阿姆瑞特安全網(wǎng)關(guān)

阿姆瑞特AS-3000下一代安全網(wǎng)關(guān)能夠提供超大的并發(fā)連接數(shù)，支持靜態(tài)路由、OSPF、路由負(fù)載均衡、服務(wù)器負(fù)載均衡、鏈路監(jiān)視、Service VLAN等高級(jí)網(wǎng)絡(luò)功能，并具有強(qiáng)大的抗DoS/DDoS攻擊、僵尸網(wǎng)絡(luò)阻止、IP欺騙阻止等特性，通過(guò)與其強(qiáng)大的網(wǎng)絡(luò)行為攻擊識(shí)別和阻止以及精細(xì)的應(yīng)用控制的組合，能夠?yàn)橛脩籼峁木W(wǎng)絡(luò)層到應(yīng)用層的完美保護(hù)。

靈活的網(wǎng)絡(luò)接入功能

作為一款網(wǎng)絡(luò)基礎(chǔ)設(shè)備，阿姆瑞特AS-3000配置了多種網(wǎng)絡(luò)接口，可以以路由、透明、混合的模式部署于任何形式的網(wǎng)絡(luò)拓?fù)渲?，同時(shí)支持IPv4、IPv6以及6 in 4管道，其強(qiáng)大的NAT和服務(wù)器映射功能使用戶可以輕松地將其部署于網(wǎng)絡(luò)出口處，同時(shí)也可以因支持DHCP和DHCPv6、用戶認(rèn)證等能力而被部署于網(wǎng)絡(luò)的接入部位，實(shí)行接入安全管理。

細(xì)粒度的訪問(wèn)控制功能

除了傳統(tǒng)的基于IP地址、端口的訪問(wèn)控制以外，阿姆瑞特AS-3000還支持基于應(yīng)用、URL、Web內(nèi)容、文件類型、地理IP等的訪問(wèn)控制。通過(guò)訪問(wèn)控制功能，阿姆瑞特AS-3000甚至可以控制FTP、SMTP等一些應(yīng)用協(xié)議中的命令，以防止因攻擊者獲得權(quán)限而惡意刪除文件或暴露用戶名和口令。

強(qiáng)大的攻擊抵御能力

阿姆瑞特AS-3000可以抵抗多種形式的攻擊，包括Syn-flood、Land-Based、UDP Flood、Ping Flood、Ping of Death、Tear Drop等，并且這些攻擊除Syn-flood外都無(wú)需配置，設(shè)備自動(dòng)識(shí)別并加以阻止。

網(wǎng)絡(luò)掃描保護(hù)

網(wǎng)絡(luò)掃描是黑客發(fā)起攻擊的第一個(gè)步驟，他們?cè)谕獠康闹鳈C(jī)上運(yùn)行軟件以進(jìn)行第一步的偵察，通過(guò)這些方法就可以得到關(guān)于IP、端口號(hào)以及域名等信息，甚至對(duì)目標(biāo)主機(jī)進(jìn)行暴力破解。阿姆瑞特AS-3000能夠識(shí)別這些掃描行為，丟棄掃描連接并把黑客的IP地址記入黑名單。

地理IP控制功能

針對(duì)來(lái)自于一個(gè)國(guó)家或地區(qū)的攻擊，網(wǎng)絡(luò)管理員無(wú)需收集并維護(hù)攻擊者的源IP，只需在阿姆瑞特AS-3000的管理頁(yè)面中選擇相應(yīng)的國(guó)家或地區(qū)，就可以輕松阻止來(lái)自或去往這些國(guó)家或地區(qū)的流量，也可以對(duì)其流量設(shè)置帶寬限制。

IP名聲評(píng)分功能

阿姆瑞特維護(hù)著一個(gè)IP名聲數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)實(shí)時(shí)地對(duì)全球所有的IP地址進(jìn)行評(píng)分，凡是僵尸主機(jī)、僵尸主機(jī)的主控端、各種攻擊的源IP都會(huì)具有較低（差）的名聲值，因此，管理人員可以通過(guò)這一技術(shù)來(lái)輕松達(dá)到高效阻止攻擊源的目的。

HTTPS終結(jié)

當(dāng)前仍有不少用戶的web服務(wù)器仍然在提供http而不是https服務(wù)，通過(guò)簡(jiǎn)單的工具，黑客就可以輕松獲知用戶所訪問(wèn)的web內(nèi)容，甚至一些用于提交重要信息的表單也沒(méi)有使用https來(lái)加密，這是一個(gè)極大的安全威脅。阿姆瑞特AS-3000所提供的https終結(jié)功能可以輕松把原有的http頁(yè)面轉(zhuǎn)換成https頁(yè)面，從而消除這一威脅。此功能可以和服務(wù)器負(fù)載均衡功能相結(jié)合，使安全性和可靠性相得益彰。

服務(wù)器負(fù)載均衡

單獨(dú)的一臺(tái)服務(wù)器在訪問(wèn)量過(guò)大的時(shí)候會(huì)出現(xiàn)響應(yīng)速度慢，甚至連接無(wú)法建立等情況，從而出現(xiàn)與受到DoS攻擊類似的現(xiàn)象。為了更好地服務(wù)于高校招生、選課，以及應(yīng)對(duì)購(gòu)物節(jié)的訪問(wèn)量激增的情況，阿姆瑞特AS-3000提供了服務(wù)器負(fù)載均衡功能，與其它類似產(chǎn)品相比，阿姆瑞特服務(wù)器負(fù)載均衡可以深入服務(wù)器本身以了解各服務(wù)器詳細(xì)的資源使用情況和實(shí)時(shí)負(fù)載情況，以此來(lái)決定向每臺(tái)服務(wù)器分發(fā)多少連接。

應(yīng)用控制功能

阿姆瑞特AS-3000支持應(yīng)用控制功能，它采用了世界一流的特征碼，可以精確識(shí)別上千種應(yīng)用和協(xié)議及其子應(yīng)用和協(xié)議，比如可以允許僅通過(guò)Skype發(fā)送即時(shí)消息，而不允許傳輸文件。這種應(yīng)用控制的模式，可以在保證通信的同時(shí)防止機(jī)密文件被傳播，更加突出了阿姆瑞特在為用戶提供便利性的基礎(chǔ)上仍能保證信息安全的服務(wù)理念。

高性能

阿姆瑞特AS-3000作為大型企業(yè)使用的下一代安全網(wǎng)關(guān)，采用電信級(jí)硬件架構(gòu)設(shè)計(jì)，通過(guò)多核+ASIC技術(shù)的先進(jìn)性克服了傳統(tǒng)UTM在處理第7層數(shù)據(jù)時(shí)的性能瓶頸問(wèn)題。簡(jiǎn)單來(lái)說(shuō)，對(duì)于數(shù)據(jù)包第3層的路由選擇、轉(zhuǎn)發(fā)、過(guò)濾以及網(wǎng)絡(luò)層攻擊的防護(hù)等由ASIC芯片來(lái)進(jìn)行處理；對(duì)于第7層的安全過(guò)濾，例如應(yīng)用層網(wǎng)關(guān)、網(wǎng)站分類、反垃圾郵件、服務(wù)器負(fù)載均衡、應(yīng)用識(shí)別與控制等由多核CPU并行進(jìn)行處理，從而達(dá)到了安全和性能完美的統(tǒng)一。

豐富的路由功能

阿姆瑞特AS-3000下一代安全網(wǎng)關(guān)具有強(qiáng)大的路由功能，可以被部署在網(wǎng)絡(luò)出口以著重發(fā)揮其強(qiáng)大的NAT和服務(wù)映射功能，或者部署于網(wǎng)絡(luò)內(nèi)部的重要保護(hù)區(qū)域之前主要工作在純路由模式，也可以被透明地部署于需要保護(hù)的資源前面以實(shí)現(xiàn)無(wú)感知安全性。阿姆瑞特AS-3000同時(shí)提供豐富的網(wǎng)絡(luò)接口，包括自適應(yīng)的電口和SFP插槽，用戶可以方便地同時(shí)使用單模、多模等多種介質(zhì)來(lái)組網(wǎng)。

鏈路監(jiān)視與路由備份

目前許多用戶都擁有多條互聯(lián)網(wǎng)出口，這一點(diǎn)在高校中更為普遍。雖然現(xiàn)在的許多出口設(shè)備都支持基于目標(biāo)IP地址來(lái)選擇路由，但各出口線路之間的互相備份更為重要。阿姆瑞特AS-3000可以監(jiān)視物理連接的狀態(tài)、網(wǎng)關(guān)設(shè)備的活動(dòng)性以及遠(yuǎn)程主機(jī)的響應(yīng)速度，不僅可以在鏈路完全斷開(kāi)的情況下，而且還可以在某條鏈路質(zhì)量較差的時(shí)候把連接切換到其它線路上。

策略路由

阿姆瑞特AS-3000具有成熟的基于策略的路由（PBR）的功能，它不僅可以基于目標(biāo)IP地址進(jìn)行路由的自動(dòng)選擇，而且還支持基于源IP地址、服務(wù)/協(xié)議來(lái)進(jìn)行路由選擇。在與時(shí)間表配合之后，還可以實(shí)現(xiàn)在上班時(shí)間僅讓重要業(yè)務(wù)使用優(yōu)質(zhì)線路，而在下班之后優(yōu)質(zhì)線路也可供一般用戶使用。

IPv6 Ready

阿姆瑞特AS-3000以雙棧和隧道的方式全面支持IPv6，不僅能夠基于IPv6的IP地址等信息來(lái)進(jìn)行訪問(wèn)控制，更可以支持6 in 4通道，把一個(gè)純的IPv6網(wǎng)絡(luò)通過(guò)建立在IPv4網(wǎng)絡(luò)上的通道與其它的IPv6資源連接起來(lái)。阿姆瑞特已獲得了IPv6 Ready的認(rèn)證，其產(chǎn)品中有豐富的IPv6功能特性集，包括DHCPv6、DNSv6客戶端、IPv4路由和IPv6路由的共存。

服務(wù)VLAN

網(wǎng)絡(luò)扁平化是近年來(lái)網(wǎng)絡(luò)發(fā)展的一個(gè)新趨勢(shì)，有不少規(guī)模較大的網(wǎng)絡(luò)都在這一方面進(jìn)行了一定程度的嘗試，阿姆瑞特AS-3000通過(guò)支持符合IEEE 802.1ad標(biāo)準(zhǔn)的Service VLAN（服務(wù)VLAN或Q-in-Q VLAN）來(lái)為用戶提供網(wǎng)絡(luò)扁平化的技術(shù)基礎(chǔ)。這一技術(shù)通過(guò)把傳統(tǒng)的VLAN再封包的方法來(lái)解決傳統(tǒng)VLAN在跨互聯(lián)網(wǎng)傳輸時(shí)的VLAN ID沖突問(wèn)題，并為網(wǎng)絡(luò)扁平化提供有力的技術(shù)支持。同時(shí)，與MPLS相比，服務(wù)VLAN也可以幫助用戶建立起互聯(lián)的專有網(wǎng)絡(luò)，而成本卻比MPLS低得多。

鏈路聚合

為了提供更大的吞吐量和更高的帶寬，阿姆瑞特AS-3000下一代安全網(wǎng)關(guān)產(chǎn)品使用整機(jī)狀態(tài)表的方式，使安全網(wǎng)關(guān)支持端口聚合成為了可能。端口聚合技術(shù)將多物理接口當(dāng)作一個(gè)單一的邏輯接口來(lái)處理，它允許與交換機(jī)之間通過(guò)多個(gè)端口并行連接同時(shí)傳輸數(shù)據(jù)以提供更高的帶寬，有效地提高設(shè)備間的傳輸速度，從而消除網(wǎng)絡(luò)訪問(wèn)中的瓶頸。

集中管理

阿姆瑞特AS-3000下一代安全網(wǎng)關(guān)支持通過(guò)InControl的遠(yuǎn)程集中管理。通過(guò)InControl，用戶可以直觀地以各種圖表來(lái)自定義設(shè)備的狀態(tài)、性能監(jiān)視頁(yè)面，并對(duì)設(shè)備進(jìn)行配置的實(shí)時(shí)備份、更改、配置差異分析，而且這些通信都是經(jīng)過(guò)了至少512位加密的，為用戶提供了極強(qiáng)的安全性。阿姆瑞特InControl同時(shí)向用戶提供基于WCF的SDK，用戶通過(guò)調(diào)用API就可以開(kāi)發(fā)出具有自己特色的集中管理工具。

日志分析

InSight是阿姆瑞特AS-3000下一代安全網(wǎng)關(guān)專用的日志記錄軟件，它可以搜集詳細(xì)的日志數(shù)據(jù)，并可使用日志分析工具所提供的強(qiáng)大的邏輯查詢功能對(duì)數(shù)據(jù)進(jìn)行分析。通過(guò)使用阿姆瑞特Insight日志分析軟件,管理員就可以有效地對(duì)數(shù)據(jù)流進(jìn)行分析，深度了解用戶的網(wǎng)絡(luò)行為,并進(jìn)行流量統(tǒng)計(jì)、用戶統(tǒng)計(jì)，并展現(xiàn)潛在安全威脅等等。