產(chǎn)品特點
1.多功能的安全系統(tǒng)
集成化的網(wǎng)絡(luò)安全解決方案�,包括了具有狀態(tài)監(jiān)測功能的防火墻�、強健的DoS保護、高性能的IPSec虛擬專用網(wǎng)絡(luò)(VPN)及
流量管理功能�。
2.模塊化�����、插槽式的系統(tǒng)架構(gòu)
系列化定制�、高性能、集成化的安全系統(tǒng)�����,可以為大型企業(yè)及運營商提供靈活且具高度擴展能力的安全解決方案��。
3.業(yè)界領(lǐng)先的性能
防火墻性能可提升至12Gbps傳輸速率�,而VPN性能則可提升至6Gbps傳輸速率��。
4.虛擬系統(tǒng)
采用邏輯分區(qū)法�����,將系統(tǒng)劃分成多個不同的體系,各具獨立的流量�、策略和管理分區(qū),可以在單一系統(tǒng)內(nèi)進行多部門或多客戶架構(gòu)式
安全區(qū)域的部署��。
5.全方位管理
Juniper的安全系統(tǒng)具備強大管理支持�����,讓網(wǎng)絡(luò)管理員可安全地管理設(shè)備���。由于VPN功能是內(nèi)建的,因此可以對所有管理加密��,
從而實現(xiàn)真正安全的遠程管理��。管理功能包括:
*內(nèi)建的Web UI(HTTP及HTTPS)使網(wǎng)絡(luò)管理可以以瀏覽器方式進行���。
*可透過Secure Command Shell(SSHv.1兼容)、Telnet和控制臺端口進入命令行界面(CLI)���。
*電子郵件告警、SNMP告警功能�。
*集成Syslog或WebTrends(TM)����,實現(xiàn)外部登錄���、監(jiān)控和分析����。
*為多達20位網(wǎng)絡(luò)管理人員提供三種用戶權(quán)限:根管理����、管理和只讀,并可配合以Juniper策略為基礎(chǔ)的Juniper-Global PRO�,提供
更精確的操控。
*配合采用Juniper-Global PRO或Juniper-Global PRO Express�,提供以策略為基礎(chǔ)的集中化管理和監(jiān)控(將于2002年下半年度提供
此功能)
產(chǎn)品概述
Netscreen-5000產(chǎn)品系列是定制化、高性能的安全系統(tǒng)�,包括2個插槽的Netscreen-5200型號及4個插槽的Netscreen-5400型號,可為大型企業(yè)�、運營商及數(shù)據(jù)中心網(wǎng)絡(luò)客戶提供前所未有的卓越性能。以Juniper的第三代安全ASIC技術(shù)及分布式系統(tǒng)架構(gòu)為基礎(chǔ)�����,Netscreen-5000產(chǎn)品系列可為網(wǎng)絡(luò)安全系統(tǒng)提供勝人一籌的擴展性和靈活性。
Netscreen-5000系統(tǒng)架構(gòu)包括多層處理模塊���,這些處理模塊可集成操作�,以提供一系列安全網(wǎng)關(guān)接口及性能配置���。此系統(tǒng)的模塊包括具多種端口配置能力的安全處理模塊��,及負責(zé)整體系統(tǒng)操控的管理模塊����;這些模塊可以以不同的方法組合,根據(jù)客戶的實際網(wǎng)絡(luò)環(huán)境進行個性化的系統(tǒng)配置�����。Netscreen-5000系列利用交換光纖進行數(shù)據(jù)交換����,并具備獨立的多重總線通道來管理信息��;因此在高負荷的環(huán)境下�,亦能發(fā)揮高擴展的性能。
全線Netscreen-5000產(chǎn)品系列皆具備高可用性的容錯組件。而熱插拔(hot-swappable)����、負載均衡式電源裝置可以提供N+1的冗余處理能力。另外��,其風(fēng)扇排列具有多個熱插拔的冗余模塊和可以更換的空氣過濾層�。
Juniper的GigaScreen-II ASIC
GigaScreen-II是Juniper的第三代ASIC安全芯片,能獨立運作����,可被視為一個完備的封包處理器,在高達千兆位傳輸速率下�����,仍能提供多項先進功能��,包括:封包分析����、分類、加密���、解密、網(wǎng)絡(luò)地址翻譯(NAT)及會話配對功能等���。此外����,由于GigaScreen-II可直接連接內(nèi)部的交換光纖����,使Netscreen-5000系統(tǒng)成為真正可擴展的安全解決方案。
安全端口模塊
基于一個或多個GigaScreen-II ASIC處理器����,每個安全端口模塊(secure port module)都可以對通過其任何網(wǎng)絡(luò)接口的流量,提供核心狀態(tài)監(jiān)測及IPSec VPN功能���。獨立的端口可以利用Link Aggregation技術(shù)組成中繼群組����,為其他的網(wǎng)絡(luò)組件提供多千兆的連接速率�。通過10/100Mbps和Gigabit以太網(wǎng)絡(luò)(GigE)接口��,以及安全處理能力的不同組合����,系統(tǒng)可以靈活配置��,提供不同的網(wǎng)絡(luò)容量和相應(yīng)的處理能力��。因此客戶可以增加安全端口模塊以擴展方案性能,同時允許管理模塊專注于整個網(wǎng)絡(luò)系統(tǒng)的監(jiān)控工作��。
管理模塊
Netscreen-5000系列的每個產(chǎn)品都配置了管理模塊(management module)���,以便對整個系統(tǒng)提供管理及系統(tǒng)配置�����。管理工作可以通過兩個串口和一個特別為執(zhí)行管理功能而設(shè)的10/100以太網(wǎng)絡(luò)端口實現(xiàn)���。也可以通過安全端口模塊上的一個或多個接口在帶寬內(nèi)進行集中化的管理。管理模塊還可提供額外的外置compact flash內(nèi)存��,處理一般的記錄儲存�、配置和硬件操作系統(tǒng)映像;同時更提供兩個專用的GigE端口��,在冗余網(wǎng)絡(luò)拓撲中處理HA流量��。
Juniper ScreenOS
Juniper的ScreenOS操作系統(tǒng)負責(zé)驅(qū)動整個系統(tǒng)����。Juniper ScreenOS的核心是一個定制化的實時操作系統(tǒng),可提供高安全性和卓越的性能��。Juniper ScreenOS具備多種功能并提供一個整合式��、易用的操作平臺����,Juniper設(shè)備和系統(tǒng)上提供最優(yōu)化的性能����。所提供的功能包括:
*ICSA認證的狀態(tài)監(jiān)測防火墻
*ICSA認證的IPSec VPN網(wǎng)關(guān)
*虛擬化安全、網(wǎng)絡(luò)和管理功能
*高可用性確保網(wǎng)絡(luò)提供最高的可靠性
擁有一組功能完備的內(nèi)部及外部管理接口
防火墻
Juniper全功能防火墻采用狀態(tài)監(jiān)測技術(shù)��,以保護系統(tǒng)免受內(nèi)部及外來的攻擊�。無論物理及虛擬接口均可提供阻斷服務(wù)式攻擊(DoS)及具有攻擊防御功能。以下功能為現(xiàn)今的網(wǎng)絡(luò)提供更高的靈活性和安全性:
*全集成化的解決方案�,具備安全優(yōu)化的硬件、操作系統(tǒng)和防火墻��,比拼湊式以軟件為基礎(chǔ)的方案提供更高階的安全性和性能�。
*全面的阻斷服務(wù)及攻擊防御功能,包括SYN攻擊���、ICMP泛濫����、端口掃描等多種攻擊防護能力����;此外��,配合硬件加速的會話啟動功能�,即使在高負荷的網(wǎng)絡(luò)環(huán)境下亦可提供安全保護。
*提供網(wǎng)絡(luò)地址翻譯(NAT)和端口地址翻譯(PAT)��,以隱藏內(nèi)部�����、無法路由的IP地址�;以及在透明模式下設(shè)備可用作Layer-2 IP的安全連結(jié)。
虛擬專用網(wǎng)絡(luò)(VPN)
除狀態(tài)監(jiān)測防火墻�,Netscreen-5000還提供了全功能的VPN解決方案。用戶可在任何端口建立或終止VPN通道�����,從而部署更高階的VPN。ScreenOS的集成特性讓系統(tǒng)能夠全面監(jiān)測解密后的VPN流量��,并在最終傳輸時按需要再進行加密���。因此����,大型企業(yè)可運用一個單一系統(tǒng)保護多個網(wǎng)絡(luò)區(qū)域的安全��,例如可對無線區(qū)域進行加密���,而同時對各區(qū)域之間的流量進行監(jiān)測�����。對電信運營商的網(wǎng)絡(luò)環(huán)境而言����,Netscreen-5000產(chǎn)品系列的功能同樣能勝任作為網(wǎng)絡(luò)間的網(wǎng)關(guān),或作為連接移動/無線廣域網(wǎng)絡(luò)(WAN)與客戶網(wǎng)絡(luò)的VPN傳輸之間的終止站����。此方案亦提供:
*支持全面的遠程連接VPN
*廣泛的站點對站點VPN功能
虛擬化技術(shù)(虛擬系統(tǒng)�����、虛擬局域網(wǎng)及安全區(qū))
Juniper安全系統(tǒng)提供多種虛擬化功能,可以利用邏輯分區(qū)法將安全系統(tǒng)劃分成多個流量�、策略和管理體系。它可透過802.1Q虛擬局域網(wǎng)�����,在接口層建立流量分隔��,以便整合至交換網(wǎng)絡(luò)���。安全分區(qū)則將所有虛擬及物理端口����,組成邏輯化的內(nèi)部網(wǎng)絡(luò)����。再將策略實施到安全區(qū)間,允許來自多個接口的相似流量能夠由單一的策略執(zhí)行管理�。最后�,透過建立多個虛擬系統(tǒng)����,硬件的操作模式猶如多組獨立、邏輯性的設(shè)備���,全面地分隔流量及管理功能�。以上虛擬化的技術(shù)允許在單一系統(tǒng)下���,保護多個客戶及企業(yè)部門�����,在提供簡易部署及管理的同時�,亦無需犧牲采用獨立裝置的安全性能����。
高可用性(HA)
兩個Netscreen-5000系統(tǒng)可以對配置信息、活動防火墻對話表和VPN連接進行同步����,以提供冗余的容錯網(wǎng)絡(luò)。當(dāng)兩個完全相同的設(shè)備被配置成主動/被動模式時,若其中一個出現(xiàn)故障�,也不會對網(wǎng)絡(luò)運作有絲毫影響。Netscreen-5000產(chǎn)品系列將于2002年第三季度支持Juniper的NSRPv2高可用性方案�。這項強化的解決方案更可提供雙主動功能,以提供低于一秒的故障切換能力�,以及容許進行網(wǎng)狀式網(wǎng)絡(luò)拓撲。有別于市場中的其他產(chǎn)品�����,高可用性是Juniper系統(tǒng)的標(biāo)準(zhǔn)功能�。
