【IT168 导购】随着信息化办公的日益普及和企业规模的不断扩大，许多企业都在多个不同地方建立了分支机构，而且与供应商、合作伙伴的合作也是越来越密切了，如何在企业中建立远程移动、分支机构、供应商、合作伙伴和公司总部互联的网络系统已成为大势所趋。

    而建设这些所需安全和费用，一直是困扰众多中小型企业的难题，还有如何保证数据的传输安全和数据的完整性，也是一个非常关键的问题。因为以前唯一可以选择的各种数据专线，如ATM、FR、E1、E2、E3、DDN等。这种专线网络一方面存在部署困难的问题，需要另外购买许多昂贵的网络设备，ISP布线的时间也相当长，通常计划为2个月以上，最大的问题就是费用太贵。我记得，在2000年中，NESTLE公司申请了中国电信的128Kbps DDN专线，月租金就达1万多元。

图1

    由于VPN技术现已相当成熟（特别是其安全技术），再结合如今的宽带技术，传统的专线网络已成昨日黄花。现在公司组建以上这种大型的远程网络系统，不再需要拉专线了，而是直接采用公用的互联网，通过各种宽带接入方式和VPN技术的结合进行连接，一方面其接入费用大大降低，另一方面其接入速率大大超以前普通的专线，而且其安全性已达到了专线水平。

    对于各分支机构、供应商、合作伙伴与企业总部的连接，仅需在当地申请一条宽带接入，不再是昂贵的点对点专线接入，网络结构如图1所示；而对于移动用户，仅需进入到当地的互联网，即可实现远程VPN的互联，网络结构如图2所示。这样即节省了昂贵的线路费用，也摆脱了以往RAS的传统方式。至于VPN的其它好处还有许多，在此不一一介绍了。

    正因如此，近两年以来，受到广大企业用户的喜爱。网域科技的宽带技术+VPN方案，是利用其著名的防火墙安全设备进行的，这就为企业节省了专门的VPN设备的投资，同时在安全方面具有非常专业的保护。下面简单介绍NetScreen公司的这一宽带+防火墙VPN方案。

一、 NetScreen的宽带+防火墙VPN方案简介：

    美国NetScreen公司成立于一九九七年，是世界技术领先的安全服务供应商，专门为网络服务提供商、宽带接入提供商及应用软件供应商等与电子商务有着密切联系的公司开发基于ASIC的互联网安全设备及系统，并为这些公司提供高性能的防火墙、虚拟专用网络和网络流量控制等功能。

    NetScreen公司一直致力于发展新型的为网络安全服务的高科技产品，并把多种安全功能集成在一个ASIC芯片上，创建新的业界性能记录。该项技术能有效地消除传统防火墙实现数据加密和解密时的性能瓶颈，能实现较高级别的IPSec VPN，先进的系统设计允许产品提供多种功能。

    NetScreen公司已经为业界在虚拟专用网（VPN）领域设立了新的安全解决系统的标准。防火墙、虚拟专用网（VPN）、网络流量控制和带宽接入这些功能全部集成在专有的一体硬件中，并且这些功能都有非常好的高性能的表现。NetScreen公司现有NetScreen-5GT、NetScreen-25、NetScreen-50、NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-520和NetScreen-5400等一系列产品。

图2

这一VPN方案的主要特点如下：

（1）良好的安全防护机制：

    NetScreen的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与NetScreen的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，NetScreen产品消除了不必要的软件层和安全漏洞。NetScreen将安全功能提升到系统层次，更可以节省建立额外平台带来的开支。目前，其他采用PC或工作站作为平台的软件类方案，往往令系统性能大打折扣。

（2）高度的可靠性和安全性：

    NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题，所以它是对在线时间要求极高的用户的非常好的方案。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间，并在防范安全漏洞的工作上，减少设定的步骤。

（3）全面的网络管理支持：

    NetScreen的安全设备包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从而实现真正的安全远程管理。主要包括以下几方面：

• 采用 NetScreen-Global PRO 和 NetScreen-Global PRO Express ，以菜单选项形式实现中央站点管理；
• 通过内置 WebUI 实现浏览操作式的管理；
• 在频带内，可透过 SSH 和 Telnet 进入命令行界面 (CLI) ；在频带外，则可透过控制台和调制解调器端口；
• 电子邮件告警、 SNMP traps 和告警；
• 系统日志 (Syslog) 、简单网络管理协议 (SNMP) 、 WebTrends 和 MicroMuse NetCool 界面可与第三方报表系统互兼容；
• Netscreen公司的VPN防火墙产品全面适用于宽带企业网 (INTRANET)、互连网（INTERNET）和外部网（EXTRANET）网络环境中。

二、解决方案综述：

    在这个一整套解决方案包括以下组网产品：NetScreen-5GT、NetScreen-25、NetScreen-204/208和NetScreen VPN客户端软件。

    在这一方案中主要包括以下几个部分的网络部署：

（1）企业中心：

    作为企业的中心，需要为其分支公司、合作伙伴、移动用户连提供远程VPN接入，同时需要为所有的传输过程和数据交换提供严格的安全保护。根据这种实际的情况，可以采用NetScreen-204/208 VPN防火墙作为接入整个集团的VPN网关，为分公司、连锁店、移动用户提供VPN接入，并且同时提供高级别的安全保护。选择NetScreen-204/208的好处是具有高效的防火墙处理性能：400Mbps（NetScreen-208能够提供550Mbps）；高速的VPN处理能力：200Mbps，能够满足公司现在和将来的需求，保护企业的投资。

（2）中、小型规模的各分公司/分支机构/供应商/合作伙伴：

    中等规模的分公司/分支机构/供应商/合作伙伴，需要传输的数据量会比较大，可选用NetScreen-25作为和企业中心互联的VPN网关，同时能够提供严格的传输过程保护和数据交换安全。NetScreen-25具有100Mbps的高效防火墙处理性能和20Mbps的高速VPN处理能力。

    小型规模的分公司/分支机构/供应商/合作伙伴，安全保护的要求是一样。可选用NetScreen-5GT作为和企业中心互联的VPN网关，同时能够提供严格的传输过程保护和数据交换安全。NetScreen-5GT具有75Mbps的防火墙吞吐性能和20Mbps的VPN处理能力。能够满足相应类型的企业和企业中心以及互联网应用的业务数据交换要求。

（3）移动用户：

    对于移动用户来说，需要解决其安全、方便的接入，可在PC上安装NetScreen的VPN客户端软件，通过配置、授权，能够远程接入中心，或某一连锁店。选择NetScreen VPN客户端的好处是能够为移动用户提供远程的VPN隧道和数据交换保护，能够满足移动用户提供业务数据交换要求。

    在方案提供VPN功能的同时，NetScreen防火墙解决方案同时能够额外提供先进的防火墙、防D.DOS的保护功能，保护中心企业的网络用户，免受安全的风险和威胁。

三、选型产品介绍：

    NetScreen的整合式安全设备是专为互联网网络安全而设，将防火墙、虚拟专用网 (VPN) 和流量管理等功能集于一体， NetScreen整合式安全设备具有硬件加速的IPSec加密演算性能(包括在3DES加密的应用下)、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或NetScreen中央管理方案进行处理。

    NetScreen的ScreenOS软件是ICSA认证的实时检测防火墙。全功能解决方案，采用安全优化的硬件、操作系统和防火墙，比拼凑而成的软件类方案提供更高级的安全水平。

    其强大的攻击防御能力包括：SYN攻击、ICMP泛滥、端口扫描 (Port Scan) 等攻击防御能力，配备硬件加速的会话斜率 (session ramp rates) 性能，即使在最关键性的环境下也可以提供安全保护。

    同时提供网络地址翻译 (NAT) 、端口地址翻译 (PAT)，以达到隐藏内部、无法路由的IP地址。
所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。

支持的加密和认证方法如下：
 三倍DES、DES和AES加密；
 使用数字证书 (PKI X.509) ，自动的或手动的IKE；
 SHA-1和MD5认证。

1. NetScreen Remote 介绍：

    NetScreen-Remote是一种在用户主机（桌面或笔记本电脑）上运行的软件，简化了对网络、设备的公共或非信任网络中其它主机的安全远程接入。通过采用IPSec协议和第二层通道协议（L2TP），并以证书作为额外的选项，可以实现安全性。

    为了构建安全的通信通道，必须把这一软件与IPSec网关结合使用（如NetScreen家族安全设备），或与运行IPSec兼容软件的另一台主机结合使用（如NetScreen-Remote）。

2. NetScreen-5GT ：

    在NetScreen安全装置的整个产品线中，NetScreen-5GT（如图3所示）能够提供企业级的解决方案。它与NetScreen高端的核心节点级产品一样使用同种防火墙、VPN和流量管理技术，足以保证分支办公室、零售连锁店或者宽带远程办公者的网络安全。

（点击看大图）

图3

    NetScreen-5GT提供五个10M/100M的以太网端口；支持2000 TCP/IP并发会话连结数；支持10个VPN通道；提供75M的防火墙和20M的VPN处理性能；可选内置防病毒网关（AV）；可选内置深层防御技术（DI）；支持动态路由（OSPF/BGP）。不支持VLAN和HA。

3. NetScreen-204 ：

    如图4所示的NetScreen-204是目前市场上功能最多的防火墙产品，可以方便地集成在许多不同的网络环境中，包括大中型企业的办公室，电子商务网站，数据中心和电信运营基础设施。它具有4个自适应10/100M以太网端口，延续了NetScreen防火墙优秀的线速处理能力(400Mbps)，即使在对系统资源要求极高的应用中（诸如VPN-3DES加密）也能保持超过200Mbps的速率。

图4

    NetScreen-204无用户限制；支持128000 TCP/IP并发会话连结数；提供400M的防火墙和200M的3DES VPN的处理性能；1000个端对端的VPN隧道，1000个拨号的VPN通道；支持动态路由（OSPF和BGP）；标准支持32个VLAN，可以通过购买许可升级到64个VLAN；支持A/A、A/P的HA。

4. NetScreen-208 ：

    如图5所示的NetScreen-208与NetScreen-204的主要性能差不多，在端口配置上稍具优势。它可提供八个10M/100M的以太网端口；无用户限制；支持128000 TCP/IP并发会话连结数和1000个VPN隧道；提供550M的防火墙和200M的3DES VPN的处理性能；支持动态路由（OSPF和BGP）；标准支持32个VLAN，可以通过购买许可升级到64个VLAN）；支持A/A、A/P和F/M（需要ScreenOS 5.0支持）的HA。  

图5

防火墙宽带VPN方案总结：

    本文所介绍的NetScreen防火墙产品具有非常全面的安全防护、宽带连接和VPN通信支持，都是针对目前的主流企业网络应用而开发的，也是目前主流的一种VPN方案部署方式。

    除此之外，还有路由器VPN、交换机VPN和集中器VPN，前者主要是由Cisco为代表，而后两者则主要是以3COM公司为代表。防火墙VPN方案在Cisco和3COM公司都有相应的产品方案。