【文章內容簡介】 子系統(tǒng)和/或通過 ASIC 芯片讀出交換子系統(tǒng)緩存將自有協(xié)議格式數(shù)據(jù)拆封為數(shù)據(jù)塊，完成一次擺渡；然后隔離交換模塊通過開關控制子系統(tǒng)斷開與內外網(wǎng)主機系統(tǒng)的連接，彼此之間建立連接，自動進行協(xié)商，實現(xiàn)數(shù)據(jù)交換，完成二次擺渡。通過這種雙擺渡技術，內外網(wǎng)絡永遠不會直接連接，由于采用專門設計的硬件隔離交換模塊進行數(shù)據(jù)交換，沒有任何管理接口，因此，內外網(wǎng)主機系統(tǒng)之間無法進行基于網(wǎng)絡協(xié)議的數(shù)據(jù)交換，從而從硬件層面保證了內外網(wǎng)主機系統(tǒng)之間的安全隔離。隔離交換模塊具有獨立的硬件交換控制邏輯，無 OS 及任何“軟”控制，自主完成數(shù)據(jù)的交換，主機系統(tǒng)只負責把數(shù)據(jù)塊傳遞到隔離交換模塊，由隔離交換模塊根據(jù)硬件控制邏輯自動完成自有協(xié)議的封裝和數(shù)據(jù)交換，自動同步兩側控制邏輯，進行互斥的讀寫操作，同時還具有自動數(shù)據(jù)完成性校驗，當發(fā)現(xiàn)數(shù)據(jù)錯誤時，自動重傳，保證數(shù)據(jù)的完全正確，從而實現(xiàn)內外網(wǎng)主機系統(tǒng)真正的物理隔離交換。7 / 26 軟件架構聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)通過基本模塊實現(xiàn)關鍵的數(shù)據(jù)交換功能，它是內外網(wǎng)主機系統(tǒng)進行信息交換的唯一接口，其他任何功能模塊都建立在基本模塊之上，通過核心層驅動程序的設計和隔離交換模塊高速全雙工流水線設計，使得內部數(shù)據(jù)交換達到最大的性能。其他各功能模塊建立在對通信過程七層還原的基礎上，以模塊化設計。對常見的網(wǎng)絡協(xié)議以獨立的功能模塊完成，用戶可根據(jù)不同的應用需求選用，系統(tǒng)還提供應用層檢測二次開發(fā)功能來適應特殊的用戶需求。此外，系統(tǒng)提供基于數(shù)字認證的多種遠程管理功能，功能強大的集中管理、日志審計等多種管理手段，有效的幫助用戶使用和管理安全隔離與信息交換系統(tǒng)。每個主機系統(tǒng)的軟件系統(tǒng)架構如下圖所示。聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)主機系統(tǒng)軟件架構圖8 / 26 產(chǎn)品優(yōu)勢 高安全性基于測試統(tǒng)計，普通防火墻設備對于基于網(wǎng)絡層的攻擊絕大部分可以攔截，對基于應用層的攻擊基本無法攔截；聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)對于各種基于網(wǎng)絡層和應用層的模擬攻擊實現(xiàn)了 100%的攔截?？?DoS攻 擊技 術 智 能 白 名 單技 術自 有 協(xié) 議 封 裝芯 片抗攻擊能力網(wǎng) 絡 層 過 濾技 術 抗 攻 擊 技 術弱強簡 單 復 雜防 火 墻網(wǎng) 御 安 全 隔 離 網(wǎng) 閘? 安全的硬件隔離體系聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)通過專有隔離交換模塊實現(xiàn)基于硬件的安全隔離，Leadsec ASIC 芯片將數(shù)據(jù)塊轉化為自有協(xié)議格式的數(shù)據(jù)包，交換芯片的開關控制系統(tǒng)使得兩個網(wǎng)絡之間沒有任何的物理連接，沒有任何的網(wǎng)絡協(xié)議可以直接穿透，從而建立了一個安全可靠的安全隔離硬件體系。? 安全的操作系統(tǒng)憑借聯(lián)想網(wǎng)御在安全設備上的長期積累建立的專有抗 DDoS 內核的 VSP（Versatile Secure Platform）通用安全平臺，針對安全隔離與信息交換系統(tǒng)量身定制，具有極高的安全性。對于 Syn flood、CC 攻擊、HTTP Get Flood、Dns Query Flood 等各種 DDoS攻擊均可徹底阻擋。同時，操作系統(tǒng)固化于內外網(wǎng)主機系統(tǒng)的硬件中，不能被隨意修9 / 26改，而日志采用專門的日志服務器管理，把操作系統(tǒng)和日志存儲系統(tǒng)分開，使得系統(tǒng)結構更加安全。? 應用協(xié)議內容安全聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)根據(jù)不同的應用需求，量身定制多個功能模塊，滿足用戶的不同應用需求，主要包括：? 文件交換模塊：實現(xiàn)不同安全等級網(wǎng)絡間文件的安全交換，支持 NFS，Smbfs等常用文件系統(tǒng)，支持更新傳輸、改名傳輸、傳輸后刪除等多種方式，文件傳輸過程中，支持強制性的文件類型、文件內容（黑、白名單）等檢查。? 數(shù)據(jù)庫傳輸模塊：在內外網(wǎng)隔離環(huán)境下實現(xiàn)對 Oracle、Sybase、SQL server、DB2 等多種數(shù)據(jù)庫系統(tǒng)的安全訪問和同步，支持 TNS 協(xié)議、支持授權用戶安全。? 郵件傳輸模塊：在內外網(wǎng)隔離環(huán)境下實現(xiàn)內網(wǎng)用戶安全訪問外網(wǎng)郵件服務器，支持電子郵件地址控制，支持郵件主題過濾、內容過濾、附件過濾。? 安全瀏覽模塊：在內外網(wǎng)隔離環(huán)境下保證內網(wǎng)用戶安全瀏覽外網(wǎng)資源，支持本級認證、Radius、LDAP 認證，支持 URL 過濾、ActiveX、Cookie、JavaApplet等惡意代碼過濾。? FTP 訪問模塊：在內外網(wǎng)隔離環(huán)境下實現(xiàn)安全的 FTP 訪問，支持動態(tài)建立數(shù)據(jù)通道，支持用戶控制、命令控制、文件類型控制等細粒度訪問控制。? TCP/UDP 訪問模塊：在內外網(wǎng)隔離環(huán)境下特定 TCP、UDP 協(xié)議的數(shù)據(jù)交換。? 其他模塊：用戶定制的專用應用模塊。不同的功能模塊根據(jù)各自的需求特點，在應用層實現(xiàn)了功能強大的過濾機制，通過對應用層內容的過濾和檢測，進一步保障數(shù)據(jù)的安全。這些包括：關鍵字檢測、黑白名單過濾、文件類型檢驗、用戶名/口令校驗、數(shù)據(jù)數(shù)字簽名、身份認證、控件過濾、腳本過濾、URL 過濾、郵件屬性過濾等等。系統(tǒng)還可以根據(jù)用戶的安全需要進行二次開發(fā)，對用戶數(shù)據(jù)進行深度安全檢測。? 網(wǎng)絡層安全主機系統(tǒng)支持包過濾檢測技術，支持通過源地址、目的地址、流經(jīng)的物理端口、10 / 26協(xié)議類型等多種元素設定過濾規(guī)則。通過對安全策略的設定，使得安全隔離與信息交換系統(tǒng)直接在網(wǎng)絡層就能拒絕部分非法連接的訪問。? 強的抗攻擊能力聯(lián)想網(wǎng)御不斷深入分析應用協(xié)議，根據(jù)協(xié)議規(guī)范和跟蹤用戶使用習慣形成“訪問內容白名單”嵌入到主機系統(tǒng)中，并且融合獨創(chuàng)的智能算法形成“智能白名單技術”對數(shù)據(jù)報文的協(xié)議格式和數(shù)據(jù)內容進行快速嚴格檢查，通過專有算法智能比對正確協(xié)議格式和數(shù)據(jù)內容的“白名單” ，從而實現(xiàn)對各種畸形攻擊數(shù)據(jù)報文的攔截。主機系統(tǒng)內置獨立的聯(lián)想網(wǎng)御自主研發(fā)的 USE（Uniform Secure Engine）統(tǒng)一安全引擎，與系統(tǒng)緊密集成，包括包解碼、規(guī)則解析及檢測引擎、日志記錄及報警等子模塊。采用實時入侵檢測機制和自動響應技術，可選擇配置不同的攻擊特征碼并且支持攻擊特征碼分類，可以根據(jù)大類進行特征碼選擇。攻擊的特征庫包括 IP 地址欺騙、ARP 欺騙、Ping Of Death、Smurf、掃描攻擊、SMTP 攻擊、HTTP 攻擊、FTP 攻擊等多類攻擊，可以檢測到網(wǎng)絡中的絕大多數(shù)入侵行為，可以實時設置阻斷規(guī)則，將入侵及時阻斷。并且提供攻擊特征碼的升級和特征碼的自定義。? 防 IP 地址盜用為了防止 IP 地址被非法盜用，安全隔離與信息交換系統(tǒng)采用 IP 與 MAC 地址綁定技術校驗主機的合法性。系統(tǒng)能夠對指定接口所連接的網(wǎng)絡中主機的 IP 和 MAC 地址進行綁定，防止 IP 盜用，對非法 IP 地址的訪問系統(tǒng)會進行詳細記錄，以便管理員查看，而且系統(tǒng)能夠通過自動探測來發(fā)現(xiàn) IP 和 MAC 的對應關系，使整個配置過程簡單快捷。 高性能聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)的系統(tǒng)吞吐量為線性處理速度的80%以上。如此高的處理能力依賴于以下技術的成功應用。? ASIC 并行處理技術隔離交換模塊上的 Leadsec ASIC 安全隔離芯片采用了多線程并行處理技術，提供11 / 26了多個安全通道，解決了多網(wǎng)接入時數(shù)據(jù)擺渡帶寬瓶頸問題。? ASIC 協(xié)議處理技術隔離交換模塊上的 Leadsec ASIC 安全隔離芯片通過硬件固化處理將數(shù)據(jù)塊轉化為自有協(xié)議格式的數(shù)據(jù)包，實現(xiàn)了協(xié)議轉換時的線性處理。? 雙擺渡傳輸技術隔離交換模塊上的交換芯片通過獨特的開關控制系統(tǒng)實現(xiàn)雙擺渡傳輸機制，從而實現(xiàn)同一時刻內外網(wǎng)交換卡之間或交換卡與主機系統(tǒng)之間的雙向數(shù)據(jù)高效交換。? 鏈路聚合技術通過主機系統(tǒng)的鏈路聚合技術可實現(xiàn)將兩個物理鏈路聚合成為一個邏輯鏈路，從而解決了多個外網(wǎng)訪問單一內網(wǎng)時主機與內網(wǎng)數(shù)據(jù)傳輸過程中的帶寬瓶頸問題。 高適用性? 靈活的多網(wǎng)隔離聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)在支持兩網(wǎng)隔離的同時，為了滿足多個相同安全級別的外聯(lián)網(wǎng)絡要與可信網(wǎng)絡隔離的需求，進一步支持多網(wǎng)接入隔離，即可以同時接入多個外聯(lián)網(wǎng)絡，比如交警網(wǎng)絡和多家銀行網(wǎng)絡同時互聯(lián)，并且每個主機系統(tǒng)的網(wǎng)絡接口之間在系統(tǒng)內部固化實現(xiàn)無法互訪，具有更大的網(wǎng)絡適用性?；?VSP 通用安全平臺，可將外網(wǎng)主機系統(tǒng)的任一網(wǎng)口與隔離交換矩陣中的 ASIC 芯片的一個或數(shù)個固化通道綁定，繼而與內網(wǎng)主機系統(tǒng)的一個或數(shù)個網(wǎng)口綁定，從而實現(xiàn)一對一或一對多的網(wǎng)絡隔離交換；同樣地，外網(wǎng)主機系統(tǒng)的多個網(wǎng)口也可通過隔12 / 26離交換矩陣中的 ASIC 芯片與內網(wǎng)主機系統(tǒng)的一個網(wǎng)口建立多對一的網(wǎng)絡隔離交換；內網(wǎng)主機系統(tǒng)和外網(wǎng)主機系統(tǒng)的各自網(wǎng)口間通過 VSP 禁止互訪。? 靈活的安裝部署系統(tǒng)通過在內外網(wǎng)主機系統(tǒng)上影射內外網(wǎng)服