码迷,mamicode.com
首页 > 其他好文 > 详细

网神 - SIS网闸

时间:2015-08-31 21:16:55      阅读:3430      评论:0      收藏:0      [点我收藏+]

标签:

什么是网闸?

网闸是位于两个不同安全级别的网络之间,通过链路阻断、协议转换的手段,以信息摆渡的方式实现高效安全的数据交换

是目前防护级别最高的一种技术手段

 

政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据(可能定级为涉密网或含有敏感数据的非涉密网),这些涉密数据是绝对不能流入比它密级低的网络中的,但这些网络通常又需要能从密级低的网络中获取数据。目前大多是采用人工拷盘的方式,但是人工拷盘存在安全隐患、效率较低。随着安全隔离技术的沉淀与积累,通过2年多的探索与研发,推出光单向安全隔离数据自动导入系统(简称单向网闸),通过此产品可以完美替代人工拷盘。

 

 

 

 

part 1: 单向网闸 

产品功能

  • 硬件规格
  • 主模块
  • 文件交换模块
  • 防护设置

 

项目

技术要求

硬件规格

1. 系统采用2+1模式,即系统由A网主机模块、B网主机模块交换模块组成,其中交换模块由分别插在A网主机和B网主机PCI-E接口的交换卡组成。

2. 隔离交换模块采用自主研发的基于安全芯片的专用硬件,采用单根光纤连接,保证数据单向从低安全域导入至高安全域。

3. 内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理

4. 内、外网分别具有独立的HA口,实现双机热备

5. 面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。

6. 内外网主机系统与交换模块之间采用高性能PCI-E连接,消除性能瓶颈

7. 内部交换带宽≥5Gbps

10. 延时≤20us

 

 

 

 

主模块

1. 提供基于Web的图形化管理和基于数字证书的远程安全管理

2. 支持对网络接口模式进行设定,进行灵活部署

3. 可以通过时间控制功能模块启用和停用网闸功能

4. 支持管理员角色定制和管理,可以添加多个管理员角色,并定制权限

5. 支持用户名/口令、数据证书等多种认证管理方式

6. 支持管理员登录失败锁定次数、锁定时间和超时时间的设定

7. 实现管理终端IP地址和端口的访问控制

8. 提供完善的日志审计

9. 支持Syslog

10. 支持标准的SNMP协议

11. 支持配置管理,能够对单独模块进行配置导入导出

12. 支持系统补丁管理

13. 支持设备诊断信息导出

14. 可控制信息流动方向

15. 支持IP/MAC地址绑定和自动探测

16. 通过WEB管理界面进行设备的远程关闭及重启功能

17. 在配置界面提供调制工具,其中包括:tracert;ping;telnet;arp等。

18. 支持软硬件多核技术,通过界面能够查看到多核CPU使用率

19. 提供设备运行状态检测、系统资源监控

文件交换模块

1. 文件完整性采用“目录标签”校验机制、MD5校验、文件长度校验等多种文件完整性校验机制

2. 支持SMB、NFS、FTP三种文件传输协议进行文件单向传输

3. 支持文件传输方向控制:单向传输同步

4. 支持多种同步模式:复制加新增、源端删除等多种模式

5. 支持无客户端传输方式,不需要用户单独提供服务器,不需要安装任何客户端软件

6. 支持子目录同步控制和二进制文件同步控制

7. 支持包含子目录允许文件名、禁止文件名、允许扩展名、禁止扩展名等多种文件名过滤

8. 支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制

9. 可以设定同步任务的循环周期和开始时间

10. 支持暂缓传输文件控制

11. 提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。

12. 支持文件病毒过滤功能

13. 支持文件名与后缀的过滤

14. 支持任务运行标记

15. 发现文件不完整能够实现响铃告警、日志记录告警、GUI报表告警等多种报警机制

防护设置

1. 抗Dos攻击功能设置

2. ICMP应答功能设置

 

Part 2 双向网闸

功能:

  • 硬件架构
  • 主模块
  • 文件交换模块
  • 邮件模块
  • 数据同步模块
  • 数据库访问
  • FTP
  • 安全浏览模块
  • 定制服务
  • SSL通道
  • socks代理
  • 高可用性支持
  • 防护设置
  • 告警中心

 

 

项目

技术要求

系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块

自主研发的基于安全芯片的专用隔离部件,无操作系统,外部无法编程控制,全硬件交换

内外端机为网络协议终点,彻底阻断各种网络协议, 保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其他网络协议

内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接,消除性能瓶颈

内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理

内、外网分别具有独立的HA口,实现双机热备及负载均衡

面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006P/G9000-E046M/G10000-E246M)

主模块

采用基于linux内核的多核并行安全操作系统SecOS2

提供基于https的图形化安全管理,支持用户名/口令、数字证书等多种认证管理方式

支持跨网段管理,实现管理终端IP地址和端口的访问控制

管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限

支持管理员登录失败锁定次数、锁定时间和超时时间的设定

支持对网络接口模式进行设定、MTU修改,进行灵活部署

支持默认路由、静态路由及基于源地址的策略路由功能。

具有状态日志审计功能,能够对CPU、内存、设备信息、许可证信息、运行时间、交换卡状态、网络接口状态、功能模块运行状态等进行阀值设定并基于阀值进行日志审计。

具有独立审计用户,支持标准Syslog日志审计方式,支持Syslog端口自定义,支持内外端机主机名更改,强化日志审计及集中管理功能,能够对功能访问模块拒绝访问进行日志记录。

支持标准的SNMP协议安全管理

支持通过SecFOX安全管理系统实现的集中安全管理

支持配置管理,能够对单独模块及全部模块配置进行配置导入导出

具有系统补丁管理功能

支持设备诊断信息导出

支持许可证下载,方便维护管理

支持状态日志配置,通过设置硬件信息使用率进行日志记录及暂停使用

支持IP/MAC地址绑定和自动探测

通过WEB管理界面进行设备的远程关闭及重启功能

支持NTP网络时间同步;支持内外端机系统时间同步

提供调制工具,其中包括:trace、connect、tcpdump、ping、arp等

支持软硬件多核技术;通过界面能够查看到多核CPU使用率(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006/G9000-E046M/G10000-E246M型号)

提供设备运行状态检测、系统资源监控。

文件交换模块

支持文件传输方向控制:单向传输和双向同步

支持NFS、SMB、FTP等文件传输协议实现文件同步。支持不同文件传输协议之间的文件同步,如:NFS与SMB之间的文件同步

文件交换模块支持病毒检测功能,支持通过文件大小控制病毒查杀;

支持多种同步模式: 完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式。

文件交换支持传送优先级,可根据文件大小、后缀名等多种方式进行优先级排序传输

支持断点续传

支持无客户端传输方式,不需要安装任何客户端软件。

支持专用文件交换客户端,通过与网闸之间数据加密后实现文件交换。

支持被动传输方式,设备提供共享空间被动接受用户提交的文件。

支持子目录同步控制和二进制文件同步控制。

支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制。

可以设定同步任务的循环周期和开始时间。

支持暂缓传输文件控制。

提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。

既支持文件名及后缀名过滤,同时支持文件类型识别过滤,即不基于后缀名的过滤。

支持任务运行标记。

邮件模块

邮件模块支持病毒检测功能;支持通过文件大小控制病毒查杀;支持超长邮件限定是否接受;

支持SMTP、POP3通用协议,支持SMTP认证

支持垃圾邮件过滤,支持对邮件内容和附件的过滤

支持SMTP、POP3用户名过滤

支持对邮件的数字签名

支持邮件地址、主题、内容及附件关键字过滤

支持对附件及其附件的大小和类型进行过滤控制

能够对邮件访问的源/目的地址、端口进行访问控制

支持任务运行标记

支持任务运行时间控制

数据库同步模块

支持Oracle、SQL Server等多种主流数据库同步

不需要更改数据库结构和添加数据表,不影响数据库服务器性能

同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安全任何第三方软件),支持windows、linux、unix等多种数据库操作系统类型。

网闸不需要开放任何服务端口,避免造成漏洞

支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化

支持一对一、一对多、多对一数据库同步

支持周期复制、实时复制、增量更新等多种同步方式。

支持设定同步时间和同步周期

支持大字段和二进制字段的数据同步

支持字段级同步

支持双向同步

支持具有复杂关联关系的数据库表的同步

数据库访问

支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问

支持访问用户名过滤

支持源地址、源端口、目的地址、目的端口黑白名单控制;

支持任务运行标记

支持任务运行时间控制

F

T

P

模块

支持透明模式、代理模式及混合模式

FTP访问模块支持病毒检测功能,支持通过文件大小控制病毒查杀;

支持FTP主动、被动工作模块转换

支持禁止文件断点续传功能。

采用端到端的安全通道式访问

支持对访问用户的限制

不仅支持传输文件扩展名过滤,而且可以根据文件内容识别进行文件类型过滤。

支持PORT命令端口范围控制

支持传输文件中文件名控制

支持FTP访问命令过滤

支持访问时间控制

支持对访问的FTP服务器地址的重定向

支持源地址和目的地址控制

支持最大连接数控制

支持单个IP最大连接数限制

支持任务运行标记

安全浏览模块

支持代理模式、透明模式

安全浏览模块支持病毒检测功能,支持通过内容长度控制病毒查杀;支持图片文件、媒体文件等文件类型病毒检查;可设定病毒扫描内容最大长度。

支持对代理上网端口的进行控制

支持URL后缀黑白名单控制

支持MIME类型细粒度控制,如网页中的应用程序、视频、音频、图像、文本等进行细粒度控制

支持对HTML细粒度控制,如网页中的Script脚本、ActiveX脚本、java applet、cookie等

支持HTTP方法控制,如POST、GET、HEAD、CONNECT等。

支持断点续传控制

支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式

支持用户上网的IP控制

支持用户上网时段限制

支持用户连接数限制

定制服务

支持TCP定制服务;支持源地址绑定、网络接口地址绑定功能;

支持源地址、源端口、目的地址、目的端口过滤功能;

支持UDP定制服务;支持网络接口地址绑定功能;

支持源地址、源端口、目的地址、目的端口过滤功能;

支持组播的定制服务

支持广泛的基于TCP/UDP视频应用

支持任务运行标记

支持任务运行时间控制

S

S

L

通道

支持SSL隧道访问模式;

针对FTP访问模块、数据库访问模块、邮件访问、定制模块等模块,通过网闸实现访问客户端认证、授权及访问链路加密,保证客户端访问合法性及访问链路的安全性。认证方式支持用户名口令认证及证书认证。

Socks代理

支持Socks4、Socks5版本代理功能

支持本地用户认证、radius等认证方式

能够实现基于源地址、目的地址、源端口、目的端口的访问控制

高可用性支持

支持双机热备及超过双机的多机热备功能

热备检测通讯接口可以设置为HA接口、网络接口等(非第三方软件实现),支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,发现异常便实现主备切换,支持HA状态实时查看,双机故障邮件报警,支持双机负载检测间隔设置,支持设备优先级设置和自动抢占功能

支持多机(最多32台)负载均衡,支持负载分担、负载信息查看、自动切换、自动恢复等。

支持端口和链路的冗余:无需其他设备支持和配合,实现了在一条链路故障时,业务能够切换到另一条链路上。

防护设置

支持入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。

具有防病毒模块,支持在线升级、离线升级等病毒库升级方式。可针对文件交换、安全浏览、FTP访问、邮件访问等多种模块进行病毒防护。

抗Dos攻击功能设置

允许/禁止ICMP应答功能设置

告警中心

提供告警,支持声音告警、邮件告警等告警方式

 

Part 3: 双向网闸

  • 硬件架构
  • 主模块
  • 通用视频模块
  • 专用视频模块
  • 高可用性支持
  • 防护设置

 

技术要求

 

硬件架构

系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块

 

自主研发的基于安全芯片的专用隔离部件,无操作系统,外部无法编程控制,全硬件交换

 

内外端机为网络协议终点,彻底阻断各种网络协议, 保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其他网络协议

 

内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接,消除性能瓶颈

 

★内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理

部分控标:天行网安、金电网安、天融信、伟思、国保金泰等不满足。

★内、外网分别具有独立的HA口,实现双机热备及负载均衡

部分控标:天行网安、金电网安、天融信、伟思、国保金泰等不满足。

★面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。

H1500-E026P/M、H5000-E006P/M、H9000-E006P/M

H9000-E046M、H10000-E046M

部分控标:伟思、利谱、天行(8800型号支持)除外,其他厂家不满足。

主模块

采用基于linux内核的多核并行安全操作系统SecOS2

 

★提供基于https的图形化安全管理,支持用户名/口令、数字证书等多种认证管理方式

部分控标:天行网安、金电网安、天融信、伟思、国保金泰等不满足。

管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限

部分控标:金电网安、天融信、利谱、中网、国保金泰等不满足。

支持管理员登录失败锁定次数、锁定时间和超时时间的设定

 

实现管理终端IP地址和端口的访问控制

 

★支持对网络接口模式进行设定(支持网闸同一侧网络接口桥模式设定或bonding设定),进行灵活部署(提供证明截图)

部分控标:网御星云外所有厂商均不满足。

提供完善的日志审计

 

支持标准Syslog日志审计方式,支持Syslog端口自定义(提供证明截图)

 

支持标准的SNMP协议

 

支持内外端机主机名更改,强化日志审计及集中管理功能。(提供证明截图)

业界唯一:所有厂商均不满足。

支持配置管理和补丁管理

 

★支持配置管理,能够对单独模块及全部模块配置进行配置导入导出(提供证明截图)

业界唯一:所有厂商均不满足。

★支持设备诊断信息导出(提供证明截图)

业界唯一:所有厂商均不满足。

★支持许可证下载,方便维护管理(提供证明截图)

业界唯一:所有厂商均不满足。

可控制信息流动方向

 

支持IP/MAC地址绑定和自动探测

 

远程关闭与重启:通过WEB管理界面进行设备的远程关闭及重启功能

 

支持NTP网络时间同步;

★支持内外端机系统时间同步(提供证明截图)

业界唯一:所有厂商均不满足。

★提供调制工具,其中包括:trace;ping;telnet;arp等(提供证明截图)

业界唯一:所有厂商均不满足。

支持软硬件多核技术

★通过界面能够查看到多核CPU使用率

H1500-E026P/M、H5000-E006P/M、H9000-E006P/M

H9000-E046M、H10000-E046M

业界唯一:所有厂商均不满足。

设备运行状态检测、系统资源监控

 

通用视频模块

视频分辨率支持D1、VGA、2/3D1、1/2D1、SIF等多种分辨率,具有低延迟、低丢包率等特性

 

支持视频服务器认证,有效保证非法视频服务器不能接入用户的内部网络

 

支持互信互通、南望、先进视讯、华为3COM、天视等多种主流视频控制协议。

 

支持DB33标准

 

支持视频会议

 

专用视频模块

支持通用视频模块、公安三所视频模块、公安一所视频模块、星望视讯模块、蛙视视频模块、大华视频模块、科达视频模块、海康视频模块、天久视频模块等多个厂家视频服务;

支持SIP、RTSP代理

支持SIP、RTSP指令控制

支持静态通道、流媒体通道配置

支持通道配额分配

支持用户分级管理,根据用户的IP将用户分为普通用户和特权用户,为特权用户预留通道,保障特权用户的优先访问;

支持通道流量统计,支持按分钟、小时为单位进行通道流量统计

支持视频压缩标准:MPEG4、H.264等数字图像编解码标准。

支持公安三所视频交换平台;

支持信令、视频流通道分离,保证各通道可控;

支持视频流通道单向传输;

支持公安一所视频交换平台;

支持视频管理服务器数据转发,视频管理服务器通道建立;

支持视频SIP服务器数据转发,SIP管理服务器通道建立;

支持星望视频平台;

支持用户接入认证;

支持对象接入认证;

支持视频格式过滤;

支持视频动态端口段自定义开放;

支持海康视频平台;

 

 

高可用性支持

支持端口和链路的冗余:无需其他设备支持和配合,实现了在一条链路故障时,业务能够切换到另一条链路上。

 

防护设置

ICMP应答功能设置

 

抗Dos攻击功能设置

 

 

 

 

 

 

 

 

 

网神 - SIS网闸

标签:

原文地址:http://www.cnblogs.com/elewei/p/4773953.html

(0)
(1)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!