Netscreen防火墻是一種高性能的硬件防火墻,與其它的硬件防火墻相比有本質(zhì)的區(qū)別。其它的硬件防火墻實(shí)際上是運(yùn)行在PC平臺上的一個軟件防火墻,而Netscreen防火墻則是由ASIC芯片來執(zhí)行防火墻的策略和數(shù)據(jù)加解密,因此速度比其它防火墻要快得多。
中文名稱 | Netscreen防火墻 | 類別 | 網(wǎng)絡(luò)硬件 |
---|---|---|---|
原理 | 是由ASIC芯片來執(zhí)行防火墻的策略和數(shù)據(jù)加解密 | 特點(diǎn) | 比其它防火墻要快得多 |
產(chǎn)品編碼 | 產(chǎn)品名稱 |
Netscreen中低端產(chǎn)品 | |
NS-208-001 | NetScreen-208, AC power, US Power cord |
NS-208B-001 | NetScreen-208 Baseline, AC power, US Power cord |
NS-204-001 | NetScreen-204, AC power, US Power cord |
NS-204B-001 | NetScreen-204 Baseline, AC power, US Power cord |
NS-204-101 | NetScreen-204, Firewall-only, AC power, US Power cord |
NS-050-001 | NetScreen-50,US Power cord |
NS-050B-001 | NetScreen-50 Baseline with US Power Cord |
NS-050-101 | NetScreen-50f, (without VPN) US Power Cord |
NS-025-001 | NetScreen-25 with US Power Cord |
NS-025B-001 | NetScreen-25 Baseline with US Power Cord |
Netscreen 5 系列 | |
NS-5GT-008 | NetScreen-5GT 10 User with Switching Power Supply, US Power Cable |
NS-5GT-108 | NetScreen-5GT Plus with Switching Power Supply, US Power Cable |
NS-5GT-008-AV | NetScreen-5GT 10 User with US Switching Power Supply, AV/DI bundle |
NS-5GT-108-AV | NetScreen-5GT Plus with US Switching Power Supply, AV/DI bundle |
格式:pdf
大?。?span id="8w0whhv" class="single-tag-height">101KB
頁數(shù): 2頁
評分: 4.4
隨著世界網(wǎng)絡(luò)技術(shù)的快速發(fā)展.整個世界仿佛縮小了一樣,人們只要擁有一臺電腦、一個modem、一根電話線就可以把世界上的所有信息都展現(xiàn)在眼前。而這些信息中,有些信息是需要公開的,而有些信息卻是越保密越好的,由此防火墻技術(shù)誕生了。防火墻是在內(nèi)外網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(包括硬件和軟件),目的是防備外部非法用戶的侵入。本質(zhì)上,它遵循的是一種允許或禁止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制,也就是提供可控的過濾網(wǎng)絡(luò)通訊,只允許授權(quán)的通訊。
格式:pdf
大?。?span id="rqbmd91" class="single-tag-height">101KB
頁數(shù): 1頁
評分: 4.7
NetScreen—1000防火墻
防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
在具體應(yīng)用防火墻技術(shù)時,還要考慮到兩個方面:
一是防火墻是不能防病毒的,盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。 二是防火墻技術(shù)的另外一個弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個難題,如果延遲太大將無法支持實(shí)時服務(wù)請求。并且,防火墻采用濾波技術(shù),濾波通常使網(wǎng)絡(luò)的性能降低50%以上,如果為了改善網(wǎng)絡(luò)性能而購置高速路由器,又會大大提高經(jīng)濟(jì)預(yù)算。
總之,防火墻是企業(yè)網(wǎng)安全問題的流行方案,即把公共數(shù)據(jù)和服務(wù)置于防火墻外,使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù),防火墻具有簡單實(shí)用的特點(diǎn),并且透明度高,可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。
(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234,子網(wǎng)掩碼為255.255.255.0,網(wǎng)關(guān)為192.168.1.1。
(2)設(shè)置DNS為61.177.7.1。
(3)Linux防火墻設(shè)置,禁用SELinux,啟用防火墻,信任WWW、FTP、SSH、SMTP端口。
(4)設(shè)置防火墻,使能信任TCP協(xié)議的POP3端口。
防火墻技術(shù)防火墻種類
從實(shí)現(xiàn)原理上分,防火墻的技術(shù)包括四大類:網(wǎng)絡(luò)級防火墻(也叫包過濾型防火墻)、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。
一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個"傳統(tǒng)"的網(wǎng)絡(luò)級防火墻,大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個IP包來自何方,去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合,防火墻就會使用默認(rèn)規(guī)則,一般情況下,默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次,通 過定義基于TCP或UDP數(shù)據(jù)包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
應(yīng)用級網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊和稽核。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價值的程序和數(shù)據(jù)被竊取。 在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件,使用時工作量大,效率不如網(wǎng)絡(luò)級防火墻。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制,是目前最安全的防火墻技術(shù),但實(shí)現(xiàn)困難,而且有的應(yīng)用級網(wǎng)關(guān)缺乏"透明度"。在實(shí)際使用中,用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時,經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet。
電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級網(wǎng)關(guān)還提供一個重要的安全功能:代理服務(wù)器(Proxy Server)。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過,一旦判斷條件滿足,防火墻內(nèi)部網(wǎng) 絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便"暴露"在外來用戶面前,這就引入了代理服務(wù)的概念,即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的"鏈接"由兩個終止于代理服務(wù)的"鏈接"來實(shí)現(xiàn),這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時,代理服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。代理服務(wù)技術(shù)主要通過專用計(jì)算機(jī)硬件(如工作站)來承擔(dān)。
該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣,規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號,過濾進(jìn)出的數(shù)據(jù)包。它也象電路級網(wǎng)關(guān)一樣,能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級網(wǎng)關(guān)一樣,可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn),但是不同于一個應(yīng)用級網(wǎng) 關(guān)的是,它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù),它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。