【文章內(nèi)容簡介】 的 TCP/IP 連接在其主機系統(tǒng)上都要進行完全的應(yīng)用協(xié)議還原，還原后的應(yīng)用層信息根據(jù)用戶的策略進行強制檢查后，以格式化數(shù)據(jù)塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統(tǒng)上通過自身建立的安全會話進行最終的數(shù)據(jù)通信，即實現(xiàn)“協(xié)議落地、內(nèi)容檢測” 。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內(nèi)容檢測，從而實現(xiàn)最高級別的安全。圖 1 網(wǎng)御網(wǎng)閘工作原理圖 技術(shù)特性安全隔離與信息交換系統(tǒng)架構(gòu)主要由內(nèi)網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)和隔離交換矩陣三部分構(gòu)成。內(nèi)網(wǎng)主機系統(tǒng)與內(nèi)網(wǎng)相連，外網(wǎng)主機系統(tǒng)與外網(wǎng)相連，內(nèi)/外網(wǎng)主機系統(tǒng)分別負責內(nèi)外網(wǎng)信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測，內(nèi)外網(wǎng)絡(luò)之間的安全交換。整個系統(tǒng)具備以下技術(shù)特性：? 多網(wǎng)絡(luò)隔離的體系結(jié)構(gòu)，通過專用硬件完成兩側(cè)信息的“擺渡”。.. . . ..學(xué)習好幫手? 被隔離網(wǎng)絡(luò)之間任何時刻不產(chǎn)生物理連接。? 內(nèi)/外網(wǎng)主機系統(tǒng)之間沒有網(wǎng)絡(luò)協(xié)議邏輯連接，通過隔離交換矩陣的全部是應(yīng)用層數(shù)據(jù)，也就是 OSI 模型的七層協(xié)議全部斷開。? 數(shù)據(jù)交換方式完全私有，不具備可編程性。.. . . ..學(xué)習好幫手2 系統(tǒng)架構(gòu) 硬件架構(gòu)現(xiàn)在國內(nèi)安全隔離與信息交換系統(tǒng)業(yè)內(nèi)的硬件架構(gòu)設(shè)計主要有：雙主機架構(gòu)、三主機架構(gòu)和“2+1”架構(gòu)三種，下表為三種硬件架構(gòu)的簡要說明和對比分析。架構(gòu)名稱 架構(gòu)組成 安全分析 安全性 性能雙主機架構(gòu)硬件由內(nèi)網(wǎng)機、外網(wǎng)機和連接硬件組成，連接硬件如網(wǎng)線、SCSI 線、USB 線等兩主機完成協(xié)議終止和內(nèi)容檢查，連接硬件采用通用可編程硬件低 高三主機架構(gòu) 硬件由內(nèi)網(wǎng)機、仲裁機、外網(wǎng)機組成 內(nèi)網(wǎng)機和外網(wǎng)機完成協(xié)議終止，仲裁機獨立完成數(shù)據(jù)檢查 高 低“2＋1”架構(gòu)硬件由內(nèi)網(wǎng)機、外網(wǎng)機兩個主機系統(tǒng)和一個隔離交換矩陣組成兩主機完成協(xié)議終止和內(nèi)容檢查，隔離交換矩陣不受主機系統(tǒng)控制高 高基于安全隔離與信息交換系統(tǒng)要在硬件上實現(xiàn)接近于物理隔離的原則，就要求系統(tǒng)的三部分硬件必須互相獨立，并且通過隔離交換硬件實現(xiàn)切換來確保內(nèi)外網(wǎng)兩個主機系統(tǒng)任何時刻不直接相連。網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)硬件架構(gòu)采用“2+1”模型結(jié)構(gòu)設(shè)計，即內(nèi)網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)加上隔離交換矩陣。 內(nèi)外主機系統(tǒng)采用專有工控主板設(shè)計，性能穩(wěn)定、質(zhì)量可靠，隔離交換矩陣采用專有硬件交換電路設(shè)計的雙通道隔離交換模塊，隔離交換模塊擁有完全的自主知識產(chǎn)權(quán)。隔離交換模塊基于專有的 Leadsec安全隔離芯片和交換芯片，是內(nèi)外網(wǎng)主機系統(tǒng)唯一的連接部件，因此內(nèi)外主機系統(tǒng)之間不存在任何網(wǎng)絡(luò)設(shè)備連接。其中，Leadsec 安全隔離芯片通過多線程并行固化處理將數(shù)據(jù)塊轉(zhuǎn)化為自有協(xié)議格式的數(shù)據(jù)包，交換芯片的交換子系統(tǒng)和開關(guān)控制子系統(tǒng)實現(xiàn)對數(shù)據(jù)的臨時緩存和安全交換。硬件架構(gòu)如下圖所示：.. . . ..學(xué)習好幫手圖 2 網(wǎng)御網(wǎng)閘硬件架構(gòu)原理圖通過交換芯片的開關(guān)控制子系統(tǒng)，隔離交換模塊首先斷開彼此之間的物理連接，分別通過 Leadsec 安全隔離 芯片連接內(nèi)外網(wǎng)主機系統(tǒng)，內(nèi)外網(wǎng)主機系統(tǒng)通過 Leadsec 安全隔離芯片將數(shù)據(jù)塊封裝為自有協(xié)議格式寫入交換芯片的交換子系統(tǒng)和/或通過Leadsec 安全隔離芯片讀出交換子系統(tǒng)緩存將自有協(xié)議格式數(shù)據(jù)拆封為數(shù)據(jù)塊，完成一次擺渡；然后隔離交換模塊通過開關(guān)控制子系統(tǒng)斷開與內(nèi)外網(wǎng)主機系統(tǒng)的連接，彼此之間建立連接，自動進行協(xié)商，實現(xiàn)數(shù)據(jù)交換，完成二次擺渡。通過這種雙擺渡技術(shù)，內(nèi)外網(wǎng)絡(luò)永遠不會直接連接，由于采用專門設(shè)計的硬件隔離交換模塊進行數(shù)據(jù)交換，沒有任何管理接口，因此，內(nèi)外網(wǎng)主機系統(tǒng)之間無法進行基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)交換，從而從硬件層面保證了內(nèi)外網(wǎng)主機系統(tǒng)之間的安全隔離。隔離交換模塊具有獨立的硬件交換控制邏輯，無 OS 及任何“軟”控制，自主完成數(shù)據(jù)的交換，主機系統(tǒng)只負責把數(shù)據(jù)塊傳遞到隔離交換模塊，由隔離交換模塊根據(jù)硬件控制邏輯自動完成自有協(xié)議的封裝和數(shù)據(jù)交換，自動同步兩側(cè)控制邏輯，進行互斥的讀寫操作，同時還具有自動數(shù)據(jù)完成性校驗，當發(fā)現(xiàn)數(shù)據(jù)錯誤時，自動重傳，保證.. . . ..學(xué)習好幫手數(shù)據(jù)的完全正確，從而實現(xiàn)內(nèi)外網(wǎng)主機系統(tǒng)真正的物理隔離交換。 軟件架構(gòu)網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)通過基本模塊實現(xiàn)關(guān)鍵的數(shù)據(jù)交換功能，它是內(nèi)外網(wǎng)主機系統(tǒng)進行信息交換的唯一接口，其他任何功能模塊都建立在基本模塊之上，通過核心層驅(qū)動程序的設(shè)計和隔離交換模塊高速全雙工流水線設(shè)計，使得內(nèi)部數(shù)據(jù)交換達到最大的性能。其他各功能模塊建立在對通信過程七層還原的基礎(chǔ)上，以模塊化設(shè)計。對常見的網(wǎng)絡(luò)協(xié)議以獨立的功能模塊完成，用戶可根據(jù)不同的應(yīng)用需求選用，系統(tǒng)還提供應(yīng)用層檢測二次開發(fā)功能來適應(yīng)特殊的用戶需求。此外，系統(tǒng)提供基于數(shù)字認證的多種遠程管理功能，功能強大的集中管理、日志審計等多種管理手段，有效的幫助用戶使用和管理安全隔離與信息交換系統(tǒng)。每個主機系統(tǒng)的軟件系統(tǒng)架構(gòu)如下圖所示。圖 3 網(wǎng)御網(wǎng)閘系統(tǒng)軟件架構(gòu)圖.. . . ..學(xué)習好幫手3 產(chǎn)品特色 高安全的架構(gòu)設(shè)計率先提出“2＋1”系統(tǒng)架構(gòu)，不是多主機架構(gòu)或雙主機架構(gòu)。? 安全的“2 ＋1 ”的系統(tǒng)架構(gòu)： “內(nèi)網(wǎng)主機”＋ “交換隔離矩陣”＋“外網(wǎng)主機”；? 內(nèi)/外網(wǎng)主機專用的自主知識產(chǎn)權(quán)的操作系統(tǒng) VSP，固化于硬件中，防篡改；? 安全的內(nèi)外網(wǎng)獨立管理機制； 高速隔離交換性能最早突破網(wǎng)閘性能瓶頸：? 高速的安全隔離芯片和交換芯片，有力提高交換性能；? 系統(tǒng)內(nèi)部的并行處理、線程池等技術(shù)，提高了內(nèi)容檢查、過濾、協(xié)議分析、病毒掃描等效率； 專家級的數(shù)據(jù)安全高效的病毒掃描和細粒度的內(nèi)容過濾技術(shù)，打造數(shù)據(jù)安全專家。? 智能的全文內(nèi)容過濾引擎統(tǒng)一安全引擎：對隔離交換報文進行全文數(shù)據(jù)還原，對用戶登錄、命令請求、文本系統(tǒng)、協(xié)議格式等實施深度檢測和過濾，并支持對特定應(yīng)用協(xié)議標簽的檢測控制；智能黑白名單：針對文件名、命令、域名等內(nèi)用進行嚴格控制，創(chuàng)建黑名單和白名單任務(wù)策略，攔截各種非法數(shù)據(jù)報文，保證數(shù)據(jù)的安全性；安全訪問控制：針對數(shù)據(jù)庫和文件數(shù)據(jù)，通過訪問用戶身份識別，保證數(shù)據(jù)不被非法訪問和傳遞；分級分權(quán)管理：針對不同用戶操作，系統(tǒng)提供了分級別管理機制， 根據(jù)最小化用.. . . ..學(xué)習好幫手戶權(quán)限的原則，使不同用戶管理配置不同的任務(wù)，最大程度保障用戶使用的安全。? 高效的病毒過濾技術(shù)自主研發(fā)的防病毒引擎，獲得網(wǎng)絡(luò)防病毒技術(shù)專利，結(jié)合了特征值檢測和啟發(fā)式檢測，高效過濾多種形式的病毒； 廣泛的應(yīng)用適用性10 多個應(yīng)用模塊，滿足用戶通用需求，10 多個行業(yè)深入研究，支撐用戶定制需求。? 功能模塊：文件交換、FTP 文件傳輸、數(shù)據(jù)庫同步、數(shù)據(jù)庫訪問、郵件傳輸、安全瀏覽、消息傳輸、安全通道、定制訪問? 定制案例：電子政務(wù)、稅務(wù)、軍隊、公安、通訊…? 多網(wǎng)隔離：滿足多種網(wǎng)絡(luò)形式接入，比如“一對一、一對多、多對一”的網(wǎng)絡(luò)隔離 業(yè)內(nèi)領(lǐng)先高可靠性業(yè)界獨有 6 機以上負載均衡網(wǎng)閘，電信級高可靠性設(shè)計，無故障運行時間 5 萬小時以上。? 領(lǐng)先的自身可靠性設(shè)計：電源冗余、雙機熱備、端口冗余、鏈路聚合等；? 獨有的動態(tài)負載均衡技術(shù)：業(yè)界獨有 6 機以上負載均衡；? 電信級可靠性設(shè)計：如防過壓設(shè)計、濾波設(shè)計、 固態(tài)電容元件、整體運行管理監(jiān)控等；? MTBF≥5 萬小時；.. . . ..學(xué)習好幫手4 技術(shù)優(yōu)勢 安全性技術(shù)優(yōu)勢 安全的隔離硬件網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)通過專有隔離交換模塊實現(xiàn)基于硬件的安全隔離，Leadsec 芯片將數(shù)據(jù)塊轉(zhuǎn)化為自有協(xié)議格式的數(shù)據(jù)包，交換芯片的開關(guān)控制系統(tǒng)使得兩個網(wǎng)絡(luò)之間沒有任何的物理連接，沒有任何的網(wǎng)絡(luò)協(xié)議可以直接穿透，從而建立了一個安全可靠的安全隔離硬件體系及安全隔離區(qū)域。 安全的操作系統(tǒng)憑借網(wǎng)御在安全設(shè)備上的長期積累建立的專有抗 DDoS 內(nèi)核的 VSP（Versatile Secure Platform）通用安全平臺，針對安全隔離與信息交換系統(tǒng)量身定制，具有極高的安全性。對于 Syn flood、 CC 攻擊、HTTP Get Flood、Dns Query Flood 等各種 DDoS 攻擊均可徹底阻擋。同時，操作系統(tǒng)固化于內(nèi)外網(wǎng)主機系統(tǒng)的硬件中，不能被隨意修改，而日志采用專門的日志服務(wù)器管理，把操作系統(tǒng)和日志存儲系統(tǒng)分開，使得系統(tǒng)結(jié)構(gòu)更加安全。 應(yīng)用協(xié)議內(nèi)容安全網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)根據(jù)不同的應(yīng)用需求，量身定制多個功能模塊，滿足用戶的不同應(yīng)用需求，主要包括：? 文件交換模塊：實現(xiàn)不同安全等級網(wǎng)絡(luò)間文件的安全交換，支持NFS，Smbfs 、SAMBA 等常用文件系統(tǒng)，支持更新傳輸、改名傳輸、傳輸后刪除等多種方式，文件傳輸過程中，支持強制性的文件類型、文件內(nèi)容（黑、白名單）等檢查。? 數(shù)據(jù)庫傳輸模塊（訪問）：在內(nèi)外網(wǎng)隔離環(huán)境下實現(xiàn)對Oracle、Sybase、SQL server、DB2 等多種數(shù)據(jù)庫系統(tǒng)的安全訪問和同步，支持 TNS 協(xié)議、支持授權(quán)用戶安全。.. . . ..學(xué)習好幫手? 郵件傳輸模塊：在內(nèi)外網(wǎng)隔離環(huán)境下實現(xiàn)內(nèi)網(wǎng)用戶安全訪問外網(wǎng)郵件服務(wù)器，支持電子郵件地址控制，支持郵件主題過濾、內(nèi)容過濾、附件過濾。? 安全瀏覽模塊：在內(nèi)外網(wǎng)隔離環(huán)境下保證內(nèi)網(wǎng)用戶安全瀏覽外網(wǎng)資源，支持本級認證、Radius 、LDAP 認證，支持 URL 過濾、ActiveX、Cookie 、JavaAppl