AS-6000阿姆瑞特AS-6000系列是专为需要高级别安全性的用户而设计的专业的下一代安全网关,是集成了防火墙、抗DoS/DDoS攻击、网络扫描保护、接入安全、僵尸网络阻止、地理IP拦截等组件的先进的计算机网络安全产品,可以为用户提供全方位的网络安全,建立起一套立体安全屏障,保障用户网络安全。产品已通过IPv6 Ready Logo认证。 |
非凡的下一代安全网关功能
阿姆瑞特AS-6000下一代安全网关能够提供超大的并发连接数,支持静态路由、OSPF、路由负载均衡、服务器负载均衡、链路监视、Service VLAN等高级网络功能,并具有强大的抗DoS/DDoS攻击、僵尸网络阻止、IP欺骗阻止等特性,通过与其强大的网络行为攻击识别和阻止以及精细的应用控制的组合,能够为用户提供从网络层到应用层的完美保护。
灵活的网络接入功能
作为一款网络基础设备,阿姆瑞特AS-6000配置了多种网络接口,可以以路由、透明、混合的模式部署于任何形式的网络拓扑中,同时支持IPv4、IPv6以及6 in 4管道,其强大的NAT和服务器映射功能使用户可以轻松地将其部署于网络出口处,同时也可以因支持DHCP和DHCPv6、用户认证等能力而被部署于网络的接入部位,实行接入安全管理。
细粒度的访问控制功能
除了传统的基于IP地址、端口的访问控制以外,阿姆瑞特AS-6000还支持基于应用、URL、Web内容、文件类型、地理IP等的访问控制。通过访问控制功能,阿姆瑞特AS-6000甚至可以控制FTP、SMTP等一些应用协议中的命令,以防止因攻击者获得权限而恶意删除文件或暴露用户名和口令。
强大的攻击抵御能力
阿姆瑞特AS-6000可以抵抗多种形式的攻击,包括Syn-flood、Land-Based、UDP Flood、Ping Flood、Ping of Death、Tear Drop等,并且这些攻击除Syn-flood外都无需配置,设备自动识别并加以阻止。
网络扫描保护
网络扫描是黑客发起攻击的第一个步骤,他们在外部的主机上运行软件以进行第一步的侦察,通过这些方法就可以得到关于IP、端口号以及域名等信息,甚至对目标主机进行暴力破解。阿姆瑞特AS-6000能够识别这些扫描行为,丢弃扫描连接并把黑客的IP地址记入黑名单。
地理IP控制功能
针对来自于一个国家或地区的攻击,网络管理员无需收集并维护攻击者的源IP,只需在阿姆瑞特AS-6000的管理页面中选择相应的国家或地区,就可以轻松阻止来自或去往这些国家或地区的流量,也可以对其流量设置带宽限制。
IP名声评分功能
阿姆瑞特维护着一个IP名声数据库,这个数据库实时地对全球所有的IP地址进行评分,凡是僵尸主机、僵尸主机的主控端、各种攻击的源IP都会具有较低(差)的名声值,因此,管理人员可以通过这一技术来轻松达到高效阻止攻击源的目的。
HTTPS终结
当前仍有不少用户的web服务器仍然在提供http而不是https服务,通过简单的工具,黑客就可以轻松获知用户所访问的web内容,甚至一些用于提交重要信息的表单也没有使用https来加密,这是一个极大的安全威胁。阿姆瑞特AS-6000所提供的https终结功能可以轻松把原有的http页面转换成https页面,从而消除这一威胁。此功能可以和服务器负载均衡功能相结合,使安全性和可靠性相得益彰。
服务器负载均衡
单独的一台服务器在访问量过大的时候会出现响应速度慢,甚至连接无法建立等情况,从而出现与受到DoS攻击类似的现象。为了更好地服务于高校招生、选课,以及应对购物节的访问量激增的情况,阿姆瑞特AS-6000提供了服务器负载均衡功能,与其它类似产品相比,阿姆瑞特服务器负载均衡可以深入服务器本身以了解各服务器详细的资源使用情况和实时负载情况,以此来决定向每台服务器分发多少连接。
应用控制功能
阿姆瑞特AS-6000支持应用控制功能,它采用了世界一流的特征码,可以精确识别上千种应用和协议及其子应用和协议,比如可以允许仅通过Skype发送即时消息,而不允许传输文件。这种应用控制的模式,可以在保证通信的同时防止机密文件被传播,更加突出了阿姆瑞特在为用户提供便利性的基础上仍能保证信息安全的服务理念。
高性能
阿姆瑞特AS-6000作为大型企业使用的下一代安全网关,采用电信级硬件架构设计,通过多核+ASIC技术的先进性克服了传统UTM在处理第7层数据时的性能瓶颈问题。简单来说,对于数据包第3层的路由选择、转发、过滤以及网络层攻击的防护等由ASIC芯片来进行处理;对于第7层的安全过滤,例如应用层网关、网站分类、反垃圾邮件、服务器负载均衡、应用识别与控制等由多核CPU并行进行处理,从而达到了安全和性能完美的统一。
丰富的路由功能
阿姆瑞特AS-6000下一代安全网关具有强大的路由功能,可以被部署在网络出口以着重发挥其强大的NAT和服务映射功能,或者部署于网络内部的重要保护区域之前主要工作在纯路由模式,也可以被透明地部署于需要保护的资源前面以实现无感知安全性。阿姆瑞特AS-6000同时提供丰富的网络接口,包括自适应的电口和SFP插槽,用户可以方便地同时使用单模、多模等多种介质来组网。
链路监视与路由备份
目前许多用户都拥有多条互联网出口,这一点在高校中更为普遍。虽然现在的许多出口设备都支持基于目标IP地址来选择路由,但各出口线路之间的互相备份更为重要。阿姆瑞特AS-6000可以监视物理连接的状态、网关设备的活动性以及远程主机的响应速度,不仅可以在链路完全断开的情况下,而且还可以在某条链路质量较差的时候把连接切换到其它线路上。
策略路由
阿姆瑞特AS-6000具有成熟的基于策略的路由(PBR)的功能,它不仅可以基于目标IP地址进行路由的自动选择,而且还支持基于源IP地址、服务/协议来进行路由选择。在与时间表配合之后,还可以实现在上班时间仅让重要业务使用优质线路,而在下班之后优质线路也可供一般用户使用。
IPv6 Ready
阿姆瑞特AS-6000以双栈和隧道的方式全面支持IPv6,不仅能够基于IPv6的IP地址等信息来进行访问控制,更可以支持6 in 4通道,把一个纯的IPv6网络通过建立在IPv4网络上的通道与其它的IPv6资源连接起来。阿姆瑞特已获得了IPv6 Ready的认证,其产品中有丰富的IPv6功能特性集,包括DHCPv6、DNSv6客户端、IPv4路由和IPv6路由的共存。
服务VLAN
网络扁平化是近年来网络发展的一个新趋势,有不少规模较大的网络都在这一方面进行了一定程度的尝试,阿姆瑞特AS-6000通过支持符合IEEE 802.1ad标准的Service VLAN(服务VLAN或Q-in-Q VLAN)来为用户提供网络扁平化的技术基础。这一技术通过把传统的VLAN再封包的方法来解决传统VLAN在跨互联网传输时的VLAN ID冲突问题,并为网络扁平化提供有力的技术支持。同时,与MPLS相比,服务VLAN也可以帮助用户建立起互联的专有网络,而成本却比MPLS低得多。
链路聚合
为了提供更大的吞吐量和更高的带宽,阿姆瑞特AS-6000下一代安全网关产品使用整机状态表的方式,使安全网关支持端口聚合成为了可能。端口聚合技术将多物理接口当作一个单一的逻辑接口来处理,它允许与交换机之间通过多个端口并行连接同时传输数据以提供更高的带宽,有效地提高设备间的传输速度,从而消除网络访问中的瓶颈。
集中管理
阿姆瑞特AS-6000下一代安全网关支持通过InControl的远程集中管理。通过InControl,用户可以直观地以各种图表来自定义设备的状态、性能监视页面,并对设备进行配置的实时备份、更改、配置差异分析,而且这些通信都是经过了至少512位加密的,为用户提供了极强的安全性。阿姆瑞特InControl同时向用户提供基于WCF的SDK,用户通过调用API就可以开发出具有自己特色的集中管理工具。
日志分析
InSight是阿姆瑞特AS-6000下一代安全网关专用的日志记录软件,它可以搜集详细的日志数据,并可使用日志分析工具所提供的强大的逻辑查询功能对数据进行分析。通过使用阿姆瑞特Insight日志分析软件,管理员就可以有效地对数据流进行分析,深度了解用户的网络行为,并进行流量统计、用户统计,并展现潜在安全威胁等等。
。