珠海偉思隔離網閘產品手冊

技術白皮書目錄一、概述 2.一、 . 絡安全現狀2二、 現有網絡安全技術2\l“_TOC_250009“3、 現有網絡安全技術〔防火墻技術〕的缺點 3\l“_TOC_250008“4、GAP技術簡介 3\l“_TOC_250007“二、ViGap介紹 6一、 ViGap產品簡介 6\l“_TOC_250006“2、ViGap產品原理 6\l“_TOC_250005“三、ViGap功能 7一、 ViGap產品定位 7\l“_TOC_250004“2、ViGap產品功能 8\l“_TOC_250003“四、ViGap產品性能 9一、 ViGap產品技術指標 9ViGap100-150 10ViGap100-350 10\l“_TOC_250002“2、ViGap產品硬件和軟件包 10\l“_TOC_250001“五、ViGap產品應用 11一、 通用解決方案 11二、 重要網絡數據資源保護 12\l“_TOC_250000“3、 電子政務安全島 12ViGap技術白皮書一、概述1、網絡安全現狀運算機網絡的普遍應用是現今信息社會的一場革命進展和普及不僅給咱們的生活帶來了特地大的便利Internet不斷深切，應用領域更是從傳統(tǒng)的、小型業(yè)務系統(tǒng)漸漸向大型、關鍵業(yè)務系統(tǒng)擴展。和解決活動正以每一年10絡安全、有序和有效的運行，是保證互聯網高效、有序應用的關鍵之一。2、現有網絡安全技術運算機網絡是基于網絡可識別的網絡協議根底之上的各類網絡應用的完整組合，協議示意說明白這些方面的網絡安全問題。問題類問題類型問題點問題描述安全問題被無視其它根底協議問協議設 題計流程問題設計錯誤設計錯誤軟件設計程序錯誤人員操作操作失誤制定協議之時，通常首先強調功能性，而安全性問題則是到最終一刻、甚或不列入考慮范圍。架構在其他不穏固根底協議之上的協議，即使本身再完善也會有很多問題。設計協議時，對各種可能消滅的流程問題考慮不夠周全，導致發(fā)生狀況時，系統(tǒng)處理方式不當。協議設計錯誤，導致系統(tǒng)效勞簡潔失效或招受攻擊。協議規(guī)劃正確，但協議設計時發(fā)生錯誤，或設計人員對協議的認知錯誤，導致各種安全漏洞。程序撰寫習慣不良導致很多安全漏洞，包含常見的未檢查資料長度內容、輸入資料容錯力氣缺乏、未檢測可能發(fā)生的錯誤、應用環(huán)境的假設錯誤、引用不當模塊、未檢測資源缺乏等。操作標準嚴格且完善，但是操作人員未受過良好訓練、或未按手冊操作，導致各種安全漏洞和安全隱患。默認值擔憂全默認值擔憂全系統(tǒng)維護未修補系統(tǒng)內部安全問題軟件或操作系統(tǒng)的預設設置不科學，導致缺省設置下系統(tǒng)處件和操作系統(tǒng)的各種補丁程序沒有準時修復。對由信任系統(tǒng)和網絡發(fā)起的各種攻擊防范不夠。信任領域存在的擔憂全系統(tǒng)，成為不信任領域內系統(tǒng)攻擊信任領域的各種跳板。針對上表所示的各類網絡安全問題術、審計和恢復技術、防火墻系統(tǒng)、運算機病毒防護、操作系統(tǒng)安全、數據庫系統(tǒng)安全和抗抵賴協議等，接踵間續(xù)推出了包括防火墻、入侵檢測IDCA系統(tǒng)、加密〔軟件對網絡系統(tǒng)供給了必定的安全防范，必定程度上解決了網絡安全問題某一方面的問題。3、現有網絡安全技術〔防火墻技術〕的缺點現有的各類網絡安全技術都是針對網絡安全問題的某一個或幾個方面來設計的，它只能相應地在必定程度上解決這一個或幾個方面的網絡安全問題，無法防范和解決其他的問算機病毒防范技術只能防范運算機病毒對網絡和系統(tǒng)的危害戶的身份等等。現有的各類網絡安全技術中，只有防火墻技術能夠在必定程度上解決各類網絡安全問防火墻產品簡潔蒙受包括IP哄騙解決、拒絕效勞解決、分片解決、木馬解決等在內的各類FTP-PASV的防范和解決方案。而在沒有更為有效的安全防范產品之前來保障自己的網絡安全，但是相對應的是，的OS漏洞和網絡層解決層出不窮，攻破防火效保護網絡系統(tǒng)，已經成為各網絡安全廠商和用戶的一路需求和目標。4、GAP技術簡介在介紹GAP技術之前，先來簡潔地介紹一下GAP技術的原型：Sneaker-NET。圖一、Sneaker-NET技術在Sneaker-NETSneaker-NET個網絡分別的DMZ區(qū)域，用于內容檢查。承受Sneaker-NET技術后，網絡信息流如下：該人在不行信網絡上的運算機上手工方式拷貝文件到磁盤或磁帶。該人將磁盤或磁帶拿到一個獨立的運算機上進展內容檢測。檢測包括〔不單單這些：病毒掃描、查驗該文件格式是不是和預先概念的文件格式相符等。假設是內容檢測為擔憂全或非法，它們將被拋棄；假設是內容是安全和合法的，這人在可信網絡上的運算機上手工方式將該磁盤或磁帶的文件拷貝到運算機上。信息從可信網絡傳輸到不行信網絡將也用相像的流程。在Sneaker-NET到安全環(huán)境信息傳輸的一個最安全的方式。GAPSneaker-NET中，人的作用是在兩個網絡之間進展低速的手工互換數據，而在承受GAP技術的設備中，用一個快速電子開關來實現這一功能；用在Sneaker-NET中做數據互換的磁介質，在GAP技術中則實施則類似于Sneaker-NET的裝置。對于可信網絡和不行信網絡有連接的網絡，如防火墻，黑客能夠利用各類方式，通過連接并最終把握可信網絡。但是，GAP技術能夠創(chuàng)立一個如此的環(huán)境，即兩個網絡物理斷開，但卻規(guī)律相連的環(huán)境。GAP技術在這兩個網絡之間創(chuàng)立了一個物理隔間，這意味著網絡數據包不能從一個網絡流向另外一個網絡算機從不會有實際的連接，從而杜絕黑客把握可信網絡的情形發(fā)生。同Sneaker-NET即便類似，GAP技術除能夠實現物理隔間外，還能夠允許可信網絡和不行信網絡之間的數據、資源和信息的安全互換。GAP技術的突出特長在于，物理隔間使可信網絡安全，而規(guī)律連接使咱們能夠在線式GAPGAP特網物理隔離開，保護它們免受各類乃至未知的網絡挾制和解決。GAP技術的關鍵技術要點是：要點物理隔斷可選擇數據交換數據是靜態(tài)的獨立決策支持文件和命令高性能

描述可信網和不行信網物理隔斷，可信網絡上的計算機不能訪問不行信網絡兩個網絡能夠有選擇的交換數據，似乎它們直接相連一樣在交換數據過程中，數據是靜態(tài)的〔被動的全部決策在一個安全的環(huán)境中處理，與不行信網絡隔斷交換數據可以包含文件和命令上述全部工作實時進展，實現最大吞吐量和最小延時二、ViGap介紹1、ViGap產品簡介偉思信安隔離網閘〔以下簡稱ViGap〕是珠海偉思承受先進GAP技術獨立研ViGap各類基于網絡層和操作系統(tǒng)層的解決，并通過基于硬件設計的反射GAP系統(tǒng)，實此刻線高速實時的數據傳輸。ViGap并保護網絡間資源、信息和數據互換的安全進展。由于ViGap的自身技術特點，使它具有以往其它網絡安全產品所不具有的安全防護力氣，填補了網絡安全產品在防范網絡解決方面的某些空白。ViGap產品能夠用在任何需要保障內部網絡信息安全免受外部黑客解決的網絡出口連接處。適用于政府機構、金融保險、軍隊警察、電力電訊及企業(yè)網絡。2、ViGap產品原理ViGap系統(tǒng)由兩套獨立工作的運算機系統(tǒng)和一套反射GAP系統(tǒng)組成，兩套運算機系統(tǒng)別離是連接不行信網絡的不行信網絡端運算機和連接可信網絡的可信網絡端運算機算機系統(tǒng)通過反射GAPGAP產品相較，ViGap利用了LVDS總線和高速雙開關體系構造，在性能方面有顯著的增加。ViGapGAP技術研制的具有當前國際先進水平的網絡安全產品。ViGap承受了先進的一代的反射GAP技術和協議終止技術，成功地實現了既保證可信網絡與不行信網OS層的的和未知的解決。◣ViGap承受先進的電子開關通斷技術為保證可信網絡與不行信網絡在ViGapViGap中包括了細心設計的硬件電子開關動作系統(tǒng)開關協作系統(tǒng)數據流分時地“接通”、“斷開”。◣ViGap承受先進的反射GAP技術ViGap的內部反射GAP系統(tǒng)完全基于硬件體系，目的是將不行信網絡端運算機存儲系統(tǒng)和可信網絡端運算機存儲系統(tǒng)中的數據進展快速互換。反射GAP系統(tǒng)不依靠互換數據，實現了網絡間數據的高速互換。◣ViGap承受先進的協議終止及分析技術ViGapViGap設備運算機系統(tǒng)上被處置，通過協議終止、協議檢查并剝離數據包裝，然后剝離出的裸數據被反射GAP系統(tǒng)傳送到另一方，并從頭生成協議后送達目的地。完全杜絕黑客利用協議對可信網絡進展解決。三、ViGap功能1、ViGap產品定位網絡應用中不時刻刻都在發(fā)生和產生的每一種的網絡蠕蟲、DoS解決、散布式DoS、緩的解決。以以下圖示意描述了現今可用的各類網絡安全解決方案在那個示用意中依照看用的不同，網絡本身被分為兩個部份即網絡層和應用層而在各類網絡安全方式中包括了防范網絡安全問題和未知網絡安全問題的方式各類網絡安全技術都別離解決了相應部份的網絡安全問題。GAP安全解決方式優(yōu)勢在于它既能堵塞又能預防。堵塞發(fā)生在已經明白的解決而 預 防 則 是 對 于 未 知 的 解 決 。保護和對應用程序掃描等?？墒牵壳搬槍脤游粗鉀Q的各類防護方式還不是特地好。ViGap產品的功能定位即主要在這一層上，它既能阻擋網絡層和操作系統(tǒng)層的的解決，又能避開網絡層和操作系統(tǒng)層受到未知的解決，解決了防范未知網絡解決的安全難題。ViGap引入的安全層次，可是在傳輸數據時不會對網絡和操作系統(tǒng)效勞造成任何危害。作為網絡安全設備，ViGap供給四種最主要的保護：網絡漏洞，操作系統(tǒng)的不穩(wěn)固，軟件漏洞，解決。2、ViGap產品功能ViGap產品具有以下功能：功能EMAIL功能FTP功能其他效勞支持內容過濾功能黑名單功能日記和警報功能ViGap數據庫備份功能郵件的報警和通知功能功能ViGap供給了功能壯大的信網絡上的各類網絡資源，也能夠允許不行信網絡上的用戶安全地訪問可信網絡上的WEB效勞。EMAIL功能ViGap也供給了功能完善的SMTP/POP(3)通過ViGap收發(fā)來自不行信網絡上的各類電子郵件，也能夠允許不行信網絡上的用戶安全地通過ViGap來收發(fā)可信網絡上的電子郵件。FTP功能ViGapFTP協議分析模塊，供給了和EmailFTP效勞支持。其他效勞支持功能ViGap同時供給了對其他各類用戶自概念效勞功能的支持。內容過濾功能針對關鍵字〔詞〕進展檢索，依照匹配的原理，對通過ViGap傳輸的數據進展過濾和檢查，能夠保護網絡的各類敏感資源和數據，也保護了可信網絡資源。黑名單功能針對通過ViGap傳輸的數據的文件名進展過濾的黑名單功能，不僅能夠有效阻擋敏感文件的互換，而且能夠有效防范通過附件文件對可信網絡的各類解決。日記和警報功能ViGap全的問題，也能夠通過治理把握臺狀態(tài)選項卡對整個ViGap系統(tǒng)進展常規(guī)的狀態(tài)監(jiān)視。日記和警報功都所涉及內容包括：ViGap系統(tǒng)的問題通信故障破壞安全的企圖通過ViGap系統(tǒng)的傳輸和指令通過ViGap系統(tǒng)傳輸的文件和其它類型的內容ViGap數據庫備份功能對ViGap數據參數和運行參數和日記內容的備份功能，為系統(tǒng)治理和安全治理供給了有力的支持。郵件的報警和通知功能ViGap系統(tǒng)的電子郵件警報和電子郵件通知能夠在某些特定大事發(fā)生時能夠清楚地了解發(fā)生了什么。郵件跟蹤機制包括：員。電子郵件通知，發(fā)給一個或多個通信方的電子郵件信息的消息。四、ViGap產品性能1、ViGap產品技術指標ViGap100是ViGap產品的一個系列，是偉思公司第一投放市場的ViGap產品。ViGap100系列中有4個型號的產品，掩蓋了從中小規(guī)模網絡到電信級規(guī)模網絡的各類應用。技術特性在可信網絡與不行信網絡之間實現物理隔間可信網絡與不行信網絡端間實時高速安全地數據互換支持基于UDP和TCP的網絡協議系統(tǒng)日記及存檔和備份功能，并支持多種第三方系統(tǒng)日記流量把握功能支持普遍的協議檢查豐碩圖形用戶接口〔GUI〕的人機交互界面為多個ViGap供給集群和負載平衡力氣高粒度協議檢查對協議關鍵字和命令進展全面檢查靈敏的數據類型治理用戶指定的文件名和擴展名精準概念訪問概念名目、子名目和文件內置S分析支持效勞內置論證支持〔PKI，LDAP，RADIUS〕效勞嵌入關鍵字搜尋引擎內置文件格式檢查技術指標15006000個單個ViGap90Mbps反射GAP內部數據互換速度：1Gbps產品并發(fā)的連接數量偉思信安ViGap100產品并發(fā)的連接數量ViGap100-150150ViGap100-350350ViGap100-750750ViGap100-150015002、ViGap產品硬件和軟件包硬 件規(guī)格尺尺寸重電功量壓率操作環(huán)境環(huán)境濕度高度：英寸〔89mm〕寬度：英寸〔432mm〕長度：英寸〔555mm〕15KG100~240VAC，47~63Hz300W－5o―50oC5%―95%產品外形ViGap100的軟件支撐ViGap100系列產品現有如下軟件包，用戶能夠選擇安裝：WEB(W)軟件包，EMAIL(E)軟件包，INTERNET(N)軟件包WEB軟件包包括以下內容：/S協議檢查FTP協議檢查PKI證書支持對保密數據進展文件格式檢查關鍵字搜尋EMAIL軟件包包括以下內容：SMTP/POP3協議檢查對保密數據進展文件格式檢查關鍵字搜尋電子郵件通知和報警INTERNET軟件包：同時包括WEB軟件包和EMAIL軟件包五、ViGap產品應用ViGap應用領域政府機構公安、軍隊金融保險稅務、海關企事業(yè)單位的電子商務或電子政務系統(tǒng)1、通用解決方案V