Netscreen常见问题汇总
1.netscreen防火墙可不可以作HA?
目前为止NetScreen-100以上的型号都可以做HA,NetScreen-50在新的OS版本中或许也能做HA。
2.Netscreen是否支持负载均衡?在哪一端?
是,Trust和DMZ区均支持负载均衡。
3.netscreen防火墙支不支持PPPoE拨号?
netscreen防火墙的低端产品都支持PPPoE拨号。
4.什么是A/A Full Mesh HA?
netscreen防火墙的高端产品支持A/A Full Mesh方式的HA。这种HA特点在于,组成HA的每台机器都处于活动状态(A),而且经过交叉接线,大大增强了HA的健壮性。
5.netscreen防火墙能否与Cisco的Pix防火墙建立VPN,都有哪些型号?
netscreen防火墙可以与Cisco防火墙任意一款建立VPN连接。
6.除了内置用户NetScreen还支持那些用户认证?
还支持Radius数据库、RSA SecureID数据库、LDAP数据库认证。
7.NetScreen系列产品都有哪些型号?
NetScreen产品从低端到高端有:NS-5XP、NS-5XT、NS-25、NS-50、NS-204、NS-208、NS-500、NS-1000、NS-5200、NS-5400。其中NS-208以下包括NS-208都属中低端产品,NS-208以上属于高端产品。NetScreen早期产品还有NS-10、NS-100系列。
8.虚拟路由器和域的关系如何?
虚拟路由器包含域,每个域都属于某个虚拟路由器。比如:Untrust Zone、DMZ Zone缺省都属于Untrust-VR,而Trust Zone和用户自定义的Zone缺省都属于Trust-VR。
9.域(Zone)与接口(interface)的关系如何?
每个interface都属于不同的Zone,只有当interface与某个Zone绑定的时候才能对interface配置IP地址。每个Zone都包含若干interface(物理的和逻辑的)。
10.为什么Gloable PRO 3.1不能管理处于Transparent模式的Screen OS 3.1系统?
因为Global PRO 不支持Transparent下对Screen OS 3.1的管理。
11.NetScreen Global PRO Express与NetScreen Global PRO 有什么不同?
PRO Express是PRO的简化版,PRO Express通过一个Sun Netra Server来收集、监视防火墙信息。PRO 则是三层结构,所有信息会被收集到Oracle数据库里,通过第三方软件生成报表。
12.netscreen防火墙是否在做NAT前实施安全策略?
是的,netscreen防火墙首先检查安全策略,并保存了所有的TCP/IP状态连接表,所以防火墙知道真正的内部IP。
13.什么是Hub & Spoke?
Hub & Spoke是netscreen防火墙的一种专利技术。它是一种VPN的连接模式,以一个防火墙为中心,另外一些防火墙为分支,建立一种集中星型结构模式的VPN,这种VPN易于管理、实施。
14.netscreen防火墙的内容过滤功能如何?
所有NetScreen设备可以和Websense内容过滤解决方案集成,封锁不适当的内容。
15.数据在域(Zone)之间流动是否需要策略控制?接口(interface)之间呢?
在Screen OS 3.1中,数据在域(Zone)间流动是通过策略来控制的。数据在同一个域的不同接口之间流动不需要通过策略来控制。可以通过命令来控制是否允许同一个域内各接口之间数据相互流通。
16.netscreen防火墙在QoS方面做得如何?
NetScreen特有的流量管理可以根据IP地址、用户、应用或时间以八种优先等级设定保障带宽和最大带宽为流量分配优先权。保证用户的关键性应用不会受影响。
17.NetScreen VPN的延迟是怎样计算的?
平均延迟为500毫秒,实际的延迟是根据包的大小和处理器的速率确定的,最小64 byte的包,最大到1518 byte的包的处理时间可以从10ms到2500ms,加上发送和接受的时间即是一个平均值。
18.什么是安全域?
在一个netscreen防火墙设备上,把网络划分为多个分段,每个分段可以实施不同的安全策略,这样的分段就是一个安全域。
19.netscreen防火墙和国内的硬件防火墙有什么不同?
netscreen防火墙是纯硬件防火墙,国内大多数防火墙都是软硬结合的防火墙,不是纯硬件防火墙。netscreen防火墙采用ASIC芯片来处理防火墙以及VPN加密等功能,比通过软件程序驱动CPU来实现这些功能要快很多。
20.Screen OS 3.1与Screen OS 3.0有什么不同。
Screen OS 3.1与Screen OS 3.0的不同之处很多。概括来说有以下几点:内置了两个虚拟路由器、引入了安全域的概念。
21.NetScreen的哪些产品带有虚拟路由器?有什么用处?
使用Screen OS 3.1的产品都有内置的虚拟路由器。虚拟路由器的基本功能是路由流经防火墙的数据报,可以加强防火墙的数据功能。第二引入虚拟路由器的概念可以极大地加强防火墙的安全,除此之外,每个虚拟路由器可以连接一个Internet接入。
22.A/A方式的HA与平常所说的HA有什么不同?
我们平常所说的HA指的是A/P方式的HA,这种方式的HA一般是一台机器工作,另一台待机,只有当工作机因某种原因不能工作的时候另一台防火墙才接替工作。而A/A方式的HA两台防火墙都处于工作状态,所以防火墙的速度等于两台防火墙的之和。但是这种方式HA的其他一些参数比如Session数、VPN隧道数,仍然保持不变。这是因为这两台防火墙上的数据是一致的。
23.NetScreen-1000有几种型号?
NetScreen-1000分为NetScreen-1000SP、NetScreen-1000ES。
24.netscreen防火墙的集群管理软件都有哪些?
NetScreen产品的集群管理软件有:NetScreen Global Manager,NetScreen Global Pro,NetScreen Global Pro Express。其中NetScreen Global Manager属于早期产品,只可以管理早期产品。
25.NetScreen-500有几种型号?
NetScreen-500有两种型号:NetScreen-500SP、NetScreen-500ES。
26.在设置认证策略时,每次认证的生效时间?
缺省有效时间为10分钟,但是可以修改,其范围是2分---10000分。
27.netscreen防火墙都有哪些功能?
NetScreen总体来说主要有三大功能:防火墙、VPN、流量管理。
28.为什么在208、204这些防火墙上找不到Untrust、Trust、DMZ接口?
在NetScreen-208、NetScreen-204这几款防火墙中,由于使用的Screen OS 3.1引入了域的概念,所以已经取消了Untrust、Trust、DMZ这些对接口的称谓。它的接口称为Ethernet1、Ethernet2、Ethernet3等等。但在Screen OS 3.1域里缺省有Untrust、Trust、DMZ这三个域。
29.什么是虚拟系统(Virtual System)?
虚拟系统是netscreen防火墙的专有技术,它目前只在高端防火墙上实现。通过它可以把一个防火墙划分为相对独立的多个系统,每个系统都拥有独立的策略、地址本等等。
30.NetScreen-Remote是不是NetScreen公司的软件防火墙?
众所周知,NetScreen是专做硬件防火墙的公司。他没有软件防火墙。NetScreen公司有一款客户端软件,NetScreen-Remote,它是用来使移动用户或者拨号用户与防火墙建立VPN连接的客户端软件,它不是软件防火墙。