Juniper NetScreen SSG320 VPN 性能测试报告

作者:reistlin 发布时间:April 22, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/295
更新时间: 2009.04
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

juniper.gif

1. 测试目的:

为正式部署生产网硬件VPN平台(IPSec Full Mesh)进行性能综合性评估。

生产网VPN系统主要为运维,管理人员提供可靠的VPN加密隧道,保证运维人员可以通过任何网络安全的访问服务器和内部网络资源。同时,提供各个数据中心之间的数据同步,监控系统和日志审核的加密安全通道。

通过部署全网冗余VPN系统,可以简化应用和配置复杂度,方便管理,更好的安全细粒度控制,更完善的审计功能,为统一认证身份管理平台提供支撑。

2.产品介绍:

Juniper Network(瞻博)网络提供广泛的产品和技术组合,包括路由、交换、安全、应用加速、身份识别策略和控制,以及管理产品。收购NetScreen公司的主要产品SSG硬件防火墙系列,在安全业界享有非常高的评价。NetScreen采用了ASIC Based 的Fast Path(NetScreen GigaScreen ASIC Series)与传统CPU担任Slow Path(NetScreen ScreenOS)相结合的系统体系结构。这种”Seperation of Fast Path from Slow Path"的体系结构,使NetScreen在技术路线上获得了巨大的成功,在高端Firewall/VPN市场上,NetScreen的产品稳定在第一领先地位。

SSG320产品介绍:

Juniper NetScreen SSG320.gif

4 x 10/100/1000以太网接口,1GB物理内存。
ScreenOS版本:ScreenOS 6.2
防火墙性能(大型数据包):450+ Mbps
防火墙性能(IMIX):400 Mbps
每秒处理的防火墙数据包数量:175,000 PPS
3DES+SHA-1 VPN性能:175 Mbps (*)
并发VPN隧道数:500
最大并发会话数:64,000
新会话/秒:8,000
最大安全策略数:1,000
最大安全区数量:40
最大虚拟局域网数量:125

3. 测试方法:

使用两台Juniper SSG320硬件防火墙进行IPSec VPN互联,分别使用两种VPN加密方法:

a,IPSec Full Mesh VPN 全网状冗余VPN系统高强度加密测试:

Phase 1:3DES+SHA1 DH2 (1024bit) 
Phase 2:3DES+SHA PFS (1024bit)

b,IPSec Full Mesh VPN 全网状冗余VPN系统中强度加密测试:

Phase 1:DES+MD5 DH1 (768bit) 
Phase 2:DES+MD5 NoPFS (768bit)

测试两台Juniper SSG320硬件防火墙使用已经建立的VPN Tunnel传输数据。
监视和记录数据传输速度,带宽,网络丢包率,物理接口状态,系统负载等等。

测试协议: TCP、UDP,
测试应用: HTTP,FTP,CIFS。
测试工具: [iperf v1.7] [SolarWinds v9]

下载 [Juniper NetScreen SSG320 VPN 性能测试报告.pdf]

CheckPoint Appliance Comparison Chart (Nokia IPSO Platform)

作者:reistlin 发布时间:April 22, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/293
更新时间: 2011.04
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

checkpoint.gifnokia.gif

CheckPoint Appliance Comparison Chart (Nokia IPSO Platform).gif

下载 [CheckPoint Appliance Comparison Chart (Nokia IPSO Platform).pdf]

[了解这个世界] root DNS servers 全球根域名服务器

作者:reistlin 发布时间:April 16, 2011 分类:原创文章

采编: reistlin
来源: Internet 互联网
更新时间: 2010.04
版权声明: <<了解这个世界>>系列文章.转载请保留作者信息和原文完整.

knowledge.gif

root DNS servers (Google Map) 全球根域名服务器信息, 国家, 所属机构 (Updated 2010)

阅读剩余部分...

Java 第二天 – 使用 EditPlus 配置 Java 编译环境

作者:reistlin 发布时间:April 16, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/283
更新时间: 2009.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

java.gif

前言:

使用 [EditPlus] 来作为 Java 的 IDE 编译环境 (IDE = Integrated Develop Environment)
配置完成后就不用在命令行窗口来编译和执行 Java 源文件 (.java) 和字节码文件 (.class)

EditPlus 中需要配置2个用户工具: javac.exe 编译器 和 java.exe 解释器

阅读剩余部分...

Java 第一天 – 安装 JDK (J2SE) 与环境变量设置

作者:reistlin 发布时间:April 16, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/279
更新时间: 2009.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

java.gif

前言:

Java2 即 Java 1.2 (1998年发布)以后的版本. 简称’J2′.

J2SE = Java 2 Standard Edition = Java2 标准版
J2EE = Java 2 Enterprise Edition = Java2 企业版 (包括JSP/Servlet、EJB、JNDI、JTA等)
J2SDK == JDK = Java 2 Standard Development Kit = Java2 标准开发工具包
J2RE == JRE = Java 2 Runtime Environment = Java2 运行环境
JVM == Java Virtual Machine = Java 虚拟机

下载:

[http://www.oracle.com/technetwork/java/javase/downloads/index.html]

JDK 使用 Java 2 Platform, Standard Edition (J2SE)
版本为 JDK 6 Update 12 Windows 32 位平台
原始文件名为 jdk-6u12-windows-i586-p.exe (73MB)

阅读剩余部分...

pfSense 设置自动启动 crontab 脚本

作者:reistlin 发布时间:April 16, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/275
更新时间: 2009.12
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

pfsense.gif

pfSense 1.2 版本在增加 PPTP 用户的时候会 Reload 相关配置信息,导致已经拨号的 PPTP 用户会话中断,需要重新连接。这非常影响用户正常使用及日常管理,所以选择了一个临时的解决方法:

每次增加用户后,用户名和密码其实已经写入到了配置文件中,只是没有应用。所以,先不点 Apply,等到非工作时间,自动重新启动 pfSense 系统。

1,Diagnostics -> Backup/Restore -> Download configuration 下载配置文件。

2,编辑配置文件,在 cron 标签内增加:

<item>
<minute>00</minute>
<hour>06</hour>
<mday>*</mday>
<month>*</month>
<wday>*</wday>
<who>root</who>
<command>/sbin/reboot</command>
</item>

保存后再 Restore configuration 即可,以后每天 AM 6:00 会自动重新启动系统。

F5 Outbound 流量负载均衡实现原理

作者:reistlin 发布时间:April 16, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/273
更新时间: 2009.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

f5.gif

[F5] 多链路负载均衡设备主要采用以下几种技术来处理 Outbound 流出流量。

f5_products.gif

Default Gateway Pool

在 Default Gateway Pool 中,定义相应的 ISP 对端路由器地址,作为负载均衡的对象,并且可以捆绑健康检查,负载均衡算法以及会话保持等属性。Default Gateway Pool 中 的Nodes 定义为多个 F5 多链路负载均衡设备的缺省路由。

For Example:
 
pool default_gateway_pool {
lb_method dynamic_ratio
member 100.1.1.1:0
member 200.1.1.1:0
}

Default Gateway Pool 中的 Nodes 为若干个下一跳路由器(Next Hop Router)的地址,用作 Outbound 负载均衡,可以通过三种方式生成。

1、Setup Utility 中配置多个 Gateway IP,用空格分开;
2、在 Configuration Utility 中 Link Configuration 下增加多个 Links;
3、在 Pool 中定义一个 Default Gateway Pool。

将 Default Gateway Pool 中的 Nodes 配置为 F5 多链路负载均衡器的 Default Gateway,可以通过 netstat -rn 命令查看路由表。

Destination  Gateway    Flags  MTU   If
default        100.1.1.1   UGS    1500  vlan2
default        200.1.1.1   UGS    1500  vlan3

阅读剩余部分...

CheckPoint Web Visualization Tool

作者:reistlin 发布时间:April 15, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/258
更新时间: 2011.04
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

checkpoint.gif

Web Visualization 可以将 CheckPoint SmartCenter 服务器中的安全策略和安全对象.导出成可读性良好的文本 (Html/Xml) 格式.这是一种基于对 SmartCenter 服务器数据库的快照模式.可以使安全管理/审计员/任何人在任何时间.不需要实时连接到 SmartCenter 服务器来查看安全策略和安全对象.

visualization.gif

The Web Visualization solution allows the Security Policy as well as objects in the objects database to be exported into a readable format. This exported information represents a snapshot of the database. This Security Policy can be viewed by anyone who is not connected to the SmartCenter in real time.

Professionals as security auditors and IT administrators who are mobile, need this capability on a daily basis. The Security Policy can be exported in HTML or XML formats.

下载

[Web_Visualization_Tool_R65.windows.tgz]
MD5: 207f130994d9ae2e349f42d5f2b54eb9

[Web_Visualization_Tool_R70.windows.tgz]
MD5: 0415d4679075d81c028b19917040dcf2

CheckPoint 超过许可证用户的解决办法

作者:reistlin 发布时间:April 15, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/246
更新时间: 2006.04
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

checkpoint.gif

环境:

Nokia IP380 IPSO 3.x
CheckPoint NGX R60 HFA03

问题:

CheckPoint License too many hosts?

CheckPoint License too many hosts?

阅读剩余部分...

CheckPoint 防火墙安装策略失败的解决方法

作者:reistlin 发布时间:April 15, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/237
更新时间: 2009.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

checkpoint.gif

问题:

[CheckPoint] Policy Installation Error / Fails,安装策略失败,错误信息如下:

checkpoint_error_02.gif

checkpoint_error_01.gif

"C:\WINDOWS\FW1\R61\fw1\lib\base.def", line 383: ERROR: cannot find <ADP_RPC_OVER_CIFS_MATCH> anywhere
 
"C:\WINDOWS\FW1\R61\fw1\lib\base.def", line 440: ERROR: unknown macro or function <spii_record_conn_match>
 
"C:\WINDOWS\FW\R61\fw1\libcrypt.def", line 257: ERROR: unknown macro or function <RECORD_CONN_EX>
 
"C:\WINDOWS\FW\R61\fw1\conf\Standard.pf", line 9370: ERROR: parse error
 
"C:\WINDOWS\FW\R61\fw1\conf\Standard.pf", line 9371: function <gtalk_ssl_proto_block_code> undefined

阅读剩余部分...