什么是网闸?
网闸是位于两个不同安全级别的网络之间,通过链路阻断、协议转换的手段,以信息摆渡的方式实现高效安全的数据交换
是目前防护级别最高的一种技术手段
政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据(可能定级为涉密网或含有敏感数据的非涉密网),这些涉密数据是绝对不能流入比它密级低的网络中的,但这些网络通常又需要能从密级低的网络中获取数据。目前大多是采用人工拷盘的方式,但是人工拷盘存在安全隐患、效率较低。随着安全隔离技术的沉淀与积累,通过2年多的探索与研发,推出光单向安全隔离数据自动导入系统(简称单向网闸),通过此产品可以完美替代人工拷盘。
part 1: 单向网闸
产品功能
- 硬件规格
- 主模块
- 文件交换模块
- 防护设置
|
项目 |
技术要求 |
|
硬件规格 |
1. 系统采用2+1模式,即系统由A网主机模块、B网主机模块和交换模块组成,其中交换模块由分别插在A网主机和B网主机PCI-E接口的交换卡组成。 |
|
2. 隔离交换模块采用自主研发的基于安全芯片的专用硬件,采用单根光纤连接,保证数据单向从低安全域导入至高安全域。 |
|
|
3. 内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理 |
|
|
4. 内、外网分别具有独立的HA口,实现双机热备 |
|
|
5. 面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。 |
|
|
6. 内外网主机系统与交换模块之间采用高性能PCI-E连接,消除性能瓶颈 |
|
|
7. 内部交换带宽≥5Gbps |
|
|
10. 延时≤20us |
|
|
主模块 |
1. 提供基于Web的图形化管理和基于数字证书的远程安全管理 |
|
2. 支持对网络接口模式进行设定,进行灵活部署 |
|
|
3. 可以通过时间控制功能模块启用和停用网闸功能 |
|
|
4. 支持管理员角色定制和管理,可以添加多个管理员角色,并定制权限 |
|
|
5. 支持用户名/口令、数据证书等多种认证管理方式 |
|
|
6. 支持管理员登录失败锁定次数、锁定时间和超时时间的设定 |
|
|
7. 实现管理终端IP地址和端口的访问控制 |
|
|
8. 提供完善的日志审计 |
|
|
9. 支持Syslog |
|
|
10. 支持标准的SNMP协议 |
|
|
11. 支持配置管理,能够对单独模块进行配置导入导出 |
|
|
12. 支持系统补丁管理 |
|
|
13. 支持设备诊断信息导出 |
|
|
14. 可控制信息流动方向 |
|
|
15. 支持IP/MAC地址绑定和自动探测 |
|
|
16. 通过WEB管理界面进行设备的远程关闭及重启功能 |
|
|
17. 在配置界面提供调制工具,其中包括:tracert;ping;telnet;arp等。 |
|
|
18. 支持软硬件多核技术,通过界面能够查看到多核CPU使用率 |
|
|
19. 提供设备运行状态检测、系统资源监控 |
|
|
文件交换模块 |
1. 文件完整性采用“目录标签”校验机制、MD5校验、文件长度校验等多种文件完整性校验机制 |
|
2. 支持SMB、NFS、FTP三种文件传输协议进行文件单向传输 |
|
|
3. 支持文件传输方向控制:单向传输同步 |
|
|
4. 支持多种同步模式:复制加新增、源端删除等多种模式 |
|
|
5. 支持无客户端传输方式,不需要用户单独提供服务器,不需要安装任何客户端软件 |
|
|
6. 支持子目录同步控制和二进制文件同步控制 |
|
|
7. 支持包含子目录允许文件名、禁止文件名、允许扩展名、禁止扩展名等多种文件名过滤 |
|
|
8. 支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制 |
|
|
9. 可以设定同步任务的循环周期和开始时间 |
|
|
10. 支持暂缓传输文件控制 |
|
|
11. 提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。 |
|
|
12. 支持文件病毒过滤功能 |
|
|
13. 支持文件名与后缀的过滤 |
|
|
14. 支持任务运行标记 |
|
|
15. 发现文件不完整能够实现响铃告警、日志记录告警、GUI报表告警等多种报警机制 |
|
|
防护设置 |
1. 抗Dos攻击功能设置 |
|
2. ICMP应答功能设置 |
Part 2 双向网闸
功能:
- 硬件架构
- 主模块
- 文件交换模块
- 邮件模块
- 数据同步模块
- 数据库访问
- FTP
- 安全浏览模块
- 定制服务
- SSL通道
- socks代理
- 高可用性支持
- 防护设置
- 告警中心
|
项目 |
技术要求 |
|
硬 件 架 构 |
系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块 |
|
自主研发的基于安全芯片的专用隔离部件,无操作系统,外部无法编程控制,全硬件交换 |
|
|
内外端机为网络协议终点,彻底阻断各种网络协议, 保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其他网络协议 |
|
|
内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接,消除性能瓶颈 |
|
|
内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理 |
|
|
内、外网分别具有独立的HA口,实现双机热备及负载均衡 |
|
|
面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006P/G9000-E046M/G10000-E246M) |
|
|
主模块 |
采用基于linux内核的多核并行安全操作系统SecOS2 |
|
提供基于https的图形化安全管理,支持用户名/口令、数字证书等多种认证管理方式 |
|
|
支持跨网段管理,实现管理终端IP地址和端口的访问控制 |
|
|
管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限 |
|
|
支持管理员登录失败锁定次数、锁定时间和超时时间的设定 |
|
|
支持对网络接口模式进行设定、MTU修改,进行灵活部署 |
|
|
支持默认路由、静态路由及基于源地址的策略路由功能。 |
|
|
具有状态日志审计功能,能够对CPU、内存、设备信息、许可证信息、运行时间、交换卡状态、网络接口状态、功能模块运行状态等进行阀值设定并基于阀值进行日志审计。 |
|
|
具有独立审计用户,支持标准Syslog日志审计方式,支持Syslog端口自定义,支持内外端机主机名更改,强化日志审计及集中管理功能,能够对功能访问模块拒绝访问进行日志记录。 |
|
|
支持标准的SNMP协议安全管理 |
|
|
支持通过SecFOX安全管理系统实现的集中安全管理 |
|
|
支持配置管理,能够对单独模块及全部模块配置进行配置导入导出 |
|
|
具有系统补丁管理功能 |
|
|
支持设备诊断信息导出 |
|
|
支持许可证下载,方便维护管理 |
|
|
支持状态日志配置,通过设置硬件信息使用率进行日志记录及暂停使用 |
|
|
支持IP/MAC地址绑定和自动探测 |
|
|
通过WEB管理界面进行设备的远程关闭及重启功能 |
|
|
支持NTP网络时间同步;支持内外端机系统时间同步 |
|
|
提供调制工具,其中包括:trace、connect、tcpdump、ping、arp等 |
|
|
支持软硬件多核技术;通过界面能够查看到多核CPU使用率(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006/G9000-E046M/G10000-E246M型号) |
|
|
提供设备运行状态检测、系统资源监控。 |
|
|
文件交换模块 |
支持文件传输方向控制:单向传输和双向同步 |
|
支持NFS、SMB、FTP等文件传输协议实现文件同步。支持不同文件传输协议之间的文件同步,如:NFS与SMB之间的文件同步 |
|
|
文件交换模块支持病毒检测功能,支持通过文件大小控制病毒查杀; |
|
|
支持多种同步模式: 完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式。 |
|
|
文件交换支持传送优先级,可根据文件大小、后缀名等多种方式进行优先级排序传输 |
|
|
支持断点续传 |
|
|
支持无客户端传输方式,不需要安装任何客户端软件。 |
|
|
支持专用文件交换客户端,通过与网闸之间数据加密后实现文件交换。 |
|
|
支持被动传输方式,设备提供共享空间被动接受用户提交的文件。 |
|
|
支持子目录同步控制和二进制文件同步控制。 |
|
|
支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制。 |
|
|
可以设定同步任务的循环周期和开始时间。 |
|
|
支持暂缓传输文件控制。 |
|
|
提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。 |
|
|
既支持文件名及后缀名过滤,同时支持文件类型识别过滤,即不基于后缀名的过滤。 |
|
|
支持任务运行标记。 |
|
|
邮件模块 |
邮件模块支持病毒检测功能;支持通过文件大小控制病毒查杀;支持超长邮件限定是否接受; |
|
支持SMTP、POP3通用协议,支持SMTP认证 |
|
|
支持垃圾邮件过滤,支持对邮件内容和附件的过滤 |
|
|
支持SMTP、POP3用户名过滤 |
|
|
支持对邮件的数字签名 |
|
|
支持邮件地址、主题、内容及附件关键字过滤 |
|
|
支持对附件及其附件的大小和类型进行过滤控制 |
|
|
能够对邮件访问的源/目的地址、端口进行访问控制 |
|
|
支持任务运行标记 |
|
|
支持任务运行时间控制 |
|
|
数据库同步模块 |
支持Oracle、SQL Server等多种主流数据库同步 |
|
不需要更改数据库结构和添加数据表,不影响数据库服务器性能 |
|
|
同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安全任何第三方软件),支持windows、linux、unix等多种数据库操作系统类型。 |
|
|
网闸不需要开放任何服务端口,避免造成漏洞 |
|
|
支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化 |
|
|
支持一对一、一对多、多对一数据库同步 |
|
|
支持周期复制、实时复制、增量更新等多种同步方式。 |
|
|
支持设定同步时间和同步周期 |
|
|
支持大字段和二进制字段的数据同步 |
|
|
支持字段级同步 |
|
|
支持双向同步 |
|
|
支持具有复杂关联关系的数据库表的同步 |
|
|
数据库访问 |
支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问 |
|
支持访问用户名过滤 |
|
|
支持源地址、源端口、目的地址、目的端口黑白名单控制; |
|
|
支持任务运行标记 |
|
|
支持任务运行时间控制 |
|
|
F T P 模块 |
支持透明模式、代理模式及混合模式 |
|
FTP访问模块支持病毒检测功能,支持通过文件大小控制病毒查杀; |
|
|
支持FTP主动、被动工作模块转换 |
|
|
支持禁止文件断点续传功能。 |
|
|
采用端到端的安全通道式访问 |
|
|
支持对访问用户的限制 |
|
|
不仅支持传输文件扩展名过滤,而且可以根据文件内容识别进行文件类型过滤。 |
|
|
支持PORT命令端口范围控制 |
|
|
支持传输文件中文件名控制 |
|
|
支持FTP访问命令过滤 |
|
|
支持访问时间控制 |
|
|
支持对访问的FTP服务器地址的重定向 |
|
|
支持源地址和目的地址控制 |
|
|
支持最大连接数控制 |
|
|
支持单个IP最大连接数限制 |
|
|
支持任务运行标记 |
|
|
安全浏览模块 |
支持代理模式、透明模式 |
|
安全浏览模块支持病毒检测功能,支持通过内容长度控制病毒查杀;支持图片文件、媒体文件等文件类型病毒检查;可设定病毒扫描内容最大长度。 |
|
|
支持对代理上网端口的进行控制 |
|
|
支持URL后缀黑白名单控制 |
|
|
支持MIME类型细粒度控制,如网页中的应用程序、视频、音频、图像、文本等进行细粒度控制 |
|
|
支持对HTML细粒度控制,如网页中的Script脚本、ActiveX脚本、java applet、cookie等 |
|
|
支持HTTP方法控制,如POST、GET、HEAD、CONNECT等。 |
|
|
支持断点续传控制 |
|
|
支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式 |
|
|
支持用户上网的IP控制 |
|
|
支持用户上网时段限制 |
|
|
支持用户连接数限制 |
|
|
定制服务 |
支持TCP定制服务;支持源地址绑定、网络接口地址绑定功能; 支持源地址、源端口、目的地址、目的端口过滤功能; |
|
支持UDP定制服务;支持网络接口地址绑定功能; 支持源地址、源端口、目的地址、目的端口过滤功能; |
|
|
支持组播的定制服务 |
|
|
支持广泛的基于TCP/UDP视频应用 |
|
|
支持任务运行标记 |
|
|
支持任务运行时间控制 |
|
|
S S L 通道 |
支持SSL隧道访问模式; 针对FTP访问模块、数据库访问模块、邮件访问、定制模块等模块,通过网闸实现访问客户端认证、授权及访问链路加密,保证客户端访问合法性及访问链路的安全性。认证方式支持用户名口令认证及证书认证。 |
|
Socks代理 |
支持Socks4、Socks5版本代理功能 |
|
支持本地用户认证、radius等认证方式 |
|
|
能够实现基于源地址、目的地址、源端口、目的端口的访问控制 |
|
|
高可用性支持 |
支持双机热备及超过双机的多机热备功能 |
|
热备检测通讯接口可以设置为HA接口、网络接口等(非第三方软件实现),支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,发现异常便实现主备切换,支持HA状态实时查看,双机故障邮件报警,支持双机负载检测间隔设置,支持设备优先级设置和自动抢占功能 |
|
|
支持多机(最多32台)负载均衡,支持负载分担、负载信息查看、自动切换、自动恢复等。 |
|
|
支持端口和链路的冗余:无需其他设备支持和配合,实现了在一条链路故障时,业务能够切换到另一条链路上。 |
|
|
防护设置 |
支持入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。 |
|
具有防病毒模块,支持在线升级、离线升级等病毒库升级方式。可针对文件交换、安全浏览、FTP访问、邮件访问等多种模块进行病毒防护。 |
|
|
抗Dos攻击功能设置 |
|
|
允许/禁止ICMP应答功能设置 |
|
|
告警中心 |
提供告警,支持声音告警、邮件告警等告警方式 |
Part 3: 双向网闸
- 硬件架构
- 主模块
- 通用视频模块
- 专用视频模块
- 高可用性支持
- 防护设置
|
项目 |
技术要求 |
备 注 |
|
硬件架构 |
系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块 |
|
|
自主研发的基于安全芯片的专用隔离部件,无操作系统,外部无法编程控制,全硬件交换 |
||
|
内外端机为网络协议终点,彻底阻断各种网络协议, 保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其他网络协议 |
||
|
内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接,消除性能瓶颈 |
||
|
★内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理 |
部分控标:天行网安、金电网安、天融信、伟思、国保金泰等不满足。 |
|
|
★内、外网分别具有独立的HA口,实现双机热备及负载均衡 |
部分控标:天行网安、金电网安、天融信、伟思、国保金泰等不满足。 |
|
|
★面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。 H1500-E026P/M、H5000-E006P/M、H9000-E006P/M H9000-E046M、H10000-E046M |
部分控标:伟思、利谱、天行(8800型号支持)除外,其他厂家不满足。 |
|
|
主模块 |
采用基于linux内核的多核并行安全操作系统SecOS2 |
|
|
★提供基于https的图形化安全管理,支持用户名/口令、数字证书等多种认证管理方式 |
部分控标:天行网安、金电网安、天融信、伟思、国保金泰等不满足。 |
|
|
管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限 |
部分控标:金电网安、天融信、利谱、中网、国保金泰等不满足。 |
|
|
支持管理员登录失败锁定次数、锁定时间和超时时间的设定 |
||
|
实现管理终端IP地址和端口的访问控制 |
||
|
★支持对网络接口模式进行设定(支持网闸同一侧网络接口桥模式设定或bonding设定),进行灵活部署(提供证明截图) |
部分控标:网御星云外所有厂商均不满足。 |
|
|
提供完善的日志审计 |
||
|
支持标准Syslog日志审计方式,支持Syslog端口自定义(提供证明截图) |
||
|
支持标准的SNMP协议 |
||
|
支持内外端机主机名更改,强化日志审计及集中管理功能。(提供证明截图) |
业界唯一:所有厂商均不满足。 |
|
|
支持配置管理和补丁管理 |
||
|
★支持配置管理,能够对单独模块及全部模块配置进行配置导入导出(提供证明截图) |
业界唯一:所有厂商均不满足。 |
|
|
★支持设备诊断信息导出(提供证明截图) |
业界唯一:所有厂商均不满足。 |
|
|
★支持许可证下载,方便维护管理(提供证明截图) |
业界唯一:所有厂商均不满足。 |
|
|
可控制信息流动方向 |
||
|
支持IP/MAC地址绑定和自动探测 |
||
|
远程关闭与重启:通过WEB管理界面进行设备的远程关闭及重启功能 |
||
|
支持NTP网络时间同步; ★支持内外端机系统时间同步(提供证明截图) |
业界唯一:所有厂商均不满足。 |
|
|
★提供调制工具,其中包括:trace;ping;telnet;arp等(提供证明截图) |
业界唯一:所有厂商均不满足。 |
|
|
支持软硬件多核技术 ★通过界面能够查看到多核CPU使用率 H1500-E026P/M、H5000-E006P/M、H9000-E006P/M H9000-E046M、H10000-E046M |
业界唯一:所有厂商均不满足。 |
|
|
设备运行状态检测、系统资源监控 |
||
|
通用视频模块 |
视频分辨率支持D1、VGA、2/3D1、1/2D1、SIF等多种分辨率,具有低延迟、低丢包率等特性 |
|
|
支持视频服务器认证,有效保证非法视频服务器不能接入用户的内部网络 |
||
|
支持互信互通、南望、先进视讯、华为3COM、天视等多种主流视频控制协议。 |
||
|
支持DB33标准 |
||
|
支持视频会议 |
||
|
专用视频模块 |
支持通用视频模块、公安三所视频模块、公安一所视频模块、星望视讯模块、蛙视视频模块、大华视频模块、科达视频模块、海康视频模块、天久视频模块等多个厂家视频服务; 支持SIP、RTSP代理 支持SIP、RTSP指令控制 支持静态通道、流媒体通道配置 支持通道配额分配 支持用户分级管理,根据用户的IP将用户分为普通用户和特权用户,为特权用户预留通道,保障特权用户的优先访问; 支持通道流量统计,支持按分钟、小时为单位进行通道流量统计 支持视频压缩标准:MPEG4、H.264等数字图像编解码标准。 支持公安三所视频交换平台; 支持信令、视频流通道分离,保证各通道可控; 支持视频流通道单向传输; 支持公安一所视频交换平台; 支持视频管理服务器数据转发,视频管理服务器通道建立; 支持视频SIP服务器数据转发,SIP管理服务器通道建立; 支持星望视频平台; 支持用户接入认证; 支持对象接入认证; 支持视频格式过滤; 支持视频动态端口段自定义开放; 支持海康视频平台; |
|
|
高可用性支持 |
支持端口和链路的冗余:无需其他设备支持和配合,实现了在一条链路故障时,业务能够切换到另一条链路上。 |
|
|
防护设置 |
ICMP应答功能设置 |
|
|
抗Dos攻击功能设置 |
时间: 2024-11-05 12:18:30