NetScreen网络安全解决方案4588.docx

《NetScreen网络安全解决方案4588.docx》由会员分享，可在线阅读，更多相关《NetScreen网络安全解决方案4588.docx（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NetScreen网络安全解决方案NetSScreeen 网络安安全解决决方案（一）公公司背景景NetSScreeen 科技公公司成立立于19997年年10月月，总部部位于美美国加州州的硅谷谷。公司司的奠基基者有过过在Ciiscoo和Inntell等科技技领先公公司多年年的工作作经验。119988年111月，RRobeert Thoomass即Suun公司司的执行行总裁加加盟NeetSccreeen公司司，任公公司总裁裁。公司致力力于发展展一种新新型的与与网络安安全有关关的高科科技产品品，把多多种功能能集成到到一起，创创造新的的业界性性能纪录录。NeetSccreeen创建建新的体体系结构构并

2、已取取得了专专利。该该项技术术能有效效消除传传统防火火墙实现现数据加加盟时的的性能瓶瓶颈，能能实现最最高级别别的IPP安全（IIpseec），先先进的系系统级的的设计允允许产品品提供多多种功能能，并且且这些功功能都具具有无与与伦比的的性能。NetSScreeen 科技公公司已经经为业界界在虚拟拟专用网网领域设设立了新新的安全全解决系系统的标标准。所所有的功功能全部部放在有有关专有有的硬件件平台的的盒子里里，并且且这些功功能都有有着无与与伦比的的性能。目前公司司由 SSequuoiaa Caapittal投投资赞助助。Seequooia 是一家家领先的的风险投投资公司司，成立立于19974年年，

3、已成成功地为为超过3350家家公司提提供了最最初的风风险投资资基金，其其中包括括3Coom 公公司、CCiscco 系系统公司司、Orraclle 公公司、SSymaanteec 公公司和YYahooo 公公司等等等。其中中大部分分公司的的股票都都已成功功上市。NetSScreeen 科技公公司目前前有500多名员员工公司司在全美美的主要要城市都都设有办办事处，而而且积极极拓展海海外市场场。用户户群包括括HP、日日立、日日本电讯讯电话公公司和美美国在线线等，覆覆盖了欧欧美亚等等十几个个国家和和地区。NetSScreeen公公司的产产品NeetSccreeen-1100获获得了KKeyLLabs

4、s工作组组的“测试首首选奖”，在119988年4月月举行的的数据通通讯杂志志的评测测中，NNetSScreeen-1000的VPPN吞吐吐量是获获得第二二名的22.5倍倍。19998年年11月月，NeetSccreeen公司司再次荣荣获“测试者者选择奖奖”，这是是数据通通讯杂志志的年度度奖。在在同类产产品中，NNetSScreeen是是唯一员员工把防防火墙、虚虚拟专用用网（VVPN）、负负载均衡衡及流量量控制结结合起来来，且提提供1000M的的线速性性能的产产品。NNetSScreeen保保证这一一点。在19998年的的8月和和9月，NetScreen-10 和NetScreen-100 通过

5、了ICSA (国际计算机安全协会)的防火墙认证。1998年9月，NetScreen 推出了VPN远程存取客户端软件。1998年10月，NetScreen 宣布推出 NetScreen-1000的产品。这是第一个支持千兆位传输的具有防火墙和VPN功能的产品。19988年6月月，NeetSccreeen-1100 被HPP公司选选为它在在防火墙墙方面的的新的合合作伙伴伴。HPP的合作作伙伴是是在全球球范围年年为HPP提供集集成解决决系统，并并在增强强用户的的Intternnet上上的应用用。NeetSccreeen是HHP选中中的二家家防火墙墙厂家的的一家，而而且是唯唯一一家家基于硬硬件的产产品。

6、119988年122月日立立公司宣宣布它将将在日本本推广NNetSScreeen 产品。日日立公司司准备在在未来三三年内卖卖出1000000套NeetSccreeen 产产品。（二） 产品系列列目前，NNetSScreeen 有 NNetSScreeen-10 用于110MBB 传输输的网络络。NeetSccreeen-1100 用于 1000MB 传输的的网络。NetScreen-100 端口是自适应的端口，也可用于目前传输为10MB 并计划将来升级为100MB的网络。NetSScreeen-10000 不不久将要要面市，它它将为那那些大型型企业和和网络主主干的供供应商提提供千兆兆网安全全的

7、解决决方案。NetSScreeen-5 目目前正在在测试阶阶段。它它的大小小类似一一个CDDROMM。它是是为小型型办公室室或个人人用户而而设计的的。NetSScreeen 远程 VPNN 客户户软件可可提供远远程VPPN访问问的解决决方案。（三）产产品功能能及特点点NetSScreeen产产品是基基于安全全包处理理器的产产品。全全新的技技术包括括定制的的专有的的芯片免免费加盟盟和策略略实现。高高性能的的多总线线体系结结构、内内嵌的高高速RIISC CPUU和专用用软件。NetSScreeen防防火墙的的专用AASICC芯片提提供存取取策略的的功能。该该功能以以硬件方方式实现现，它比比软件防防

8、火墙有有着无可可比拟的的速度优优势。CCPU可可专门负负责管理理数据流流。（策策略存取取执行防防火墙保保护和加加密解密密功能）。由由于做到到了系统统级的安安全处理理功能。NNetSScreeen消消除了基基于PCC平台的的防火墙墙的需管管理多个个部件所所引起的的性能下下降的瓶瓶颈。NetSScreeen提提供了多多功能和和高安全全性能的的无缝连连接，NNetSScreeen-10000, NettScrreenn-1000 和和 NeetSccreeen-110 分分别提供供了10000MM、1000M和和10MM的传输输性能。NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和

9、流量管理于一身的防火墙产品。同样，NetScreen-100是业界最快的防火墙，另外，NetScreen自动调整端口速率，使其达到10M和100M自适应。因为是基基于硬件件的设计计，NeetSccreeen是唯唯一一家家安全解解决系统统的提供供商，NNetSScreeen产产品的高高性能允允许用户户享受到到高速的的好处，可可提供多多条E11线路，甚甚至更高高如E33的线路路。另外，该该产品允允许用户户在远程程实现加加密通信信，并且且这种VVPN功功能不影影响性能能。NeetSccreeen提供供给ISSP们一一个价廉廉物美的的安全解解决方案案。NeetSccreeen110为中中小企业业提供他

10、他们负担担得起的的全面的的安全解解决方案案。允许许他们在在自己的的企业网网内部构构筑安全全体系。性能NetSScreeen产产品动态态加密保保护和按按优先级级实时监监控未来来数据，它它专有的的独特的的系统设设计保证证了它的的高性能能，ASSIC芯芯片可以以独自处处理并过过滤包。先先进的多多总线结结构比基基于PCC的平台台上的防防火墙产产品快。同同样基于于系统级级的安全全功能设设计消除除了传输输的瓶颈颈。用户认证证和策略略NetSScreeen 支持高高性能的的存取为为每一个个当前用用户，无无论是远远程还是是在防火火墙内，支支持创纪纪录的并并行连接接用户数数。NeetSccreeen-11000

11、0创纪录录地实现现了TCCP/IIP并发发连接（超超过25560000）；策略数数（多于于50000）和和并发的的VPNN连接数数（超过过100000）。NetSScreeen-1000支持每每秒43370个个连接，（基基于322个客户户），领领先于它它的最接接近的竞竞争对手手。根据据独立的的测试机机构，KKeyLLab的的测试报报告，NNetSScreeen1000支持3320000个并并发用户户连接，NNetSScreeen-10支支持1660000个并发发连接。所所有产品品都支持持超过550000个存取取策略，并并提供简简单易用用的过滤滤界面。防火墙NetSScreeen全全功能防防火墙

12、包包括了包包过滤、代代理服务务器和动动态线路路级过滤滤器。该该产品提提供了高高级的包包检查和和事件日日志功能能。该产产品与IIpseec协议议兼容。VPN NetSScreeen会会集了VVPN功功能，保保证了数数据在传传输过程程中的加加密和解解密，但但在数据据被加、解解密之前前，首先先要满足足预定的的策略。不论NeetSccreeen1100还还是NeetSccreeen110都支支持业界界的加密密标准。包包括网络络密钥交交换（IIKE, 或以以前的IISAKKMP) 通过过IP，DDES，TTripple DESS。并且且还支持持数据签签名（MMD5）算算法。NNetSScreeen将将支

13、持XX.5009认证证公钥算算法（PPKI），可可以自动动地管理理VPNN。NetSScreeen-10000建立立了新的的VPNN性能测测试基准准，与其其它同类类产品比比较，NNetSScreeen-10000有着着更高的的吞吐量量，更广广泛的安安全性和和更低的的价位。流量管理理流量管理理提供给给网络管管理员所所有必须须的信息息去监控控和管理理网络流流量。网网络控制制功能象象带宽分分配。流流量优先先级和负负载均衡衡，使该该产品成成为weeb服务务器和IISP的的理想产产品。网络管理理该产品易易于安装装，而且且NettScrreenn产品可可以远程程通过网网络上任任何一台台具有浏浏览器的的机器

14、来来管理。透明模式式NetSScreeen可可以被用用来作透透明传输输。你可可以在这这种方式式下不分分配任何何IP给给NettScrreenn网络界界面。它它只需要要一个管管理界面面。不用用更改您您现有的的任何网网络配置置就可以以利用策策略来管管理网络络流量。除除了它可可以在两两台NeetSccreeen之间间运行VVPN，即即使有些些产品可可以在透透明模式式下工作作，但它它们也不不能在透透明模式式下实现现VPNN。 特点独特的的ASIIC设计计及已申申请专利利保护的的系统体体系结构构最优的的性能价价格比无用户户数目限限制独特的的负载均均衡能力力及流量量优先级级控制能能力创记录录的性能能，具有

15、有线速运运行能力力配置简简单，管管理方便便支持透透明传输输模式设计紧紧凑，一一些附加加功能转转移到主主机上完完成如如日志功功能支持一一主一备备的管理理模式（四）访访问控制制NetSScreeen 使用了了状态检检查的方方法来实实现动态态的包过过滤。这这种方法法也同样样被其他他重要的的防火墙墙厂商CChecckPoointt 和 Cissco所所采用。相相比其他他的两种种方法简简单的包包过滤和和复杂的的应用网网关来讲讲，它具具有更快快速和更更安全的的优点。简单的包包过滤只只检查IIP地址址和端口口号。它它通常由由路由器器来实现现。但它它只能做做到拒绝绝端口访访问或允允许端口口访问。它它不能了了解

16、连接接的状态态。一旦旦真正的的用户完完成了TTCP的的连接后后，就留留下了可可使黑客客劫持端端口号的的漏洞。应用网关关通过检检查应用用层所有有的包，提提供了更更好的安安全性。但但是用户户需要厂厂商提供供所有应应用的代代理。而而且它只只能用软软件实现现，因此此性能是是很低的的。状态检查查的链路路层代理理，另一一方面，可可实现硬硬件层。防防火墙保保持所有有的TCCP会话话的检查查。一旦旦一个会会话结束束，防火火墙就结结束这个个连接。在在不牺牲牲安全性性的条件件下，提提供更高高的性能能。NetSScreeen 也可提提供网络络层的 URLL 过滤滤，并在在不久的的将来实实现病毒毒扫描的的功能。 Ne

17、tSScreeen 产品也也提供信信息的和和用户的的认证。NNetSScreeen是是通过建建立VPPN通道道，由MMD5实实现的EESP信信息的认认证，并并依从IIPSeec 标标准用户的认认证可由由两种方方法实现现。用户户可在防防火墙上上定义多多达20000 个用户户或者设设置一个个 Raadiuus 服服务器来来存储用用户认证证的信息息。（五）管管理NetSScreeen 产品可可连接信信任端口口（Trrustted ）或 不信任任端口（UUntrrustted）然然后通过过webb 界面面来管理理。并提提供了跨跨Intternnet来来实现远远程管理理能力。不不信任端端口（UUntrr

18、ustted）可可以因安安全的原原因而设设置为取取消。如如果取消消它，不不信任端端口是不不可piing的的。 (不信任任端口（uuntrrustted） 在 11.600版本以以前是不不可piing的的)。 NetSScreeen 产品同同样也可可通过cconssolee 端口口，使用用命令行行方式进进行管理理。如果果用户喜喜欢使用用命令行行方式或或希望通通过远程程来管理理防火墙墙，可在在connsolle口连连接一个个调制解解调器。CConssolee口的访访问也可可因为安安全原因因设置为为取消。 NetSScreeen 产品也也可以通通过teelneet来管管理。TTelnnet 和 WW

19、eb 管理也也可通过过VPNN 通道道加密，提提供安全全的管理理。管理方便便，可通通过串口口管理，使使用命令令行方式式。也可可以在图图形方式式下用浏浏览器进进行管理理，不分分硬件平平台和操操作系统统，只要要把浏览览器打开开就可以以通过用用Webb seerveer 的的方式来来管理配置简简单尤其其在配置置三个端端口的IIP时很很方便对对于大型型网络中中多个NNetSScreeen设设备，可可以采用用snmmp的集集中式管管理，通通过网络络管理软软件，如如SunnNetManaagerr来进行行管理而且NNetSScreeen还还可以提提供备份份的远程程拨号方方式的管管理不仅仅如此，为为安全起起

20、见，NNetScreeen 可以关关闭远程程的管理理方式，而而只使用用本地的的、安全全的管理理方式。（六）处处理能力力及性能能指标具有线线速带宽宽且不受受信息包包大小影影响(wwireespeeed)在作地地址转换换和添加加策略时时，性能能不受任任何影响响具有VVPN功功能，支支持IPPSECC,DEES,TTrippleDDES,人工密密钥管理理,自动ISSAKMMP密钥钥管理，支支持MDD5线速带带宽的包包过滤支持3320000个并并发连接接50000个高高级访问问过滤策策略具有网网络地址址转换功功能支持透透明模式式传输动态过过滤，具具有硬件件级代理理服务器器功能有实时时监控流流量和报报警

21、功能能可以实实现日志志记载功功能流量控控制，可可以根据据不同用用户及不不同策略略分配带带宽支持88级用户户优先级级设置支持服服务器负负载均衡衡动态IIP ppooll,实现现端口地地址转换换支持多多种标准准协议：ARPP,TCCP/IIP,UUDP,ICMMPDHCPP, HHTTPP, RRADUUIS, Ippsecc ,MMD5, SHHA-11Des, Trriplle -DESS, IIKE, X.5099v3可以通通过浏览览器，TTFTPP服务器器，快速速闪存来来进行软软件版本本的升级及及配置参参数的下下载，备备份支持一一主一备备的管理理模式（七）产产品适用用范围l 企业网 (IN

22、NTRAANETT)Netsscreeen-1000,以其其创记录录的1000Mbbps运运行速度度，将业业界的性性能标准准一下子子提高了了十倍，创创新的，独独特设计计的软硬硬件体系系结构，使使Nettscrreenn-1000将高高速的性性能，最最大限度度的安全全性及简简单易用用有机地地结合在在一起，有有效的消消除了制制约传统统软件类类防火墙墙的性能能瓶颈Netsscreeen-1000是当今今市场上上为企业业网（IINTRRANEET）与与互连网网(INNTERRNETT) 及企业业内部各各单独子子网之间间提供信信息保护护的最可可信赖的的解决方方案它它可以被被灵活地设置置在企业业局域网网的

23、各个个关键位位置，以以保护各各个部门门的资讯讯，如财财务部，工工程部等关键键部门，或或保护重重要的企企业网服服务器，甚甚至可以以保护企企业高层层管理人人员个人人电脑上上的敏感感资讯将虚拟专专用网(VPNN)方便便的能力力与放火火墙功能能设计在在同一个个体系结结构中，是是使Neetsccreeen-1100在在当今防防火墙技技术市场场上居于于领先地地位的关关键VVPN 保证了了加密的的数据在在进出公公司局域域网和外外部互连连网时受受到检验验Netsscreeen-1000强大的的DMZZ服务器器负载平平衡功能能，使得得用牺牲牲网络性性能换取取网络安安全的矛矛盾迎刃刃而解无论需需求是来来自企业业网

24、(IINTRRANEET)还还是互连连网(IINTEERNEET)，Nettscrreenn-1000都有有能力平平衡多个个服务器器运用用一个加加权系统统，网络络管理员员可以保保证为企企业内部部信任端端口(TTRUSSTEDD)服务器器和公共共的隔离离端口(DMZZ)服务务器按需需分配带带宽Neetsccreeen-1100的的1000Mbpps的速速度性能能，保证证了网络络具有实实时响应应能力和和最短的的等待时时间，实实现了网网络性能能与网络络安全的的完美统统一l 互连网（INTERNET）Netsscreeen-1000在防火火墙市场场之所以以出类拔拔萃，是是因为其其实现了了防火墙墙安全性

25、性能与高高速率的的完美结结合它它不仅适适用于单单个的EE1,而而且适用用于多个个E1或E3，甚甚至快速速以太网网。Neetsccreeen-1100可可以很容容易地配配置在任任何现有有的企业业网络结结构中。Netsscreeen-1000为网络络管理员员提供了了综合的的网络流流量控制制方法，从从而实现现了高效效的网络络流量管管理。NNetsscreeen-1000的先进进功能之之一，优优先级管管理，就就是对带带宽按级级别来分分配，保保证了网网络数据据的高效效交换这就使使诸如视视屏会议议等特定定服务和和应用，在在全部可可用带宽宽范围内内，可被被确保一一定比例例的带宽宽而顺畅畅进行。与与此相关关的

26、，NNetsscreeen-1000同时具具有全面面的网络络分析能能力，如如实时的的日志记记录，快快速准确确的报警警功能和和方便的的报表能能力。l 外部网（EXTTRANNET）Netsscreeen-1000以其先先进便利利的VPPN功能能，确保保特定局局域网之之间在互互连网上上以密文文交换信信息。在在公网上上开辟出出一条安安全通道道，为用用户降低低成本。在在Nettscrreenn-1000高速速处理能能力的保保障下，VPN可使公司安全地进行远程数据复制与拷贝，以及对远端服务器的配置与管理。如果您的企业需要通过互连网与诸如供货商，商业伙伴，分支机构进行端到端信息交换，Netscreen-1

27、00的VPN功能将是您最安全可靠和经济有效的工具。由于VPN使用公网传输，节省了昂贵的租用专线费用，极大地降低了企业网络为通讯安全进行的投资。（八） 防火墙应应用示例例TrustedNetworkInternetNetScreenDMZUntrustedDMZTrustedNetSScreeen防防火墙有有三个端端口TTrusstedd、DMMZ和UUntrrustted。分分别用于于连接IIntrraneet、IInteerneet和DDMZ三三个网域域。它独独创的安安全包处处理器，将将所有的的流量策策略、安安全政策策、加密密和身份份验证都都交给硬硬件处理理，从而而大大提提高了防防火墙的的处

28、理性性能；并并且将包包的生成成交给软软件处理理；将包包的路由由交给路路由器处处理，集集中实现现安全策策略下的的高速吞吞吐量。（九） VPN应应用示例例连接移动动的用户户访问企企业网的的文件。NetScreenNetScreenClear TrafficVPNBranchInternetVPN TunnelHeadquarters连接分支支机构和和企业网网，并可可用于提提供冗余余的WAAN链路路。Clear TrafficVPNPartnerInternetNetScreenNetScreenHeadquartersVPN Tunnel将多个分分支机构构通过IInteerneet连接接起来，通通

29、过密文文传输，以以保障企企业网的的安全。（十）负负载平衡衡的应用用示例InternetSQLServer3SQLServer2SQLServer1HTTPServer1HTTPServer2HTTPServer3DMZTrustedVIP =200.10.10.5LOADBALANCER可由多台台服务器器分担网网络上访访问服务务器的流流量。（十一） NetSScreeen防防火墙产产品客户户案例案例一:有一个 NettScrreenn 客户户的总部部位于纽纽约，它它的分支支机构设设在芝加加哥和伦伦敦。使使用专线线或帧中中继服务务连接这这些机构构费用太太昂贵。用用户选择择 NeetSccreee

30、n 产产品通过过Intternnet连连接他们们的每个个分支办办公室。使使用网络络翻译模模式（NNAT），用用户节省省了合法法的IPP地址，并并对外隐隐藏了内内部的网网络结构构。同时时他们使使用了NNetSScreeen VPNN 功能能在纽约约、芝加加哥和伦伦敦间建建立起IInteerneet上的的加密通通道，不不仅节省省了连接接的开支支并保证证了通信信的安全全。纽约总部芝加哥办公室VPN密文通道NetScreenNetScreenNetScreen企业网络结构逻辑图明文通道ROUTERRTRRTRServer FarmDMZ伦敦办公室移动用户CEOs HomeInternet案例二：另一个

31、 NettScrreenn 的客客户是一一个 WWeb 主机IISP。其其中有少少数的wweb服服务器是是非常受受欢迎的的，总是是有很多多的网络络访问流流量。这这些流量量有时就就把其他他的一些些webb服务器器的带宽宽占满了了。为确确保他们们的客户户都能得得到他们们花钱所所买到的的访问服服务。这这家ISSP使用用NettScrreenn 产品品作为一一个流量量管理工工具，来来管理属属于不同同webb服务器器的带宽宽。同时时 NeetSccreeen 产产品也为为这些服服务器提提供防火火墙保护护。案例三：中国电信信总局的的国家级级1699项目也也选择了了NettScrreenn 防火火墙解决决方

32、案。1169 网被称称为中国国公用多多媒体网网。他使使用专用用的IPP地址，提提供到IInteerneet的访访问服务务，并与与ChiinaNNet中中国Innterrnett主干网网也叫1163网网相连。NetScreen 产品用以实现30个省会的地址翻译功能并同时保护169网络的安全。五、网络络安全产产品的比比较（一）测测试结果果此次评测测是以KKeyLLabss创建的的性能基基准FiireBBencch来进进行防火火墙的性性能评测测, 我们们将从四四个方面面来衡量量防火墙墙的性能能: 每秒秒连接数数, 吞吐吐量, 延迟, 和并发发连接数数. 参加加此次评评测的产产品如下下: Asceen

33、d Commmunnicaatioons Piipellinee 755是一个个基于 ISDDN 面向状状态 检查的的防火墙墙, 它在在有限的的带宽下下表现优优秀. 在吞吐吐速率00.8 Mbpps的情情况下, Piipellinee 755可能难难于竞争争过这里里比较的的其他产产品. 尽管如如此, 通过使使用压缩缩算法的的Pippeliine 75 实际上上仍可达达到ISSDN理理论限制制的6.25 倍. Ciscco PPix 4.22是一个个基于状状态检查查的防火火墙,在此次次评测中中它可达达到最高高的吞吐吐量和最最高的并并发连接接数,它的最最高吞吐吐量为884.44 Mbbps 和 2

34、1105.9 CCPS. Ciiscoo 不久久后送回回一个新新版本的的防火墙墙, 此次次测试为为新版本本防火墙墙的测试试结果. Digiitall Eqquippmennt CCorpp.ss AlltaVVistta 33.1提提供了应应用层的的包过滤滤. AAltaaVissta 防火墙墙的测试试的最好好性能为为 322 个客客户下的的吞吐量量测试, 可达达 600.1 Mbpps. Luceent Tecchnoologgiess MManaagedd Fiirewwalll 2.0是一一个基于于状态检检查的防防火墙, 配置置简单, 可通通过浏览览器的JJavaa apppleet来管

35、管理. Luccentt 防火火墙测试试的最好好性能为为 644 个客客户下的的吞吐量量为 557.44 Mbbps 和 31168 CPSS. NetSScreeen Tecchnoologgiess NNetSScreeen 1000 veer. 2因其其配置简简单和最最高的性性能价格格比而获获得了我我们的最最高评价价.它是一一个基于于Hybbridd结构的的仅用硬硬件实现现的解决决方案. NeetSccreeen 防防火墙测测试的最最好性能能为 664 个个客户下下, 可达达到吞吐吐量为 84.1 MMbpss 和此此次测试试中最高高的 441233.3 CPSS. 1. 测试的实实施和

36、测测试方法法KeyLLabss FiireBBencch 防防火墙基基准KeyLLabss 创建建了 FFireeBennch, 他是是一个防防火墙的的基准, 它模模拟了一一个实际际的防火火墙流量量. FFireeBennch 中包括括了KeeyLaabs创创建的测测试工具具和方法法. 基准准建立了了实时的的webbsitte的流流量, 包括一一个混合合的HTTTP和和FTPP的请求求. 多客客户从多多个weeb服务务器通过过硬件或或软件防防火墙发发出文件件请求. FireeBennch 测试性性能的内内容有: 每秒秒连接数数, 吞吐吐量和并并发连接接数. 客户机机的增加加次序为为 4, 8,

37、 166, 332, andd 644. 2. 每秒连接接数的测测试每秒连接接数是测测量每秒秒通过防防火墙的的连接数数. 尽可可能快地地建立连连接并取取消连接接. 然后后我们提提高客户户的数量量直到达达到最高高点并开开始下降降.我们增增加连接接的增量量为4. 3. 吞吐量的的测试吞吐量的的测试记记录了延延迟和平平均的MMbpss 数. 我们们在客户户端运行行一个工工具软件件, 它连连接防火火墙另一一端的IInteerneet 服服务器. 通过过提高客客户的数数量直到到达到最最高点并并开始下下降, 从而得得到一个个吞吐量量的最大大数值. 吞吐吐量的测测试步骤骤如下: 1.创建建连接 (无需需保持

38、) 2.发出出一个 1MBB FTTP 和和 755KB HTMML 文文件请求求3.收到到文件4.记录录收到文文件的大大小5.关闭闭连接6.从第第1步重新新开始网络流量量通过如如下的比比率产生生: HTTTP = 775% of reqquessts (755 Kbbytees) FTPP = 25% off reequeestss (11 MBB) 延迟是取取通过测测量由防防火墙产产生延迟迟的平均均值.4. 并发连接接数的测测试并发连接接数是一一个衡量量可同时时通过防防火墙的的最大的的连接数数量. 测量最最大连接接数是通通过增加加客户连连接的产产生数量量直到通通过防火火墙的连连接数停停止增

39、加加. 每个个客户建建立5000个同同时连接接. 然后后, 为保保持这些些连接, 每个个客户每每3秒通过过每个连连接发出出一个1100bbytee的HTTTP的请请求. 测量最大大并发连连接数的的过程如如下:1.打开开 5000 个个连接2.通过过每个连连接发 1000 byyte HTTTP 请请求到iinteerneet sservver 3.在33秒内记记录收到到请求数数据的连连接数4.返回回第2步5. 测试的结结果以下的几几个章节节包含了了每个参参加测试试的防火火墙的配配置信息息. 防火墙一一般都分分为两种种, 一种种是黑盒盒子的硬硬件解决决方案, 另一一种是某某些平台台上的具具有防火

40、火墙特性性的操作作系统. 但无无论是哪哪一种防防火墙, 一旦旦安装好好并运行行起来, 他们们都是在在完成防防火墙的的任务. 1) 4.1 Asccendd Piipellinee 755 - 面面向状态态的 检查我们设置置两个网网段的PPipeelinne 775 安安全访问问防火墙墙.并使客客户机和和服务器器间通过过拨号仿仿真来连连接. 因此全全部的网网段带宽宽可达到到1288kbpps. Pipeelinne 775 是是一个黑黑盒子硬硬件和软软件混合合的解决决方案. Piipellinee 755 事实实上是一一个运行行SeccureeAcccesss软件的的以太网网到ISSDN 的网桥

41、桥/路由器器. 通过过终端连连接进行行配置.配置菜菜单内容容广泛并并使用简简单. 用于测测试的系系统硬件件和SeecurreAcccesss软件件价格为为$1,4955. Pipeelinne 防防火墙的的最好的的性能测测试结果果为 44 个客客户和118.11 CPPS. 总的并并发连接接数为8824. 应该该注意尽尽管这个个数字相相比其他他产品是是非常低低的,但这个个产品只只用了 1288kbpps 通通道, 而其他他的产品品却使用用了理论论上的 2000 Mbbps 的通道道. PPipeelinne 775 通通过使用用压缩算算法, 使实际际的吞吐吐量高于于理论值值. 2) 4.2 C

42、issco Pixx - 全状状态检查查我们设置置PIXX veer. 4.22 为三三个网段段. 这样样设置是是因为防防火墙硬硬件只支支持三个个接口. 我们们设置服服务器在在一个网网段上, 并设设置DMMZ区放放置weeb服务务器. PIX 是一个个黑盒子子的硬件件解决方方案. 使用串串行连接接建立终终端连接接来配置置. PPIX 的配置置程序是是最不友友好的. 不提提供GUUI的窗窗口. 所有的的配置参参数都需需要通过过命令行行的方式式来修改改. 用于于测试的的硬件和和软件报报价$222,6680. PIX 防火墙墙的最好好的性能能测试结结果为 64 个客户户. 总的的并发连连接数为为 3

43、55,0000. 3) 4.3 DECC AlltaVVistta - 应应用层的的包过滤滤我们设置置两个网网段的防防火墙. 在每每个网段段上都有有客户机机和服务务器,并建立立一个应应用层包包过滤的的DMZZ网段. 这样设设置可使使所有的的客户wweb和和FTPP访问无无需经过过代理. 系统硬件件由一台台5122MB内内存的 DECC AllphaaSerrverr 10000AA 5/5000 机器器运行 Diggitaal UUNIXX 4.0d. 3.1版本本的软件件和Reev 55.1软软件. 服务器器包含两两个Diigittal DE5500AAA 网网络接口口卡. AltaaVis

44、sta 防火墙墙最好的的性能测测试结果果为 332 客客户,吞吐量量为 660.11 Mbbps. CPPS测试试最好的的测试结结果为664 个个客户110355 CPPS. 总的并并发连接接数为 15,8766. 4) 4.4 Luccentt 科技技 - 状态态检查我们设置置防火墙墙在两个个网段上上,客户机机和服务务器分别别位于两两个不同同的网段段上，这样设设置是因因为防火火墙只支支持三个个接口。第三个个接口用用于系统统管理。Luceent 防火墙墙是一个个黑盒子子的硬件件解决方方案。需需要用SSMS-安全全管理服服务软件件来配置置和管理理防火墙墙。SMMS是基基于JAAVA appple

45、tt, 由由一个浏浏览器来来启动。服服务器的的配置简简单。我我们在一一台单3300 MHzz Peentiium II 处理器器1288 MBB 内存存的Coompaaq DDP20000 63000MMMX 机机器上运运行SMMS软件件, 运行行Miccrossoftt Wiindoows NT serrverr 4.0操作作系统, 1GGB 的的硬盘文文件系统统。Luceent 防火墙墙最好的的性能测测试结果果为 664 个个客户。吞吐量量为577.4 Mbpps 和和 31168 CPSS。总的并并发连接接数为 25,8711。5) 4.5 NettScrreenn 科技技 - Hyyb

46、riid 我们设置置 NeetSccreeen 1100 verr. 22 在两两个网段段上。客户机机和服务务器分别别位于两两个不同同的网段段上,这样就就可以产产生混合合的包过过滤,应用级级别和状状态检查查。NetSScreeen 防火墙墙是一个个黑盒子子的硬件件解决方方案。我们用用浏览器器或串行行线配置置它,不需要要其他的的软件。并发连接接数的测测试总数数为 334,3321。6) 每秒连接接数的测测试结果果每秒连接接数 - 是每每秒通过过防火墙墙的打开开和关闭闭的连接接的总数数这个价格格性能图图表是表表示每花花费一千千美元所所得到的的性能。7) 吞吐量/延迟的的测试结结果吞吐量 - 是指指通过防防火墙的的测试HHTTPP和FTPP的数据据流量的的总和。这个价格格性能图图表是表表示每花花费一千千美元所所得到的的性能。延迟 - 由防防火墙引引起的毫毫秒级的的延迟的的平均值值。8) 并发连接接的测试试结果并发连接接 - 并发或或同时创创建并通通过防火火墙的连连接总数数。这个价格格性能图图表是表表示每花花费一千千美元所所得到的的性能。6问题题, 版本本, 测试试报告我们测试试了大部部分的防防火墙产产品是在在它们的的原有状状态下。Cissco 修改了了部分原原代码企企图提高高性能。任何成