阿姆瑞特F1800
　　阿姆瑞特F1800是一款面向大型企業(yè)、運(yùn)營商級別的高端產(chǎn)品，在國內(nèi)市場上已成功應(yīng)用于江蘇電力、湖北電力以及湖北省孝感電信分公司等處，并已經(jīng)在全國部分高校開始試用、安裝。
　　阿姆瑞特F1800的機(jī)箱高度為2U，配備冗余電源。眾多的接口數(shù)量及接口類型是專為適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境而設(shè)計的，共有2個10/100/1000M自適應(yīng)電口、4個10/100M自適應(yīng)電口以及8個千兆光纖模塊插槽，可以方便地與任何其他以太網(wǎng)設(shè)備直接連接。它的純文本吞吐量高達(dá)2G，IPSec VPN吞吐量達(dá)到了1G，并發(fā)連接數(shù)200萬，2000個VPN通道，并安裝有ASIC，對特定的功能進(jìn)行加速。
◎◎圖1阿姆瑞特F1800

高可靠性（HA）
　　可靠性對大型企業(yè)、運(yùn)營商來說至關(guān)重要。為了保證網(wǎng)絡(luò)的高可用性與高可靠性，阿姆瑞特F1800提供了雙機(jī)熱備功能，即在同一個網(wǎng)絡(luò)節(jié)點使用兩個配置相同的防火墻。當(dāng)一臺防火墻發(fā)生意外出現(xiàn)宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時，另一臺防火墻自動切換工作狀態(tài)，以保證網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，在0.6秒之內(nèi)即可完成。同時，防火墻還可以實現(xiàn)狀態(tài)表傳送，當(dāng)一臺防火墻故障時，這臺防火墻上的連接可以透明、完整地遷移到另一臺防火墻上，而且整個過程對于用戶來說是透明的。
　　阿姆瑞特F1800沒有專用HA接口，任何一個普通以太網(wǎng)口都可用做HA接口，它支持與其他支持HA的不同系列的產(chǎn)品進(jìn)行不對稱HA，從而為用戶提供更好的投資選擇。

基于策略的路由（PBR）
　　幾乎所有的高校都具有中國教育網(wǎng)的出口，通過這個出口訪問教育網(wǎng)內(nèi)的資源是免費(fèi)的，但是通過這個出口去訪問Internet卻要按流量收費(fèi)，因此，高校一般還有第二甚至第三個出口（一般為國內(nèi)幾大運(yùn)營商提供的出口），這樣的出口一般是按時間計算費(fèi)用，因此，在訪問教育網(wǎng)以外的資源時，就可以把數(shù)據(jù)流導(dǎo)向這樣的出口。
　　與其他防火墻不同的是，阿姆瑞特F1800的PBR具有更多、更細(xì)膩的路由決策選項，不僅可以根據(jù)源地址來決定數(shù)據(jù)包的流向，還可以根據(jù)目標(biāo)地址來分流數(shù)據(jù)。同時，協(xié)議、端口號等細(xì)微差異也可以使數(shù)據(jù)經(jīng)過不同的接口流出。通過對路由表進(jìn)行命名的方法，阿姆瑞特F1800可以決定往、返的數(shù)據(jù)包通過不同的接口進(jìn)行發(fā)送，成功地解決了現(xiàn)實網(wǎng)絡(luò)結(jié)構(gòu)與狀態(tài)檢測規(guī)則之間的沖突，這一特點是其他防火墻所不具備的。
　　這樣的案例大量出現(xiàn)于中國農(nóng)業(yè)大學(xué)、中國石油大學(xué)之類的高校。據(jù)校方介紹，它每年節(jié)約的成本可以再購買一到兩臺同型號的阿姆瑞特防火墻。

服務(wù)器負(fù)載均衡（SLB）
　　無論是電信，還是企業(yè)、高校，都有多臺用于向公眾提供服務(wù)的服務(wù)器來提供同一服務(wù)，這樣的設(shè)計可以更大限度地保證服務(wù)的可靠性，同時用戶訪問這些服務(wù)器時得到響應(yīng)的速度也會更快。特別在電信企業(yè)的數(shù)據(jù)中心，這種需求更顯得特別強(qiáng)烈。
　　F1800采用了最新的8.60.00內(nèi)核，具備完善的SLB功能，為用戶提供可選的負(fù)載均衡算法，如單向循環(huán)算法和連接率算法，分別適用于不同的環(huán)境。阿姆瑞特F1800在這些特定環(huán)境中的良好表現(xiàn)來自其獨(dú)特的設(shè)計，其中的每狀態(tài)分布模式、每IP地址分布模式和每網(wǎng)絡(luò)地址分布模式都是全球領(lǐng)先的技術(shù)，出自阿姆瑞特在瑞典的研發(fā)中心。
　　阿姆瑞特在歐洲已經(jīng)與愛立信合作，生產(chǎn)了多種面向運(yùn)營商的網(wǎng)絡(luò)安全產(chǎn)品，并涉及到移動通信領(lǐng)域。F1800上裝載SLB這一進(jìn)入運(yùn)營商領(lǐng)域所必備的功能，更可以看作是全面提升中國電信業(yè)服務(wù)水平的一個新起點。

Radius計費(fèi)與本地用戶數(shù)據(jù)庫
　　早在阿姆瑞特防火墻內(nèi)核8.06.00以前的版本中就已支持了對Radius認(rèn)證和本地數(shù)據(jù)庫的支持，這兩大功能不僅使得運(yùn)營企業(yè)能夠使用各種類型的Radius服務(wù)器與阿姆瑞特防火墻聯(lián)動，對用戶訪問網(wǎng)絡(luò)資源權(quán)限進(jìn)行有效的控制，而且還可以在不增加用戶投資成本的前提下，在防火墻內(nèi)建立用戶數(shù)據(jù)庫，對用戶的權(quán)限進(jìn)行設(shè)置，而無需第三方的認(rèn)證服務(wù)器。
　　在新的8.60.00中更是增加了對Radius計費(fèi)功能的支持，這為運(yùn)營企業(yè)提供了極大的便利，不僅固定接入用戶的網(wǎng)絡(luò)使用費(fèi)用可以方便地進(jìn)行統(tǒng)計、結(jié)算，還為無線移動網(wǎng)絡(luò)用戶在中國的發(fā)展打下了基礎(chǔ)：無論用戶從哪個環(huán)境進(jìn)入另一個新的環(huán)境，都不影響對其費(fèi)用的計算。這個功能不僅方便了運(yùn)營企業(yè)，還極大地方便了用戶本身。

處亂不驚，動靜有致
　　阿姆瑞特F1800卓越的運(yùn)行穩(wěn)定性、強(qiáng)大的攻擊防范能力也得到了用戶廣泛的認(rèn)可。最近安裝在湖北某電信分公司的一臺F1800在3月22日至3月29日期間經(jīng)受了四次攻擊。在前兩次攻擊沒有奏效的情況下，攻擊者用真實源地址對防火墻發(fā)起了攻擊，參加攻擊的主機(jī)達(dá)到4萬余臺，使得防火墻的并發(fā)連接數(shù)一度達(dá)到其上限200萬，CPU利用率多次攀升到99%。第四次的攻擊期間，防火墻收到了大量來自0網(wǎng)段的攻擊包，持續(xù)時間長達(dá)3天以上。在這四次攻擊期間，阿姆瑞特F1800的管理人員通過限制單位時間內(nèi)進(jìn)入DMZ的ICMP和UDP包的個數(shù)，把TCP半連接時間縮短到10秒等策略，有效地保證了客戶的Web服務(wù)器可以正常顯示、游戲服務(wù)器正常運(yùn)行。
　　這充分證明了阿姆瑞特F1800包括OSPF、IPSec VPN在內(nèi)的功能多樣性，還更進(jìn)一步檢驗了它在實際環(huán)境中極高的吞吐量和并發(fā)連接數(shù)等優(yōu)秀的性能，更證明了阿姆瑞特F1800在惡劣的環(huán)境下處亂不驚，動靜有致的識別、處理攻擊和正常訪問，真正全面保護(hù)了用戶的網(wǎng)絡(luò)安全。

成功案例：某省電力系統(tǒng)網(wǎng)絡(luò)安全規(guī)劃
　　某省電力公司已經(jīng)建成了ATM622M為核心、155M為骨干的全省廣域網(wǎng)絡(luò)，全省各個地市供電公司建成了以千兆為骨干的城域網(wǎng)網(wǎng)絡(luò)。為提高企業(yè)競爭力，建立科學(xué)、有效的電費(fèi)賬務(wù)管理，該省電力公司在全省各個地市公司實施電費(fèi)賬務(wù)集中的管理方式。為了滿足電費(fèi)賬務(wù)集中管理項目的高可靠性、高安全性運(yùn)行要求，該省電力公司決定對全省各個地市公司的網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全建設(shè)。
　　阿姆瑞特根據(jù)對該省電力系統(tǒng)業(yè)務(wù)數(shù)據(jù)流的分析，把目前的網(wǎng)絡(luò)劃分5個業(yè)務(wù)區(qū)。其中，一區(qū)營銷業(yè)務(wù)網(wǎng)由營銷服務(wù)器組和相關(guān)的千兆網(wǎng)絡(luò)構(gòu)成，所有的營銷、電費(fèi)管理的數(shù)據(jù)處理在這里完成，從安全的角度來看是最重要的部分；二區(qū)地市電力公司城域網(wǎng)絡(luò)，這個區(qū)域網(wǎng)絡(luò)結(jié)構(gòu)地市差異很大，環(huán)網(wǎng)和星形網(wǎng)絡(luò)結(jié)構(gòu)都存在，組網(wǎng)技術(shù)基本上是千兆以太網(wǎng)；三區(qū)縣電力公司的城域網(wǎng)絡(luò)，縣區(qū)的網(wǎng)絡(luò)主要是通過千兆方式直接接入到地市電力公司城域網(wǎng)的核心設(shè)備上面；四區(qū)省電力公司ATM網(wǎng)絡(luò)，是該省省電力公司的ATM承載網(wǎng)，連接全省的各個地區(qū)的網(wǎng)絡(luò)；五區(qū)對銀行業(yè)務(wù)數(shù)據(jù)網(wǎng)，處理與各個銀行間的資金數(shù)據(jù)。
　　各個直接業(yè)務(wù)區(qū)之間數(shù)據(jù)進(jìn)行交換必須在嚴(yán)格的安全控制之下。因此，阿姆瑞特在一區(qū)與五區(qū)之間、一區(qū)與二區(qū)之間、四區(qū)與二區(qū)之間分別架設(shè)防護(hù)墻。

營銷業(yè)務(wù)網(wǎng)與銀行數(shù)據(jù)網(wǎng)（一區(qū)與五區(qū)）之間
　　各大銀行與省電力各省市營銷網(wǎng)絡(luò)之間的訪問控制，推薦使用兩臺阿姆瑞特AS-F100-PRO-NV防火墻作雙機(jī)熱備，同時開啟鏈路備份功能，保證網(wǎng)絡(luò)不會出現(xiàn)單點故障。
　　防火墻放置于銀行互聯(lián)三層交換機(jī)于應(yīng)用服務(wù)器三層交換機(jī)之間，阿姆瑞特AS-F100-PRO-NV防火墻A與B工作在雙機(jī)熱備狀態(tài)，并開啟鏈路備份功能，以保證網(wǎng)絡(luò)中任何一臺設(shè)備或者任何一條鏈路發(fā)生問題都不會對數(shù)據(jù)包流向產(chǎn)生影響，并根據(jù)實際情況設(shè)置好對應(yīng)的訪問控制規(guī)則，從而保證從各大銀行訪問營銷服務(wù)器的安全性。
　　對于銀行前置機(jī)，阿姆瑞特建議設(shè)立單獨(dú)的DMZ區(qū)域加以保護(hù)，而不是毫無安全控制地暴露在銀行網(wǎng)絡(luò)面前。
◎◎圖2 一區(qū)與五區(qū)防火墻部署示意圖

營銷業(yè)務(wù)網(wǎng)與各地市電力城域網(wǎng)（一區(qū)與二區(qū)）之間
　　兩網(wǎng)之間的訪問控制推薦使用兩臺阿姆瑞特F600＋防火墻做雙機(jī)熱備，同時開啟鏈路備份功能，避免單點故障。方案中，防火墻放置于核心三層交換機(jī)于應(yīng)用服務(wù)器三層交換機(jī)之間，將防火墻設(shè)置為透明模式，通過防火墻設(shè)置相應(yīng)的訪問控制規(guī)則從而保護(hù)營銷服務(wù)器的安全。
◎◎圖3 一區(qū)與二區(qū)防火墻部署示意圖

省電力ATM網(wǎng)與各地市電力城域網(wǎng)（四區(qū)與二區(qū)間）之間
　　在省電力公司與各市電力公司網(wǎng)絡(luò)之間的訪問控制，推薦使用一臺AS-F300-PRO-NV防火墻作訪問控制。防火墻放置于廣域網(wǎng)與各市電力系統(tǒng)網(wǎng)絡(luò)之間，從而保證省電力公司與地市電力公司之間的訪問、各地市電力公司之間相互訪問的安全性如圖4所示。
◎◎圖4 廣域網(wǎng)防火墻配置示意圖

總結(jié)
　　該省電力公司最終形成的防火墻整體部署圖如圖5所示。各個區(qū)域之間通過防火墻的安全隔離和訪問控制保證了網(wǎng)絡(luò)的正常運(yùn)營。
◎◎圖5 該省電力公司防火墻部署整體示意圖

網(wǎng)絡(luò)安全建設(shè)完成后，我們在四區(qū)與二區(qū)之間進(jìn)行了網(wǎng)絡(luò)安全監(jiān)控，過濾了病毒的常見端口。上述建設(shè)方案幫該省電力公司有效防止了病毒和蠕蟲的肆虐及其對網(wǎng)絡(luò)運(yùn)行效率的影響，保證了網(wǎng)絡(luò)安全、高效地運(yùn)營。