安全隔離與信息交換系統(tǒng)-北京銳安科技有限公司課件

北京銳安科技有限公司

——RUN-NetGap100

安全隔離與信息交換系統(tǒng)

（簡稱“網(wǎng)閘”）產(chǎn)品簡介RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品簡介RUN-NetGap100安全隔離與信息交換系統(tǒng)（簡稱“網(wǎng)閘”）是北京銳安科技有限公司研制的新一代安全隔離產(chǎn)品。它通過對網(wǎng)絡(luò)通信進(jìn)行完整采集、深層解析、應(yīng)用重建，實現(xiàn)內(nèi)外網(wǎng)絡(luò)在相互隔離的基礎(chǔ)上進(jìn)行數(shù)據(jù)交換，確保可靠安全的通信。RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能安全隔離：本系統(tǒng)在網(wǎng)絡(luò)通信中的協(xié)議、應(yīng)用、內(nèi)容等各個層面真正做到隔離，確保用戶信息系統(tǒng)安全。信息交換：本系統(tǒng)實現(xiàn)HTTP、FTP、郵件、數(shù)據(jù)庫等內(nèi)外網(wǎng)之間的安全交換。網(wǎng)絡(luò)訪問控制：可通過訂制訪問策略，精細(xì)地控制誰（網(wǎng)絡(luò)對象）在什么情況下（場景）能夠（允許或禁止）以何種方式訪問（應(yīng)用）誰（被訪問對象）。應(yīng)用內(nèi)容控制：本系統(tǒng)可控制HTTP、FTP、郵件、數(shù)據(jù)庫等應(yīng)用內(nèi)容的控制，并可自定義應(yīng)用控制。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品優(yōu)勢高安全性：采用專有安全操作系統(tǒng)，沒有TCP/IP協(xié)議棧，所有功能由專有硬件及軟件實現(xiàn)，系統(tǒng)剝離了易受攻擊的TCP/IP協(xié)議，保證系統(tǒng)的高安全性。高吞吐率：采用專用的流處理芯片（FPU）進(jìn)行網(wǎng)絡(luò)流的解析與重建，提升系統(tǒng)的吞吐能力。高便利性：完全在透明模式下工作，用戶無需更改任何網(wǎng)絡(luò)設(shè)置即可將安全隔離器與現(xiàn)有軟硬件系統(tǒng)迅速集成。管理簡便：管理后臺與安全隔離器的通信采用底層私有網(wǎng)絡(luò)協(xié)議，在不依賴IP地址的前提下實現(xiàn)設(shè)備自動發(fā)現(xiàn)。靈活定制：對于用戶自己研發(fā)的、非標(biāo)準(zhǔn)通信，可借助我公司協(xié)議分析產(chǎn)品，從而輕松支持非標(biāo)準(zhǔn)協(xié)議。

RUN-NetGap100安全隔離與信息交換系統(tǒng)應(yīng)用方案（安全隔離與信息交換系統(tǒng)應(yīng)用方案圖）

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品特性項目描述名稱產(chǎn)品名稱：安全隔離與信息交換系統(tǒng)產(chǎn)品型號：RUN-NETGAP100版本號信息：Build1.702形態(tài)雙主機構(gòu)架，專有安全通道進(jìn)行數(shù)據(jù)通信接口外網(wǎng)接口*110M/100MbpsRJ-45內(nèi)網(wǎng)接口*210M/100MbpsRJ-45Console接口*110M/100MbpsRJ-45OS類型、版本自主研發(fā)的安全操作系統(tǒng)，無網(wǎng)絡(luò)通信功能，無法從外界寫入信息升級方式依據(jù)產(chǎn)品特性進(jìn)行升級服務(wù)，具體升級周期與方式不限通過的測評通過公安部檢測，編號為：RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能產(chǎn)品通過公安部檢測；具有自主知識產(chǎn)權(quán)；采用自主、安全可靠的專有操作系統(tǒng)；純透明處理，不影響網(wǎng)絡(luò)拓?fù)?；在確保安全隔離的情況下進(jìn)行適度信息交換；內(nèi)外網(wǎng)無法進(jìn)行通暢的TCP/IP會話；嚴(yán)格控制內(nèi)外網(wǎng)的信息交換，強大的信息過濾功能；支持HTTP、FTP、POP3、SMTP通訊；支持常見數(shù)據(jù)庫通訊；對支持的應(yīng)用進(jìn)行深度內(nèi)容解析，可控制協(xié)議版本、命令、參數(shù)、內(nèi)容等信息；

GUI方式管理；安全的用戶角色劃分；完善的日志記錄及查詢審計功能；強大的擴展能力；RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)業(yè)務(wù)功能內(nèi)外網(wǎng)間不建立TCP/IP會話安全隔離與信息交換系統(tǒng)采用雙主機構(gòu)架，內(nèi)外網(wǎng)主機間采用專有安全通道進(jìn)行純數(shù)據(jù)傳輸，內(nèi)外網(wǎng)間無法建立通暢的TCP/IP會話純透明處理安全隔離與信息交換系統(tǒng)對網(wǎng)絡(luò)應(yīng)用進(jìn)行純透明處理，以透明方式介入，無需更改用戶網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)訪問控制用戶可定制不同的訪問策略，以控制內(nèi)外網(wǎng)絡(luò)間的訪問，可依據(jù)多種元素如MAC、IP、協(xié)議、端口等信息進(jìn)行網(wǎng)絡(luò)訪問控制單向訪問控制安全隔離與信息交換系統(tǒng)允許用戶控制訪問的方向RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)應(yīng)用層深度解析安全隔離與信息交換系統(tǒng)對所支持的應(yīng)用進(jìn)行應(yīng)用層的深度內(nèi)容解析應(yīng)用協(xié)議命令控制安全隔離與信息交換系統(tǒng)可對所應(yīng)用支持的協(xié)議進(jìn)行協(xié)議命令的控制協(xié)議命令參數(shù)控制安全隔離與信息交換系統(tǒng)可對所應(yīng)用支持的協(xié)議進(jìn)行命令參數(shù)的控制應(yīng)用協(xié)議版本控制安全隔離與信息交換系統(tǒng)可對所應(yīng)用支持的協(xié)議進(jìn)行協(xié)議版本的控制應(yīng)用內(nèi)容過濾安全隔離與信息交換系統(tǒng)能夠進(jìn)行應(yīng)用層的內(nèi)容過濾RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)域名解析與控制安全隔離與信息交換系統(tǒng)能夠進(jìn)行域名解析與控制HTTP控制支持HTTP應(yīng)用安全隔離與信息交換系統(tǒng)支持HTTP協(xié)議，允許用戶通過安全隔離與信息交換系統(tǒng)進(jìn)行HTTP訪問HTTP版本控制安全隔離與信息交換系統(tǒng)允許用戶控制HTTP協(xié)議版本HTTP命令控制安全隔離與信息交換系統(tǒng)允許用戶控制HTTP協(xié)議命令URL控制安全隔離與信息交換系統(tǒng)允許用戶控制URL文件類型過濾安全隔離與信息交換系統(tǒng)允許用戶控制通過HTTP協(xié)議傳輸?shù)奈募愋完P(guān)鍵字過濾安全隔離與信息交換系統(tǒng)允許用戶過濾HTTP通信的特定關(guān)鍵字RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)FTP控制支持FTP應(yīng)用安全隔離與信息交換系統(tǒng)支持FTP協(xié)議，允許用戶通過安全隔離與信息交換系統(tǒng)進(jìn)行FTP訪問。FTP動態(tài)端口安全隔離與信息交換系統(tǒng)支持主被動FTP傳輸，支持動態(tài)端口FTP命令控制安全隔離與信息交換系統(tǒng)允許用戶控制FTP協(xié)議命令命令參數(shù)控制安全隔離與信息交換系統(tǒng)允許用戶控制FTP協(xié)議命令的參數(shù)文件類型過濾安全隔離與信息交換系統(tǒng)允許用戶控制通過FTP協(xié)議傳輸?shù)奈募愋完P(guān)鍵字過濾安全隔離與信息交換系統(tǒng)允許用戶過濾FTP通信的特定關(guān)鍵字RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)郵件控制支持郵件應(yīng)用安全隔離與信息交換系統(tǒng)支持POP3、SMTP協(xié)議，允許用戶通過安全隔離與信息交換系統(tǒng)收發(fā)郵件郵件命令控制安全隔離與信息交換系統(tǒng)允許用戶控制POP3、SMTP協(xié)議命令命令參數(shù)控制安全隔離與信息交換系統(tǒng)允許用戶控制POP3、SMTP協(xié)議命令的參數(shù)數(shù)據(jù)庫控制支持?jǐn)?shù)據(jù)庫應(yīng)用支持常見的基于結(jié)構(gòu)化查詢語言的數(shù)據(jù)庫，如ORACLE、MSSQL等動態(tài)端口支持ORACLE的動態(tài)端口通信數(shù)據(jù)庫命令控制安全隔離與信息交換系統(tǒng)允許用戶控制各種數(shù)據(jù)庫協(xié)議命令命令參數(shù)控制安全隔離與信息交換系統(tǒng)允許用戶控制數(shù)據(jù)庫協(xié)議命令的參數(shù)RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)管理功能設(shè)備工作狀態(tài)可定制用戶可定制不同的訪問策略圖形化管理用戶可以圖形化界面管理隔離設(shè)備多用戶管理系統(tǒng)采用多用戶的管理方式，管理者可創(chuàng)建不同的帳戶并設(shè)定帳戶的權(quán)限及有效期權(quán)限分立安全隔離與信息交換系統(tǒng)可設(shè)置不同的用戶具備不同的權(quán)限網(wǎng)絡(luò)對象及分組管理安全隔離與信息交換系統(tǒng)可管理網(wǎng)絡(luò)對象并進(jìn)行分組化管理業(yè)務(wù)通信定制安全隔離與信息交換系統(tǒng)定制網(wǎng)絡(luò)業(yè)務(wù)通信安全通道管理安全隔離與信息交換系統(tǒng)可管理內(nèi)外網(wǎng)交換數(shù)據(jù)的安全通道RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)功能指標(biāo)類別子類技術(shù)指標(biāo)場景化的策略應(yīng)用安全隔離與信息交換系統(tǒng)采用時間化的規(guī)則應(yīng)用方式日志記錄/查詢安全隔離與信息交換系統(tǒng)可記錄/查詢多種日志信息，如系統(tǒng)日志、成功日志、報警日志等報表與審計具備日志審計功能并可生成報表日志轉(zhuǎn)存可將日志轉(zhuǎn)存至別處擴展功能擴展至千兆可通過硬件升級實現(xiàn)帶寬的增長多機熱備可擴展多機熱備負(fù)載均衡可擴展多機負(fù)載均衡RUN-NetGap100安全隔離與信息交換系統(tǒng)技術(shù)指標(biāo)類別技術(shù)指標(biāo)吞吐量安全隔離與信息交換系統(tǒng)的內(nèi)部數(shù)據(jù)交換率達(dá)到360Mbps，百兆帶寬的網(wǎng)絡(luò)出口的吞吐量為86Mbps。最大并發(fā)連接數(shù)安全隔離與信息交換系統(tǒng)建立的最大TCP并發(fā)虛擬連接數(shù)不少于15000。系統(tǒng)延遲安全隔離與信息交換系統(tǒng)正常情況下數(shù)據(jù)延遲小于1毫秒。工作環(huán)境工作溫度：0～45攝氏度（32～113華氏度）存儲溫度：-40～65攝氏度（-40～149華氏度）工作濕度：8～85％，非冷凝存儲濕度：5～95％，非冷凝RUN-NetGap100安全隔離與信息交換系統(tǒng)技術(shù)指標(biāo)類別技術(shù)指標(biāo)電源指標(biāo)輸入電壓：100/240VAC輸入頻率：50/60Hz電源功耗：400W平均無故障時間安全隔離與信息交換系統(tǒng)的平均無故障時間大于45000小時電磁屏蔽IEC－1000－4－2(ESD)IEC－1000－4－3(輻射敏感性)IEC－1000－4－4(點快速瞬變)IEC－1000－4－5(電涌)IEC－1000－3－2(諧波)RUN-NetGap100安全隔離與信息交換系統(tǒng)參考的安全規(guī)范及標(biāo)準(zhǔn)UL1950EN41003AS/NZS3260AS/NZS3548ClassACSAClassAFCCClassAEN60555-2

VCCI(ClassII)RUN-NetGap100安全隔離與信息交換系統(tǒng)系統(tǒng)硬件指標(biāo)網(wǎng)絡(luò)接口：三個10/100M自適應(yīng)網(wǎng)卡接口。外設(shè)接口：終端接口規(guī)格：（長×寬×高）：481.2×449.5×88毫米（19×17.7×4英寸）。材料：重負(fù)荷鋼。指示器：LED電源指示燈，HDD硬盤指示燈，網(wǎng)卡狀態(tài)指示燈。重量：9.8千克（21.8磅）。工作溫度：0~60°C。工作濕度：最大相對濕度5%-95%，不結(jié)露。機箱使用的電源：220V交流電。RUN-NetGap100安全隔離與信息交換系統(tǒng)硬件安裝圖1RUN-Net-GAP背面板示意圖RUN-NetGap100安全隔離與信息交換系統(tǒng)硬件安裝圖2網(wǎng)間隔離安裝示意圖RUN-NetGap100安全隔離與信息交換系統(tǒng)硬件安裝圖3服務(wù)器保護(hù)安裝示意圖RUN-NetGap100安全隔離與信息交換系統(tǒng)詳細(xì)技術(shù)參數(shù)參數(shù)項目標(biāo)準(zhǔn)型備注性能指標(biāo)1.1吞吐量95單位:Mbps1.2網(wǎng)絡(luò)用戶數(shù)量1024

1.3并發(fā)連接數(shù)10萬

1.4策略數(shù)量1024

1.5MTBF≥10平均無故障時間(單位:萬小時)產(chǎn)品規(guī)格2.1外形尺寸50X43X9單位：cm2.2重量16Kg

接口指標(biāo)3.1網(wǎng)絡(luò)接口410/100MB3.2控制接口2RS232(115200)環(huán)境要求4.1溫度0℃-60℃

4.2相對濕度10-90%

4.3沖擊300m/S2

電源要求5.1電流2-4A

5.2電壓220V

5.3頻率50-60Hz

5.4功率250W

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能參數(shù)功能項目

說明應(yīng)用模塊1.1WEB瀏覽WEB網(wǎng)頁，可防止無界瀏覽1.2MAIL收發(fā)電子郵件1.3FTP接收電子郵件1.4FileExchange私有文件交換服務(wù)1.5MySQL支持所有版本，可控制SQL語句動作1.6SQLServer6.5版本以上，可控制SQL語句動作1.7OracleOracle8i以上版本，可控制SQL語句動作1.8MMSMicrosoft媒體格式身份鑒別2.1OTP用戶名+口令認(rèn)證方式2.2數(shù)字證書X.509證書文件RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品功能參數(shù)功能項目

說明管理方式3.1GUI人性化圖形化管理界面內(nèi)容檢查4.1URL過濾URL地址過濾4.2HTTP過濾腳本、控件、關(guān)鍵字過濾4.3郵件內(nèi)容過濾主題、正文關(guān)鍵字過濾4.4郵件附件過濾禁止附件、附件內(nèi)容過濾4.5病毒檢查支持第三方病毒服務(wù)器4.6文件類型過濾過濾指定的文件類型主機安全5.1DDos支持內(nèi)外網(wǎng)抗DDOS攻擊RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問解答物理隔離網(wǎng)閘需要哪些“許可證”？

答：根據(jù)我國計算機網(wǎng)絡(luò)安全管理的規(guī)定，物理隔離網(wǎng)閘需要取得公安部、國家保密局和中國信息安全測評認(rèn)證中心的安全產(chǎn)品的測評認(rèn)證證書。在此基礎(chǔ)上，進(jìn)入軍事領(lǐng)域，還需要軍隊測評認(rèn)證中心的認(rèn)證證書。

物理隔離網(wǎng)閘是硬件還是軟件解決方案？

答：物理隔離網(wǎng)閘包含兩個獨立的主機系統(tǒng)和一套固態(tài)開關(guān)讀寫介質(zhì)系統(tǒng)，屬于硬件解決方案。但是物理隔離可以通過模塊定制來滿足行業(yè)個性化的需求。

物理隔離網(wǎng)閘是不是防火墻的一種？

答：物理隔離網(wǎng)閘不是防火墻的一種。就像路由器中也帶有訪問控制的功能一樣，但路由器不是防火墻的一種。防火墻是檢查設(shè)備；物理隔離網(wǎng)閘是隔離設(shè)備。防火墻的邏輯是在保證連接連通的情況下盡可能安全；物理隔離的邏輯則是如果不能保證安全的情況下則斷開。

物理隔離網(wǎng)閘與物理隔離卡是不是一回事？

答：不是一回事。物理隔離卡是物理隔離的低級實現(xiàn)形式，一個物理隔離卡只能管一臺個人計算機，甚至只可能在Windows環(huán)境下工作，每次切換都需要開關(guān)機一次。物理隔離網(wǎng)閘是物理隔離的高級實現(xiàn)形式，網(wǎng)閘可以管理整個網(wǎng)絡(luò)，不需要開關(guān)機。網(wǎng)閘實現(xiàn)后，原則上不再需要物理隔離卡。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問解答物理隔離網(wǎng)閘與安全隔離網(wǎng)閘是不是一回事？

答：不是一回事。安全隔離是一種邏輯隔離，防火墻就是一種邏輯隔離，因此防火墻也是一種安全隔離。有些廠商對安全隔離增加了一些特點，如采用了雙主機結(jié)構(gòu)，但雙主機之間卻是通過包來轉(zhuǎn)發(fā)的。無論雙主機之間采用了多么嚴(yán)格的安全檢查，但只要是包轉(zhuǎn)發(fā)，就存在基于包的安全漏洞，存在對包的攻擊。這在本質(zhì)上同兩個防火墻串聯(lián)并無本質(zhì)的差別。

安全隔離網(wǎng)閘存在哪些形式？

答：從目前已經(jīng)發(fā)現(xiàn)的安全隔離網(wǎng)閘，包括以下類型：通過串口或并口來實現(xiàn)雙主機之間的包轉(zhuǎn)發(fā)，通過USB或1394或firewire（火線）等方式來實現(xiàn)雙主機之間的包轉(zhuǎn)發(fā)，甚至是直接通過以太線來實現(xiàn)雙主機之間的包轉(zhuǎn)發(fā)，以及其他任何形式的通信方式來實現(xiàn)雙主機之間的包轉(zhuǎn)發(fā)如專用ASIC開關(guān)電路，ATM，Myri卡等，都是安全隔離網(wǎng)閘，但都不是物理隔離網(wǎng)閘。

怎么在技術(shù)上區(qū)分物理隔離網(wǎng)閘和安全隔離網(wǎng)閘？

答：物理隔離網(wǎng)閘的主機之間，沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，沒有協(xié)議存在，對固態(tài)介質(zhì)只有讀和寫兩個命令。安全隔離網(wǎng)閘的主機之間，是采用私有協(xié)議，專用協(xié)議，有的甚至是公有協(xié)議，來實現(xiàn)包轉(zhuǎn)發(fā)，主機之間存在協(xié)議連接。怎么在技術(shù)上區(qū)分物理隔離網(wǎng)閘和安全信息交換系統(tǒng)？

答：安全信息交換系統(tǒng)，從物理特征上作判斷，通過以太協(xié)議將三套主機按系統(tǒng)方式連接起來，主機之間的通信可能采用了專用協(xié)議，也可能是私有協(xié)議，具有較強的深度檢查功能。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問解答是不是有開關(guān)就是物理隔離網(wǎng)閘？

答：不是。開關(guān)只是離散脈沖的概念，光有離散脈沖并不是物理隔離。只要采用了TCP/IP包的形式，IP包本身就是離散的，TCP可以控制保證在離散的基礎(chǔ)上建立完整的連接。在FTP的應(yīng)用中如斷點續(xù)傳技術(shù)就是一個例子，撥號上網(wǎng)掉線了，重新?lián)芴?，可以繼續(xù)下載文件。通過開關(guān)將線路時斷時通，并不妨礙物理的連接。如果沒有TCP/IP協(xié)議，只是讀寫文件，斷開則導(dǎo)致讀寫失敗。因此，物理隔離必須建立在無協(xié)議的文件“擺渡”的基礎(chǔ)上，這種情況下的開關(guān)才是物理隔離。

物理隔離網(wǎng)閘是指兩個主機之間物理上是完全隔開的嗎？

答：不是。有些人認(rèn)為，物理隔離是指兩個主機之間沒有物理連接，是空氣斷開的。兩個主機之間物理上隔開，并不表示是物理隔離。例如，兩個主機之間通過無線連網(wǎng)，盡管在物理上是斷開的。兩個主機是真空斷開，也可能是連接的，如衛(wèi)星通信。物理隔離網(wǎng)閘是指兩個主機之間，沒有基于物理的通信連接。

到底什么是物理隔離網(wǎng)閘？

答：物理隔離網(wǎng)閘，是利用雙主機形式，從物理上來隔離阻斷潛在攻擊的連接，其中包括一系列的阻斷特征，如沒有通信連接，沒有命令，沒有協(xié)議，沒有TCP/IP連接，沒有應(yīng)用連接，沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，對固態(tài)介質(zhì)只有讀和寫兩個命令。其結(jié)果是無法攻擊，無法入侵，無法破壞。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問解答物理隔離網(wǎng)閘阻斷了所有的連接，怎么交換信息？

答：計算機連網(wǎng)是為了信息交換和共享，但交換信息有很多種形式，連網(wǎng)只是其中的一種。在沒有互聯(lián)網(wǎng)的時代，信息照樣交換。阻斷了連接，完全可以通過其他形式來繼續(xù)信息交換。大家比較能理解的方式，如從一臺連網(wǎng)的計算機中，將數(shù)據(jù)拷貝復(fù)制，繼續(xù)檢查后，再拷貝復(fù)制到另外一臺計算機中。其他的形式如復(fù)制（拷貝），數(shù)據(jù)擺渡，鏡像，反射等。

應(yīng)用代理也阻斷了直接連接，也是物理隔離網(wǎng)閘嗎？

答：不是。應(yīng)用代理確實阻斷了網(wǎng)絡(luò)的直接連接，但不是物理隔離。因為應(yīng)用代理雖說阻斷了直接連接，但兩個連接共享在一個主機上，存在入侵的威脅。當(dāng)黑客通過掃描代理主機的操作系統(tǒng)漏洞，通過入侵代理主機本身，以代理主機為跳板，就可以利用建立代理主機和內(nèi)部主機的連接來進(jìn)行攻擊。物理隔離網(wǎng)閘，采用了雙主機結(jié)構(gòu)，兩級主機之間是阻斷隔離的，即使黑客能夠攻破外部主機，也無法入侵和攻擊內(nèi)部主機。

物理隔離網(wǎng)閘可以抵抗哪些攻擊？

答：物理隔離網(wǎng)閘可以解決以下威脅：操作系統(tǒng)漏洞，入侵，基于TCP/IP漏洞的攻擊，基于協(xié)議漏洞的攻擊，木馬，基于隧道的攻擊，基于文件的攻擊（可選）等。這些是互聯(lián)網(wǎng)目前存在的絕大部分主要威脅。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問解答物理隔離網(wǎng)閘是如何防止操作系統(tǒng)漏洞的？

答：雙主機之間是物理阻斷的，無連接的，因此，黑客不可能掃描內(nèi)部網(wǎng)絡(luò)的所有主機的操作系統(tǒng)漏洞，無法攻擊內(nèi)部，包括物理隔離網(wǎng)閘的內(nèi)部主機。

物理隔離網(wǎng)閘是如何防止網(wǎng)絡(luò)入侵的？

答：物理隔離網(wǎng)閘的主機之間，無法建立連接，無法入侵。

物理隔離網(wǎng)閘是如何抵抗基于TCP/IP漏洞的攻擊的？

答：物理隔離網(wǎng)閘的外部主機把TCP/IP協(xié)議全部剝離，以原始數(shù)據(jù)方式進(jìn)行“擺渡”，因此，無法基于TCP/IP漏洞來進(jìn)行攻擊。同樣，也無法基于UDP，ICMP，ARP等協(xié)議來進(jìn)行攻擊。

物理隔離網(wǎng)閘是如何抵抗基于協(xié)議漏洞的攻擊的？

答：物理隔離網(wǎng)閘的外部主機，剝離了應(yīng)用協(xié)議，以原始數(shù)據(jù)方式進(jìn)行“擺渡”，因此，無法基于應(yīng)用協(xié)議的漏洞來進(jìn)行攻擊。

物理隔離網(wǎng)閘是如何防止木馬攻擊的？

答：物理隔離網(wǎng)閘阻斷了網(wǎng)絡(luò)的所有連接，因此，沒有OSI模型的link層，沒有TCP、UDP，ICMP，ARP等協(xié)議，等于把木馬變成了死馬，因此對木馬攻擊是免疫的，無論是已知的還是未知的木馬。

RUN-NetGap100安全隔離與信息交換系統(tǒng)產(chǎn)品疑問解答物理隔離網(wǎng)閘是如何防止基于隧道的攻擊？

答：因為沒有連接，因此無法建立隧道攻擊。

物理隔離網(wǎng)閘是如何防止基于文件的攻擊？

答：物理隔離網(wǎng)閘在理論上是完全可以防止基于文件的攻擊，如病毒等。病毒一般依附在高級文件格式上，低級文件格式則不會有病毒，因此進(jìn)行文件“擺渡”的時候，可以限制文件的類型，如只有文本文件才可以通過“擺渡”，這樣就不會有病毒。但用戶有時候會不方便，因此，定義為可選。另外一種方式，是剝離重組方式。剝離高級格式，就消除了病毒的載體，重組后的文件，不會再有病毒。這種方式會導(dǎo)致效率的下降，一些潛在的危險的格式可能會被禁止，導(dǎo)致一些不方便，因此是可選。物理隔離網(wǎng)閘是中國特有的嗎？

答：不是。美國，以色列，俄羅斯等國家很早就規(guī)定涉密網(wǎng)絡(luò)要采用物理隔離。俄羅斯的Ry

Jones，以色列的Buky

Carmeli，EladBaron，DanielSteiner等人都是該領(lǐng)域的先驅(qū)，后者現(xiàn)在美國開公司。目前最大的物理隔離公司當(dāng)屬美國的Whalecommunications公司，