网神 - SIS网闸

项目

技术要求

硬

件

架

构

系统内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块

自主研发的基于安全芯片的专用隔离部件，无操作系统，外部无法编程控制，全硬件交换

内外端机为网络协议终点，彻底阻断各种网络协议， 保证信任网络和非信任网络之间链路层的断开，彻底阻断TCP/IP协议以及其他网络协议

内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接，消除性能瓶颈

内、外网分别具有独立的管理接口，而不是通过网络接口管理，也不是通过内网一个管理接口完成全部管理

内、外网分别具有独立的HA口，实现双机热备及负载均衡

面板具有液晶屏，能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。（针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006P/G9000-E046M/G10000-E246M）

主模块

采用基于linux内核的多核并行安全操作系统SecOS2

提供基于https的图形化安全管理，支持用户名/口令、数字证书等多种认证管理方式

支持跨网段管理，实现管理终端IP地址和端口的访问控制

管理员及审计员区分并独立，支持分权管理，对管理员角色定制，可以添加多个管理员角色，并定制权限

支持管理员登录失败锁定次数、锁定时间和超时时间的设定

支持对网络接口模式进行设定、MTU修改，进行灵活部署

支持默认路由、静态路由及基于源地址的策略路由功能。

具有状态日志审计功能，能够对CPU、内存、设备信息、许可证信息、运行时间、交换卡状态、网络接口状态、功能模块运行状态等进行阀值设定并基于阀值进行日志审计。

具有独立审计用户，支持标准Syslog日志审计方式，支持Syslog端口自定义，支持内外端机主机名更改，强化日志审计及集中管理功能，能够对功能访问模块拒绝访问进行日志记录。

支持标准的SNMP协议安全管理

支持通过SecFOX安全管理系统实现的集中安全管理

支持配置管理，能够对单独模块及全部模块配置进行配置导入导出

具有系统补丁管理功能

支持设备诊断信息导出

支持许可证下载，方便维护管理

支持状态日志配置，通过设置硬件信息使用率进行日志记录及暂停使用

支持IP/MAC地址绑定和自动探测

通过WEB管理界面进行设备的远程关闭及重启功能

支持NTP网络时间同步；支持内外端机系统时间同步

提供调制工具，其中包括：trace、connect、tcpdump、ping、arp等

支持软硬件多核技术；通过界面能够查看到多核CPU使用率（针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006/G9000-E046M/G10000-E246M型号）

提供设备运行状态检测、系统资源监控。

文件交换模块

支持文件传输方向控制：单向传输和双向同步

支持NFS、SMB、FTP等文件传输协议实现文件同步。支持不同文件传输协议之间的文件同步，如：NFS与SMB之间的文件同步

文件交换模块支持病毒检测功能，支持通过文件大小控制病毒查杀；

支持多种同步模式： 完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式。

文件交换支持传送优先级，可根据文件大小、后缀名等多种方式进行优先级排序传输

支持断点续传

支持无客户端传输方式，不需要安装任何客户端软件。

支持专用文件交换客户端，通过与网闸之间数据加密后实现文件交换。

支持被动传输方式，设备提供共享空间被动接受用户提交的文件。

支持子目录同步控制和二进制文件同步控制。

支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制。

可以设定同步任务的循环周期和开始时间。

支持暂缓传输文件控制。

提供关键字、黑白名单信息过滤，发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。

既支持文件名及后缀名过滤，同时支持文件类型识别过滤，即不基于后缀名的过滤。

支持任务运行标记。

邮件模块

邮件模块支持病毒检测功能；支持通过文件大小控制病毒查杀；支持超长邮件限定是否接受；

支持SMTP、POP3通用协议，支持SMTP认证

支持垃圾邮件过滤，支持对邮件内容和附件的过滤

支持SMTP、POP3用户名过滤

支持对邮件的数字签名

支持邮件地址、主题、内容及附件关键字过滤

支持对附件及其附件的大小和类型进行过滤控制

能够对邮件访问的源/目的地址、端口进行访问控制

支持任务运行标记

支持任务运行时间控制

数据库同步模块

支持Oracle、SQL Server等多种主流数据库同步

不需要更改数据库结构和添加数据表，不影响数据库服务器性能

同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安全任何第三方软件），支持windows、linux、unix等多种数据库操作系统类型。

网闸不需要开放任何服务端口，避免造成漏洞

支持异构数据库同步，实现不同表结构和不同数据库类型之间的转化

支持一对一、一对多、多对一数据库同步

支持周期复制、实时复制、增量更新等多种同步方式。

支持设定同步时间和同步周期

支持大字段和二进制字段的数据同步

支持字段级同步

支持双向同步

支持具有复杂关联关系的数据库表的同步

数据库访问

支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问

支持访问用户名过滤

支持源地址、源端口、目的地址、目的端口黑白名单控制；

支持任务运行标记

支持任务运行时间控制

F

T

P

模块

支持透明模式、代理模式及混合模式

FTP访问模块支持病毒检测功能，支持通过文件大小控制病毒查杀；

支持FTP主动、被动工作模块转换

支持禁止文件断点续传功能。

采用端到端的安全通道式访问

支持对访问用户的限制

不仅支持传输文件扩展名过滤，而且可以根据文件内容识别进行文件类型过滤。

支持PORT命令端口范围控制

支持传输文件中文件名控制

支持FTP访问命令过滤

支持访问时间控制

支持对访问的FTP服务器地址的重定向

支持源地址和目的地址控制

支持最大连接数控制

支持单个IP最大连接数限制

支持任务运行标记

安全浏览模块

支持代理模式、透明模式

安全浏览模块支持病毒检测功能，支持通过内容长度控制病毒查杀；支持图片文件、媒体文件等文件类型病毒检查；可设定病毒扫描内容最大长度。

支持对代理上网端口的进行控制

支持URL后缀黑白名单控制

支持MIME类型细粒度控制，如网页中的应用程序、视频、音频、图像、文本等进行细粒度控制

支持对HTML细粒度控制，如网页中的Script脚本、ActiveX脚本、java applet、cookie等

支持HTTP方法控制，如POST、GET、HEAD、CONNECT等。

支持断点续传控制

支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式

支持用户上网的IP控制

支持用户上网时段限制

支持用户连接数限制

定制服务

支持TCP定制服务；支持源地址绑定、网络接口地址绑定功能；

支持源地址、源端口、目的地址、目的端口过滤功能；

支持UDP定制服务；支持网络接口地址绑定功能；

支持源地址、源端口、目的地址、目的端口过滤功能；

支持组播的定制服务

支持广泛的基于TCP/UDP视频应用

支持任务运行标记

支持任务运行时间控制

S

S

L

通道

支持SSL隧道访问模式；

针对FTP访问模块、数据库访问模块、邮件访问、定制模块等模块，通过网闸实现访问客户端认证、授权及访问链路加密，保证客户端访问合法性及访问链路的安全性。认证方式支持用户名口令认证及证书认证。

Socks代理

支持Socks4、Socks5版本代理功能

支持本地用户认证、radius等认证方式

能够实现基于源地址、目的地址、源端口、目的端口的访问控制

高可用性支持

支持双机热备及超过双机的多机热备功能

热备检测通讯接口可以设置为HA接口、网络接口等（非第三方软件实现），支持宕机切换、抜线切换，支持ping、connect等多种主动链路探测，发现异常便实现主备切换，支持HA状态实时查看，双机故障邮件报警，支持双机负载检测间隔设置，支持设备优先级设置和自动抢占功能

支持多机（最多32台）负载均衡，支持负载分担、负载信息查看、自动切换、自动恢复等。

支持端口和链路的冗余：无需其他设备支持和配合，实现了在一条链路故障时，业务能够切换到另一条链路上。

防护设置

支持入侵检测功能，可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。

具有防病毒模块，支持在线升级、离线升级等病毒库升级方式。可针对文件交换、安全浏览、FTP访问、邮件访问等多种模块进行病毒防护。

抗Dos攻击功能设置

允许/禁止ICMP应答功能设置

告警中心

提供告警，支持声音告警、邮件告警等告警方式