一、阿姆瑞特AS-F600-Pro简单介绍
阿姆瑞特AS-F600-Pro是基于ASIC 芯片的硬件防火墙，为数据流量较大的大型企业、高校和电信运营商提供了极高的吞吐量和极低的延时， 在不降低吞吐能力的情况下为用户网络中的数据提供安全保护。
F600-Pro产品系列接口灵活，该产品具备4个100M电口，2个1000M电口和8个SFP插槽，可以插1000M电口、1000M多模光纤、1000M单模光纤。通过更换接口模块可以适应于用户多种接入，并且接口模块支持热插拔，灵活高效。
F600-Pro产品接入上支持透明、路由、透明和路由结合的混合模式、同一接口下的透明 ＋ NAT 的混合模式等多种接入模式。该产品特有的LCD 显示屏，使用户能够快捷的了解防火墙当前的状态信息。
F600-Pro产品全面支持VLAN、带宽管理、支持IPSec VPN 和L2TP， PPTP VPN 技术、支持双机热备、支持链路备份、具有多种用户认证方式、深入的检查和预防入侵、应用层代理、内容过滤等多种功能。
F600-Pro具备强大的路由功能，除了传统的基于目标地址路由以外，还支持：
a) 策略路由功能。可以根据源地址、目标地址、服务、时间等定义策略路由，同时，可以对数据包向前、返回的方向进行选择策略路由选择。
b) 路由备份功能。防火墙可以支持路由备份功能，这样可以保证不会因为一条链路的中断而造成业务的中断。
c) 动态路由功能。支持RFC 1538和RFC 2328定义的2中OSPF版本；防火墙在透明、路由模式下都可以参与OSPF运算；支持在VPN网络环境下也支持OSPF协议的运行。
d) 支持虚拟路由器功能。物理上的一台设备，逻辑上可以作多台使用。

系统性能 AS-F600-Pro
吞吐量（Mbps） 1,000
VPN吞吐量（Mbps） 800
并发连接数 1,500,000
VPN通道数 5,000
接口 4×FE+2×GE +8×SFP
VLAN 1,024
二、应对各种常见攻击情况，防火墙的配置
对于网络上常见的攻击，大体上可以分为网络层的攻击和应用层的攻击。在此列出黑客常见的攻击以及在阿姆瑞特防火墙的防御方式。
 SYN洪水（SYN flood）
概览：SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。要掌握SYN Flood攻击的基本原理，必须先介绍TCP的三次握手机制。
TCP三次握手过程如下：
1)  客户端向服务器端发送一个SYN置位的TCP报文，包含客户端使用的端口号和初始序列号x；
2)  服务器端收到客户端发送来的SYN报文后，向客户端发送一个SYN和ACK都置位的TCP报文，包含确认号为x＋1和服务器的初始序列号y；
3) 客户端收到服务器返回的SYN＋ACK报文后，向服务器返回一个确认号为y＋1序号为x＋1的ACK报文，一个标准的TCP连接完成。
 
SYN Flood攻击原理
在SYN Flood攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包。由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送SYN＋ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但是由于端口的半连接队列的长度是有限的，如果不断的向受害主机发送大量的TCP SYN报文，半连接队列就会很快填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。
 
防御：传统防火墙通过设定阈值进行攻击防范，例如每个IP每秒2000个SYN报文以下才认为是正常的，超出视为攻击。但这样的办法对于一般的SYN-flood具有防范作用，如果黑客控制多台傀儡主机，然后没台主机每秒发送1500个SYN报文，同样会穿越防火墙对服务器造成攻击。
阿姆瑞特防火墙为了更有效抵御SYN-flood攻击，在防范该攻击时候，不采用设置阈值的方法；而采用类似代理技术进行攻击防范，攻击者必须首先与防火墙建立起标准的TCP连接，防火墙才会再与服务器进行连接，确保服务器的安全。