Amaranten 綜合安全網(wǎng)關(guān) 1 阿姆瑞特 綜合安全網(wǎng)關(guān) 解決方案 阿姆瑞特（亞洲）網(wǎng)絡(luò)有限公司 Amaranten 綜合安全網(wǎng)關(guān) 1 目 錄 第一章 前 言 . 1 第二章 阿姆瑞特綜合安全網(wǎng)關(guān)介紹 . 2 2.1 阿姆瑞特 SOS 設(shè)計(jì)理念 . 2 2.2 阿姆瑞特綜合安全網(wǎng)關(guān)組件 . 3 2.2.1 防火墻組件 . 4 2.2.2 VPN 組件 . 5 2.2.3 入侵檢測(cè)組件 . 6 2.2.4 應(yīng)用控制組件 . 7 第三章 阿姆瑞特綜合安全網(wǎng)關(guān)技術(shù)特點(diǎn) . 8 3.1 最靈活的接入模式 . 8 3.2 強(qiáng)大的路由功能 . 8 3.3 專業(yè)的帶寬管理 . 9 3.4 高可靠性 . 9 3.5 靈活的用戶認(rèn)證 . 9 3.6 強(qiáng)悍防火墻防護(hù)功能 . 10 3.7 IPS 與 IDS 有效的統(tǒng)一 . 10 3.8 靈活的應(yīng)用控制 . 11 3.9 動(dòng)態(tài) IPS/IDS/應(yīng)用控制配置界面 . 11 3.10 獨(dú)特的內(nèi)容過(guò)濾，反“釣魚(yú)”功能 . 11 3.12 零日 (zero-day)安全威脅防御功能 . 12 3.13 卓越的性能保證 . 12 第四章 阿姆瑞特綜合安全網(wǎng)關(guān)應(yīng)用方案 . 13 4.1 概述 . 13 4.2 現(xiàn)狀分析 . 13 4.3 解決方案的特性 . 16 4.4 解決方案好處 . 16 4.5 Amaranten 解決方案優(yōu)勢(shì)： . 17 4.6 阿姆 瑞特綜合安全網(wǎng)關(guān)在對(duì)服務(wù)器的保護(hù)應(yīng)用 . 17 第五章 阿姆瑞特 安全網(wǎng)關(guān) 選型 . 19 第 六 章 軟硬件售后服務(wù)及備品備件 . 192 6.1 概述 . 19 6.3 售后服務(wù)承諾 . 22 Amaranten 綜合安全網(wǎng)關(guān) 1 第一章 前 言 隨著網(wǎng)絡(luò)技術(shù)及應(yīng)用的普及，網(wǎng)絡(luò)安全問(wèn)題日益凸現(xiàn)，黑客的攻擊方式由以前基于TCP/IP 協(xié)議的漏洞攻擊轉(zhuǎn)向基于操作系統(tǒng)和應(yīng)用軟件的漏洞攻擊和入侵。例如：黑客可以通過(guò)防火墻開(kāi)放的合法端口進(jìn)入內(nèi)部網(wǎng)絡(luò)，給用戶造成巨大的損失；蠕蟲(chóng)病毒、木馬可以通過(guò)防火墻開(kāi)放的合 法端口進(jìn)入內(nèi)部網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓；間諜軟件等惡意程序可以通過(guò)防火墻開(kāi)放的合法端口進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取商業(yè)機(jī)密。 安全威脅不僅來(lái)自外部，企業(yè)內(nèi)部的不當(dāng)互聯(lián)網(wǎng)訪問(wèn)、濫用互聯(lián)網(wǎng)以及泄密行為等等，同樣會(huì)帶來(lái)安全問(wèn)題。據(jù) IDC 報(bào)告， 70%的安全損失是由企業(yè)內(nèi)部原因造成的，而不當(dāng)?shù)馁Y源利用及員工上網(wǎng)行為往往是 “ 罪魁禍?zhǔn)?” 。比如：網(wǎng)頁(yè)瀏覽、 BT 下載、 IM 實(shí)時(shí)通信、 P2P文件共享等行為。不當(dāng)?shù)馁Y源利用及員工上網(wǎng)行為帶來(lái)了間諜軟件、惡意程序和計(jì)算機(jī)病毒，導(dǎo)致了企業(yè)網(wǎng)絡(luò)資源耗盡、機(jī)密信息泄漏、內(nèi)網(wǎng)病毒泛濫等一系列安全問(wèn)題。 同 時(shí) ，隨著互聯(lián)網(wǎng)的吸引力和互動(dòng)性與日俱增，員工正花費(fèi)越來(lái)越多的辦公時(shí)間上網(wǎng)處理私人事務(wù)。據(jù)公布的最新統(tǒng)計(jì)顯示，中國(guó)員工每周上班花在網(wǎng)上處理私人事務(wù)的時(shí)間高達(dá)5.6 小時(shí)，平均每天超過(guò) 1 小時(shí)。有 60%的中國(guó)員工在工作時(shí)間上網(wǎng)瀏覽個(gè)人信件，有 83%中層管理人員由于在辦公時(shí)間內(nèi)瀏覽與工作無(wú)關(guān)的網(wǎng)站，使得企業(yè) 遭受到仿冒詐騙、間諜軟件和其它網(wǎng)上攻擊的威脅 增大 。在中國(guó)， 大 約有 8%的員工在上班時(shí)間上網(wǎng)進(jìn)入聊天室， 大約有 16%的員工上網(wǎng)下載音樂(lè)， 大約有 12%員工 在上班時(shí)間玩游戲的?；ヂ?lián)網(wǎng)濫用， 造成工作效率下降， 給中國(guó)企業(yè)帶來(lái)了 巨大的損失。 面對(duì)這些隱藏在 IP 數(shù)據(jù)包應(yīng)用層的攻擊和信息，傳統(tǒng)的防火墻技術(shù)顯得無(wú)能為力。阿姆瑞特 綜合安全網(wǎng)關(guān) 系列產(chǎn)品正是在如此復(fù)雜多變的惡意攻擊和網(wǎng)絡(luò)應(yīng)用下孕育而生的，該產(chǎn)品將防火墻、 VPN、入侵檢測(cè)、防病毒、內(nèi)容過(guò)濾和應(yīng)用控制等功能結(jié)合于一體，提供從物理層到應(yīng)用層 7 層安全防護(hù)的產(chǎn)品。 Amaranten 綜合安全網(wǎng)關(guān) 2 第二章 阿姆瑞特 綜合安全網(wǎng)關(guān) 介紹 阿姆瑞特 綜合安全網(wǎng)關(guān) （ Extended Unified Threat Management） 是 將防火墻、 VPN、入侵檢測(cè)、防病毒、內(nèi)容過(guò)濾和應(yīng)用控制等功能結(jié)合于一體，提供從物理層到應(yīng)用 層 7 層安全防護(hù)的產(chǎn)品。阿姆瑞特 綜合安全網(wǎng)關(guān) 產(chǎn)品內(nèi)部集成了專用的 ASIC 加速芯片， 突破了 傳統(tǒng)安全設(shè)備在進(jìn)行 內(nèi)容處理方面與性能的矛盾， 保證網(wǎng)絡(luò)的安全性、高效性 。 2.1 阿姆瑞特 SOS 設(shè)計(jì)理念 阿姆瑞特依托強(qiáng)大的研發(fā)隊(duì)伍，在產(chǎn)品設(shè)計(jì)時(shí)候提供阿姆瑞特 SOS( Service Oriented Security)-面向服務(wù)的安全設(shè)計(jì)，只有通過(guò)最先進(jìn)的 SOS 設(shè)計(jì)理念開(kāi)發(fā)出的產(chǎn)品才能具備高度靈活性、最強(qiáng)大的功能和最卓越的性能。 依托阿姆瑞特先進(jìn)的 SOS 理念， 綜合安全網(wǎng)關(guān) 在產(chǎn)品設(shè)計(jì)時(shí)候，充分考慮到產(chǎn)品的靈活性、安全性、高性 能以及擴(kuò)展性，與其他廠商的 UTM相比，具有以下優(yōu)點(diǎn)： 無(wú)操作系統(tǒng) 沒(méi)有通用操作系統(tǒng)的漏洞 不需要維護(hù)和修補(bǔ)任何操作系統(tǒng) 超短的啟動(dòng)時(shí)間 最小的受攻擊平面 3Mb 的系統(tǒng)內(nèi)核比 40Mb 的 Linux 和 70Mb Windows 系統(tǒng)小很多 沒(méi)有硬盤(pán)等需要運(yùn)轉(zhuǎn)的部件 優(yōu)異的 MTBF（平均無(wú)故障時(shí)間） 細(xì)粒度的靈活服務(wù)組合 能夠精確地為不同客戶量身定制合適的服務(wù)組合 能提供最靈活的接入模式 完全自己開(kāi)發(fā)的核心程序 自己開(kāi)發(fā)的核心系統(tǒng)，包括 IP 棧、 TCP 棧、過(guò)濾棧等等 沒(méi)有笨拙的修改和變通，只有優(yōu)美的、徹底的集成 全面和無(wú)縫 隙的功能整合 優(yōu)異的可靠性和穩(wěn)定性 可以提供海量的并發(fā)、極高的吞吐量和極底的延時(shí) Amaranten 綜合安全網(wǎng)關(guān) 3 巧妙的結(jié)合軟件和硬件 在必須保證性能的地方使用硬件。硬件可以提供極高的吞吐 量和極短的時(shí)延，因此保證了產(chǎn)品整體的高性能 在需要靈活處理的方面 用軟件來(lái)實(shí)現(xiàn)。軟件模塊更為容易升級(jí)和修改，因此可以實(shí)現(xiàn)較為復(fù)雜的功能。 靈活簡(jiǎn)單的無(wú)縫擴(kuò)展 通過(guò)許可證的方式，瞬間升級(jí)新需要的功能 在同一產(chǎn)品系列中，不需要更換硬件，就可以瞬間擴(kuò)展到更高的性能 2.2 阿姆瑞特 綜合安全網(wǎng)關(guān) 組件 基于 SOS 理念的 阿姆瑞特 綜合安全網(wǎng)關(guān) 通過(guò) ASIC 加速 ，突破了 傳統(tǒng)安全設(shè)備在進(jìn)行內(nèi)容處理方面與性能的矛盾，保證網(wǎng)絡(luò)的安全性、高效性，完成了眾多安全產(chǎn)品才能達(dá)到的防護(hù)作用。而且減少了以前多臺(tái)設(shè)備串連到網(wǎng)絡(luò)中而引起的“一臺(tái)設(shè)備有問(wèn)題，網(wǎng)絡(luò)就中斷”的隱患。同時(shí)更加便于管理與配置。 阿姆瑞特的全中文、圖形化的管理器可以對(duì) 綜合安全網(wǎng)關(guān) 設(shè)備進(jìn)行全面管理，構(gòu)成一個(gè)安全統(tǒng)一管理平臺(tái)。通過(guò)合理的配置將各種各樣的網(wǎng)絡(luò)安全威脅消弭于無(wú)形之中，以達(dá)到防患于未然的目標(biāo)。 Amaranten 綜合安全網(wǎng)關(guān) 4 概括地說(shuō) , 阿姆瑞特 綜合安全網(wǎng)關(guān) 產(chǎn)品 提供六大關(guān)鍵安全應(yīng)用。 防火墻 ，從網(wǎng)絡(luò)層對(duì)用戶進(jìn)行保護(hù)，實(shí)現(xiàn)訪問(wèn)控制、路由、 NAT、帶寬管理等功能。 VPN 網(wǎng)關(guān) ，建立 VPN 隧道， 確保與 “ 外部移動(dòng)用戶 ” 、遠(yuǎn)程傳輸以及遠(yuǎn)程辦公點(diǎn)的安全 。 入侵 檢測(cè)，從應(yīng)用層針對(duì)用戶進(jìn)行保護(hù)。防御黑客基于操作系統(tǒng)和應(yīng)用程序漏洞的攻擊，預(yù)防惡意的網(wǎng)絡(luò)流量到達(dá)服務(wù)器。同時(shí)對(duì)內(nèi)網(wǎng)用戶的 P2P 應(yīng)用進(jìn)行控制。 防病毒 ，預(yù)防網(wǎng)絡(luò)邊界上流入的病毒和間諜、木馬程序，提高計(jì)算機(jī)桌面安全，預(yù)防內(nèi)部計(jì)算機(jī)遭到來(lái)自企業(yè)網(wǎng)絡(luò)外的病毒感染和木馬的損壞。 內(nèi)容 過(guò)濾 ，對(duì)用戶訪問(wèn)的內(nèi)容過(guò)濾提供了細(xì)粒度的、基于策略的控制能力，防止違反企業(yè)規(guī)定的內(nèi)容通過(guò)企業(yè)網(wǎng)絡(luò)出入，防止員工訪問(wèn)違反企業(yè)規(guī)定的網(wǎng) 站。 應(yīng)用控制，提供了高級(jí)的、能進(jìn)行深入分析的應(yīng)用程序數(shù)據(jù)控制能力?？梢宰R(shí)別即時(shí)消息工具和 P2P 應(yīng)用程序，并控制對(duì)一些無(wú)益的應(yīng)用程序的使用。 2.2.1 防火墻組件 防火墻是網(wǎng)絡(luò)安全的基礎(chǔ)。阿姆瑞特 綜合安全網(wǎng)關(guān) 防火墻 組件秉承阿姆瑞特 F 系列防火墻的優(yōu)良特性，具有強(qiáng)大的路由功能、帶寬管理功能、抵御 DOS/DDOS 攻擊等特性；具有非凡的性能和 NAT 能力；具有海量的并發(fā)連接數(shù)。該組件功能如下： 強(qiáng)大的抗 DOS/DDOS 攻擊能力和靈活的訪問(wèn)控制； Amaranten 綜合安全網(wǎng)關(guān) 5 專業(yè)的帶寬管理功能。 支持 PBR（ Policy Based Routing，基于策略的路由），配置主路由表和多個(gè) PBR 路由表，不同的規(guī)則采用不同的路由表，支持多個(gè)缺省網(wǎng)關(guān)； 支持靜態(tài)地址 /DHCP/ADSL/xDSL 等多種網(wǎng)絡(luò)接入； 支持多個(gè)出口、鏈路備份； 支持靜態(tài)路由備份，支持浮動(dòng)路由； 支持 OSPF V2 動(dòng)態(tài)路由； 支持虛擬路由器 /系統(tǒng)； 全面支持 802.1Q； 透明、路由、混合接入； 同一接口下的透明 +NAT； 源地址、目標(biāo)地址同時(shí)轉(zhuǎn)換； 對(duì)稱式接口設(shè)計(jì)，多 DMZ 區(qū)保護(hù)； 支持服務(wù)器負(fù)載均衡； 支持用戶認(rèn)證和賬號(hào)計(jì)費(fèi)； 支持 H.323/FTP 等動(dòng)態(tài)端口協(xié)議； 2.2.2 VPN 組件 阿姆瑞特 綜合安全網(wǎng)關(guān) 的 VPN 組件提供強(qiáng)大的 VPN 功能，支持點(diǎn)對(duì)點(diǎn) VPN、全網(wǎng)狀 VPN連接和星形 VPN 連接；支持 VPN 客戶端；支持多種加密算法和認(rèn)證算法；支持IPSEC/PPTP/L2TP 等多種 VPN 隧道方式。具體的技術(shù)特點(diǎn)如下： 支持 NAT 訪問(wèn)互聯(lián)網(wǎng)的同時(shí)與分（總）公司之間建立 VPN 隧道； 支持 VPN 明密結(jié)合，靈活網(wǎng)絡(luò)部署； 支持點(diǎn)對(duì)點(diǎn)連接和全網(wǎng)狀 VPN 連接 ； 支持星型拓?fù)?VPN 接入； 動(dòng)態(tài) IP 地址的 VPN 接入； 支持 VPN 的 NAT 穿越； 支持 PPTP/L2TP/IPSEC 等多 種 VPN 形式； 支持 2 臺(tái)防火墻之間建立多條 VPN 隧道； Amaranten 綜合安全網(wǎng)關(guān) 6 支持多條 VPN 鏈路的備份； 支持 X.509 證書(shū)和共享密鑰，支持第三方 CA 認(rèn)證； 支持 AES、 DES、 3DEC、 cast128、 blowfish、 Twofish 等加密算法； 支持 MD5、 SHA-1 認(rèn)證算法； 采用 IPSec 國(guó)際標(biāo)準(zhǔn)協(xié)議，提供傳輸方式和隧道方式建立 VPN 隧道； 可以與第三方支持 IPSEC 協(xié)議的產(chǎn)品建立 VPN 隧道 ； 可以做 VPN 的訪問(wèn)控制； VPN 帶寬的 QOS 保證； VPN 隧道內(nèi)傳輸內(nèi)容的 QOS 保證。 2.2.3 入侵檢測(cè) 組件 阿姆瑞特 綜合安全網(wǎng)關(guān) 入侵檢測(cè)組件提供從網(wǎng)絡(luò)層到 應(yīng)用層 的保護(hù)， 防御黑客基于操作系統(tǒng)和應(yīng)用程序漏洞的攻擊，預(yù)防惡意的網(wǎng)絡(luò)流量到達(dá)服務(wù)器。同時(shí)對(duì)內(nèi)網(wǎng)用戶的 P2P應(yīng)用進(jìn)行控制。具體的技術(shù)特點(diǎn)如下： 靈活的 IPS 與 IDS 組合； 動(dòng)態(tài) IPS/IDS/應(yīng)用控制配置界面； 阻止黑客對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行 端口探測(cè) 、漏洞 掃描以及其它攻擊活動(dòng) ； 阻止黑客對(duì) Windows、 Unix、 Linux、 FreeBSD 等操作系統(tǒng)漏洞的攻擊； 阻止黑客對(duì) DNS、 FTP、 ICMP、 IMAP、 POP3、 SNMP 等 協(xié)議弱點(diǎn) 攻擊 ； 阻止黑客對(duì)應(yīng)用 程序攻擊 ，例如：對(duì) WEB 頁(yè)面中嵌入數(shù)據(jù)庫(kù)進(jìn)行的 SQL 注入攻擊、針對(duì)某種應(yīng)用軟件漏洞的攻擊等； 發(fā)現(xiàn)掃描或者攻擊后，動(dòng)態(tài)添加攻擊黑名單； 對(duì)內(nèi)部用戶通過(guò) MSN 等聊天工具在工作時(shí)間聊天進(jìn)行阻斷 ； 對(duì)內(nèi)網(wǎng)用戶通過(guò) P2P 工具下載而耗費(fèi)網(wǎng)絡(luò)大量帶寬進(jìn)行 阻斷 ； 遍及全球的 IPS 引擎確保用戶隨時(shí)都能得到最新的 IPS 特征庫(kù)； 支持用戶自定義特征庫(kù)，管理人員可以添加針對(duì)于其自身某種特殊應(yīng)用的威脅特征庫(kù)； 專用 ASIC 芯片防止 IPS 對(duì)應(yīng)用層的控制所引起的性能降低，在進(jìn)行深度檢查的同時(shí)確保最大化吞吐量，確保用戶的網(wǎng)絡(luò)安全高效。 Amaranten 綜合安全網(wǎng)關(guān) 7 2.2.4 應(yīng)用控制組件 阿姆瑞特 綜合安全網(wǎng)關(guān) 的應(yīng)用程序控制組件可以對(duì)應(yīng)用程序進(jìn)行深入分析和控制?？梢宰R(shí)別并控制即時(shí)消息工具和 P2P 應(yīng)用程序，以及控制對(duì)一些無(wú)益的應(yīng)用程序的使用。具體技術(shù)特點(diǎn)如下： 基于應(yīng)用程序的帶寬管理； 對(duì)網(wǎng)絡(luò)應(yīng)用全面管理，例如：控制 哪個(gè)軟件可以或者不能 訪問(wèn)某個(gè)網(wǎng)絡(luò) ，可以確保 木馬 程序不能發(fā)送你的敏感信息給那些不法分子 ； 對(duì)某種應(yīng)用程序控制 ，例如：禁止內(nèi)網(wǎng)用戶玩某種網(wǎng)絡(luò)游戲； 應(yīng)用程序使用日志還可提供詳細(xì)地的統(tǒng)計(jì)信息； 硬件加速，確保網(wǎng)絡(luò)整體性能。 Amaranten 綜合安全網(wǎng)關(guān) 8 第三章 阿姆瑞特 綜合安全網(wǎng)關(guān) 技術(shù)特 點(diǎn) 3.1 最靈活的接入模式 阿姆瑞特 綜合安全網(wǎng)關(guān) 設(shè)備提供世界上類(lèi)似產(chǎn)品最靈活的接入模式，無(wú)論 綜合安全網(wǎng)關(guān)工作在任何模式下，都支持該產(chǎn)品的所有功能。 例如，當(dāng) 綜合安全網(wǎng)關(guān) 產(chǎn)品工作在透明模式下，仍然 支持 NAT、 VLAN、 VPN、 OSPF、 HA 和虛擬防火墻等功能。 支持透明、路由、混合接入； 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持同一接口下的透明 +NAT； 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持源地址、目標(biāo)地址同時(shí)轉(zhuǎn)換； 網(wǎng)絡(luò)接口對(duì)稱式接口設(shè)計(jì)，可以作多個(gè)內(nèi)網(wǎng)、外網(wǎng)、 DMZ 區(qū)； 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持 ADSL、 DHCP Client、固定 IP 地址接入，支持多條 ADSL線路撥號(hào)，支持 ADSL 按需撥號(hào)。 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持服務(wù)器負(fù)載均衡； 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持單鏈路多網(wǎng)關(guān)接入。 3.2 強(qiáng)大 的路由功能 阿姆瑞特 綜合安全網(wǎng)關(guān) 提供非常強(qiáng)大的路由功能，同時(shí)具有非常靈活的 SFP 接口模塊，在很多情況下可以替代路由器直接將 綜合安全網(wǎng)關(guān) 設(shè)備 放置于 ISP 與用戶的核心交換之間，節(jié)省一個(gè)高端路由器，從而為用戶節(jié)省網(wǎng)絡(luò)投資。 最大支持 4096 條靜態(tài)路由； 策略路由功能。可 以根據(jù)源地址、 目標(biāo)地址、 服務(wù) 、時(shí)間 等定義 策略 路由 ，同時(shí)，可以對(duì)數(shù)據(jù)包向前、返回的方向進(jìn) 行選擇策略路由選擇。 路由備份功能。防火墻可以支持路由備份功能，這樣可以保證不會(huì)因?yàn)橐粭l鏈路的中斷而造成業(yè)務(wù)的中斷。 動(dòng)態(tài)路由功能。支持 RFC 1538 和 RFC 2328 定義的 2 中 OSPF 版本；防火墻在透明、路由模式下都可以參與 OSPF 運(yùn)算；支持在 VPN 網(wǎng)絡(luò)環(huán)境下也支持 OSPF 協(xié)議的運(yùn)行。 支持虛擬路由器功能。物理上的一臺(tái)設(shè)備，邏輯上可以作多臺(tái)使用。 Amaranten 綜合安全網(wǎng)關(guān) 9 3.3 專業(yè)的帶寬管理 阿姆瑞特 綜合安全網(wǎng)關(guān) 設(shè)備的帶寬管理功能可以于專業(yè)的帶寬管理設(shè)備去媲美，依托強(qiáng)大的帶寬管理功能，為用戶提高最合理的網(wǎng)絡(luò)帶寬應(yīng)用。 帶寬 管理基于“管道”設(shè)置，管道數(shù)量沒(méi)有限制，支持多層管道嵌套； 可對(duì)上傳和下載數(shù)據(jù)分別進(jìn)行帶寬管理 ，上傳和下載的帶寬可設(shè)置不同帶寬； 帶寬管理設(shè)置 可以 BPS 或者 PPS，設(shè)置 精度為 1Kbps 或者 1PPS； 基于接口、用戶、 VLAN、 IP 地址、服務(wù)、時(shí)間等設(shè)定帶寬限制、帶寬保證； 動(dòng)態(tài)進(jìn)行源地址、源網(wǎng)絡(luò)、目標(biāo)地址、目標(biāo)網(wǎng)絡(luò)、服務(wù)等帶寬均衡； 動(dòng)態(tài)對(duì)網(wǎng)絡(luò)中每一個(gè)用戶進(jìn)行統(tǒng)一的帶寬限制、帶寬保證； 支持每個(gè)用戶每秒新建連接數(shù)量進(jìn)行控制，當(dāng)閥值被觸動(dòng)后，動(dòng)態(tài)將非法用戶添加到黑名單里，直接將非法用戶連接進(jìn)行阻斷，并且可以靈 活的設(shè)置控制黑名單有效時(shí)間 ； 大差別帶寬管理時(shí)， 仍然可以進(jìn)行預(yù)定的帶寬分配， 不 會(huì)產(chǎn)生大帶寬“吃飽”，小帶寬 “ 餓死 ” 現(xiàn)象 。 3.4 高可靠性 為了保證網(wǎng)絡(luò)的高可用性與高可靠性，阿姆瑞特 綜合安全網(wǎng)關(guān) 提供了高可靠連接功能，即在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻。當(dāng)一臺(tái) 綜合安全網(wǎng)關(guān) 發(fā)生意外宕機(jī)、鏈路故障、硬件故障等情況時(shí)，另一臺(tái) 綜合安全網(wǎng)關(guān) 自動(dòng)切換工作狀態(tài)，從而保證了網(wǎng)絡(luò)的正常使用。 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持雙機(jī)熱備、鏈路備份功能； 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持不同型號(hào)的防火墻可以作雙機(jī)熱備、鏈路備份； 支持雙機(jī) 熱備、鏈路備份切換的時(shí)間不超過(guò) 1 秒； 支持 狀態(tài)表同步， 雙機(jī)熱備反復(fù)切換對(duì)應(yīng)用不產(chǎn)生影響； 采用虛擬 IP、虛擬 MAC 技術(shù)，切換后防火墻周邊設(shè)備 ARP 列表不變，保證平滑切換； 3.5 靈活 的 用戶認(rèn)證 阿姆瑞特 綜合安全網(wǎng)關(guān) 支持本地用戶任何 、 CA、 LDAP 和 RADIUS 多種認(rèn)證模式，通過(guò)用戶認(rèn)證功能，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)更有效的管理。 Amaranten 綜合安全網(wǎng)關(guān) 10 在同一臺(tái) PC 上， 輸入用戶名和口令可以訪問(wèn)對(duì)應(yīng)的目標(biāo)網(wǎng)絡(luò)，沒(méi)有用戶名和口令無(wú)法訪問(wèn)； 在同一臺(tái) PC 上， 輸入不同的用戶名和口令可以 訪問(wèn)不同的目標(biāo)地址； 在同一臺(tái) PC 上，輸入不同的用戶名和口令可 以獲得不同的帶寬對(duì)外訪問(wèn) ； 在同一臺(tái) PC 上，分別對(duì)不同用戶進(jìn)行計(jì)費(fèi)管理，當(dāng)超出預(yù)定流量后阻斷該用戶 所有對(duì)外的 訪問(wèn)行為 或者特定目標(biāo)地址的訪問(wèn)行為 。 3.6 強(qiáng)悍防火墻防護(hù)功能 阿姆瑞特 綜合安全網(wǎng)關(guān) 產(chǎn)品秉承阿姆瑞特 F 系列防火墻的優(yōu)良特性，具有強(qiáng)悍的抵御DOS/DDOS 攻擊、靈活的訪問(wèn)控制等特性；具有非凡的性能和 NAT 能力；具有海量的并發(fā)連接數(shù)。 靈活的訪問(wèn)控制功能。除了傳統(tǒng)的基于地址、端口的訪問(wèn)控制以外，還需要支持防火墻的接口、 IP 和 TCP 中的選項(xiàng)和用戶訪問(wèn)文件類(lèi)型進(jìn)行訪問(wèn)控制。 文件類(lèi)型過(guò)濾功能。阿姆瑞特 綜合 安全網(wǎng)關(guān) 對(duì) SMTP、 HTTP、 FTP 協(xié)議傳輸?shù)奈募?lèi)型進(jìn)行控制，從而提供根據(jù)嚴(yán)格的訪問(wèn)控制手段，通過(guò)嚴(yán)格的控制可以更加有效保證用戶網(wǎng)絡(luò)安全和有效防止病毒的擴(kuò)散。 強(qiáng)悍的抵御攻擊功能。為了更有效抵御 SYN-flood 攻擊，在防范該攻擊時(shí)候，不采用設(shè)置閾值的方法；而采用類(lèi)似代理技術(shù)進(jìn)行攻擊防范，攻擊者必須首先與防火墻建立起標(biāo)準(zhǔn)的 TCP 連接，防火墻才會(huì)再與服務(wù)器進(jìn)行連接，確保服務(wù)器的安全。 攻擊后“自愈”能力。在任何情況下，防火墻的 CPU 利用率不能到達(dá) 100，不 死機(jī)，確保攻擊停止后，網(wǎng)絡(luò)正常運(yùn)行。 3.7 IPS 與 IDS 有效的 統(tǒng)一 為了達(dá)到對(duì)服務(wù)器最佳保護(hù)，阿姆瑞特 綜合安全網(wǎng)關(guān) 可以針對(duì)服務(wù)器同時(shí)開(kāi)啟 IPS規(guī)則和 IDS規(guī)則。 IPS與 IDS對(duì)應(yīng)不同的特征庫(kù)，當(dāng)數(shù)據(jù)包進(jìn)入防火墻，首先經(jīng)過(guò) IPS檢查，可以確定 100的攻擊， 綜合安全網(wǎng)關(guān) 可以對(duì)該攻擊進(jìn)行阻斷；如果數(shù)據(jù)包疑是攻擊，進(jìn)行 IDS檢查，綜合安全網(wǎng)關(guān) 對(duì)該數(shù)據(jù)進(jìn)行審計(jì)，從而達(dá)到 IPS和 IDS的統(tǒng)一，保證服務(wù)器的同時(shí)不會(huì)產(chǎn)生因?yàn)檎`報(bào)而將正常數(shù)據(jù)包阻斷現(xiàn)象。同時(shí)通過(guò)硬件加速保證系統(tǒng)的性能。 Amaranten 綜合安全網(wǎng)關(guān) 11 3.8 靈活的 應(yīng)用控制 阿姆瑞特 綜合安全網(wǎng)關(guān) 不但能夠?qū)崿F(xiàn)對(duì) TCP/UDP端口的控制 ，并且可以實(shí)現(xiàn)對(duì)同一端口不同應(yīng)用控制的功能。當(dāng)數(shù)據(jù)包通過(guò) TCP/UDP某一端口進(jìn)行傳輸時(shí)候，阿姆瑞特 綜合安全網(wǎng)關(guān) 可以對(duì)數(shù)據(jù)包的應(yīng)用層作深度檢查，達(dá)到對(duì)于應(yīng)用進(jìn)行控制的目的。例如：對(duì) BT這種耗費(fèi)帶寬的控制、對(duì)經(jīng)過(guò) HTTP訪問(wèn)流媒體的控制、對(duì) HTTP不同命令和使用代理服務(wù)器控制；對(duì) FTP不同命令的控制、對(duì)訪問(wèn)數(shù)據(jù)庫(kù)登陸的控制、對(duì) SMTP/POP3命令的控制、對(duì) H.323/SIP視頻的控制等。 3.9 動(dòng)態(tài) IPS/IDS/應(yīng)用控制配置界面 用戶在進(jìn)行 IPS/IDS等設(shè)備管理時(shí)候，面對(duì)復(fù)雜、專業(yè)的配置可能無(wú)從下手； 同時(shí)因?yàn)镮PS/IDS特征庫(kù)是不斷升級(jí)的，而配置界面無(wú)法實(shí)現(xiàn)時(shí)時(shí)升級(jí)，導(dǎo)致動(dòng)態(tài)的特征庫(kù)與靜態(tài)的配置界面無(wú)法對(duì)應(yīng)起來(lái)。 阿姆瑞特 綜合安全網(wǎng)關(guān) 的 IPS/IDS/應(yīng)用控制的配置界面來(lái)源于 IDP特征庫(kù)的索引，當(dāng) IDP特征庫(kù)升級(jí)后，由防火墻內(nèi)核 PUSH(下推 )到管理器中，從而實(shí)現(xiàn)時(shí)時(shí)更新的 IPS/IDS/應(yīng)用控制的專業(yè)分組配置界面，將用戶需要做的 IPS/IDS/應(yīng)用控制分組工作轉(zhuǎn)化為由專業(yè)的廠商來(lái)做。將 IPS/IDS/應(yīng)用控制在配置上最大的難題徹底解決，最大程度的減少管理員的工作壓力，使得配置界面更加人性化、專業(yè)化、合理化。 3.10 獨(dú)特的內(nèi)容過(guò)濾 ，反“釣魚(yú)”功能 為了防止員工在上班時(shí)間訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站，避免員工瀏覽不適當(dāng)?shù)木W(wǎng)站產(chǎn)生相應(yīng)的違法行為或 者遭受間諜軟件 /網(wǎng)絡(luò)釣魚(yú)程序攻擊導(dǎo)致企業(yè)的機(jī)密數(shù)據(jù)被竊取，企業(yè)的名譽(yù)受損。阿姆瑞特 綜合安全網(wǎng)關(guān) 可以對(duì)各種危險(xiǎn)網(wǎng)站進(jìn)行阻隔。 由于互聯(lián)網(wǎng)上各種危險(xiǎn)網(wǎng)站層出不窮，用戶根本無(wú)法手動(dòng)更新相應(yīng)的網(wǎng)站， 阿姆瑞特在全球各個(gè)地方有專人負(fù)責(zé)對(duì)全球的 URL進(jìn)行分類(lèi)。 通過(guò)阿姆瑞特廠家對(duì)全球網(wǎng)頁(yè)時(shí)時(shí)進(jìn)行分類(lèi)， 綜合安全網(wǎng)關(guān) 產(chǎn)品 通過(guò)在線自動(dòng)更新 網(wǎng)站列表，可以靈活的設(shè)置員工訪問(wèn)網(wǎng)頁(yè)的內(nèi)容，從而避免了員工在上網(wǎng)時(shí)候訪問(wèn)于工作無(wú)關(guān)的網(wǎng)頁(yè)，增加企業(yè)的生產(chǎn)力； 同時(shí)通過(guò)對(duì)Internet上“釣魚(yú)”網(wǎng)站的分類(lèi)屏蔽， 阻止用戶訪問(wèn)“釣魚(yú)”的網(wǎng)站，保證員 工上網(wǎng)的安全性。 Amaranten 綜合安全網(wǎng)關(guān) 12 3.12 零日 (zero-day)安全威脅 防御 功能 為了能最快速度的發(fā)現(xiàn)互聯(lián)網(wǎng)上的最新威脅，阿姆瑞特在全球部署可以捕獲最新威脅的傳感器，通過(guò) 遍布全球的傳感器網(wǎng)絡(luò)不斷地檢測(cè) Internet上新的威脅，并將這些威脅加入到特征庫(kù)中， 阿姆瑞特 綜合安全網(wǎng)關(guān) 通過(guò)遍布于全球的升級(jí)服務(wù)器在這些威脅爆發(fā)或攻擊發(fā)生之前向用戶提供這些威脅的特征， 進(jìn)行實(shí)時(shí) IPS、 IDS、反病毒、應(yīng)用控制、網(wǎng)頁(yè)分類(lèi)特征庫(kù)的升級(jí)，從而保證用戶網(wǎng)絡(luò)免受新的攻擊、現(xiàn)有攻擊的變種和未知攻擊的侵?jǐn)_，提供對(duì)于最新攻擊 零日 (zero-day)防 御功能。 當(dāng)一個(gè)新的漏洞出現(xiàn)時(shí)候， 由于 綜合安全網(wǎng)關(guān) 的特征庫(kù)升級(jí)速度 遠(yuǎn)遠(yuǎn)快于服務(wù)器補(bǔ)丁的升級(jí)速度，此時(shí)可以對(duì)服務(wù)器提供最有效的 零日 (zero-day)防御功能， 對(duì)服務(wù)器提供虛擬的補(bǔ)丁，在沒(méi)有得到最新補(bǔ)丁升級(jí)時(shí)候?qū)Ψ?wù)器進(jìn)行提前的保護(hù)， 阻止黑客針對(duì)于服務(wù)器漏洞的攻擊。 3.13 卓越的性能 保證 阿姆瑞特 綜合安全網(wǎng)關(guān) 是基于 ASIC的硬件產(chǎn)品， 對(duì)于 IPS、 IDS、應(yīng)用控制、反病毒都有專門(mén)的 ASIC芯片進(jìn)行處理；對(duì)于內(nèi)容過(guò)濾功能，通過(guò)本地 URL Cache存儲(chǔ)最常用的 URL， 用于存儲(chǔ)最經(jīng)常被請(qǐng)求的頁(yè)面，通過(guò)緩存機(jī)制提供 性能保證。通過(guò)相應(yīng)的技術(shù)手段，阿姆瑞特 綜合安全網(wǎng)關(guān) 突破了傳統(tǒng)安 全設(shè)備在進(jìn)行內(nèi)容處理方面與性能的矛盾，保證網(wǎng)絡(luò)的安全性、高效性。 Amaranten 綜合安全網(wǎng)關(guān) 13 第四章 阿姆瑞特 綜合安全網(wǎng)關(guān) 應(yīng)用 方案 4.1 概述 Amaranten 做為全球領(lǐng)先的網(wǎng)絡(luò)綜合解決方案的提供商，致力于為客戶提供一個(gè)可靠的、安全的并真正實(shí)現(xiàn)應(yīng)用高效交付的網(wǎng)絡(luò)，使依賴其網(wǎng)絡(luò)的客戶獲得戰(zhàn)略性收益。 伴隨著網(wǎng)絡(luò)應(yīng)用的不斷增長(zhǎng)和網(wǎng)絡(luò)連接的不斷擴(kuò)大，用戶網(wǎng)絡(luò)和數(shù)據(jù)中心面臨越來(lái)越多的安全威脅，即使部署了最為先進(jìn)的防火墻設(shè)備，依然不能防止一些攻擊、蠕蟲(chóng)、間諜軟件等惡意流量侵入 用戶內(nèi)部網(wǎng)絡(luò)。 計(jì)算機(jī)服務(wù)器某些時(shí)候可能會(huì)具有某些脆弱性，這樣的脆弱性可以暴露在被網(wǎng)絡(luò)數(shù)據(jù)流所承載的攻擊。蠕蟲(chóng)、特洛伊木馬以及后門(mén)程序都是此類(lèi)供給的例子，這樣的攻擊一旦成功，就有可能潛在的威脅服務(wù)器的安全或控制服務(wù)器。通常使用“入侵”來(lái)描述這樣的面向服務(wù)器的威脅。 入侵和病毒不同，病毒通常被包含在一個(gè)單獨(dú)下載的文件中，由客戶端系統(tǒng)來(lái)進(jìn)行下載。而入侵是一種互聯(lián)網(wǎng)數(shù)據(jù)，目的是繞過(guò)服務(wù)器的安全機(jī)制，它是一種惡意的模式。入侵并非不常見(jiàn)，他們?cè)诓粩嗟匕l(fā)展，因?yàn)楣粽呖梢詫?duì)它們的創(chuàng)建進(jìn)行自動(dòng)化。阿姆瑞特的 IDP為這樣的 攻擊提供了一道重要的防線。 入侵檢測(cè)和防御是阿姆瑞特的一個(gè)模塊，被設(shè)計(jì)用于針對(duì)此類(lèi)的入侵企圖進(jìn)行保護(hù)。它在網(wǎng)絡(luò)數(shù)據(jù)流通過(guò)阿姆瑞特安全網(wǎng)關(guān)的時(shí)候?qū)ζ溥M(jìn)行監(jiān)視，搜索特定的模式以發(fā)現(xiàn)入侵的企圖。一旦檢測(cè)到了入侵，阿姆瑞特的 IDP 允許采取下面的步驟來(lái)壓制入侵的企圖。 4.2 現(xiàn)狀分析 Amaranten IDP 入侵防護(hù)解決方案主要解決用戶網(wǎng)絡(luò)和數(shù)據(jù)中心存在的如下問(wèn)題： 1、 核心資源，核心服務(wù)器遭受到來(lái)自網(wǎng)絡(luò)的攻擊； 2、 病毒和蠕蟲(chóng)在網(wǎng)絡(luò)中肆意傳播；惡意軟件、間諜軟件經(jīng)常被植入到用戶的 PC 主機(jī)當(dāng)中。 3、 網(wǎng)絡(luò)內(nèi)部缺乏應(yīng)用控制，如 P2P 軟件， MSN 聊天等。 4、 安全事件需要統(tǒng)一收集和管理、自動(dòng)響應(yīng)。 阿姆瑞特 IDP 的解決方案 Amaranten 綜合安全網(wǎng)關(guān) 14 為了具有一個(gè)有效和靈活的 IDP 系統(tǒng)，首先需要解決以下的問(wèn)題： 應(yīng)該分析的是什么樣的數(shù)據(jù)？ 在數(shù)據(jù)流中應(yīng)該搜索什么？ 入侵被發(fā)現(xiàn)的時(shí)候應(yīng)該采取什么樣的動(dòng)作？ 作為一個(gè)例子，可以考慮一下一個(gè)正在監(jiān)視 FTP 的系統(tǒng)。它將僅僅關(guān)心與 FTP 相關(guān)的數(shù)據(jù)流，而與其它協(xié)議相關(guān)的數(shù)據(jù)流如 POP3，系統(tǒng)就不會(huì)感興趣。只有針對(duì) FTP 協(xié)議的攻擊才會(huì)被關(guān)注。 阿姆瑞特的 IDP 使用入侵檢測(cè)規(guī)則、模式匹配以 及動(dòng)作的組合來(lái)處理上述的三個(gè)問(wèn)題。 1. IDP 規(guī)則用于定義哪種類(lèi)型的數(shù)據(jù)流或服務(wù)應(yīng)該被分析。規(guī)則指定了哪些源和目標(biāo)接口、哪些網(wǎng)絡(luò)、哪些端口和哪些協(xié)議需要被檢查。只有與規(guī)則匹配的數(shù)據(jù)流才會(huì)被傳遞到模式匹配模塊，它是 IDP 的下一級(jí)處理程序，是對(duì)數(shù)據(jù)進(jìn)行詳細(xì)分析的模塊。 2. 為了能夠使 IDP 正確識(shí)別一種攻擊，它使用攻擊類(lèi)型指示器原型（特征），或“模式”這些預(yù)定義的模式，也被稱為“特征”，被存儲(chǔ)于阿姆瑞特的本地?cái)?shù)據(jù)庫(kù)中，以用于 IDP系統(tǒng)對(duì)數(shù)據(jù)庫(kù)流進(jìn)行分析。這種技術(shù)有時(shí)也被稱為“誤用檢測(cè)”或“特征檢測(cè)”。 3. 如果攻擊模式被識(shí)別 出來(lái)， IDP 將在下一步調(diào)用一個(gè)動(dòng)作。根據(jù)用戶的要求可以對(duì)其進(jìn)行忽略、審計(jì)和丟棄，對(duì)直接阻斷的攻擊可以根據(jù)用戶的設(shè)定自動(dòng)添加的黑名單中對(duì)其進(jìn)行直接阻斷一定的時(shí)間。 阿姆瑞特 IDP 的技術(shù)原理 在處理第七層數(shù)據(jù)的時(shí)候首先匹配防火墻規(guī)則，只有通過(guò)了才進(jìn)行第七層相應(yīng)的檢測(cè)，有效提高了防火墻的效率，下面是阿姆瑞特防火墻處理 IDP 的過(guò)程： Amaranten 綜合安全網(wǎng)關(guān) 15 1、 一個(gè)到達(dá)安全網(wǎng)關(guān)的數(shù)據(jù)包，阿姆瑞特防火墻內(nèi)核 CorePlus 就會(huì)對(duì)其進(jìn)行正常的驗(yàn)證，如果數(shù)據(jù)包是新連接的一部分，它就會(huì)被按照 IP 規(guī)則集進(jìn)行檢測(cè)，這發(fā)生于 IDP 系統(tǒng)之前；如果數(shù)據(jù)包是 已有連接的一部分，它就會(huì)直接被傳遞到 IDP 系統(tǒng)；如果數(shù)據(jù)包不是一個(gè)已有連接的一部分，或者它是需要被 IP規(guī)則集所拒絕的一個(gè)數(shù)據(jù)包，它就會(huì)被丟棄。 2、 數(shù)據(jù)包的源和目標(biāo)信息就會(huì)與管理人員定義的 IDP 規(guī)則集進(jìn)行比較，如果與其中一條匹配，它就會(huì)被傳遞給下一級(jí)的 IDP 處理程序模式匹配，在下面的第 3 步中描述；如果對(duì)照的 IDP 規(guī)則進(jìn)行的檢查沒(méi)有發(fā)現(xiàn)與之匹配的規(guī)則，該數(shù)據(jù)包就會(huì)被接受， IDP 系統(tǒng)就不會(huì)對(duì)其更進(jìn)一步的處理，盡管 IP 規(guī)則集里定義了更進(jìn)一步的動(dòng)作如地址轉(zhuǎn)換、日志記錄等。 3、 IDP 模式匹配引擎現(xiàn)在搜索數(shù)據(jù)包的應(yīng)用數(shù)據(jù)部分 ，它將依照威脅特征庫(kù)進(jìn)行模式匹配，如果有規(guī)則與該數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)匹配， IDP 規(guī)則就會(huì)被觸發(fā)，規(guī)則中定義的動(dòng)作就會(huì)被采取。否則，數(shù)據(jù)包將會(huì)被接受，按照規(guī)則中定義的動(dòng)作對(duì)其進(jìn)行更進(jìn)一步的處理，如地址轉(zhuǎn)換、日志記錄等。 Amaranten 綜合安全網(wǎng)關(guān) 16 4、 根據(jù)入侵檢測(cè)規(guī)則中定義的動(dòng)作，數(shù)據(jù)包可以被丟棄、進(jìn)行日志記錄、丟棄并記錄，或者忽略。 4.3 解決方案的特性 Amaranten IDP 解決方案提供強(qiáng)大的網(wǎng)絡(luò)可見(jiàn)性、細(xì)粒度的訪問(wèn)控制和全面的在線攻擊防護(hù)，在攻擊發(fā)生擴(kuò)散或者產(chǎn)生后果之前進(jìn)行阻斷。 Amaranten IDP 解決方案通過(guò)網(wǎng)絡(luò)數(shù)據(jù)協(xié)議解碼分析，零日防護(hù)和全面的攻擊覆蓋，增強(qiáng)的報(bào)告和管理功能，為用戶提供強(qiáng)大的攻擊防護(hù)和事件管理解決方案。 1. 可以在線部署實(shí)現(xiàn)攻擊檢測(cè)與防護(hù)（即 IPS ）功能，也可以旁路部署，對(duì)流量進(jìn)行偵聽(tīng)和檢測(cè)，實(shí)現(xiàn)攻擊檢測(cè)（即 IDS ）功能。 2. 系統(tǒng)支持多達(dá)八種的攻擊檢測(cè)的手段，包括狀態(tài)簽名，協(xié)議異常，流量異常，二層攻擊，泛洪攻擊，網(wǎng)絡(luò)蜜罐，后門(mén)檢測(cè)和欺騙攻擊等，對(duì)掃描，拒絕服務(wù)攻擊、針對(duì)應(yīng)用的攻擊等不同的攻擊行為進(jìn)行檢測(cè)和攔截。 3. 提供攻擊特征碼的自定義功能，用戶可以通過(guò)自定義功能，實(shí)現(xiàn)對(duì)未知攻 擊的防護(hù)和應(yīng)用層訪問(wèn)的控制。 4. 對(duì)于特殊的流量如 P2P 等，可以采用定制的響應(yīng)方式，如與其他設(shè)備聯(lián)動(dòng)進(jìn)行帶寬控制等。 5. 統(tǒng)一的 IPS 集中管理。 Amaranten IDP 解決方案當(dāng)中，單獨(dú)的 IDP 設(shè)備可以提供 50M 到 1G 的應(yīng)用層檢測(cè)性能，另外 ISG 千兆防火墻系列產(chǎn)品當(dāng)中，可以加入硬件的 IDP 模塊，最大可以實(shí)現(xiàn) 2G 的應(yīng)用層攻擊檢測(cè)流量。 4.4 解決方案好處 1、在線的對(duì)攻擊數(shù)據(jù)進(jìn)行阻斷，減少惡意流量對(duì)核心服務(wù)器和內(nèi)部網(wǎng)絡(luò)的影響。在服務(wù)器遭受攻擊造成損失之前，對(duì)攻 擊進(jìn)行了攔截。 2、與傳統(tǒng)的 IDS 解決方案相比，做到了自動(dòng)的響應(yīng)和防護(hù)，大大減輕了管理員的工作量。 3、管理員可以全面了解網(wǎng)絡(luò)的應(yīng)用層信息以及安全事件信息，為安全管理中心和安全事件審計(jì)提供信息和證據(jù)。 4、 AmarantenFW+IDP 的解決方案，實(shí)現(xiàn)了最優(yōu)化高性能的千兆級(jí)別多合一網(wǎng)關(guān)的功能。 Amaranten 綜合安全網(wǎng)關(guān) 17 4.5 Amaranten 解決方案優(yōu)勢(shì)： 1. 國(guó)際上最為專業(yè)的網(wǎng)絡(luò)安全廠商，擁有完善的安全解決方案和全系列領(lǐng)先的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品。 2. 最高的攻擊檢測(cè)準(zhǔn)確率，支持多達(dá)八種的攻擊檢測(cè)的手段相結(jié)合，其中后門(mén) 檢測(cè)和網(wǎng)絡(luò)蜜罐等更是 AMARANTEN 獨(dú)有的技術(shù)，以此大大降低了攻擊檢測(cè)的漏報(bào)率和誤報(bào)率。 3. 最高的攻擊檢測(cè)覆蓋率，目前已支持多達(dá) 14000 種以上的攻擊特征碼。 4. 最快的事件響應(yīng)，業(yè)界唯一推出的每日攻擊特征更新，對(duì)微軟的漏洞提供當(dāng)日響應(yīng)，能夠最及時(shí)的幫助用戶阻斷最新的攻擊。 5. Amaranten 綜合管理軟件統(tǒng)一管理 IDP 系統(tǒng)，買(mǎi) IDP 送集中管理軟件，可以同時(shí)管理網(wǎng)絡(luò)當(dāng)中已存在的 阿姆瑞特 防火墻。 4.6 阿姆瑞特 綜合安全網(wǎng)關(guān) 在 對(duì)服務(wù)器 的 保護(hù) 應(yīng)用 企業(yè) 使用 多 臺(tái)的服務(wù)器對(duì)外提供服務(wù) ， 為了保證服務(wù)器的安全性同時(shí)滿足 使每臺(tái)服務(wù)器的負(fù)載相差不大，使用阿姆瑞特 綜合安全網(wǎng)關(guān) 作安全防護(hù)的同時(shí)，開(kāi)啟 綜合安全網(wǎng)關(guān) 設(shè)備 的負(fù)載均衡功能。 該方案技術(shù)特定如下： IPS 與 IDS 有效統(tǒng)一 在該應(yīng)用中，阿姆瑞特 綜合安全網(wǎng)關(guān) 可以針對(duì)服務(wù)器同時(shí)開(kāi)啟 IPS規(guī)則和 IDS規(guī)則。 IPS Amaranten 綜合安全網(wǎng)關(guān) 18 與 IDS對(duì)應(yīng)不同的特征庫(kù)，當(dāng)數(shù)據(jù)包進(jìn)入防火墻，首先經(jīng)過(guò) IPS檢查，可以確定 100的攻擊，綜合安全網(wǎng)關(guān) 可以對(duì)該攻擊進(jìn)行阻斷；如果數(shù)據(jù)包疑是攻擊，進(jìn)行 IDS檢查， 綜合安全網(wǎng)關(guān)對(duì)該數(shù)據(jù)進(jìn)行審計(jì)，從而達(dá)到 IPS和 IDS的統(tǒng)一，保證服務(wù)器的同時(shí)不 會(huì)產(chǎn)生因?yàn)檎`報(bào)而將正常數(shù)據(jù)包阻斷現(xiàn)象。同時(shí)通過(guò)硬件加速保證系統(tǒng)的性能。 動(dòng)態(tài) IPS/IDS 配置界面 阿姆瑞特 綜合安全網(wǎng)關(guān) 的 IPS/IDS的配置界面來(lái)源于 IDP特征庫(kù)的索引，當(dāng) IDP特征庫(kù)升級(jí)后，由防火墻內(nèi)核 PUSH(下推 )到管理器中，從而實(shí)現(xiàn)時(shí)時(shí)更新的 IPS/IDS的專業(yè)分組配置界面，將用戶需要做的 IPS/IDS分組工作轉(zhuǎn)化為由專業(yè)的廠商來(lái)做。將 IPS/IDS在配置上最大的難題徹底解決，最大程度的減少管理員的工作壓力，使得配置界面更加人性化、專業(yè)化、合理化。 比如 web服務(wù)器的保護(hù)： 這些有不能確定是否是 攻擊，可以對(duì)其進(jìn)行記錄，事后可以查看追蹤。 這些是 100%的攻擊，可以對(duì)其直接 dorp（拒絕）連接。 服務(wù)器負(fù)載均衡 阿姆瑞特 綜合安全網(wǎng)關(guān) 智能地根據(jù)客戶源 IP地址、客戶的網(wǎng)絡(luò)地址、連接率等因素把所有來(lái)自 Internet的訪問(wèn)數(shù)據(jù)流均衡地分配到每臺(tái)服務(wù)器上去，既保證了每臺(tái)服務(wù)器都工作在一個(gè)合適的壓力之下，又保證了客戶不論被連接到哪臺(tái)服務(wù)器，得到的響應(yīng)速度都是相同的。 同時(shí)，利用阿姆瑞特 綜合安全網(wǎng)關(guān) 的“服務(wù)器狀態(tài)檢測(cè)功能”，對(duì)每臺(tái)服務(wù)器的工作狀態(tài)進(jìn)行檢測(cè)，如果某臺(tái)服務(wù)器宕機(jī)，或者響應(yīng)速度較低時(shí)及時(shí)把流量向其 它服務(wù)器進(jìn)行分配，確保用戶訪問(wèn)服務(wù)器在任何時(shí)候都不會(huì)中斷。 Amaranten 綜合安全網(wǎng)關(guān) 19 第五章 阿姆瑞特 安全網(wǎng)關(guān) 選型 XXX 企業(yè) 現(xiàn)共有 近 200 個(gè)終端上網(wǎng)，有 近 10M 的光纖 出口網(wǎng)絡(luò)， 根據(jù)企業(yè)目前的網(wǎng)絡(luò)情況 推薦使用阿姆瑞特 AS-F100NP_Pro-10-150k 設(shè)備；根據(jù)目前網(wǎng)絡(luò)的快速發(fā)展以及網(wǎng)絡(luò)功能的發(fā)展需求推薦使用阿姆瑞特 AS-F300Plus-6-512k 設(shè)備，其 功能 的可擴(kuò)展性為用戶的網(wǎng)絡(luò)提供靈活的組合擴(kuò)展，全方位的保護(hù)用戶網(wǎng)絡(luò)。 阿姆瑞特 產(chǎn)品的參數(shù)： 型號(hào) AS-F100NP_Pro-10-150k AS-F300Plus-6-512k 接口數(shù) 4 10/100Base-TX+6 SW 接口 610/100/1000Base-TX 吞吐量 100M 440M 并發(fā)數(shù) 150,000 512,000 VPN 吞吐量 40M 180M 價(jià)格 19,068 元 55,104 元 擴(kuò)展功能 防病毒升級(jí)服務(wù)， 12 個(gè)月 防病毒升級(jí)服務(wù)， 12 個(gè)月 價(jià)格 1000 元 3930 元 總價(jià) 20,068 元 59,034 元 第 6 章 軟硬件售后服務(wù)及備品備件 6.1 概述 此次采購(gòu)的網(wǎng)絡(luò)安全產(chǎn)品， 阿姆瑞特公司 承諾所有產(chǎn)品均為合格 產(chǎn)品。 我方根據(jù)買(mǎi)方購(gòu)買(mǎi)的產(chǎn)品及服務(wù)給出以下保修承諾： 一、從最終驗(yàn)收完成之日起為保修期 ，期間賣(mài)方保修除消耗品以外的所有設(shè)備。在保修期內(nèi)，如果系統(tǒng)發(fā)生故障， 賣(mài)方提供替代設(shè)備保證買(mǎi)方網(wǎng)絡(luò)的正常運(yùn)行，賣(mài)方負(fù)責(zé)調(diào)查故障原因并修復(fù)直至滿足最終驗(yàn)