【文章內(nèi)容簡(jiǎn)介】 子系統(tǒng)和/或通過(guò) ASIC 芯片讀出交換子系統(tǒng)緩存將自有協(xié)議格式數(shù)據(jù)拆封為數(shù)據(jù)塊，完成一次擺渡；然后隔離交換模塊通過(guò)開(kāi)關(guān)控制子系統(tǒng)斷開(kāi)與內(nèi)外網(wǎng)主機(jī)系統(tǒng)的連接，彼此之間建立連接，自動(dòng)進(jìn)行協(xié)商，實(shí)現(xiàn)數(shù)據(jù)交換，完成二次擺渡。通過(guò)這種雙擺渡技術(shù)，內(nèi)外網(wǎng)絡(luò)永遠(yuǎn)不會(huì)直接連接，由于采用專門(mén)設(shè)計(jì)的硬件隔離交換模塊進(jìn)行數(shù)據(jù)交換，沒(méi)有任何管理接口，因此，內(nèi)外網(wǎng)主機(jī)系統(tǒng)之間無(wú)法進(jìn)行基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)交換，從而從硬件層面保證了內(nèi)外網(wǎng)主機(jī)系統(tǒng)之間的安全隔離。隔離交換模塊具有獨(dú)立的硬件交換控制邏輯，無(wú) OS 及任何“軟”控制，自主完成數(shù)據(jù)的交換，主機(jī)系統(tǒng)只負(fù)責(zé)把數(shù)據(jù)塊傳遞到隔離交換模塊，由隔離交換模塊根據(jù)硬件控制邏輯自動(dòng)完成自有協(xié)議的封裝和數(shù)據(jù)交換，自動(dòng)同步兩側(cè)控制邏輯，進(jìn)行互斥的讀寫(xiě)操作，同時(shí)還具有自動(dòng)數(shù)據(jù)完成性校驗(yàn)，當(dāng)發(fā)現(xiàn)數(shù)據(jù)錯(cuò)誤時(shí)，自動(dòng)重傳，保證數(shù)據(jù)的完全正確，從而實(shí)現(xiàn)內(nèi)外網(wǎng)主機(jī)系統(tǒng)真正的物理隔離交換。7 / 26 軟件架構(gòu)聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)通過(guò)基本模塊實(shí)現(xiàn)關(guān)鍵的數(shù)據(jù)交換功能，它是內(nèi)外網(wǎng)主機(jī)系統(tǒng)進(jìn)行信息交換的唯一接口，其他任何功能模塊都建立在基本模塊之上，通過(guò)核心層驅(qū)動(dòng)程序的設(shè)計(jì)和隔離交換模塊高速全雙工流水線設(shè)計(jì)，使得內(nèi)部數(shù)據(jù)交換達(dá)到最大的性能。其他各功能模塊建立在對(duì)通信過(guò)程七層還原的基礎(chǔ)上，以模塊化設(shè)計(jì)。對(duì)常見(jiàn)的網(wǎng)絡(luò)協(xié)議以獨(dú)立的功能模塊完成，用戶可根據(jù)不同的應(yīng)用需求選用，系統(tǒng)還提供應(yīng)用層檢測(cè)二次開(kāi)發(fā)功能來(lái)適應(yīng)特殊的用戶需求。此外，系統(tǒng)提供基于數(shù)字認(rèn)證的多種遠(yuǎn)程管理功能，功能強(qiáng)大的集中管理、日志審計(jì)等多種管理手段，有效的幫助用戶使用和管理安全隔離與信息交換系統(tǒng)。每個(gè)主機(jī)系統(tǒng)的軟件系統(tǒng)架構(gòu)如下圖所示。聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)主機(jī)系統(tǒng)軟件架構(gòu)圖8 / 26 產(chǎn)品優(yōu)勢(shì) 高安全性基于測(cè)試統(tǒng)計(jì)，普通防火墻設(shè)備對(duì)于基于網(wǎng)絡(luò)層的攻擊絕大部分可以攔截，對(duì)基于應(yīng)用層的攻擊基本無(wú)法攔截；聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)對(duì)于各種基于網(wǎng)絡(luò)層和應(yīng)用層的模擬攻擊實(shí)現(xiàn)了 100%的攔截?？?DoS攻 擊技 術(shù) 智 能 白 名 單技 術(shù)自 有 協(xié) 議 封 裝芯 片抗攻擊能力網(wǎng) 絡(luò) 層 過(guò) 濾技 術(shù) 抗 攻 擊 技 術(shù)弱強(qiáng)簡(jiǎn) 單 復(fù) 雜防 火 墻網(wǎng) 御 安 全 隔 離 網(wǎng) 閘? 安全的硬件隔離體系聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)通過(guò)專有隔離交換模塊實(shí)現(xiàn)基于硬件的安全隔離，Leadsec ASIC 芯片將數(shù)據(jù)塊轉(zhuǎn)化為自有協(xié)議格式的數(shù)據(jù)包，交換芯片的開(kāi)關(guān)控制系統(tǒng)使得兩個(gè)網(wǎng)絡(luò)之間沒(méi)有任何的物理連接，沒(méi)有任何的網(wǎng)絡(luò)協(xié)議可以直接穿透，從而建立了一個(gè)安全可靠的安全隔離硬件體系。? 安全的操作系統(tǒng)憑借聯(lián)想網(wǎng)御在安全設(shè)備上的長(zhǎng)期積累建立的專有抗 DDoS 內(nèi)核的 VSP（Versatile Secure Platform）通用安全平臺(tái)，針對(duì)安全隔離與信息交換系統(tǒng)量身定制，具有極高的安全性。對(duì)于 Syn flood、CC 攻擊、HTTP Get Flood、Dns Query Flood 等各種 DDoS攻擊均可徹底阻擋。同時(shí)，操作系統(tǒng)固化于內(nèi)外網(wǎng)主機(jī)系統(tǒng)的硬件中，不能被隨意修9 / 26改，而日志采用專門(mén)的日志服務(wù)器管理，把操作系統(tǒng)和日志存儲(chǔ)系統(tǒng)分開(kāi)，使得系統(tǒng)結(jié)構(gòu)更加安全。? 應(yīng)用協(xié)議內(nèi)容安全聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)根據(jù)不同的應(yīng)用需求，量身定制多個(gè)功能模塊，滿足用戶的不同應(yīng)用需求，主要包括：? 文件交換模塊：實(shí)現(xiàn)不同安全等級(jí)網(wǎng)絡(luò)間文件的安全交換，支持 NFS，Smbfs等常用文件系統(tǒng)，支持更新傳輸、改名傳輸、傳輸后刪除等多種方式，文件傳輸過(guò)程中，支持強(qiáng)制性的文件類(lèi)型、文件內(nèi)容（黑、白名單）等檢查。? 數(shù)據(jù)庫(kù)傳輸模塊：在內(nèi)外網(wǎng)隔離環(huán)境下實(shí)現(xiàn)對(duì) Oracle、Sybase、SQL server、DB2 等多種數(shù)據(jù)庫(kù)系統(tǒng)的安全訪問(wèn)和同步，支持 TNS 協(xié)議、支持授權(quán)用戶安全。? 郵件傳輸模塊：在內(nèi)外網(wǎng)隔離環(huán)境下實(shí)現(xiàn)內(nèi)網(wǎng)用戶安全訪問(wèn)外網(wǎng)郵件服務(wù)器，支持電子郵件地址控制，支持郵件主題過(guò)濾、內(nèi)容過(guò)濾、附件過(guò)濾。? 安全瀏覽模塊：在內(nèi)外網(wǎng)隔離環(huán)境下保證內(nèi)網(wǎng)用戶安全瀏覽外網(wǎng)資源，支持本級(jí)認(rèn)證、Radius、LDAP 認(rèn)證，支持 URL 過(guò)濾、ActiveX、Cookie、JavaApplet等惡意代碼過(guò)濾。? FTP 訪問(wèn)模塊：在內(nèi)外網(wǎng)隔離環(huán)境下實(shí)現(xiàn)安全的 FTP 訪問(wèn)，支持動(dòng)態(tài)建立數(shù)據(jù)通道，支持用戶控制、命令控制、文件類(lèi)型控制等細(xì)粒度訪問(wèn)控制。? TCP/UDP 訪問(wèn)模塊：在內(nèi)外網(wǎng)隔離環(huán)境下特定 TCP、UDP 協(xié)議的數(shù)據(jù)交換。? 其他模塊：用戶定制的專用應(yīng)用模塊。不同的功能模塊根據(jù)各自的需求特點(diǎn)，在應(yīng)用層實(shí)現(xiàn)了功能強(qiáng)大的過(guò)濾機(jī)制，通過(guò)對(duì)應(yīng)用層內(nèi)容的過(guò)濾和檢測(cè)，進(jìn)一步保障數(shù)據(jù)的安全。這些包括：關(guān)鍵字檢測(cè)、黑白名單過(guò)濾、文件類(lèi)型檢驗(yàn)、用戶名/口令校驗(yàn)、數(shù)據(jù)數(shù)字簽名、身份認(rèn)證、控件過(guò)濾、腳本過(guò)濾、URL 過(guò)濾、郵件屬性過(guò)濾等等。系統(tǒng)還可以根據(jù)用戶的安全需要進(jìn)行二次開(kāi)發(fā)，對(duì)用戶數(shù)據(jù)進(jìn)行深度安全檢測(cè)。? 網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)支持包過(guò)濾檢測(cè)技術(shù)，支持通過(guò)源地址、目的地址、流經(jīng)的物理端口、10 / 26協(xié)議類(lèi)型等多種元素設(shè)定過(guò)濾規(guī)則。通過(guò)對(duì)安全策略的設(shè)定，使得安全隔離與信息交換系統(tǒng)直接在網(wǎng)絡(luò)層就能拒絕部分非法連接的訪問(wèn)。? 強(qiáng)的抗攻擊能力聯(lián)想網(wǎng)御不斷深入分析應(yīng)用協(xié)議，根據(jù)協(xié)議規(guī)范和跟蹤用戶使用習(xí)慣形成“訪問(wèn)內(nèi)容白名單”嵌入到主機(jī)系統(tǒng)中，并且融合獨(dú)創(chuàng)的智能算法形成“智能白名單技術(shù)”對(duì)數(shù)據(jù)報(bào)文的協(xié)議格式和數(shù)據(jù)內(nèi)容進(jìn)行快速嚴(yán)格檢查，通過(guò)專有算法智能比對(duì)正確協(xié)議格式和數(shù)據(jù)內(nèi)容的“白名單” ，從而實(shí)現(xiàn)對(duì)各種畸形攻擊數(shù)據(jù)報(bào)文的攔截。主機(jī)系統(tǒng)內(nèi)置獨(dú)立的聯(lián)想網(wǎng)御自主研發(fā)的 USE（Uniform Secure Engine）統(tǒng)一安全引擎，與系統(tǒng)緊密集成，包括包解碼、規(guī)則解析及檢測(cè)引擎、日志記錄及報(bào)警等子模塊。采用實(shí)時(shí)入侵檢測(cè)機(jī)制和自動(dòng)響應(yīng)技術(shù)，可選擇配置不同的攻擊特征碼并且支持攻擊特征碼分類(lèi)，可以根據(jù)大類(lèi)進(jìn)行特征碼選擇。攻擊的特征庫(kù)包括 IP 地址欺騙、ARP 欺騙、Ping Of Death、Smurf、掃描攻擊、SMTP 攻擊、HTTP 攻擊、FTP 攻擊等多類(lèi)攻擊，可以檢測(cè)到網(wǎng)絡(luò)中的絕大多數(shù)入侵行為，可以實(shí)時(shí)設(shè)置阻斷規(guī)則，將入侵及時(shí)阻斷。并且提供攻擊特征碼的升級(jí)和特征碼的自定義。? 防 IP 地址盜用為了防止 IP 地址被非法盜用，安全隔離與信息交換系統(tǒng)采用 IP 與 MAC 地址綁定技術(shù)校驗(yàn)主機(jī)的合法性。系統(tǒng)能夠?qū)χ付ń涌谒B接的網(wǎng)絡(luò)中主機(jī)的 IP 和 MAC 地址進(jìn)行綁定，防止 IP 盜用，對(duì)非法 IP 地址的訪問(wèn)系統(tǒng)會(huì)進(jìn)行詳細(xì)記錄，以便管理員查看，而且系統(tǒng)能夠通過(guò)自動(dòng)探測(cè)來(lái)發(fā)現(xiàn) IP 和 MAC 的對(duì)應(yīng)關(guān)系，使整個(gè)配置過(guò)程簡(jiǎn)單快捷。 高性能聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)的系統(tǒng)吞吐量為線性處理速度的80%以上。如此高的處理能力依賴于以下技術(shù)的成功應(yīng)用。? ASIC 并行處理技術(shù)隔離交換模塊上的 Leadsec ASIC 安全隔離芯片采用了多線程并行處理技術(shù)，提供11 / 26了多個(gè)安全通道，解決了多網(wǎng)接入時(shí)數(shù)據(jù)擺渡帶寬瓶頸問(wèn)題。? ASIC 協(xié)議處理技術(shù)隔離交換模塊上的 Leadsec ASIC 安全隔離芯片通過(guò)硬件固化處理將數(shù)據(jù)塊轉(zhuǎn)化為自有協(xié)議格式的數(shù)據(jù)包，實(shí)現(xiàn)了協(xié)議轉(zhuǎn)換時(shí)的線性處理。? 雙擺渡傳輸技術(shù)隔離交換模塊上的交換芯片通過(guò)獨(dú)特的開(kāi)關(guān)控制系統(tǒng)實(shí)現(xiàn)雙擺渡傳輸機(jī)制，從而實(shí)現(xiàn)同一時(shí)刻內(nèi)外網(wǎng)交換卡之間或交換卡與主機(jī)系統(tǒng)之間的雙向數(shù)據(jù)高效交換。? 鏈路聚合技術(shù)通過(guò)主機(jī)系統(tǒng)的鏈路聚合技術(shù)可實(shí)現(xiàn)將兩個(gè)物理鏈路聚合成為一個(gè)邏輯鏈路，從而解決了多個(gè)外網(wǎng)訪問(wèn)單一內(nèi)網(wǎng)時(shí)主機(jī)與內(nèi)網(wǎng)數(shù)據(jù)傳輸過(guò)程中的帶寬瓶頸問(wèn)題。 高適用性? 靈活的多網(wǎng)隔離聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)在支持兩網(wǎng)隔離的同時(shí)，為了滿足多個(gè)相同安全級(jí)別的外聯(lián)網(wǎng)絡(luò)要與可信網(wǎng)絡(luò)隔離的需求，進(jìn)一步支持多網(wǎng)接入隔離，即可以同時(shí)接入多個(gè)外聯(lián)網(wǎng)絡(luò)，比如交警網(wǎng)絡(luò)和多家銀行網(wǎng)絡(luò)同時(shí)互聯(lián)，并且每個(gè)主機(jī)系統(tǒng)的網(wǎng)絡(luò)接口之間在系統(tǒng)內(nèi)部固化實(shí)現(xiàn)無(wú)法互訪，具有更大的網(wǎng)絡(luò)適用性?；?VSP 通用安全平臺(tái)，可將外網(wǎng)主機(jī)系統(tǒng)的任一網(wǎng)口與隔離交換矩陣中的 ASIC 芯片的一個(gè)或數(shù)個(gè)固化通道綁定，繼而與內(nèi)網(wǎng)主機(jī)系統(tǒng)的一個(gè)或數(shù)個(gè)網(wǎng)口綁定，從而實(shí)現(xiàn)一對(duì)一或一對(duì)多的網(wǎng)絡(luò)隔離交換；同樣地，外網(wǎng)主機(jī)系統(tǒng)的多個(gè)網(wǎng)口也可通過(guò)隔12 / 26離交換矩陣中的 ASIC 芯片與內(nèi)網(wǎng)主機(jī)系統(tǒng)的一個(gè)網(wǎng)口建立多對(duì)一的網(wǎng)絡(luò)隔離交換；內(nèi)網(wǎng)主機(jī)系統(tǒng)和外網(wǎng)主機(jī)系統(tǒng)的各自網(wǎng)口間通過(guò) VSP 禁止互訪。? 靈活的安裝部署系統(tǒng)通過(guò)在內(nèi)外網(wǎng)主機(jī)系統(tǒng)上影射內(nèi)外網(wǎng)服