阿姆瑞特F1800
　　阿姆瑞特F1800是一款面向大型企業、運營商級別的高端產品，在國內市場上已成功應用于江蘇電力、湖北電力以及湖北省孝感電信分公司等處，并已經在全國部分高校開始試用、安裝。
　　阿姆瑞特F1800的機箱高度為2U，配備冗余電源。眾多的接口數量及接口類型是專為適應復雜網絡環境而設計的，共有2個10/100/1000M自適應電口、4個10/100M自適應電口以及8個千兆光纖模塊插槽，可以方便地與任何其他以太網設備直接連接。它的純文本吞吐量高達2G，IPSec VPN吞吐量達到了1G，并發連接數200萬，2000個VPN通道，并安裝有ASIC，對特定的功能進行加速。
◎◎圖1阿姆瑞特F1800

高可靠性（HA）
　　可靠性對大型企業、運營商來說至關重要。為了保證網絡的高可用性與高可靠性，阿姆瑞特F1800提供了雙機熱備功能，即在同一個網絡節點使用兩個配置相同的防火墻。當一臺防火墻發生意外出現宕機、網絡故障、硬件故障等情況時，另一臺防火墻自動切換工作狀態，以保證網絡的正常使用。切換過程不需要人為操作和其他系統的參與，在0.6秒之內即可完成。同時，防火墻還可以實現狀態表傳送，當一臺防火墻故障時，這臺防火墻上的連接可以透明、完整地遷移到另一臺防火墻上，而且整個過程對于用戶來說是透明的。
　　阿姆瑞特F1800沒有專用HA接口，任何一個普通以太網口都可用做HA接口，它支持與其他支持HA的不同系列的產品進行不對稱HA，從而為用戶提供更好的投資選擇。

基于策略的路由（PBR）
　　幾乎所有的高校都具有中國教育網的出口，通過這個出口訪問教育網內的資源是免費的，但是通過這個出口去訪問Internet卻要按流量收費，因此，高校一般還有第二甚至第三個出口（一般為國內幾大運營商提供的出口），這樣的出口一般是按時間計算費用，因此，在訪問教育網以外的資源時，就可以把數據流導向這樣的出口。
　　與其他防火墻不同的是，阿姆瑞特F1800的PBR具有更多、更細膩的路由決策選項，不僅可以根據源地址來決定數據包的流向，還可以根據目標地址來分流數據。同時，協議、端口號等細微差異也可以使數據經過不同的接口流出。通過對路由表進行命名的方法，阿姆瑞特F1800可以決定往、返的數據包通過不同的接口進行發送，成功地解決了現實網絡結構與狀態檢測規則之間的沖突，這一特點是其他防火墻所不具備的。
　　這樣的案例大量出現于中國農業大學、中國石油大學之類的高校。據校方介紹，它每年節約的成本可以再購買一到兩臺同型號的阿姆瑞特防火墻。

服務器負載均衡（SLB）
　　無論是電信，還是企業、高校，都有多臺用于向公眾提供服務的服務器來提供同一服務，這樣的設計可以更大限度地保證服務的可靠性，同時用戶訪問這些服務器時得到響應的速度也會更快。特別在電信企業的數據中心，這種需求更顯得特別強烈。
　　F1800采用了最新的8.60.00內核，具備完善的SLB功能，為用戶提供可選的負載均衡算法，如單向循環算法和連接率算法，分別適用于不同的環境。阿姆瑞特F1800在這些特定環境中的良好表現來自其獨特的設計，其中的每狀態分布模式、每IP地址分布模式和每網絡地址分布模式都是全球領先的技術，出自阿姆瑞特在瑞典的研發中心。
　　阿姆瑞特在歐洲已經與愛立信合作，生產了多種面向運營商的網絡安全產品，并涉及到移動通信領域。F1800上裝載SLB這一進入運營商領域所必備的功能，更可以看作是全面提升中國電信業服務水平的一個新起點。

Radius計費與本地用戶數據庫
　　早在阿姆瑞特防火墻內核8.06.00以前的版本中就已支持了對Radius認證和本地數據庫的支持，這兩大功能不僅使得運營企業能夠使用各種類型的Radius服務器與阿姆瑞特防火墻聯動，對用戶訪問網絡資源權限進行有效的控制，而且還可以在不增加用戶投資成本的前提下，在防火墻內建立用戶數據庫，對用戶的權限進行設置，而無需第三方的認證服務器。
　　在新的8.60.00中更是增加了對Radius計費功能的支持，這為運營企業提供了極大的便利，不僅固定接入用戶的網絡使用費用可以方便地進行統計、結算，還為無線移動網絡用戶在中國的發展打下了基礎：無論用戶從哪個環境進入另一個新的環境，都不影響對其費用的計算。這個功能不僅方便了運營企業，還極大地方便了用戶本身。

處亂不驚，動靜有致
　　阿姆瑞特F1800卓越的運行穩定性、強大的攻擊防范能力也得到了用戶廣泛的認可。最近安裝在湖北某電信分公司的一臺F1800在3月22日至3月29日期間經受了四次攻擊。在前兩次攻擊沒有奏效的情況下，攻擊者用真實源地址對防火墻發起了攻擊，參加攻擊的主機達到4萬余臺，使得防火墻的并發連接數一度達到其上限200萬，CPU利用率多次攀升到99%。第四次的攻擊期間，防火墻收到了大量來自0網段的攻擊包，持續時間長達3天以上。在這四次攻擊期間，阿姆瑞特F1800的管理人員通過限制單位時間內進入DMZ的ICMP和UDP包的個數，把TCP半連接時間縮短到10秒等策略，有效地保證了客戶的Web服務器可以正常顯示、游戲服務器正常運行。
　　這充分證明了阿姆瑞特F1800包括OSPF、IPSec VPN在內的功能多樣性，還更進一步檢驗了它在實際環境中極高的吞吐量和并發連接數等優秀的性能，更證明了阿姆瑞特F1800在惡劣的環境下處亂不驚，動靜有致的識別、處理攻擊和正常訪問，真正全面保護了用戶的網絡安全。

成功案例：某省電力系統網絡安全規劃
　　某省電力公司已經建成了ATM622M為核心、155M為骨干的全省廣域網絡，全省各個地市供電公司建成了以千兆為骨干的城域網網絡。為提高企業競爭力，建立科學、有效的電費賬務管理，該省電力公司在全省各個地市公司實施電費賬務集中的管理方式。為了滿足電費賬務集中管理項目的高可靠性、高安全性運行要求，該省電力公司決定對全省各個地市公司的網絡系統進行安全建設。
　　阿姆瑞特根據對該省電力系統業務數據流的分析，把目前的網絡劃分5個業務區。其中，一區營銷業務網由營銷服務器組和相關的千兆網絡構成，所有的營銷、電費管理的數據處理在這里完成，從安全的角度來看是最重要的部分；二區地市電力公司城域網絡，這個區域網絡結構地市差異很大，環網和星形網絡結構都存在，組網技術基本上是千兆以太網；三區縣電力公司的城域網絡，縣區的網絡主要是通過千兆方式直接接入到地市電力公司城域網的核心設備上面；四區省電力公司ATM網絡，是該省省電力公司的ATM承載網，連接全省的各個地區的網絡；五區對銀行業務數據網，處理與各個銀行間的資金數據。
　　各個直接業務區之間數據進行交換必須在嚴格的安全控制之下。因此，阿姆瑞特在一區與五區之間、一區與二區之間、四區與二區之間分別架設防護墻。

營銷業務網與銀行數據網（一區與五區）之間
　　各大銀行與省電力各省市營銷網絡之間的訪問控制，推薦使用兩臺阿姆瑞特AS-F100-PRO-NV防火墻作雙機熱備，同時開啟鏈路備份功能，保證網絡不會出現單點故障。
　　防火墻放置于銀行互聯三層交換機于應用服務器三層交換機之間，阿姆瑞特AS-F100-PRO-NV防火墻A與B工作在雙機熱備狀態，并開啟鏈路備份功能，以保證網絡中任何一臺設備或者任何一條鏈路發生問題都不會對數據包流向產生影響，并根據實際情況設置好對應的訪問控制規則，從而保證從各大銀行訪問營銷服務器的安全性。
　　對于銀行前置機，阿姆瑞特建議設立單獨的DMZ區域加以保護，而不是毫無安全控制地暴露在銀行網絡面前。
◎◎圖2 一區與五區防火墻部署示意圖

營銷業務網與各地市電力城域網（一區與二區）之間
　　兩網之間的訪問控制推薦使用兩臺阿姆瑞特F600＋防火墻做雙機熱備，同時開啟鏈路備份功能，避免單點故障。方案中，防火墻放置于核心三層交換機于應用服務器三層交換機之間，將防火墻設置為透明模式，通過防火墻設置相應的訪問控制規則從而保護營銷服務器的安全。
◎◎圖3 一區與二區防火墻部署示意圖

省電力ATM網與各地市電力城域網（四區與二區間）之間
　　在省電力公司與各市電力公司網絡之間的訪問控制，推薦使用一臺AS-F300-PRO-NV防火墻作訪問控制。防火墻放置于廣域網與各市電力系統網絡之間，從而保證省電力公司與地市電力公司之間的訪問、各地市電力公司之間相互訪問的安全性如圖4所示。
◎◎圖4 廣域網防火墻配置示意圖

總結
　　該省電力公司最終形成的防火墻整體部署圖如圖5所示。各個區域之間通過防火墻的安全隔離和訪問控制保證了網絡的正常運營。
◎◎圖5 該省電力公司防火墻部署整體示意圖

網絡安全建設完成后，我們在四區與二區之間進行了網絡安全監控，過濾了病毒的常見端口。上述建設方案幫該省電力公司有效防止了病毒和蠕蟲的肆虐及其對網絡運行效率的影響，保證了網絡安全、高效地運營。