企業防火牆─NetScreen

根據Frost & Sullivan統計臺灣2003上半年硬體防火牆/VPN廠商的營收，NetScreen以32.9%的佔有率奪得硬體防火牆/VPN的寶座。有人說是因為NetScreen選對代理商，但我們相信是因為產品簡單易用，若你看過IDC一整排的NetScreen防火牆，就會認同我們的說法。ScreenOS 5.0 整合防毒與入侵預防

去年12月，NetScreen正式釋出ScreenOS 5.0，讓產品具備防火牆、VPN、流量管控、高可用度、入侵預防、防毒及管理等功能。

與大多數的防火牆相同，NetScreen使用狀態檢視技術，抵擋網路層的攻擊，當各家廠商都往上發展深層檢測技術（Deep Inspection）之際，NetScreen自然也不是省油的燈，首先他們併購OneSecure，並推出IDP產品線，去年底則將入侵偵測技術整合進ScreenOS 5.0，只要啟動DI（Deep Inspection）模組，產品就具備入侵預防功能，能夠防範應用層的攻擊。目前NetScreen防火牆支援31種DoS攻擊。

防毒和防火牆都是很成熟的技術，Symantec和Fortinet是自行研發防毒軟體，其他廠商大都採用外掛或串流的方式整合防毒軟體；NetScreen卻沒怎麼做，而是與入侵偵測技術相同，直接將趨勢科技的防毒技術整合進ScreenOS 5.0中，只要輸入授權碼，不需安裝或設定，就可以啟動防毒功能。

除了上述的入侵偵測和防毒技術，NetScreen防火牆也可透過串流的方式，整合網頁過濾（Websense、SurfControl）、日誌分析（Webtrends）及流量分析（Micromuse）等相關產品。處理器的靈活，ASIC的效能

NetScreen是第一家採用ASIC設計防火牆和VPN硬體裝置的廠商，並採用多重匯流排架構，配合專屬的RISC和作業系統，加速封包過濾和安全加密的處理過程。

不少人以為ASIC防火牆無法更新，只能採購新的版本，其實不然，以NetScreen為例，ScreenOS是裝載在快閃記憶體中，不論版本升級、功能加強、弱點修補及軟體更新，都與一般的防火牆無異。但要注意的是，作業系統升級的費用並不便宜，大約是產品售價的40%左右。

在高可用度方面，Active-Standby是最多廠商支援的方式，NetScreen則稱作Active-Passive，Active-Active是另一種常見的模式，不過，NetScreen還支援第3種模式「Active-Active-Full Mesh」。

NetScreen的想法是，防火牆會出問題，同樣的，線路、交換器和路由器也會發生故障，所以防火牆和其他網路設備都需要備援，Active-Active-Full Mesh就是為了整合防火牆上下游的備援機制，向上下延伸到線路、交換器和路由器，減低設定和管理的難度，並達到多重備援。實用的功能，簡單易用

NetScreen防火牆以簡單使用聞名。在建置時，利用透通模式（Transparent Mode），可讓NetScreen防火牆以第二層（Layer 2）的橋接器模式運作，幾乎不用變更到既有的網路架構，就能提供防火牆、VPN和DoS防護功能。Configuration Rollback提供設定備援功能，即使設定錯誤也能回復至原先的設定。

管理員可將整個網路分割成不同的區域（Zone），就像是一道道的虛擬防火牆，避免員工由家中直接存取核心網路，也能予許經銷商從外部存取安全區域，避免發生從事未授權的行為。

此外，NetScreen針對大量部屬防火牆和IDP裝置的企業，推出NetScreen-Security Manager管理軟體，具備配置、記錄、管理、即時監控及報表等功能。文⊙陳世煌