隔离网闸技术方案

《隔离网闸技术方案》由会员分享，可在线阅读，更多相关《隔离网闸技术方案（33页珍藏版）》请在装配图网上搜索。

1、隔离网闸技术方案目 录一、概述41.1、网络安全现状41。2、现有网络安全技术41.3、现有网络安全技术的缺陷51。4、GAP技术简介61.4.1、GAP模型的实现71。4。2、协议的分拆与重组8二、SecSIS 3600介绍92。1、SecSIS 3600产品简介92.2、SecSIS 3600产品原理10三、SecSIS 3600功能113。1、SecSIS 3600产品定位113.2、SecSIS 3600产品功能12四、SecSIS 3600产品性能154.1、SecSIS 3600产品技术指标154.2、SecSIS 3600产品硬件16五、SecSIS 3600产品应用175。1、

2、通用解决方案175。2、重要网络数据资源保护175.3、“数据大集中”应用模式185。4、“外网受理，内网处理”模式的应用19附录一、与防火墙产品的比较21包过滤防火墙21应用代理防火墙21全状态检测（stateful inspect）防火墙23SecSIS 3600网络隔离网闸23一、概述1.1、网络安全现状计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利，而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次不断深入，应用领域更是从传统的、小型业务系统逐

3、渐向大型、关键业务系统扩展。与此同时，计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长，网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏.计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等，都造成了各种危害，包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等.网络与信息安全问题日益突出，已经成为影响国家安全、社会稳定和人民生活的大事，发展与现有网络技术相对应的网络安全技术，保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一.1.2、现有网络安全技术计算机网

4、络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合，协议本身和应用都有可能存在问题，网络安全问题包括网络所使用的协议的设计问题，也包括协议和应用的软件实现问题，当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题.问题类型问题点问题描述协议设计安全问题被忽视制定协议之时,通常首先强调功能性，而安全性问题则是到最后一刻、甚或不列入考虑范围。其它基础协议问题架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题.流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时，系统处理方式不当.设计错误协议设计错误，导致系统服务容易

5、失效或招受攻击。软件设计设计错误协议规划正确，但协议设计时发生错误，或设计人员对协议的认知错误，导致各种安全漏洞.程序错误程序撰写习惯不良导致很多安全漏洞，包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。人员操作操作失误操作规范严格且完善，但是操作人员未受过良好训练、或未按手册操作，导致各种安全漏洞和安全隐患。系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。未修补系统软件和操作系统的各种补丁程序没有及时修复。内部安全问题对由信任系统和网

6、络发起的各种攻击防范不够.信任领域存在的不安全系统，成为不信任领域内系统攻击信任领域的各种跳板。针对上表所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等，相继陆续推出了包括防火墙、入侵检测（IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件）对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。1.3、现有网络安全技术的缺陷现有的各种网络安全技术

7、都是针对网络安全问题的某一个或几个方面来设计的，它只能相应地在一定程度上解决这一个或几个方面的网络安全问题，无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题，但却无法防止确认的用户之间传递的信息是否安全的问题，而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害，但却无法识别和确认网络上用户的身份等等.现有的各种网络安全技术中，防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙，状态检测包过滤防火墙和应用层代理防火墙，但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放

8、行的数据是否安全。同时，防火墙还存在着一些弱点：一、不能防御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的通信，而对内部网上的情况不作检查，因而对内部的攻击无能为力；二、不能防御绕过防火墙的攻击行为:从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施；三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；四、防火墙不能防御数

9、据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节.这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重，它不能称之为一个可以信赖的安全工具，而只是一个参考工具.在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全，然而相对应的是，新的OS漏洞和网络层攻击层出不穷，攻破防火墙、攻击计算机网络的事件也越来越多，因此，开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网

10、络安全厂商和用户的共同需求和目标.1.4、GAP技术简介在介绍GAP技术之前，先来简单地介绍一下GAP技术的原型：SneakerNET。图一、SneakerNET技术在SneakerNET技术中，有一个人来操作，另外包括两个网络：不可信网络和可信网络,这两个网络物理隔断,在大多数Sneaker-NET方案中，也有一个独立的计算机，或者一个与两个网络分离的DMZ区域,用于内容检查。采用Sneaker-NET技术后,网络信息流如下：1 该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带.2 该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括（不仅仅这些）:病毒扫描、检验该文件格式是

11、否和预先定义的文件格式相符等。3 如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。4 信息从可信网络传输到不可信网络将也用相似的流程。在SneakerNET技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计算机，所有允许到可信网络的数据都在一个安全的环境中经过详细的审查，这是从不安全环境到安全环境信息传输的一个最安全的方法。1.4.1、GAP模型的实现GAP隔离网闸技术就是基于这样的一个机理实现的一种安全信息交换技术。在SneakerNET中，人的作用是在两个网络之间进行低速的手工交换数据，而在采

12、用GAP技术的设备中，用一个快速大规模集成电路ASIC隔离部件来实现这一功能；用在Sneaker-NET中做数据交换的磁介质，在GAP技术中则用存储设备来代替.在某一时刻，ASIC隔离部件只能连接到其中的一个网络，其它的硬件和软件实施则类似于Sneaker-NET的装置。从前述的SneakerNet模型中我们不难发现,模型之所以具有上述有价值的安全特性，关键在于隔离机制的实现,因此，网闸如何真实模拟人的运动机制是实现Snaeker-Net模型的关键，也是体现网闸安全优势的关键。最佳的实现方式是通过半导体大规模集成电路ASIC隔离部件来实现。半导体ASIC隔离部件以纯物理方式实现了电路的导通与断

13、开，与加/解密等逻辑断开方式不同，它具有固化的不可编程特性，不会因溢出等逻辑问题导致系统的崩溃,在最低层即物理层面上保证了网络断开功能的实现，具有最高的安全可靠性。由于半导体ASIC隔离部件具有开关功能，通过两组开关器件即可准确模拟出SneakerNet模型中人的工作机制，如图所示：图中箭头标志代表了半导体ASIC隔离部件，它可以在公众外网服务器与受保护网服务器间摆动，同一时刻开关仅能与一边服务器连通，该动作模拟人在断开的内外网服务器间的移动。与ASIC隔离部件直接相连的是一个暂存数据的交换池,该结构模拟了人手中的存储介质。半导体ASIC隔离部件结构在最基本的物理层次上真实模拟了Sneaker

14、Net模型,它不仅继承了SneakerNet模型所有的安全特性，同时又解决了原模型中数据传输速度与延时的问题，使得该模型可在不影响用户网络应用的前提下实现期望的安全功能.可以说,ASIC隔离部件的实现是区分网闸与其它安全产品的重要指标.1.4。2、协议的分拆与重组隔离网闸对于接收到的任何外部会话连接,首先通过外部网络接口将会话终止，然后利用协议解析模块将TCP/UDP数据格式打破，并采用内部专有的封装协议将分解得到的数据打包后通过隔离开关传输到内网可信端。在可信端数据经过一系列安全检查之后，协议解析模块对数据重组，并在内部网络接口重构到内部服务器的会话。对于从内部到外部的TCP连接，隔离网闸也

15、具有对等的处理方式。经过如上的处理,隔离网闸事实上已经将原来直接连通内外网络的TCP连接,从逻辑上分解为外网到网闸不可信端的TCP连接、不可信端到可信端的专有封装协议连接、可信端到内网的TCP连接的组合。因此，在添加安隔离网闸之后,可以阻断内外网络之间的TCP对话，其结构如图所示:值得提出的是，隔离网闸不但在逻辑上终止了TCP对话，还从物理上断开了内外网络之间的连接，使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路.GAP技术的关键技术要点是：要点描述物理隔断可信网和不可信网物理隔断，可信网络上的计算机不能访问不可信网络可选择数据交换两个网络能够有选择的交换数据,好像它们直接相连

16、一样数据是静态的在交换数据过程中，数据是静态的(被动的），不能被执行独立决策所有决策在一个安全的环境中处理,与不可信网络隔断支持文件和命令交换数据可以包含文件和命令高性能上述所有工作实时进行,实现最大吞吐量和最小延时二、网神 SecSIS 3600介绍2.1、SecSIS 3600产品简介网神 SecSIS 3600 安全隔离与信息交换系统（简称：网闸)是新一代网络安全隔离产品。该产品采用专用硬件和模块化的工作组件设计，集成安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全决策等多种安全功能为一体，适合部署于不同安全等级的网络间，在实现多个网络安全隔离的同时，实现高速的、安全的数据交换

17、，提供可靠的信息交换服务2。2、SecSIS 3600产品原理网神 SecSIS 3600 安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接,形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发，而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。 信息通过网闸传递需经过多个安全模块的检查，以验证被交换信息的合法性。当

18、访问请求到达内外网主机模块时，首先由网闸实现 TCP 连接的终结，确保 TCP/IP协议不会直接或通过代理方式穿透网闸;然后，内外网主机模块会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并依据 RFC 或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性.一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理.这种“静态”的数据形态不可执行,不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如下

19、图所示:网神 SecSIS 3600 安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能，将指定区域的数据复制到对端相应的区域，完成数据的交换.隔离交换卡内嵌安全芯片，采用高速全双工流水线设计,内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要。隔离交换模块固化控制逻辑，与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制，在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理，以保证在任意时刻可信网与非可信网间不存在链路层通路，实现网络的安全隔离。当内外网主机模

20、块通过隔离交换模块接收到来自另一端的格式化数据，可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合 RFC 标准的 TCP/IP 数据包，将数据包发送到目的计算机，完成数据的安全交换。三、产品组成3.1、网神 SecSIS 3600 安全隔离与信息交换系统采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络，对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外

21、网主机模块间不存在任何网络连接，因此不存在基于网络协议的数据转发。隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口，所有的控制逻辑和传输逻辑固化在安全芯片中，自主实现内外网数据的交换和验证。在极端情况下，即使黑客攻破了外网主机模块，但由于无从了解隔离交换模块的工作机制，因此无法进行渗透，内网系统的安全仍然可以保障3。2、SecSIS 3600系统功能详述3。1 丰富的应用模块网神 SecSIS 3600 安全隔离与信息交换系统采用模块化的系统结构设计，根据不的应用环境，量身定制多个功能模块，以满足用户的不同需求，主要包括： 文件交换模块：实现不同安全等级网络间文

22、件的安全交换。 数据库同步模块：通过灵活的同步机制，保证安全等级不同的网络中的数据库系统实现数据同步更新。 邮件交换模块：保证在内外网隔离的环境下实现安全的邮件收发。 安全浏览模块：保证在内外网隔离的环境下,内网用户安全浏览外网资源.通用模块：保证内外网隔离的同时实现 FTP、DNS、TNS 等协议及其他通用TCP/IP 协议的定制交换。 其它定制用户专有应用模块。3。2 访问控制系统支持强大的访问控制策略，支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。3。3 地址绑定提供 IP 与 MAC 地址绑定功能，可对指定接口所连接的网络中的

23、主机的 IP 和MAC 地址进行绑定，防止内部用户盗用 IP 和内网地址资源分配的混乱，方便网络 IP资源管理.3.4 内容检查网神 SecSIS 3600 安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能，既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。网神 SecSIS 3600 安全隔离与信息交换系统的内容检查机制主要针对 HTTP、FTP、邮件及文件交换等应用，包括 URL 过滤、关键字过滤、Cookie 过滤、文件类型检查及病毒查杀等操作。n URL/域名过滤网闸可对用户访问的Web 站点的域名及 URL等进行基于正则表达式的

24、过滤，禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件。 黑/白名单关键字过滤网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤，进行单词及短句的智能匹配，禁止包含特定关键字的敏感信息泄漏，或只允许包含相应关键字的文件通过网闸传递。COOKIE 过滤网闸可对 COOKIE 进行过滤。通过对COOKIE 进行过滤，可以防止敏感信息的泄漏。同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作.文件类型检查网闸可对传输的文件进行类型检查，只允许符合安全策略的文件通过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。病毒及恶意代码检查系统可内嵌杀病毒引擎，对

25、允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及 Java/JavaScript/ActiveX等恶意代码。3.5 高安全的文件交换网神 SecSIS 3600 安全隔离与信息交换系统提供基于纯文件的交换方式，内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发.不借助任何第三方软件，完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞，网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。3。6 内置的数据库同步模块网神 SecSIS 3600 安全隔离与信息交换系统的数据库同步模块，独立自

26、主开发完成，完全内置于网闸内部,所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件，不需要在用户网络中部署专用服务器，对用户数据库不作任何改变。该模块支持 Oracle 和Sql Server 等流行数据库版本，同时预留开发接口，定制支持各种数据库系统。在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要.由于是网闸自身发起的动作，所以网闸两侧不开放任何基于数据库访问或者定制TCP 的网络服务端口，避免网络安全漏洞。3。7 高可用设计网神 SecSIS 3600 安全隔离与信息交换系统支持高可用方案，最多支持 32 台设备

27、进行负载均衡，全面解决设备故障与链路故障造成的业务中断，保证系统 7X24 小时不间断服务。3.8 轻松的管理网神 SecSIS 3600 安全隔离与信息交换系统配备专门的管理端口，通过数字证书认证与管理信息的加密传输实现网闸设备的集中管理.系统采用全中文的 Web 方式进行远程网络管理,界面友好，操作方便.系统管理员和审计员实现分权管理,使得对网闸的管理更加安全可控，避免人为因素带来的安全风险。3.9 传输方向控制网神 SecSIS 3600 安全隔离与信息交换系统采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道，对通道的分离控制保证各通道的传输方

28、向可控.在特殊应用环境中可实现数据的单向传送。3.10 协议分析能力，以避免信息的泄漏。系统支持 HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS 等多种应用层协议,可对常见协议的命令和参数进行分析和过滤。 应用数据以“原始”的形态在内外主机模块中传递，数据包经过预处理、安全决策、RFC 校验、协议分析、数据提取、格式化等多个处理模块的检查，充分保证了交换信息内容的安全.3.11 完善的安全审计网神 SecSIS 3600 安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。用户可根据特定的需要进行日志审计（包括系统日志、访问控制策略日志、应用

29、层协议分析日志、应用层内容检查日志等)。系统支持本地日志缓存,可实现本地日志的浏览查询等操作。日志依据事件的重要程度分为错误/警告/通知三级,支持Syslog 日志存储，可实现日志的分级发送。网神 SecSIS 3600 安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。主要方式如下：控制台方式:通过管理控制台可以实时监控日志告警信息.Syslog:以Syslog方式向管理工作站发送告警信息。电子邮件:通过向管理员指定的电子邮件帐号发送电子邮件来发送报警信息。3。12 强大的抗攻击能力网神 SecSIS 3600 安全隔离与信息交换系统具备强大的抗攻击能力,内外网主机模

30、块采用专用的安全操作系统,内核经过特殊定制,实现强制性访问控制，保护自身进程及文件不被非法篡改和破坏.同时系统实现了针对多种 DoS 和 DDoS 攻击的防范，可阻挡SynFlood、UdpFlood、PingFlood、TearDrop、Ping of Death、Smurf、Land 等多种类型的DoS 和DDoS 攻击，保护可信网络的安全.3.13 多样化的身份认证网神 SecSIS 3600 安全隔离与信息交换系统支持多样灵活的身份认证方式,包括:本地用户名及口令认证、基于数字证书的认证、RADIUS 远程访问认证及 LDAP认证等。本地认证系统内置认证数据库提供本地的用户名、口令认证

31、，支持 HTTP/HTTPS 方式实现认证信息的获取。数字证书认证网闸支持数字证书认证，允许客户端通过HTTP连接向服务器发送访问请求.网闸可导入根证书,通过检查用户证书格式、证书的过期时间、签发者等信息以确认访问者身份的合法性，还可依据用户身份属性判断其是否具有适当的访问权限。RADIUS 远程访问认证及 LDAP 认证网闸向第三方认证服务器发送用户名和口令，一旦认证服务器认证成功,则网闸允许用户访问。3。14 负载均衡解决方案网神 SecSIS 3600 安全隔离与信息交换系统支持负载均衡解决方案.网闸群集可实现动态管理和维护，根据实际响应时间制定优先响应策略，从而提高系统总体性能、优化流

32、量管理、提高群集性能，保证系统正常运行的高可用性和高可靠性。如果访问量超出了网闸的响应能力，只需增加服务器数目即可实现系统的平滑升级，无需第三方软件支持。4 产品技术优势在网络中部署网神 SecSIS 3600 既能够符合政府、军队、企事业单位等的强制性安全策略既在不同安全等级的网络间实现安全隔离，又能够保证可靠、安全的信息交换，提供文件交换、收发电子邮件、数据库同步、安全浏览等多种服务，在网络应用的安全性及可用性间取得完美的平衡.l 安全高效的硬件交换系统网神 SecSIS 3600 安全隔离与信息交换系统具有自主研发的内外主机系统间的安全检测与控制处理单元,采用专有电路设计的双通道高速数据

33、交换卡，实现了独立的硬件交换控制逻辑，无操作系统及任何“软”控制，自主完成数据的交换，系统只负责把数据写到隔离交换卡中的缓冲区，由隔离交换卡根据硬件控制逻辑自动完成数据交换,自动同步两侧控制逻辑，进行互斥的读写操作，同时还具有自动数据完成性校验，当发现数据错误时，自动重传,保证数据的完全正确。在保证安全性的同时,提供更好的处理性能，能够适应各种复杂网络环境对隔离应用的需求。网神 SecSIS 3600 安全隔离与信息交换系统在内外主机系统间采用专有协议,阻断网络连接,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。可靠的冗余和负载均衡架构网神 SecSIS 3600

34、安全隔离与信息交换系统基于可靠性的考虑，通过双机热备等技术保证了在网络或设备故障时，业务的不间断运行.在网络流量较大时,也可能会造成业务不可用和响应速度下降，网神 SecSIS 3600 系列网闸支持多台设备的负载均衡（最多支持 32 台），最大限度的提升了网络的可用性。先进的数据库同步技术网闸常会应用在数据库服务器的环境中，为了实现数据库同步，一般情况下都需要在内、外网数据库服务器上安装数据库同步软件，这不仅会占用数据库服务器的资源、增加部署和实施的难度，同时不可避免会有漏洞。网神 SecSIS 3600 安全隔离与信息交换系统采用先进的同步技术，无需在内、外网数据库服务器上安装第三方同步软

35、件，减少因安装第三方同步软件造成对数据库影响的可能性，还可提供对数据库用户的细粒度控制。同时由于不用开放监听端口,更具安全性,为用户提供了性价比极高的数据库同步解决方案。核心应用的安全最大化从安全实现的角度来讲，越接近应用层，则安全问题越复杂，解决问题也越困难.安全隔离与信息交换系统将应用层的数据转换成专有的数据格式进行处理，只允许安全的、可靠的信息在网络中传递。信息的格式、内容、交流对象等因素可依据企业安全策略指定，简化了核心应用面临的安全问题,确保了核心应用的安全最大化。传统的安全检测产品只能发现利用已知安全漏洞发起的攻击.如果一种攻击手法还没有公布，则凭借现有的技术无法了解其攻击特征，也

36、就无法识别攻击行为。网神SecSIS 3600 对数据的交换不依赖于任何通用协议，没有数据包的处理及连接会话的建立，而是以静态的专有格式化数据块的形式在内/外网间传递，因此不会受到任何已知或未知漏洞的威胁.强大的定制扩展能力 网神 SecSIS 3600 不但提供标准的信息交流服务，如文件交换、安全浏览、邮件交换、数据库同步等，还提供二次开发接口,以满足众多专业应用系统的安全数据交换需要。还可依据用户应用系统特征，定制相应的协议检查模块，对行业专有应用协议及相应数据格式进行定制分析，确保只有符合组织安全策略的数据可通过网闸进行传递，真正实现按需通过的安全目标，提升整体安全水平。5 典型应用l

37、网神 SecSIS 3600 安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境，可应用在不同的涉密网络之间；同一涉密网络的不同安全域之间;与互联网物理隔离的网络和秘密级涉密网络之间；未与涉密网络连接的网络和互联网络之间，通过网闸的安全控制，在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。 HTTP功能 EMAIL功能 FTP功能 内容过滤功能 黑名单功能 IDS入侵检测功能 SAT（服务器地址映射）功能 身份认证功能 安全代理服务功能 AI安全过滤功能 WEB站点保护功能 防病毒功能 VPN通讯安全功能 日志和警报功能 安全上网 数据库应用 网络应

38、用 定时服务功能 高可用功能HTTP功能 SecSIS 3600提供了功能强大的HTTP协议分析模块，可以允许可信网络用户自如地访问不可信网络上的各种网络资源，也可以允许不可信网络上的用户安全地访问可信网络上的WEB服务。EMAIL功能SecSIS 3600也提供了功能完善的SMTP/POP(3）协议分析模块,可以允许可信网络用户自如地通过SecSIS 3600收发来自不可信网络上的各种电子邮件,也可以允许不可信网络上的用户安全地通过SecSIS 3600来收发可信网络上的电子邮件。FTP功能SecSIS 3600的FTP协议分析模块，提供了和HTTP功能和Email功能一样安全的FTP服务支

39、持。内容过滤功能针对关键字（词）进行检索，按照匹配的原理，对通过SecSIS 3600传输的数据进行过滤和检查，可以保护网络的各种敏感资源和数据，也保护了可信网络资源。黑名单功能针对通过SecSIS 3600传输的数据的文件名进行过滤的黑名单功能,不仅可以有效阻止敏感文件的交换,并且可以有效防范通过附件文件对可信网络的各种攻击.IDS入侵检测功能 SecSIS 3600在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击.该系统将自动分析对受保护内网的访问请求,并与SecSIS 3600隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击. SAT

40、（服务器地址映射）功能 SecSIS 3600具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到SecSIS 3600的不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器，防止服务器遭到攻击。身份认证功能 不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。SecSIS 3600除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。 安全代理服务功能 SecSIS 3600允许

41、可信端用户以应用代理方式访问不可信网络，SecSIS 3600作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。AI安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问.SecSIS 3600产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击.SecSIS 3600在AI功能中新增了安全功能，包括:确认通信是否遵循相关的协议标准

42、；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用.WEB站点保护功能目前大量应用基于B/S架构开发，WEB服务成为了越来越通用的服务，然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。SecSIS 3600全面分析了来自WEB服务的漏洞，建立了WEB站点保护系统WebAppliaction，全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的ID

43、S检测、文件目录及文件访问控制等功能。防病毒功能系统内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息.实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。VPN通讯安全功能SecSIS 3600对受保护WEB服务器提供内置的SSL VPN加密通讯机制，建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全.该加密方式无需修改客户端设置，透明实现客户端与服务器端的加密通讯.日志和警报功能SecSIS 3600提供的日志和警报功能,可以监视和解决对可信网络以及设备

44、本身的连接和破坏安全的问题，也可以通过管理控制台状态选项卡对整个SecSIS 3600系统进行常规的状态监视。日志和警报功都所涉及内容包括： SecSIS 3600系统的问题 通讯故障 破坏安全的企图 通过SecSIS 3600系统的传输和指令 通过SecSIS 3600系统传输的文件和其它类型的内容安全上网SecSIS 3600支持用户安全上网应用，可根据身份认证、IPMAC绑定等多种安全策略实现用户安全上网应用，同时支持透明应用代理方式，客户端无需设置。数据库应用SecSIS 3600全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、SyBase等主流的数据库的SQ

45、L查询,支持全表复制、增量更新、全表更新等多种数据库同步方式，并支持自定义表和字段。网络应用SecSIS 3600支持各类TCP/IP以上的网络应用协议，无需二次开发。包括：HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议.同时，针对用户特殊需求SecSIS 3600提供API应用开发接口.定时服务功能SecSIS 3600安全隔离系统内置定时功能,可设置多个时间点来控制(非断电,加电)网闸网络服务的启动和终止，在停机期间任何外部主机都无法访问网闸，网闸此时类似于已关机。该功能使得网闸在不需要进行数据交换的时间段处于不工作状态,

46、内外网彻底与外网物理隔离，绝对安全，如果不对定时功能进行设置,在默认情况下网闸可正常使用。高可用功能 SecSIS 3600产品针对大型网络的应用提供了负载均衡、双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台SecSIS 3600设备可以建立双机热备机制,并通过虚拟IP统一对外提供服务.从设备不断发出心跳信息侦测主设备状态，一旦主设备出现故障从设备将立即接管并继续提供服务.结合SecSIS 3600独有的状态检测系统，管理员能够迅速发现设备故障并做出处理。五、SecSIS 3600产品应用SecSIS 3600应用领域 政府机构 公安、军队 金融保险

47、税务、海关 企事业单位的电子商务或电子政务系统5.1、 通用解决方案SecSIS 3600典型应用之一 -“内网用户安全上网”应用模式例：某部门内网用户需要上网浏览互联网，为保护内网用户与互联网间的安全隔离，其方式如下：如下图所示：5.2、 重要网络数据资源保护SecSIS 3600典型应用之二 -保护WEB、EMAIL等对外服务系统例：电子政务的一个重要应用是通过互联网对外提供信息服务平台，其WEB站点代表了政府部门的对外形象，由于暴露在互联网上，因此经常遭到黑客攻击，为保护WEB服务系统安全，可采用SecSIS 3600隔离与交换系统先进的WEB智能保护引擎实现对政府对外WEB站点操作系统

48、以及应用系统的全面防护，如下图所示: 5.3、 “数据大集中”应用模式例：某管理部门拥有省、市、县三级网络，各自负责其管辖范围内的业务管理工作,为建立高效率的管理决策机制，该部门需要实时将县一级数据汇总到市,市一级数据汇总到省。为保证省、市、县不同网络安全域间的有效访问控制与信息交换，设计采取“网络安全隔离数据库同步模式(或文件交换等数据交换模式）”，如下图所示：5.4、 “外网受理，内网处理模式的应用例:某电子政务应用需要在互联网上建立WEB服务站点，用户可通过连接互联网方便地查询信息、下载表格、申报资料办理相关审批手续。其业务处理系统位于政务内网，两者之间需要实现安全隔离，具体实现方式如下

49、图所示：附录一、与防火墙产品的比较从目前流行的防火墙类型看，我们可以把它们大致分为包过滤防火墙、应用代理防火墙和全状态检测型防火墙，比较如下:包过滤防火墙作用在网络层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过. 转发或拒绝,在客户机和目标机之间，有实际的包流过。没有切断客户机和目标机的实际连接，另外为了增加性能,一般在设计上协议检查只检查特定协议RFC中定义的少数关键字段，因此它的协议分析能力不强，以上两个弱点容易被黑客利用，攻击容易得手。应用代理防火墙 让我们先来看看应用代理的结构图，如下：应用代理（Application Proxy）：也叫应用网关(Ap

50、plication Gateway）能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系，安全级别比包过滤强。应用代理只检查协议,没有进行物理隔离，也没有对数据包头进行剥离，通过复制传递可能把协议攻击带入后端系统。 应用代理针对特定应用而设，每种应用必须有它自己的代理，如Http代理、Ftp代理等。并且应用代理只对应用层进行保护，而它并不保护应用层以下的各层。全状态检测（stateful inspect)防火墙n 结合动态包过滤防火墙和应用代理等技术，提供七层检测能力n 不中断的C/S模式,给黑客可乘之机n 运行开销大，对性能的负面影响大n 优化

51、配置困难,许多用户只作为动态包过滤防火墙来使用SecSIS 3600网络隔离网闸协议检查，去掉协议头，反射 规则检查，内容检测，生成新的会话SecSIS 3600数据交换直接通过GAP硬件反射实现，是不依赖任何网络协议和OS服务,因此它的后端能防止已知的和未知的基于网络层和OS层的攻击。总结：1防火墙是基于特征库匹配的运作模式，因此它只能防止已知的攻击，对未知的攻击,它无能为力.对于新发现的攻击，即使现在是已知的攻击，但是由于可能未加入到它的特征库中（通过版本（补丁）升级实现）,也起不到保护的作用。升级的过程网络系统要中断服务,影响服务质量。而SecSIS 3600不是基于特征库匹配的运作模式

52、，它没有特征库的概念，它是通过基于协议RFC检查、拆包处理（只传送有效数据部分）和反射GAP实现它的保护能力的,既它能防止已知和未知的基于网络层和OS层的攻击,它不需要为特征库而打补丁。2防火墙和GAP的硬件结构不同，这才是它们的本质的不同。防火墙内外两个网络没有物理隔离装置，内外的客户/服务器存在实际的连接，可能被黑客通过使用IP碎片包攻击或通过未知的攻击来旁路防火墙规则库的检查，并通过修改规则库使之成为一个网络层的简单路由器,这是防火墙就象一座没有士兵看守的桥一样,随便通行，此时,内部网络安全性可想而知.而SecSIS 3600内外两个网络是物理隔离的，因此黑客是不可能入侵到GAP的后端，

53、即可信网络端服务器和可信网络（内部网络），并且网络安全策略放在可信网络端，黑客不能访问到，更不能修改它。当然GAP的前端（即不可信网络端服务器）是暴露在外部的攻击下，它也是我们系统的替罪羊，黑客可能攻击到它，并可能使它不能正常工作.即使这样，黑客也不能通过隔离的GAP入侵到可信网络端服务器。可信网络端服务器会时时检测不可信网络端服务器的运行情况，在不可信网络端服务器不能工作时，自动重新启动它，使它恢复正常，并有效地减少系统中断的时间,提高服务质量.同时，在不可信网络端服务器上我们安装了IDS系统来尽量避免它遭受来自外部的攻击。3SecSIS 3600能防止针对网络层和OS层的已知的和未知的攻击，而防火墙不能防止未知的攻击。大家知道,半数以上的攻击是基于网络层和OS层的攻击,其中多数成功的攻击是采用人们还未知的攻击，特别是新OS的引入,各种漏洞和后门都潜在，容易被黑客利用，对于未知的攻击防火墙无能为力。这也是防火墙屡屡被攻穿的主要原因之一。