网御网闸
网御SIS-3000系列是网御依靠多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规范要求,具有完全自主知识产权的安全隔离与信息交换系统。该产品是利用网络隔离技术的访问控制产品,处于网络边界,连接两个或多个安全等级不同的网络,主要应用于政府部门网络建设中,对重点数据提供高安全隔离的保护。
- 系统简介
- 产品功能介绍
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
产品概述
网御SIS-3000系列是网御依靠多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规范要求,具有完全自主知识产权的安全隔离与信息交换系统。该产品是利用网络隔离技术的访问控制产品,处于网络边界,连接两个或多个安全等级不同的网络,主要应用于政府部门网络建设中,对重点数据提供高安全隔离的保护。
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
技术优势
安全的隔离硬件
安全的操作系统
应用协议内容安全
▪ 数据库传输模块(访问):在内外网隔离环境下实现对Oracle、Sybase、SQL server、DB2、Mysql、达梦、人大金仓、Gbase、神通数据库、博阳、MongDB等多种数据库系统的安全访问和同步。
▪ 邮件传输模块:在内外网隔离环境下实现内网用户安全访问外网邮件服务器,支持电子邮件地址控制,支持邮件主题过滤、内容过滤、附件过滤。
▪ 安全浏览模块:在内外网隔离环境下保证内网用户安全浏览外网资源,支持本级认证,支持URL过滤、ActiveX、Cookie、JavaApplet等恶意代码过滤。
▪ FTP访问模块:在内外网隔离环境下实现安全的FTP访问,支持动态建立数据通道,支持用户控制、命令控制、文件类型控制等细粒度访问控制。
▪ TCP/UDP访问模块:在内外网隔离环境下特定TCP、UDP协议的数据交换。
▪ 其他模块:用户定制的专用应用模块。
▪ 支持登录防爆破,登录密码超出设定次数,系统自动锁定。
▪ 支持用户访问控制,管理主机与网闸间通过证书认证和用户密码才可登录,其它应用中支持用户统一身份认证,保证登录系统的用户是合法的。
▪ 支持IP/MAC绑定功能,防止非授权管理及其登录系统。
▪ 完善的日志审计功能。日志支持远程和本地管理,支持标准的Syslog的接入;
不同的功能模块根据各自的需求特点,在应用层实现了功能强大的过滤机制,通过对应用层内容的过滤和检测,进一步保障数据的安全。这些包括:关键字检测、黑白名单过滤、文件类型检验、用户名/口令校验、数据数字签名、身份认证、控件过滤、脚本过滤、URL过滤、邮件属性过滤等等。系统还可以根据用户的安全需要进行二次开发,对用户数据进行深度安全检测。
网络层安全
强的抗攻击能力
主机系统内置独立的网御自主研发的USE(Uniform Secure Engine)统一安全引擎,与系统紧密集成,包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采用实时入侵检测机制和自动响应技术,可选择配置不同的攻击特征码并且支持攻击特征码分类,可以根据大类进行特征码选择。
防IP地址盗用
支持IPv4/IPv6双协议栈接入,支持Oracle、SQL Server、Sybase、Db2等主流数据库间单向和双向同步;支持同构、异构同步;支持一对多,多对一同步;支持字段级的同步,具有条件同步等多种同步策略;支持详细的日志审计和报警功能;同时支持身份认证、数据冲突及容错处理、同步数据的查询与统计功能,支持病毒检测,支持同步客户端的双机热备功能;
实现内网用户安全浏览外网资源,有效保证内网数据的安全;支持透明访问和普通访问方式;支持多种用户认证方式;支持对各种命令过滤功能等多种功能;支持用户身份认证;支持URL、关键字过滤;
高速代理访问,支持普通访问和透明访问,可以对源地址和端口、目的地址和端口的访问控制;支持多种应用服务类型,如H323、H323_GK、SNMP、DNS等协议;
具有抗DoS、DDoS攻击功能,当拒绝服务攻击发生时能保障对正常应用请求的应答;支持实时入侵检测功能,并可设置自动阻断响应;
全模块支持文件扫描和流式病毒扫描两种检测技术,采用自有知识产权的病毒防护引擎;采用国内知名病毒厂商特征库;
典型应用
数据同步
▪ 数据库同步
网御数据库同步功能,支持Oracle、SQLServer 、DB2、Sybase等主流数据间的同种或异种数据库增量、全表同步,具体部署结构如下:
网御网闸数据库同步功能示意图
网御网闸部署于信任网络业务系统数据库与非信任网络业务系统数据库之间,网御专用DB Client根据策略主动到源DB中抓取变化数据,然后通过加密协议将数据发送至网御网闸设备,网御网闸设备将数据摆渡至接收端专用DB Client,接收端专用DB Client将数据最终推送到目标DB。
网御数据库同步功能采用事前防范、事中报警、事后追踪的技术理念,确保数据在同步过程中的数据类型匹配、数据冲突检测以及数据容错控制,确保用户数据在传输过程中,在断电、网络中断、业务中断等多种繁杂情况下,用户数据不丢失。数据在整个传输过程中可审、可查、可追溯。
网御文件同步功能采用格式检查、内容过滤、病毒检测、时间控制等多种安全策略实现安全、可控的数据交换。支持有客户端和无客户端两种部署方式,支持Windows、Lniux等多种系统平台,支持一源多目的、多源一目的、多源多目的等多种应用环境,文件同步应用部署如下:
网御网闸文件同步功能示意图
网御文件同步功能采用系统监控方式,可实时监控文件的OPEN、CLOSE状态,第一时间捕获变化的文件。系统采用多线程、异步工作方式,极大提高文件同步的性能。
网御网闸文件同步应用时,部署于信任网络与非信任网络文件服务器之间,使用专用客户端时,专用基金客户端部署于文件服务器,实时监控文件的增量变化,获取数据后将数据加密传输至网御网闸设备,网闸将数据摆渡至接收端专用File Clent,FileClent将数据写入目标File Server。
网御网闸根据用户应用的特点,提供专用代理服务模块,除支持FTP、HTTP/HTTPS、SMTP、POP3等多种常规应用协议外,还可根据用户需求提供私有协议代理功能开发。网御网闸代理功能应用部署如下:
网御网闸代理访问功能示意图
当用户使用代理访问模块时,如启用FTP传输模块,网闸立刻开启FTP代理服务功能。下面以用户的FTP访问流程为例进行说明:
▪ 建立连接
用户在客户端输入网闸内网口IP地址(普通代理)和用户名密码,网闸接到数据包后根据配置策略进行访问控制,网闸内网主机首先在网络层和传输层对用户的源IP及目标IP和端口进行合规性检查,合规则进行数据还原,非合规则丢弃该包并向用户返回提示信息;然后数据还原至应用层,网闸内网主机按照FTP协议格式进行协议解析,对访问的用户名进行合规检查,合规则进行下一步操作,非合规则丢弃该包并向用户返回提示信息;最后网闸内网主机将数据按照网御私有协议进行数据封装,通过隔离交换部件摆渡到外网主机,外网主机按FTP协议进行还原,将请求发送到服务器,根据TCP/IP协议三次握手建立连接;
用户从服务器下载数据,如输入mget a.doc,网闸内网主机收到数据包后进行协议解析,根据用户策略进行操作行为(命令)控制,检查用户是否具有下载(上传)的权限,如是否禁止了GET命令,如果合规,则将数据进行私有协议封装,安全摆渡至外网主机,外网主机进协议还原,将请求转发至目标服务器;否则丢弃该数据包并向用户返回提示信息;
目标服务器返回数据,网闸外网主机接收到数据包,进行协议解析,内容过滤等操作,如进行文件格式检查、文件大小控制等,合规则进行下一步操作,否则向用户返回提示信息;最后将合规数据按照私有协议进行封装,通过隔离交换部件将私有协议数据包安全摆渡至内网主机;内网主机对合规数据进行FTP协议还原,将数据返回至客户端;
网御网闸通过接入访问控制、操作行为(协议命令)控制、内容过滤等三层“过滤网”,实现合法的终端、合法的用户访问指定的服务,通过指定的规则传输合规的内容,配合网御网闸的隔离交换部件,实现内外网安全隔离的同时,保证数据的安全摆渡。
