天融信網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng)TopRules技術培訓-應用交付產(chǎn)品部-張凌云-20130311

1、網(wǎng)絡衛(wèi)士安全隔離與信網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng)息交換系統(tǒng)TopRules技術培訓技術培訓應用 交付產(chǎn)品部張凌云2012年7月 提綱網(wǎng)閘基礎知識介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應用案例介紹15網(wǎng)閘FAQ隔離技術的起源一、網(wǎng)閘基礎知識介紹 網(wǎng)絡隔離，是指把兩個或兩個以上可路由的網(wǎng)絡通過不可路由的協(xié)議進行數(shù)據(jù)交換。其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離。國內(nèi)隔離技術要求實在2000年前后由國家保密局提出的，經(jīng)過10余年的發(fā)展，已經(jīng)日趨完善。隔離技術最早起源于美國和以色列等國，早在1997年，著名的信息安全專家Mark Joseph Edwar

2、ds在他編寫的Understanding Network Security一書中，就明確了協(xié)議隔離的概念。在書中他也明確地指出了協(xié)議隔離和防火墻不屬于同類產(chǎn)品。我國隔離政策要求中共中央辦公廳2002 年17 號文件國家信息化領導小組關于我國電子政務建設指導意見2007年四部委聯(lián)合下發(fā)的信息安全等級保護管理辦法 1 2 32000年保密局發(fā)布實施計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡相連，必須實行物理隔離。不同安全級別的網(wǎng)絡與信息系統(tǒng)實施分級保護，在我國電子政務以及電信、金融、能源、民航、交通等重要行業(yè)以及企業(yè)不同安全級別

3、、不同業(yè)務網(wǎng)絡之間實現(xiàn)安全隔離和安全、高效的信息交換。政務內(nèi)網(wǎng)和政務外網(wǎng)之間物理隔離，政務外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。在旅館業(yè)、印章業(yè)等特種行業(yè)管理規(guī)定中，明確要求公安外網(wǎng)和公安內(nèi)網(wǎng)之間必須使用網(wǎng)閘設備進行安全隔離。 4公安部文件（公通字1999100號）一、網(wǎng)閘基礎知識介紹 隔離技術的發(fā)展過程隔離技術初期隔離技術初期隔離技術發(fā)展期隔離技術發(fā)展期隔離技術中期隔離技術中期隔離技術成熟期隔離技術成熟期物理隔離物理隔離單機隔離卡單機隔離卡傳統(tǒng)網(wǎng)閘傳統(tǒng)網(wǎng)閘安全隔離與信息安全隔離與信息交換系統(tǒng)交換系統(tǒng)網(wǎng)絡之間物理斷開，網(wǎng)絡間信息傳遞需要通過存儲介質拷貝實現(xiàn)。這種方法造成資源的浪費操作也很不方便，最終形成信

4、息孤島的不利局面將設備上的硬盤物理分割為兩個分區(qū)，并分別與內(nèi)外網(wǎng)絡相連，通過切換系統(tǒng)實現(xiàn)內(nèi)外網(wǎng)工作。在隔離卡建立起的兩套系統(tǒng)間設立數(shù)據(jù)緩沖區(qū)，進行分時連接和切換?，F(xiàn)在業(yè)界普遍使用的邏輯隔離網(wǎng)閘產(chǎn)品。一、網(wǎng)閘技術知識介紹 為什么用網(wǎng)閘一、網(wǎng)閘基礎知識介紹 合規(guī)性：符合國家保密局的要求。安全性：高強度、高粒度的安全防護。保密性：防止泄密。多機架構（2+1或者3機）協(xié)議落地、私有協(xié)議協(xié)議剝離、數(shù)據(jù)擺渡、安全控制網(wǎng)閘技術特點一、網(wǎng)閘基礎知識介紹 提綱網(wǎng)閘基礎知識介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應用案例介紹1網(wǎng)閘FAQ5二、TopRules產(chǎn)品介紹TopRule

5、s產(chǎn)品線單向網(wǎng)閘百兆網(wǎng)閘千兆網(wǎng)閘萬兆網(wǎng)閘TR-61166TR-61288TR-71144、TR-71166TR-71288、TR-7355TR-81144、TR-81288TR-8333、TR-8377TR-81366二、TopRules產(chǎn)品介紹TR-71166n2U機型；n內(nèi)端機6個10/100/1000Base-T接口（5個數(shù)據(jù)口+1個MAN口）；n外端機6個10/100/1000Base-T接口（5個數(shù)據(jù)口+1個HA口；n標配單電源,可擴展冗余電源；n網(wǎng)絡吞吐量：150Mbps。n系統(tǒng)整體時延：5毫秒；n并發(fā)連接數(shù)：35000。TopRules主要業(yè)務功能介紹二、TopRules產(chǎn)品介紹

6、javascript、Applet、ActiveX關鍵字、URL控制基于IP、MAC、端口、時間等Http各種命令控制在加密通道中分解出正常HTTPS網(wǎng)絡應用，可以屏蔽自由門等各類加密翻墻軟件的傳輸。文件類型控制Web應用腳本控制內(nèi)容過濾訪問控制指令控制Http、Https文件控制TopRules主要業(yè)務功能介紹二、TopRules產(chǎn)品介紹指定郵件服務器收發(fā)郵件附件過濾、附件類型過濾基于IP、MAC、端口、時間等SMTP、POP3各種命令控制支持SMTP、POP3協(xié)議發(fā)件地址、收件地址過濾Mail應用郵件服務器過濾內(nèi)容過濾訪問控制指令控制SMTP、POP3郵箱過濾TopRules主要業(yè)務功能介

7、紹二、TopRules產(chǎn)品介紹基于IP、MAC端口、時間等FTP命令參數(shù)控制支持主動、被動模式文件類型控制、文件內(nèi)容關鍵字過濾FTP應用訪問控制指令控制PORT、PASV文件過濾TopRules主要業(yè)務功能介紹二、TopRules產(chǎn)品介紹基于IP、MAC、端口過濾SQL語句Oracle、Sql Server、DB2、Sybase、Mysql、PostGrelsql操作時間控制、特定時間訪問數(shù)據(jù)庫數(shù)據(jù)庫訪問訪問控制Sql語句控制常見數(shù)據(jù)庫訪問時間控制TopRules主要業(yè)務功能介紹二、TopRules產(chǎn)品介紹實時同步、定時同步、一對多同步、多對一同步文件內(nèi)容過濾、文件類型過濾Windows平臺、

8、Linux平臺單向同步、雙向同步支持Samba、FTP、Http協(xié)議同步目錄同步、目錄內(nèi)子目錄同步、支持中文文件名、至多支持32級目錄同步文件同步同步策略內(nèi)容過濾跨平臺同步方向 控制多協(xié)議目錄同步TopRules主要業(yè)務功能介紹二、TopRules產(chǎn)品介紹實時同步、定時同步、一對一同步、一對多同步數(shù)據(jù)庫同構同步、異構同步Windows平臺、Linux平臺單向同步、雙向同步ORACLE、SQLSERVER、MYSQL、SYBASE、DB2增加、刪除、修改同步、BLOB大字段同步、字段級同步數(shù)據(jù)庫同步同步策略同構、異構跨平臺同步方向 控制多數(shù)據(jù)庫支持同步方式TopRules主要業(yè)務功能介紹二、To

9、pRules產(chǎn)品介紹支持電力行業(yè)單向傳輸網(wǎng)閘要求支持動態(tài)端口的OPC工業(yè)控制應用支持動態(tài)端口應用的視頻監(jiān)控、視頻會議應用IP、MAC、端口、協(xié)議、時間等控制TCP、UDP自定義應用自定義應用應用層控制、如命令、參數(shù)、內(nèi)容等控制自定義應用TCP單向應用OPC工控 應用視頻應用訪問控制TCP、UDP內(nèi)容控制 提綱網(wǎng)閘基礎知識介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應用案例介紹1網(wǎng)閘FAQ52+1系統(tǒng)架構三、TopRules特色介紹內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元專用傳輸專用傳輸隔離硬件隔離硬件數(shù)據(jù)遷移控制單元 ：獨立硬件數(shù)據(jù)遷移邏輯，無操作系統(tǒng)；專用隔離硬件，內(nèi)外

10、單元的數(shù)據(jù)高效擺渡；私有協(xié)議。內(nèi)網(wǎng)單元、外網(wǎng)單元 獨立主板、總線及CPU控制 專用安全操作系統(tǒng)，多層次的高強度安全防護內(nèi)網(wǎng)單元、外網(wǎng)單元： 獨立主板、總線及CPU控制；專用安全操作系統(tǒng)，多層次的高強度安全防護管理：管理端口、業(yè)務端口相互獨立；內(nèi)網(wǎng)管理；多種管理員登陸認證保密機制。數(shù)據(jù)：單獨數(shù)據(jù)口傳輸接收數(shù)據(jù)；拆封TCP/IP協(xié)議，剝離應用層協(xié)議，將數(shù)據(jù)還原為文件。多種應用模式，滿足各種應用場合三、TopRules特色介紹代理模式透明模式路由模式兩端在同一網(wǎng)段或者原來網(wǎng)絡就路由可達，網(wǎng)閘數(shù)據(jù)口不需要配置IP地址、不改變用戶網(wǎng)絡結構、用戶通過網(wǎng)閘訪問時，直接訪問目標的地址。兩端不在同一網(wǎng)段且路由不

11、可達，網(wǎng)閘的數(shù)據(jù)口要配置IP地址、用戶通過網(wǎng)閘訪問時，需要改變客戶端的訪問方式，訪問的目標是網(wǎng)閘的地址。兩端不在同一網(wǎng)段且路由不可達，網(wǎng)閘的數(shù)據(jù)口要配置IP地址、客戶端需要把網(wǎng)關地址指向網(wǎng)閘，用戶通過網(wǎng)閘訪問時，訪問的是目標的地址。三、TopRules特色介紹管理端口無IP雙機、多機熱備OSPF協(xié)議支持可實現(xiàn)雙機、多機熱備，配置簡單方便，只需在主設備上配置相應規(guī)則即可，從設備無需配置。管理口獨立，并且只允許內(nèi)網(wǎng)管理；另外，管理端口無IP地址，進一步加強設備自身安全性。支持OSPF路由協(xié)議。應用靈活三、TopRules特色介紹應用層控制功能強大動態(tài)端口應用支持數(shù)據(jù)庫同步功能強大支持動態(tài)端口應用，

12、滿足視頻會議、視頻監(jiān)控等應用。不但支持常規(guī)應用的應用層控制功能、而且還支持自定義IP應用的應用層控制功能。數(shù)據(jù)庫功能強，能滿足多數(shù)應用場合。應用層控制功能強三、TopRules特色介紹內(nèi)容過濾訪問控制IDS、DOS基于IP、MAC、協(xié)議、端口、時間段等黑白名單控制。URL、關鍵字、各種應用命令、參數(shù)黑白名單控制。內(nèi)置IDS特征庫，檢測網(wǎng)絡攻擊、抗DOS攻擊。安全功能強我司產(chǎn)品支持自定義應用應用層數(shù)據(jù)控制功能，網(wǎng)神的自定義應用不支持應用層數(shù)據(jù)控制功能。網(wǎng)御產(chǎn)品透明工作模式下不支持應用的應用層數(shù)據(jù)過濾功能，我們的產(chǎn)品支持。其數(shù)據(jù)庫同步功能不完善，目前數(shù)據(jù)庫雙向同步，當出現(xiàn)數(shù)據(jù)沖突的時候沒法解決，我

13、們的可以圓滿解決數(shù)據(jù)庫記錄沖突的問題，另外網(wǎng)御的數(shù)據(jù)庫同步效率較低，只能達到我們的一半。工作模式上我們支持三種，網(wǎng)御不支持路由模式1234產(chǎn)品在前期技術成熟度不高，主要是用其防火墻產(chǎn)品基礎上改裝的，安全性很低，從2010年以后才開始做真正的網(wǎng)閘產(chǎn)品，目前個別功能還不穩(wěn)定，尤其體現(xiàn)在數(shù)據(jù)庫同步功能上，網(wǎng)御產(chǎn)品支持負載功能和身份認證功能，目前我們不支持。優(yōu)勢分析-網(wǎng)御星云三、TopRules特色介紹我司產(chǎn)品支持自定義應用應用層數(shù)據(jù)控制功能，網(wǎng)神的自定義應用不支持應用層數(shù)據(jù)控制功能。網(wǎng)神產(chǎn)品透明工作模式下不支持應用的應用層數(shù)據(jù)過濾功能，我們的產(chǎn)品支持。工作模式上我們支持三種，網(wǎng)神不支持路由模式123

14、網(wǎng)神產(chǎn)品的網(wǎng)閘功能很細致，個別模塊比我產(chǎn)品做的細，另外網(wǎng)神產(chǎn)品在招標過程中往往會強調防病毒功能，而防病毒功能恰恰是我們產(chǎn)品的弱勢優(yōu)勢分析-網(wǎng)御神州三、TopRules特色介紹偉思數(shù)據(jù)庫同步功能不完善，數(shù)據(jù)記錄多的時候，會出現(xiàn)丟數(shù)據(jù)的情況，而我們產(chǎn)品不會。我司產(chǎn)品支持自定義應用應用層檢測功能偉思不支持。工作模式上我們支持三種，偉思只支持代理模式。123偉思的網(wǎng)閘產(chǎn)品主要特色是在其產(chǎn)品中集成了流控功能，并且有萬兆產(chǎn)品。優(yōu)勢分析-偉思三、TopRules特色介紹 提綱網(wǎng)閘基礎知識介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應用案例介紹1網(wǎng)閘FAQ5四、案例介紹-電子政務

15、在電子政務網(wǎng)絡中，網(wǎng)閘主要部署在電子政務內(nèi)網(wǎng)與電子政務外網(wǎng)，電子政務內(nèi)網(wǎng)與電子政務專網(wǎng)之間。政務外網(wǎng)受理公眾的業(yè)務申請，將數(shù)據(jù)存儲到外網(wǎng)數(shù)據(jù)庫中，網(wǎng)閘的數(shù)據(jù)庫同步痛能負責將電子政務外網(wǎng)數(shù)據(jù)庫中的特定數(shù)據(jù)實時的擺渡到電子政務外網(wǎng)，并儲存到政務內(nèi)網(wǎng)的數(shù)服務器中；電子政務內(nèi)網(wǎng)負責處理外網(wǎng)的業(yè)務申請，處理完畢后網(wǎng)閘再將政務內(nèi)網(wǎng)數(shù)據(jù)庫中特定的數(shù)據(jù)擺渡到政務外網(wǎng)，并將數(shù)據(jù)存儲到外網(wǎng)數(shù)據(jù)庫服務器中，供電子政務外網(wǎng)用戶瀏覽查詢。通過網(wǎng)閘，實現(xiàn)了電子政務內(nèi)網(wǎng)與電子政務外網(wǎng)之間數(shù)據(jù)的實時安全交互。在電子政務內(nèi)網(wǎng)和電子政務專網(wǎng)之間通過網(wǎng)閘產(chǎn)品可以開放特定應用（大多數(shù)情況下是基于文件的傳輸），保障電子政務內(nèi)網(wǎng)與電子政

16、務專網(wǎng)之間可控的信息交換。四、案例介紹-公安在公安旅館業(yè)、印章業(yè)等行業(yè)中，網(wǎng)閘主要部署在外網(wǎng)的前置機與公安內(nèi)網(wǎng)之間，保證公安外網(wǎng)前置機上的文件傳輸?shù)焦矁?nèi)網(wǎng)指定的服務器上。旅館業(yè)、印章業(yè)等應用是把需要上傳到公安內(nèi)網(wǎng)的數(shù)據(jù)保存成特定格式的文件，并通過互聯(lián)網(wǎng)上傳到公安外網(wǎng)的前置機上，網(wǎng)閘的文件同步功能把公安外網(wǎng)前置機上的特定類型的文件實時的擺渡到公安內(nèi)網(wǎng)的服務器上。通過網(wǎng)閘產(chǎn)品，保障公安外網(wǎng)的特定類型的文件能單向的傳輸?shù)焦矁?nèi)網(wǎng)，防止公安內(nèi)網(wǎng)泄密。四、案例介紹-平安城市在平安城市項目中，網(wǎng)閘主要部署在公安內(nèi)網(wǎng)視頻監(jiān)控平臺和外網(wǎng)視頻監(jiān)控區(qū)之間，網(wǎng)閘的視頻處理模塊負責把公安外網(wǎng)監(jiān)控區(qū)的視頻實時的傳送到

17、公安內(nèi)網(wǎng)監(jiān)控平臺上，其它的數(shù)據(jù)一律禁止通過。四、案例介紹-石化在石油石化等行業(yè)中，網(wǎng)閘主要部署在企業(yè)的辦公網(wǎng)與生產(chǎn)網(wǎng)之間，負責把生產(chǎn)網(wǎng)的生產(chǎn)數(shù)據(jù)以數(shù)據(jù)庫訪問或者文件同步的方式單向的輸送到辦公網(wǎng)的服務上，辦公網(wǎng)數(shù)據(jù)不傳送到生產(chǎn)網(wǎng)中。四、案例介紹-智慧城市天融信網(wǎng)閘TopRules應用行業(yè)四、應用案例電電子政務務石油、石化、煤炭等煙草、金融、證證券國稅國稅、地稅稅、國國土國國土、海關關、交通公、檢檢、法、軍軍隊隊、軍軍工 提綱網(wǎng)閘基礎知識介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應用案例介紹1網(wǎng)閘FAQ51、什么是網(wǎng)閘五、網(wǎng)閘FAQ網(wǎng)閘是是一種帶有多種安全控制功能的、在電路上切斷網(wǎng)絡之間的鏈路層連接，并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備。網(wǎng)閘是網(wǎng)絡安全隔離與信息交換系統(tǒng)的簡稱，英文名稱GAP。網(wǎng)閘的硬件一般由外部處理單元、內(nèi)部處理單元、隔離硬件三部分組成。雙機或三機結構網(wǎng)絡協(xié)議邏輯連接數(shù)據(jù)傳輸私有ISO模型七層全部斷開，只傳輸應用層數(shù)據(jù)五、網(wǎng)閘FAQ2、網(wǎng)閘技術特性有哪些4、單系統(tǒng)的設備是網(wǎng)閘嗎五、網(wǎng)閘FAQ單系統(tǒng)的設備如（信息流轉器）不是安全隔離網(wǎng)閘設備,它不符合國家保密局對網(wǎng)閘2+1系統(tǒng)架構的要求。另外，類似的單系統(tǒng)一旦系統(tǒng)遭受到攻擊，攻擊者完全有可能在單系統(tǒng)的