(guò)Secure Command Shell(SSHv.1兼容)��、Telnet和控制臺(tái)端口進(jìn)入命令行界面(CLI)�����。
*電子郵件告警、SNMP告警功能���。
*集成Syslog或WebTrends(TM)����,實(shí)現(xiàn)外部登錄�、監(jiān)控和分析。
*為多達(dá)20位網(wǎng)絡(luò)管理人員提供三種用戶權(quán)限:根管理�、管理和只讀,并可配合以Juniper策略為基礎(chǔ)的Juniper-Global PRO�,提供
更精確的操控。
*配合采用Juniper-Global PRO或Juniper-Global PRO Express��,提供以策略為基礎(chǔ)的集中化管理和監(jiān)控(將于2002年下半年度提供
此功能)
產(chǎn)品概述
Netscreen-5000產(chǎn)品系列是定制化���、高性能的安全系統(tǒng)�,包括2個(gè)插槽的Netscreen-5200型號(hào)及4個(gè)插槽的Netscreen-5400型號(hào)��,可為大型企業(yè)���、運(yùn)營(yíng)商及數(shù)據(jù)中心網(wǎng)絡(luò)客戶提供前所未有的卓越性能����。以Juniper的第三代安全ASIC技術(shù)及分布式系統(tǒng)架構(gòu)為基礎(chǔ)���,Netscreen-5000產(chǎn)品系列可為網(wǎng)絡(luò)安全系統(tǒng)提供勝人一籌的擴(kuò)展性和靈活性�。
Netscreen-5000系統(tǒng)架構(gòu)包括多層處理模塊��,這些處理模塊可集成操作��,以提供一系列安全網(wǎng)關(guān)接口及性能配置���。此系統(tǒng)的模塊包括具多種端口配置能力的安全處理模塊��,及負(fù)責(zé)整體系統(tǒng)操控的管理模塊�����;這些模塊可以以不同的方法組合����,根據(jù)客戶的實(shí)際網(wǎng)絡(luò)環(huán)境進(jìn)行個(gè)性化的系統(tǒng)配置����。Netscreen-5000系列利用交換光纖進(jìn)行數(shù)據(jù)交換,并具備獨(dú)立的多重總線通道來(lái)管理信息���;因此在高負(fù)荷的環(huán)境下�����,亦能發(fā)揮高擴(kuò)展的性能�。
全線Netscreen-5000產(chǎn)品系列皆具備高可用性的容錯(cuò)組件。而熱插拔(hot-swappable)���、負(fù)載均衡式電源裝置可以提供N+1的冗余處理能力��。另外���,其風(fēng)扇排列具有多個(gè)熱插拔的冗余模塊和可以更換的空氣過(guò)濾層。
Juniper的GigaScreen-II ASIC
GigaScreen-II是Juniper的第三代ASIC安全芯片�����,能獨(dú)立運(yùn)作��,可被視為一個(gè)完備的封包處理器���,在高達(dá)千兆位傳輸速率下�����,仍能提供多項(xiàng)先進(jìn)功能�����,包括:封包分析���、分類、加密����、解密、網(wǎng)絡(luò)地址翻譯(NAT)及會(huì)話配對(duì)功能等����。此外,由于GigaScreen-II可直接連接內(nèi)部的交換光纖��,使Netscreen-5000系統(tǒng)成為真正可擴(kuò)展的安全解決方案�。
安全端口模塊
基于一個(gè)或多個(gè)GigaScreen-II ASIC處理器,每個(gè)安全端口模塊(secure port module)都可以對(duì)通過(guò)其任何網(wǎng)絡(luò)接口的流量�����,提供核心狀態(tài)監(jiān)測(cè)及IPSec VPN功能����。獨(dú)立的端口可以利用Link Aggregation技術(shù)組成中繼群組��,為其他的網(wǎng)絡(luò)組件提供多千兆的連接速率���。通過(guò)10/100Mbps和Gigabit以太網(wǎng)絡(luò)(GigE)接口,以及安全處理能力的不同組合�����,系統(tǒng)可以靈活配置���,提供不同的網(wǎng)絡(luò)容量和相應(yīng)的處理能力�����。因此客戶可以增加安全端口模塊以擴(kuò)展方案性能�����,同時(shí)允許管理模塊專注于整個(gè)網(wǎng)絡(luò)系統(tǒng)的監(jiān)控工作����。
管理模塊
Netscreen-5000系列的每個(gè)產(chǎn)品都配置了管理模塊(management module)�,以便對(duì)整個(gè)系統(tǒng)提供管理及系統(tǒng)配置����。管理工作可以通過(guò)兩個(gè)串口和一個(gè)特別為執(zhí)行管理功能而設(shè)的10/100以太網(wǎng)絡(luò)端口實(shí)現(xiàn)����。也可以通過(guò)安全端口模塊上的一個(gè)或多個(gè)接口在帶寬內(nèi)進(jìn)行集中化的管理�����。管理模塊還可提供額外的外置compact flash內(nèi)存��,處理一般的記錄儲(chǔ)存�、配置和硬件操作系統(tǒng)映像;同時(shí)更提供兩個(gè)專用的GigE端口�,在冗余網(wǎng)絡(luò)拓?fù)渲刑幚鞨A流量。
Juniper ScreenOS
Juniper的ScreenOS操作系統(tǒng)負(fù)責(zé)驅(qū)動(dòng)整個(gè)系統(tǒng)����。Juniper ScreenOS的核心是一個(gè)定制化的實(shí)時(shí)操作系統(tǒng),可提供高安全性和卓越的性能���。Juniper ScreenOS具備多種功能并提供一個(gè)整合式�����、易用的操作平臺(tái)�,Juniper設(shè)備和系統(tǒng)上提供最優(yōu)化的性能。所提供的功能包括:
*ICSA認(rèn)證的狀態(tài)監(jiān)測(cè)防火墻
*ICSA認(rèn)證的IPSec VPN網(wǎng)關(guān)
*虛擬化安全����、網(wǎng)絡(luò)和管理功能
*高可用性確保網(wǎng)絡(luò)提供最高的可靠性
擁有一組功能完備的內(nèi)部及外部管理接口
防火墻
Juniper全功能防火墻采用狀態(tài)監(jiān)測(cè)技術(shù),以保護(hù)系統(tǒng)免受內(nèi)部及外來(lái)的攻擊���。無(wú)論物理及虛擬接口均可提供阻斷服務(wù)式攻擊(DoS)及具有攻擊防御功能��。以下功能為現(xiàn)今的網(wǎng)絡(luò)提供更高的靈活性和安全性:
*全集成化的解決方案�,具備安全優(yōu)化的硬件�����、操作系統(tǒng)和防火墻��,比拼湊式以軟件為基礎(chǔ)的方案提供更高階的安全性和性能����。
*全面的阻斷服務(wù)及攻擊防御功能,包括SYN攻擊�、ICMP泛濫、端口掃描等多種攻擊防護(hù)能力;此外����,配合硬件加速的會(huì)話啟動(dòng)功能,即使在高負(fù)荷的網(wǎng)絡(luò)環(huán)境下亦可提供安全保護(hù)�����。
*提供網(wǎng)絡(luò)地址翻譯(NAT)和端口地址翻譯(PAT)�,以隱藏內(nèi)部、無(wú)法路由的IP地址����;以及在透明模式下設(shè)備可用作Layer-2 IP的安全連結(jié)���。
虛擬專用網(wǎng)絡(luò)(VPN)
除狀態(tài)監(jiān)測(cè)防火墻�����,Netscreen-5000還提供了全功能的VPN解決方案�����。用戶可在任何端口建立或終止VPN通道����,從而部署更高階的VPN。ScreenOS的集成特性讓系統(tǒng)能夠全面監(jiān)測(cè)解密后的VPN流量����,并在最終傳輸時(shí)按需要再進(jìn)行加密。因此����,大型企業(yè)可運(yùn)用一個(gè)單一系統(tǒng)保護(hù)多個(gè)網(wǎng)絡(luò)區(qū)域的安全,例如可對(duì)無(wú)線區(qū)域進(jìn)行加密�,而同時(shí)對(duì)各區(qū)域之間的流量進(jìn)行監(jiān)測(cè)。對(duì)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)環(huán)境而言���,Netscreen-5000產(chǎn)品系列的功能同樣能勝任作為網(wǎng)絡(luò)間的網(wǎng)關(guān)�,或作為連接移動(dòng)/無(wú)線廣域網(wǎng)絡(luò)(WAN)與客戶網(wǎng)絡(luò)的VPN傳輸之間的終止站�。此方案亦提供:
*支持全面的遠(yuǎn)程連接VPN
*廣泛的站點(diǎn)對(duì)站點(diǎn)VPN功能
虛擬化技術(shù)(虛擬系統(tǒng)、虛擬局域網(wǎng)及安全區(qū))
Juniper安全系統(tǒng)提供多種虛擬化功能��,可以利用邏輯分區(qū)法將安全系統(tǒng)劃分成多個(gè)流量���、策略和管理體系���。它可透過(guò)802.1Q虛擬局域網(wǎng),在接口層建立流量分隔,以便整合至交換網(wǎng)絡(luò)���。安全分區(qū)則將所有虛擬及物理端口�,組成邏輯化的內(nèi)部網(wǎng)絡(luò)���。再將策略實(shí)施到安全區(qū)間����,允許來(lái)自多個(gè)接口的相似流量能夠由單一的策略執(zhí)行管理��。最后��,透過(guò)建立多個(gè)虛擬系統(tǒng)��,硬件的操作模式猶如多組獨(dú)立����、邏輯性的設(shè)備���,全面地分隔流量及管理功能��。以上虛擬化的技術(shù)允許在單一系統(tǒng)下�����,保護(hù)多個(gè)客戶及企業(yè)部門����,在提供簡(jiǎn)易部署及管理的同時(shí),亦無(wú)需犧牲采用獨(dú)立裝置的安全性能����。
高可用性(HA)
兩個(gè)Netscreen-5000系統(tǒng)可以對(duì)配置信息、活動(dòng)防火墻對(duì)話表和VPN連接進(jìn)行同步�����,以提供冗余的容錯(cuò)網(wǎng)絡(luò)�����。當(dāng)兩個(gè)完全相同的設(shè)備被配置成主動(dòng)/被動(dòng)模式時(shí)��,若其中一個(gè)出現(xiàn)故障�,也不會(huì)對(duì)網(wǎng)絡(luò)運(yùn)作有絲毫影響。Netscreen-5000產(chǎn)品系列將于2002年第三季度支持Juniper的NSRPv2高可用性方案����。這項(xiàng)強(qiáng)化的解決方案更可提供雙主動(dòng)功能����,以提供低于一秒的故障切換能力���,以及容許進(jìn)行網(wǎng)狀式網(wǎng)絡(luò)拓?fù)�。有別于市場(chǎng)中的其他產(chǎn)品���,高可用性是Juniper系統(tǒng)的標(biāo)準(zhǔn)功能�����。
