阿姆瑞特
2006-05-16   网络

阿姆瑞特F1800
　　阿姆瑞特F1800是一款面向大型企业、运营商级别的高端产品，在国内市场上已成功应用于江苏电力、湖北电力以及湖北省孝感电信分公司等处，并已经在全国部分高校开始试用、安装。
　　阿姆瑞特F1800的机箱高度为2U，配备冗余电源。众多的接口数量及接口类型是专为适应复杂网络环境而设计的，共有2个10/100/1000M自适应电口、4个10/100M自适应电口以及8个千兆光纤模块插槽，可以方便地与任何其他以太网设备直接连接。它的纯文本吞吐量高达2G，IPSec VPN吞吐量达到了1G，并发连接数200万，2000个VPN通道，并安装有ASIC，对特定的功能进行加速。
◎◎图1阿姆瑞特F1800

高可靠性（HA）
　　可靠性对大型企业、运营商来说至关重要。为了保证网络的高可用性与高可靠性，阿姆瑞特F1800提供了双机热备功能，即在同一个网络节点使用两个配置相同的防火墙。当一台防火墙发生意外出现宕机、网络故障、硬件故障等情况时，另一台防火墙自动切换工作状态，以保证网络的正常使用。切换过程不需要人为操作和其他系统的参与，在0.6秒之内即可完成。同时，防火墙还可以实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明、完整地迁移到另一台防火墙上，而且整个过程对于用户来说是透明的。
　　阿姆瑞特F1800没有专用HA接口，任何一个普通以太网口都可用做HA接口，它支持与其他支持HA的不同系列的产品进行不对称HA，从而为用户提供更好的投资选择。

基于策略的路由（PBR）
　　几乎所有的高校都具有中国教育网的出口，通过这个出口访问教育网内的资源是免费的，但是通过这个出口去访问Internet却要按流量收费，因此，高校一般还有第二甚至第三个出口（一般为国内几大运营商提供的出口），这样的出口一般是按时间计算费用，因此，在访问教育网以外的资源时，就可以把数据流导向这样的出口。
　　与其他防火墙不同的是，阿姆瑞特F1800的PBR具有更多、更细腻的路由决策选项，不仅可以根据源地址来决定数据包的流向，还可以根据目标地址来分流数据。同时，协议、端口号等细微差异也可以使数据经过不同的接口流出。通过对路由表进行命名的方法，阿姆瑞特F1800可以决定往、返的数据包通过不同的接口进行发送，成功地解决了现实网络结构与状态检测规则之间的冲突，这一特点是其他防火墙所不具备的。
　　这样的案例大量出现于中国农业大学、中国石油大学之类的高校。据校方介绍，它每年节约的成本可以再购买一到两台同型号的阿姆瑞特防火墙。

服务器负载均衡（SLB）
　　无论是电信，还是企业、高校，都有多台用于向公众提供服务的服务器来提供同一服务，这样的设计可以更大限度地保证服务的可靠性，同时用户访问这些服务器时得到响应的速度也会更快。特别在电信企业的数据中心，这种需求更显得特别强烈。
　　F1800采用了最新的8.60.00内核，具备完善的SLB功能，为用户提供可选的负载均衡算法，如单向循环算法和连接率算法，分别适用于不同的环境。阿姆瑞特F1800在这些特定环境中的良好表现来自其独特的设计，其中的每状态分布模式、每IP地址分布模式和每网络地址分布模式都是全球领先的技术，出自阿姆瑞特在瑞典的研发中心。
　　阿姆瑞特在欧洲已经与爱立信合作，生产了多种面向运营商的网络安全产品，并涉及到移动通信领域。F1800上装载SLB这一进入运营商领域所必备的功能，更可以看作是全面提升中国电信业服务水平的一个新起点。

Radius计费与本地用户数据库
　　早在阿姆瑞特防火墙内核8.06.00以前的版本中就已支持了对Radius认证和本地数据库的支持，这两大功能不仅使得运营企业能够使用各种类型的Radius服务器与阿姆瑞特防火墙联动，对用户访问网络资源权限进行有效的控制，而且还可以在不增加用户投资成本的前提下，在防火墙内建立用户数据库，对用户的权限进行设置，而无需第三方的认证服务器。
　　在新的8.60.00中更是增加了对Radius计费功能的支持，这为运营企业提供了极大的便利，不仅固定接入用户的网络使用费用可以方便地进行统计、结算，还为无线移动网络用户在中国的发展打下了基础：无论用户从哪个环境进入另一个新的环境，都不影响对其费用的计算。这个功能不仅方便了运营企业，还极大地方便了用户本身。

处乱不惊，动静有致
　　阿姆瑞特F1800卓越的运行稳定性、强大的攻击防范能力也得到了用户广泛的认可。最近安装在湖北某电信分公司的一台F1800在3月22日至3月29日期间经受了四次攻击。在前两次攻击没有奏效的情况下，攻击者用真实源地址对防火墙发起了攻击，参加攻击的主机达到4万余台，使得防火墙的并发连接数一度达到其上限200万，CPU利用率多次攀升到99%。第四次的攻击期间，防火墙收到了大量来自0网段的攻击包，持续时间长达3天以上。在这四次攻击期间，阿姆瑞特F1800的管理人员通过限制单位时间内进入DMZ的ICMP和UDP包的个数，把TCP半连接时间缩短到10秒等策略，有效地保证了客户的Web服务器可以正常显示、游戏服务器正常运行。
　　这充分证明了阿姆瑞特F1800包括OSPF、IPSec VPN在内的功能多样性，还更进一步检验了它在实际环境中极高的吞吐量和并发连接数等优秀的性能，更证明了阿姆瑞特F1800在恶劣的环境下处乱不惊，动静有致的识别、处理攻击和正常访问，真正全面保护了用户的网络安全。

成功案例：某省电力系统网络安全规划
　　某省电力公司已经建成了ATM622M为核心、155M为骨干的全省广域网络，全省各个地市供电公司建成了以千兆为骨干的城域网网络。为提高企业竞争力，建立科学、有效的电费账务管理，该省电力公司在全省各个地市公司实施电费账务集中的管理方式。为了满足电费账务集中管理项目的高可靠性、高安全性运行要求，该省电力公司决定对全省各个地市公司的网络系统进行安全建设。
　　阿姆瑞特根据对该省电力系统业务数据流的分析，把目前的网络划分5个业务区。其中，一区营销业务网由营销服务器组和相关的千兆网络构成，所有的营销、电费管理的数据处理在这里完成，从安全的角度来看是最重要的部分；二区地市电力公司城域网络，这个区域网络结构地市差异很大，环网和星形网络结构都存在，组网技术基本上是千兆以太网；三区县电力公司的城域网络，县区的网络主要是通过千兆方式直接接入到地市电力公司城域网的核心设备上面；四区省电力公司ATM网络，是该省省电力公司的ATM承载网，连接全省的各个地区的网络；五区对银行业务数据网，处理与各个银行间的资金数据。
　　各个直接业务区之间数据进行交换必须在严格的安全控制之下。因此，阿姆瑞特在一区与五区之间、一区与二区之间、四区与二区之间分别架设防护墙。

营销业务网与银行数据网（一区与五区）之间
　　各大银行与省电力各省市营销网络之间的访问控制，推荐使用两台阿姆瑞特AS-F100-PRO-NV防火墙作双机热备，同时开启链路备份功能，保证网络不会出现单点故障。
　　防火墙放置于银行互联三层交换机于应用服务器三层交换机之间，阿姆瑞特AS-F100-PRO-NV防火墙A与B工作在双机热备状态，并开启链路备份功能，以保证网络中任何一台设备或者任何一条链路发生问题都不会对数据包流向产生影响，并根据实际情况设置好对应的访问控制规则，从而保证从各大银行访问营销服务器的安全性。
　　对于银行前置机，阿姆瑞特建议设立单独的DMZ区域加以保护，而不是毫无安全控制地暴露在银行网络面前。
◎◎图2 一区与五区防火墙部署示意图

营销业务网与各地市电力城域网（一区与二区）之间
　　两网之间的访问控制推荐使用两台阿姆瑞特F600＋防火墙做双机热备，同时开启链路备份功能，避免单点故障。方案中，防火墙放置于核心三层交换机于应用服务器三层交换机之间，将防火墙设置为透明模式，通过防火墙设置相应的访问控制规则从而保护营销服务器的安全。
◎◎图3 一区与二区防火墙部署示意图

省电力ATM网与各地市电力城域网（四区与二区间）之间
　　在省电力公司与各市电力公司网络之间的访问控制，推荐使用一台AS-F300-PRO-NV防火墙作访问控制。防火墙放置于广域网与各市电力系统网络之间，从而保证省电力公司与地市电力公司之间的访问、各地市电力公司之间相互访问的安全性如图4所示。
◎◎图4 广域网防火墙配置示意图

总结
　　该省电力公司最终形成的防火墙整体部署图如图5所示。各个区域之间通过防火墙的安全隔离和访问控制保证了网络的正常运营。
◎◎图5 该省电力公司防火墙部署整体示意图

网络安全建设完成后，我们在四区与二区之间进行了网络安全监控，过滤了病毒的常见端口。上述建设方案帮该省电力公司有效防止了病毒和蠕虫的肆虐及其对网络运行效率的影响，保证了网络安全、高效地运营。