NetScreen 防火墙原理
防火墙是保护和连接一个网络到另一个网络的设备，保护网络服务器不被外部非法授权者使用，按照预定规则控制数据包的进出，是内外网络之间的屏障。
NetScreen 防火墙控制允许或拒绝访问的基于地址的信息（源IP 地址、目标IP 地址、源TCP、 UDP 端口、目标TCP 、UDP 端口），用一个过滤器检查源地址和目标地址及端口号，是系统的第一道防线
NetScreen 防火墙是以硬件为基础，将防火墙虚拟专用网VPN 和流量管理系统等几类功能集成到这一个产品上。安全信息包处理器可作为企业LAN环境中连接网络客户服务器、PC 和路由器的桥梁，对其提供安全和流量管理。
NetScreen 防火墙使用一个内部设计的专用集成电路（ASIC）， ASIC 是一个带有高速MIPS RISE CPU 的多总线系统结构，因此Netscreen不是基于PC-BOX 结构。
NetScreen 防火墙使用了一个过滤器来检查IP 数据包的源地址和目的地址，根据管理员的规定接收或拒绝数据包、扫描数据包，查找与应用相关的数据，只有认证了的传输才允许通过防火墙。过滤器是基于地址信息操作的，如源、目的IP 地址，源、目的TCP/UDP 端口，及连接状态。
NetScreen 防火墙通过一套规则或策略执行允许或拒绝的访问，防火墙使用的过滤器有：数据包过滤器、线路过滤器、应用过滤器。
数据包过滤器在网络层操作，检查每个数据包的指向或丢失，是内核模式，传送到协议，传送的速度很快，制作在硬件中。
线路过滤器在会话层和传输层操作，检查连接请求，允许或拒绝连接，是用户模式，传送到应用，会话信息如：user 和group 名，有连接日志。
应用过滤器在应用层操作，检查应用协议，是用户模式，信息详细
过去几年里Internet 经历了地址空间的危机，使得IP 地址越来越少。NetScreen 防火墙可以作为部署NAT（ Network Address Translation） 目的地址转换的逻辑地址，因此可以用来有效解决网络地址匮乏的问题，是具有安全可靠的身份认证检测、实用的策略管理控制机制、灵活的四种应用模式、DMZ区的设计、负载平衡、流量控制、虚拟专用网等概念的新一代硬件网络防火墙。

代理产品型号: NetScreen-5XP 防火墙
Netscreen-10防火墙
NetScreen-100 防火墙
Netscreen-500系统
Netscreen-1000系统