阿姆瑞特Amaranten综合安全网关解决方案.doc

阿姆瑞特综合安全网关解决方案阿姆瑞特（亚洲）网络有限公司目 录第一章 前 言1第二章 阿姆瑞特综合安全网关介绍22.1 阿姆瑞特SOS设计理念22.2 阿姆瑞特综合安全网关组件32.2.1 防火墙组件42.2.2 VPN组件52.2.3入侵检测组件62.2.4 应用控制组件7第三章 阿姆瑞特综合安全网关技术特点83.1 最灵活的接入模式83.2 强大的路由功能83.3 专业的带宽管理93.4 高可靠性93.5 灵活的用户认证93.6 强悍防火墙防护功能103.7 IPS与IDS有效的统一103.8 灵活的应用控制113.9 动态IPS/IDS/应用控制配置界面113.10 独特的内容过滤，反“钓鱼”功能113.12 零日(zero-day)安全威胁防御功能123.13 卓越的性能保证12第四章 阿姆瑞特综合安全网关应用方案134.1 概述134.2现状分析134.3 解决方案的特性164.4 解决方案好处164.5 Amaranten解决方案优势：174.6 阿姆瑞特综合安全网关在对服务器的保护应用17第五章 阿姆瑞特安全网关选型22第六章 软硬件售后服务及备品备件226.1 概述236.3售后服务承诺26 第一章 前 言随着网络技术及应用的普及，网络安全问题日益凸现，黑客的攻击方式由以前基于TCP/IP协议的漏洞攻击转向基于操作系统和应用软件的漏洞攻击和入侵。例如：黑客可以通过防火墙开放的合法端口进入内部网络，给用户造成巨大的损失；蠕虫病毒、木马可以通过防火墙开放的合法端口进入内部网络，造成网络瘫痪；间谍软件等恶意程序可以通过防火墙开放的合法端口进入内部网络，窃取商业机密。安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。据IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。比如：网页浏览、BT下载、IM实时通信、P2P文件共享等行为。不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。 同时，随着互联网的吸引力和互动性与日俱增，员工正花费越来越多的办公时间上网处理私人事务。据公布的最新统计显示，中国员工每周上班花在网上处理私人事务的时间高达5.6小时，平均每天超过1小时。有60%的中国员工在工作时间上网浏览个人信件，有83%中层管理人员由于在办公时间内浏览与工作无关的网站，使得企业遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁增大。在中国，大约有8%的员工在上班时间上网进入聊天室，大约有16%的员工上网下载音乐，大约有12%员工在上班时间玩游戏的。互联网滥用，造成工作效率下降，给中国企业带来了巨大的损失。面对这些隐藏在IP数据包应用层的攻击和信息，传统的防火墙技术显得无能为力。阿姆瑞特综合安全网关系列产品正是在如此复杂多变的恶意攻击和网络应用下孕育而生的，该产品将防火墙、VPN、入侵检测、防病毒、内容过滤和应用控制等功能结合于一体，提供从物理层到应用层7层安全防护的产品。第二章 阿姆瑞特综合安全网关介绍阿姆瑞特综合安全网关（Extended Unified Threat Management）是将防火墙、VPN、入侵检测、防病毒、内容过滤和应用控制等功能结合于一体，提供从物理层到应用层7层安全防护的产品。阿姆瑞特综合安全网关产品内部集成了专用的ASIC加速芯片，突破了传统安全设备在进行内容处理方面与性能的矛盾，保证网络的安全性、高效性。2.1 阿姆瑞特SOS设计理念阿姆瑞特依托强大的研发队伍，在产品设计时候提供阿姆瑞特SOS( Service Oriented Security)-面向服务的安全设计，只有通过最先进的SOS设计理念开发出的产品才能具备高度灵活性、最强大的功能和最卓越的性能。依托阿姆瑞特先进的SOS理念，综合安全网关在产品设计时候，充分考虑到产品的灵活性、安全性、高性能以及扩展性，与其他厂商的UTM相比，具有以下优点：· 无操作系统Ø 没有通用操作系统的漏洞Ø 不需要维护和修补任何操作系统Ø 超短的启动时间· 最小的受攻击平面Ø 3Mb的系统内核比40Mb的Linux和70Mb Windows系统小很多Ø 没有硬盘等需要运转的部件Ø 优异的MTBF（平均无故障时间）· 细粒度的灵活服务组合Ø 能够精确地为不同客户量身定制合适的服务组合Ø 能提供最灵活的接入模式· 完全自己开发的核心程序Ø 自己开发的核心系统，包括IP栈、TCP栈、过滤栈等等Ø 没有笨拙的修改和变通，只有优美的、彻底的集成全面和无缝隙的功能整合Ø 优异的可靠性和稳定性Ø 可以提供海量的并发、极高的吞吐量和极底的延时· 巧妙的结合软件和硬件Ø 在必须保证性能的地方使用硬件。硬件可以提供极高的吞吐量和极短的时延，因此保证了产品整体的高性能Ø 在需要灵活处理的方面用软件来实现。软件模块更为容易升级和修改，因此可以实现较为复杂的功能。· 灵活简单的无缝扩展Ø 通过许可证的方式，瞬间升级新需要的功能Ø 在同一产品系列中，不需要更换硬件，就可以瞬间扩展到更高的性能2.2 阿姆瑞特综合安全网关组件基于SOS理念的阿姆瑞特综合安全网关通过ASIC加速，突破了传统安全设备在进行内容处理方面与性能的矛盾，保证网络的安全性、高效性，完成了众多安全产品才能达到的防护作用。而且减少了以前多台设备串连到网络中而引起的“一台设备有问题，网络就中断”的隐患。同时更加便于管理与配置。阿姆瑞特的全中文、图形化的管理器可以对综合安全网关设备进行全面管理，构成一个安全统一管理平台。通过合理的配置将各种各样的网络安全威胁消弭于无形之中，以达到防患于未然的目标。概括地说, 阿姆瑞特综合安全网关产品提供六大关键安全应用。Ø 防火墙，从网络层对用户进行保护，实现访问控制、路由、NAT、带宽管理等功能。Ø VPN网关，建立VPN隧道，确保与“外部移动用户”、远程传输以及远程办公点的安全。Ø 入侵检测，从应用层针对用户进行保护。防御黑客基于操作系统和应用程序漏洞的攻击，预防恶意的网络流量到达服务器。同时对内网用户的P2P应用进行控制。Ø 防病毒，预防网络边界上流入的病毒和间谍、木马程序，提高计算机桌面安全，预防内部计算机遭到来自企业网络外的病毒感染和木马的损坏。Ø 内容过滤，对用户访问的内容过滤提供了细粒度的、基于策略的控制能力，防止违反企业规定的内容通过企业网络出入，防止员工访问违反企业规定的网站。Ø 应用控制，提供了高级的、能进行深入分析的应用程序数据控制能力。可以识别即时消息工具和P2P应用程序，并控制对一些无益的应用程序的使用。2.2.1 防火墙组件防火墙是网络安全的基础。阿姆瑞特综合安全网关 防火墙组件秉承阿姆瑞特F系列防火墙的优良特性，具有强大的路由功能、带宽管理功能、抵御DOS/DDOS攻击等特性；具有非凡的性能和NAT能力；具有海量的并发连接数。该组件功能如下：· 强大的抗DOS/DDOS攻击能力和灵活的访问控制；· 专业的带宽管理功能。· 支持PBR（Policy Based Routing，基于策略的路由），配置主路由表和多个PBR路由表，不同的规则采用不同的路由表，支持多个缺省网关；· 支持静态地址/DHCP/ADSL/xDSL等多种网络接入；· 支持多个出口、链路备份；· 支持静态路由备份，支持浮动路由；· 支持OSPF V2动态路由；· 支持虚拟路由器/系统；· 全面支持802.1Q；· 透明、路由、混合接入；· 同一接口下的透明+NAT；· 源地址、目标地址同时转换；· 对称式接口设计，多DMZ区保护；· 支持服务器负载均衡；· 支持用户认证和账号计费；· 支持H.323/FTP等动态端口协议；2.2.2 VPN组件阿姆瑞特综合安全网关的VPN组件提供强大的VPN功能，支持点对点VPN、全网状VPN连接和星形VPN连接；支持VPN客户端；支持多种加密算法和认证算法；支持IPSEC/PPTP/L2TP等多种VPN隧道方式。具体的技术特点如下：· 支持NAT访问互联网的同时与分（总）公司之间建立VPN隧道；· 支持VPN明密结合，灵活网络部署；· 支持点对点连接和全网状VPN连接 ；· 支持星型拓扑VPN接入；· 动态IP地址的VPN接入；· 支持VPN的NAT穿越；· 支持PPTP/L2TP/IPSEC等多种VPN形式；· 支持2台防火墙之间建立多条VPN隧道；· 支持多条VPN链路的备份；· 支持X.509证书和共享密钥，支持第三方CA认证；· 支持AES、DES、3DEC、cast128、blowfish、Twofish等加密算法；· 支持MD5、SHA-1认证算法；· 采用IPSec国际标准协议，提供传输方式和隧道方式建立VPN隧道；· 可以与第三方支持IPSEC协议的产品建立VPN隧道 ；· 可以做VPN的访问控制；· VPN带宽的QOS保证；· VPN隧道内传输内容的QOS保证。2.2.3入侵检测组件阿姆瑞特综合安全网关 入侵检测组件提供从网络层到应用层的保护，防御黑客基于操作系统和应用程序漏洞的攻击，预防恶意的网络流量到达服务器。同时对内网用户的P2P应用进行控制。具体的技术特点如下：· 灵活的IPS与IDS组合；· 动态IPS/IDS/应用控制配置界面；· 阻止黑客对网络上的主机进行端口探测、漏洞扫描以及其它攻击活动；· 阻止黑客对Windows、Unix、Linux、FreeBSD等操作系统漏洞的攻击；· 阻止黑客对DNS、FTP、ICMP、IMAP、POP3、SNMP等协议弱点攻击；· 阻止黑客对应用程序攻击，例如：对WEB页面中嵌入数据库进行的SQL注入攻击、针对某种应用软件漏洞的攻击等；· 发现扫描或者攻击后，动态添加攻击黑名单；· 对内部用户通过MSN等聊天工具在工作时间聊天进行阻断；· 对内网用户通过P2P工具下载而耗费网络大量带宽进行阻断；· 遍及全球的IPS引擎确保用户随时都能得到最新的IPS特征库；· 支持用户自定义特征库，管理人员可以添加针对于其自身某种特殊应用的威胁特征库；· 专用ASIC芯片防止IPS对应用层的控制所引起的性能降低，在进行深度检查的同时确保最大化吞吐量，确保用户的网络安全高效。2.2.4 应用控制组件阿姆瑞特综合安全网关的应用程序控制组件可以对应用程序进行深入分析和控制。可以识别并控制即时消息工具和P2P应用程序，以及控制对一些无益的应用程序的使用。具体技术特点如下：· 基于应用程序的带宽管理；· 对网络应用全面管理，例如：控制哪个软件可以或者不能访问某个网络，可以确保木马程序不能发送你的敏感信息给那些不法分子；· 对某种应用程序控制，例如：禁止内网用户玩某种网络游戏；· 应用程序使用日志还可提供详细地的统计信息；· 硬件加速，确保网络整体性能。第三章 阿姆瑞特综合安全网关技术特点3.1 最灵活的接入模式阿姆瑞特综合安全网关设备提供世界上类似产品最灵活的接入模式，无论综合安全网关工作在任何模式下，都支持该产品的所有功能。例如，当综合安全网关产品工作在透明模式下，仍然支持NAT、VLAN、VPN、OSPF、HA和虚拟防火墙等功能。· 支持透明、路由、混合接入；· 阿姆瑞特综合安全网关支持同一接口下的透明+NAT；· 阿姆瑞特综合安全网关支持源地址、目标地址同时转换；· 网络接口对称式接口设计，可以作多个内网、外网、DMZ区；· 阿姆瑞特综合安全网关支持ADSL、DHCP Client、固定IP地址接入，支持多条ADSL线路拨号，支持ADSL按需拨号。· 阿姆瑞特综合安全网关支持服务器负载均衡；· 阿姆瑞特综合安全网关支持单链路多网关接入。3.2 强大的路由功能阿姆瑞特综合安全网关提供非常强大的路由功能，同时具有非常灵活的SFP接口模块，在很多情况下可以替代路由器直接将综合安全网关设备放置于ISP与用户的核心交换之间，节省一个高端路由器，从而为用户节省网络投资。· 最大支持4096条静态路由；· 策略路由功能。可以根据源地址、目标地址、服务、时间等定义策略路由，同时，可以对数据包向前、返回的方向进行选择策略路由选择。· 路由备份功能。防火墙可以支持路由备份功能，这样可以保证不会因为一条链路的中断而造成业务的中断。· 动态路由功能。支持RFC 1538和RFC 2328定义的2中OSPF版本；防火墙在透明、路由模式下都可以参与OSPF运算；支持在VPN网络环境下也支持OSPF协议的运行。· 支持虚拟路由器功能。物理上的一台设备，逻辑上可以作多台使用。 3.3 专业的带宽管理阿姆瑞特综合安全网关设备的带宽管理功能可以于专业的带宽管理设备去媲美，依托强大的带宽管理功能，为用户提高最合理的网络带宽应用。· 带宽管理基于“管道”设置，管道数量没有限制，支持多层管道嵌套；· 可对上传和下载数据分别进行带宽管理，上传和下载的带宽可设置不同带宽；· 带宽管理设置可以BPS或者PPS，设置精度为1Kbps或者1PPS；· 基于接口、用户、VLAN、IP地址、服务、时间等设定带宽限制、带宽保证；· 动态进行源地址、源网络、目标地址、目标网络、服务等带宽均衡；· 动态对网络中每一个用户进行统一的带宽限制、带宽保证；· 支持每个用户每秒新建连接数量进行控制，当阀值被触动后，动态将非法用户添加到黑名单里，直接将非法用户连接进行阻断，并且可以灵活的设置控制黑名单有效时间；· 大差别带宽管理时，仍然可以进行预定的带宽分配，不会产生大带宽“吃饱”，小带宽“饿死”现象 。3.4 高可靠性为了保证网络的高可用性与高可靠性，阿姆瑞特综合安全网关提供了高可靠连接功能，即在同一个网络节点使用两个配置相同的防火墙。当一台综合安全网关发生意外宕机、链路故障、硬件故障等情况时，另一台综合安全网关自动切换工作状态，从而保证了网络的正常使用。· 阿姆瑞特综合安全网关支持双机热备、链路备份功能；· 阿姆瑞特综合安全网关支持不同型号的防火墙可以作双机热备、链路备份；· 支持双机热备、链路备份切换的时间不超过1秒；· 支持状态表同步，双机热备反复切换对应用不产生影响；· 采用虚拟IP、虚拟MAC技术，切换后防火墙周边设备ARP列表不变，保证平滑切换；3.5 灵活的用户认证阿姆瑞特综合安全网关支持本地用户任何、CA、LDAP和RADIUS多种认证模式，通过用户认证功能，可以实现对网络更有效的管理。· 在同一台PC上，输入用户名和口令可以访问对应的目标网络，没有用户名和口令无法访问；· 在同一台PC上，输入不同的用户名和口令可以访问不同的目标地址；· 在同一台PC上，输入不同的用户名和口令可以获得不同的带宽对外访问；· 在同一台PC上，分别对不同用户进行计费管理，当超出预定流量后阻断该用户所有对外的访问行为或者特定目标地址的访问行为。3.6 强悍防火墙防护功能阿姆瑞特综合安全网关产品秉承阿姆瑞特F系列防火墙的优良特性，具有强悍的抵御DOS/DDOS攻击、灵活的访问控制等特性；具有非凡的性能和NAT能力；具有海量的并发连接数。· 灵活的访问控制功能。除了传统的基于地址、端口的访问控制以外，还需要支持防火墙的接口、IP和TCP中的选项和用户访问文件类型进行访问控制。· 文件类型过滤功能。阿姆瑞特综合安全网关对SMTP、HTTP、FTP协议传输的文件类型进行控制，从而提供根据严格的访问控制手段，通过严格的控制可以更加有效保证用户网络安全和有效防止病毒的扩散。· 强悍的抵御攻击功能。为了更有效抵御SYN-flood攻击，在防范该攻击时候，不采用设置阈值的方法；而采用类似代理技术进行攻击防范，攻击者必须首先与防火墙建立起标准的TCP连接，防火墙才会再与服务器进行连接，确保服务器的安全。· 攻击后“自愈”能力。在任何情况下，防火墙的CPU利用率不能到达100，不死机，确保攻击停止后，网络正常运行。3.7 IPS与IDS有效的统一为了达到对服务器最佳保护，阿姆瑞特综合安全网关可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库，当数据包进入防火墙，首先经过IPS检查，可以确定100的攻击，综合安全网关可以对该攻击进行阻断；如果数据包疑是攻击，进行IDS检查，综合安全网关对该数据进行审计，从而达到IPS和IDS的统一，保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。3.8 灵活的应用控制阿姆瑞特综合安全网关不但能够实现对TCP/UDP端口的控制，并且可以实现对同一端口不同应用控制的功能。当数据包通过TCP/UDP某一端口进行传输时候，阿姆瑞特综合安全网关可以对数据包的应用层作深度检查，达到对于应用进行控制的目的。例如：对BT这种耗费带宽的控制、对经过HTTP访问流媒体的控制、对HTTP不同命令和使用代理服务器控制；对FTP不同命令的控制、对访问数据库登陆的控制、对SMTP/POP3命令的控制、对H.323/SIP视频的控制等。3.9 动态IPS/IDS/应用控制配置界面用户在进行IPS/IDS等设备管理时候，面对复杂、专业的配置可能无从下手；同时因为IPS/IDS特征库是不断升级的，而配置界面无法实现时时升级，导致动态的特征库与静态的配置界面无法对应起来。阿姆瑞特综合安全网关的IPS/IDS/应用控制的配置界面来源于IDP特征库的索引，当IDP特征库升级后，由防火墙内核PUSH(下推)到管理器中，从而实现时时更新的IPS/IDS/应用控制的专业分组配置界面，将用户需要做的IPS/IDS/应用控制分组工作转化为由专业的厂商来做。将IPS/IDS/应用控制在配置上最大的难题彻底解决，最大程度的减少管理员的工作压力，使得配置界面更加人性化、专业化、合理化。3.10 独特的内容过滤，反“钓鱼”功能为了防止员工在上班时间访问与工作无关的网站，避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致企业的机密数据被窃取，企业的名誉受损。阿姆瑞特综合安全网关可以对各种危险网站进行阻隔。由于互联网上各种危险网站层出不穷，用户根本无法手动更新相应的网站，阿姆瑞特在全球各个地方有专人负责对全球的URL进行分类。通过阿姆瑞特厂家对全球网页时时进行分类，综合安全网关产品通过在线自动更新网站列表，可以灵活的设置员工访问网页的内容，从而避免了员工在上网时候访问于工作无关的网页，增加企业的生产力；同时通过对Internet上“钓鱼”网站的分类屏蔽，阻止用户访问“钓鱼”的网站，保证员工上网的安全性。3.12 零日(zero-day)安全威胁防御功能为了能最快速度的发现互联网上的最新威胁，阿姆瑞特在全球部署可以捕获最新威胁的传感器，通过遍布全球的传感器网络不断地检测Internet上新的威胁，并将这些威胁加入到特征库中，阿姆瑞特综合安全网关通过遍布于全球的升级服务器在这些威胁爆发或攻击发生之前向用户提供这些威胁的特征，进行实时IPS、IDS、反病毒、应用控制、网页分类特征库的升级，从而保证用户网络免受新的攻击、现有攻击的变种和未知攻击的侵扰，提供对于最新攻击零日(zero-day)防御功能。当一个新的漏洞出现时候，由于综合安全网关的特征库升级速度远远快于服务器补丁的升级速度，此时可以对服务器提供最有效的零日(zero-day)防御功能，对服务器提供虚拟的补丁，在没有得到最新补丁升级时候对服务器进行提前的保护，阻止黑客针对于服务器漏洞的攻击。3.13 卓越的性能保证阿姆瑞特综合安全网关是基于ASIC的硬件产品，对于IPS、IDS、应用控制、反病毒都有专门的ASIC芯片进行处理；对于内容过滤功能，通过本地URL Cache存储最常用的URL，用于存储最经常被请求的页面，通过缓存机制提供性能保证。通过相应的技术手段，阿姆瑞特综合安全网关突破了传统安全设备在进行内容处理方面与性能的矛盾，保证网络的安全性、高效性。第四章 阿姆瑞特综合安全网关应用方案4.1 概述Amaranten做为全球领先的网络综合解决方案的提供商，致力于为客户提供一个可靠的、安全的并真正实现应用高效交付的网络，使依赖其网络的客户获得战略性收益。伴随着网络应用的不断增长和网络连接的不断扩大，用户网络和数据中心面临越来越多的安全威胁，即使部署了最为先进的防火墙设备，依然不能防止一些攻击、蠕虫、间谍软件等恶意流量侵入用户内部网络。计算机服务器某些时候可能会具有某些脆弱性，这样的脆弱性可以暴露在被网络数据流所承载的攻击。蠕虫、特洛伊木马以及后门程序都是此类供给的例子，这样的攻击一旦成功，就有可能潜在的威胁服务器的安全或控制服务器。通常使用“入侵”来描述这样的面向服务器的威胁。入侵和病毒不同，病毒通常被包含在一个单独下载的文件中，由客户端系统来进行下载。而入侵是一种互联网数据，目的是绕过服务器的安全机制，它是一种恶意的模式。入侵并非不常见，他们在不断地发展，因为攻击者可以对它们的创建进行自动化。阿姆瑞特的IDP为这样的攻击提供了一道重要的防线。入侵检测和防御是阿姆瑞特的一个模块，被设计用于针对此类的入侵企图进行保护。它在网络数据流通过阿姆瑞特安全网关的时候对其进行监视，搜索特定的模式以发现入侵的企图。一旦检测到了入侵，阿姆瑞特的IDP允许采取下面的步骤来压制入侵的企图。4.2现状分析Amaranten IDP入侵防护解决方案主要解决用户网络和数据中心存在的如下问题：1、  核心资源，核心服务器遭受到来自网络的攻击；2、  病毒和蠕虫在网络中肆意传播；恶意软件、间谍软件经常被植入到用户的 PC 主机当中。3、  网络内部缺乏应用控制，如 P2P 软件，MSN 聊天等。4、  安全事件需要统一收集和管理、自动响应。阿姆瑞特IDP的解决方案为了具有一个有效和灵活的IDP系统，首先需要解决以下的问题：l 应该分析的是什么样的数据？l 在数据流中应该搜索什么？l 入侵被发现的时候应该采取什么样的动作？作为一个例子，可以考虑一下一个正在监视FTP的系统。它将仅仅关心与FTP相关的数据流，而与其它协议相关的数据流如POP3，系统就不会感兴趣。只有针对FTP协议的攻击才会被关注。阿姆瑞特的IDP使用入侵检测规则、模式匹配以及动作的组合来处理上述的三个问题。1. IDP规则用于定义哪种类型的数据流或服务应该被分析。规则指定了哪些源和目标接口、哪些网络、哪些端口和哪些协议需要被检查。只有与规则匹配的数据流才会被传递到模式匹配模块，它是IDP的下一级处理程序，是对数据进行详细分析的模块。2. 为了能够使IDP正确识别一种攻击，它使用攻击类型指示器原型（特征），或“模式”这些预定义的模式，也被称为“特征”，被存储于阿姆瑞特的本地数据库中，以用于IDP系统对数据库流进行分析。这种技术有时也被称为“误用检测”或“特征检测”。3. 如果攻击模式被识别出来，IDP将在下一步调用一个动作。根据用户的要求可以对其进行忽略、审计和丢弃，对直接阻断的攻击可以根据用户的设定自动添加的黑名单中对其进行直接阻断一定的时间。阿姆瑞特IDP的技术原理在处理第七层数据的时候首先匹配防火墙规则，只有通过了才进行第七层相应的检测，有效提高了防火墙的效率，下面是阿姆瑞特防火墙处理IDP的过程：1、 一个到达安全网关的数据包，阿姆瑞特防火墙内核CorePlus就会对其进行正常的验证，如果数据包是新连接的一部分，它就会被按照IP规则集进行检测，这发生于IDP系统之前；如果数据包是已有连接的一部分，它就会直接被传递到IDP系统；如果数据包不是一个已有连接的一部分，或者它是需要被IP规则集所拒绝的一个数据包，它就会被丢弃。2、 数据包的源和目标信息就会与管理人员定义的IDP规则集进行比较，如果与其中一条匹配，它就会被传递给下一级的IDP处理程序模式匹配，在下面的第3步中描述；如果对照的IDP规则进行的检查没有发现与之匹配的规则，该数据包就会被接受，IDP系统就不会对其更进一步的处理，尽管IP规则集里定义了更进一步的动作如地址转换、日志记录等。3、 IDP模式匹配引擎现在搜索数据包的应用数据部分，它将依照威胁特征库进行模式匹配，如果有规则与该数据包中的应用数据匹配， IDP规则就会被触发，规则中定义的动作就会被采取。否则，数据包将会被接受，按照规则中定义的动作对其进行更进一步的处理，如地址转换、日志记录等。4、 根据入侵检测规则中定义的动作，数据包可以被丢弃、进行日志记录、丢弃并记录，或者忽略。4.3 解决方案的特性Amaranten IDP 解决方案提供强大的网络可见性、细粒度的访问控制和全面的在线攻击防护，在攻击发生扩散或者产生后果之前进行阻断。Amaranten IDP 解决方案通过网络数据协议解码分析，零日防护和全面的攻击覆盖，增强的报告和管理功能，为用户提供强大的攻击防护和事件管理解决方案。1.  可以在线部署实现攻击检测与防护（即 IPS ）功能，也可以旁路部署，对流量进行侦听和检测，实现攻击检测（即 IDS ）功能。2.  系统支持多达八种的攻击检测的手段，包括状态签名，协议异常，流量异常，二层攻击，泛洪攻击，网络蜜罐，后门检测和欺骗攻击等，对扫描，拒绝服务攻击、针对应用的攻击等不同的攻击行为进行检测和拦截。3.  提供攻击特征码的自定义功能，用户可以通过自定义功能，实现对未知攻击的防护和应用层访问的控制。4.  对于特殊的流量如 P2P 等，可以采用定制的响应方式，如与其他设备联动进行带宽控制等。5.  统一的 IPS 集中管理。Amaranten IDP 解决方案当中，单独的 IDP 设备可以提供 50M 到 1G 的应用层检测性能，另外 ISG 千兆防火墙系列产品当中，可以加入硬件的 IDP 模块，最大可以实现 2G 的应用层攻击检测流量。 4.4 解决方案好处1、在线的对攻击数据进行阻断，减少恶意流量对核心服务器和内部网络的影响。在服务器遭受攻击造成损失之前，对攻击进行了拦截。2、与传统的 IDS 解决方案相比，做到了自动的响应和防护，大大减轻了管理员的工作量。3、管理员可以全面了解网络的应用层信息以及安全事件信息，为安全管理中心和安全事件审计提供信息和证据。4、AmarantenFW+IDP 的解决方案，实现了最优化高性能的千兆级别多合一网关的功能。 4.5 Amaranten解决方案优势：1. 国际上最为专业的网络安全厂商，拥有完善的安全解决方案和全系列领先的网络安全技术和产品。2. 最高的攻击检测准确率，支持多达八种的攻击检测的手段相结合，其中后门检测和网络蜜罐等更是 AMARANTEN 独有的技术，以此大大降低了攻击检测的漏报率和误报率。3. 最高的攻击检测覆盖率，目前已支持多达 14000 种以上的攻击特征码。4. 最快的事件响应，业界唯一推出的每日攻击特征更新，对微软的漏洞提供当日响应，能够最及时的帮助用户阻断最新的攻击。5. Amaranten综合管理软件统一管理 IDP 系统，买 IDP 送集中管理软件，可以同时管理网络当中已存在的 阿姆瑞特 防火墙。4.6 阿姆瑞特综合安全网关在对服务器的保护应用企业使用多台的服务器对外提供服务，为了保证服务器的安全性同时满足使每台服务器的负载相差不大，使用阿姆瑞特综合安全网关作安全防护的同时，开启综合安全网关设备的负载均衡功能。该方案技术特定如下：· IPS与IDS有效统一在该应用中，阿姆瑞特综合安全网关可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库，当数据包进入防火墙，首先经过IPS检查，可以确定100的攻击，综合安全网关可以对该攻击进行阻断；如果数据包疑是攻击，进行IDS检查，综合安全网关对该数据进行审计，从而达到IPS和IDS的统一，保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。· 动态IPS/IDS配置界面阿姆瑞特综合安全网关的IPS/IDS的配置界面来源于IDP特征库的索引，当IDP特征库升级后，由防火墙内核PUSH(下推)到管理器中，从而实现时时更新的IPS/IDS的专业分组配置界面，将用户需要做的IPS/IDS分组工作转化为由专业的厂商来做。将IPS/IDS在配置上最大的难题彻底解决，最大程度的减少管理员的工作压力，使得配置界面更加人性化、专业化、合理化。比如web服务器的保护：这些有不能确定是否是攻击，可以对其进行记录，事后可以查看追踪。这些是100%的攻击，可以对其直接dorp（拒绝）连接。· 服务器负载均衡阿姆瑞特综合安全网关智能地根据客户源IP地址、客户的网络地址、连接率等因素把所有来自Internet的访问数据流均衡地分配到每台服务器上去，既保证了每台服务器都工作在一个合适的压力之下，又保证了客户不论被连接到哪台服务器，得到的响应速度都是相同的。同时，利用阿姆瑞特综合安全网关的“服务器状态检测功能”，对每台服务器的工作状态进行检测，如果某台服务器宕机，或者响应速度较低时及时把流量向其它服务器进行分配，确保用户访问服务器在任何时候都不会中断。第五章 阿姆瑞特安全网关选型XXX企业现共有近200个终端上网，有近10M的光纤出口网络，根据企业目前的网络情况推荐使用阿姆瑞特AS-F100NP_Pro-10-150k设备；根据目前网络的快速发展以及网络功能的发展需求推荐使用阿姆瑞特AS-F300Plus-6-512k设备，其功能的可扩展性为用户的网络提供灵活的组合扩展，全方位的保护用户网络。阿姆瑞特产品的参数：型号AS-F100NP_Pro-10-150kAS-F300Plus-6-512k接口数4×10/100Base-TX+6×SW接口6×10/100/1000Base-TX吞吐量100M440M并发数150,000512,000VPN吞吐量40M180M价格19,068元55,104元扩展功能防病毒升级服务，12个月防病毒升级服务，12个月价格1000元3930元总价20,068元59,034元第6章 软硬件售后服务及备品备件6.1 概述此次采购的网络安全产品，阿姆瑞特公司承诺所有产品均为合格产品。我方根据买方购买的产品及服务给出以下保修承诺：一、从最终验收完成之日起为保修期，期间卖方保修除消耗品以外的所有设备。在保修期内，如果系统发生故障，卖方提供替代设备保证买方网络的正常运行，卖方负责调查故障原因并修复直至满足最终验收指标和性能的要求，或者更换整个或部分有缺陷的材料，以上都是免费的。二、具体硬件保修及软件升级时间如下：阿姆瑞特防火墙硬件免费保修一年对于保修期内的设备故障，阿姆瑞特公司将根据具体情况对设备进行退运或维修处理，但对由于摔裂，外部强力挤压、不正确使用或保管不善等人为因素造成的设备损坏，将不予免费保修。对于保修期外的设备故障，用户需承担一切返修费用(如航空、陆路运费、修理费、外贸合同下发生清关费、服务费等)。 三、保修流程硬件设备保修从验收完成之后的一年为保修期，期间阿姆瑞特公司负责对用户所购的设备免费保修(非人为损坏)，和防火墙内核进行叁年的维护与升级。在保修期内(非人为损坏)，如果系统发生故障，阿姆瑞特公司负责调查故障原因并修复直至满足最终验收指标和性能的要求，或者更换整个或部分有缺陷的设备。1设备返修许可服务（SRMA）流程当项目承包商判断购买的阿姆瑞特防火墙产品可能出现故障时，需要进行返厂维修，请参照如下流程：u 联系自己的集成商，给厂商提供如下信息：产品类型及序列号项目承包商观察到的产品故障的详细信息产品的购买时间项目承包商的联系人及详细的货运信息u 项目承包商或集成商在返修产品前，需要首先获得RMA编号，请提供如下信息： 产品类型及序列号 产品的许可证号及注册时的项目承包商名密码（license） 项目承包商观察到的产品故障的详细信息 集成商支持工程师观察到的产品故障详细信息 完整的项目承包商联系人信息 完整的集成商联系人及货运信息以上所有信息，请填写RMA申请表（）(并且要填写随机的<<阿姆瑞特产品用户维修单>>同返修的设备一同寄到维修中心)。如果有多台设备需要返修，请填写多张RMA申请表。当阿姆瑞特的应用工程师获取到相关的RMA申请表，阿姆瑞特的应用工程师可能会联系项目承包商或集成商，获取更多关于您所报告的故障现象，如果需要一个RMA号，阿姆瑞特将做如下工作： 阿姆瑞特将给集成商或项目承包商发布一个RMA号码u 集成商或项目承包商将产品货运至阿姆瑞特公司，请做如下工作： RMA号码必须清楚的粘贴在返修产品包装箱外 RMA号码的使用期限为自发布日起的60天，超出这个时间，需要申请新的RMA号码 u 产品返还 通常阿姆瑞特RMA返还给项目承包商或集成商是采用一般的邮寄方式。若要求其他方式的运送方式我们可以采纳，例如UPS、DHL等，但是产生的额外的运输费用将由项目承包商或集成商自己承担。如果要求阿姆瑞特公司将产品返还至最终项目承包商，请您提前通知我们，在RMA申请表中也有相关选项，请详细填写。提示：设备返厂维修后，原有配置将被清空，请项目承包商或集成商自己保留产品配置最后，需要查询产品维修情况，请发邮件至rma，提供RMA号码，阿姆瑞特的应用工程师将提供相关产品维修信息。 阿姆瑞特应用工程师：029-82315896 王源 2延长维修服务在项目承包商与阿姆瑞特公司签定的集成和购货合同的“保修期”满后，项目承包商可以选择阿姆瑞特公司的系列服务计划，成为阿姆瑞特服务合同客户，继续享受阿姆瑞特公司持续的支持和服务。3升级与扩容对于项目承包商今后按照需要对系统升级扩容时，阿姆瑞特公司对升级或扩容套件提供优惠的价格，其价格原则上维持本次采购折扣，或不高于此次供货价格。4如何获得服务所有阿姆瑞特公司的合约客户均可以通过与本地支持工程师、销售代表或直接与阿姆瑞特技术支持中心取得联系获得阿姆瑞特公司的技术支持和服务。阿姆瑞特江西办事处：0791-6288869 本地分销商支持 ：项目承包商或系统集成商亦可协助客户进行电话报修流程。6.3售后服务承诺6.3.1 技术承诺阿姆瑞特承诺：如果承接了防火墙产品招标项目的工程，将会严格按照技术