【VIP专享】伟思网闸技术说明
伟思网闸
文件夹同步
• 有两种方式:单向,双向同步。单向是源目录向目标目录同步,就 是源目录所发生的变化同步到目标目录,而目标目录发生的变化不 做操作。双向同步则是两个目录所发生变化都相应地同步到对应目 录上。 • 监控方式:分为创建,修改,删除三种,只有选中的时候才会在变 化发生时同步到目标目录。如在同步方式为单向时,源目录上为监 控创建,则源目录发生创建时会同步到目标目录,目标目录发生删 除和修改则不会进行同步。修改和删除同理。删除源文件选项为在 进行同步任务时,文件已同步到目标目录后,将源目录里对应该的 文件删除的选项。 • 定时此选项需要设置一个时间来进行同步,以秒、分钟、小时为单 位,用户可以自行设置。 • 删除源文件只提供单向的文件同步方式。 • 文件修改时间,则文件同步时以文件的最后修改时间作为是否同步 的判断标准,源文件的最后修改时间比目标文件要新时才进行同步 覆盖。
目录
伟思网闸 文件夹同步 数据库同步
文件夹同步
• 伟思文件同步系统主程序界面如图一所示程序支持两种方式的文件同 步:一、普通WINDOWS的目录间的同步,二、FTP间和FTP到 WINDOWS目录的同步。
文件夹同步
• 用户要进行同 步的目录,可 以通过浏览按 钮来进行选择 。也可以自行 输入,在目录 位置的输入框 所示的形式: \\192.168.0.84\te st;在用户名、 密码位置输入 有权限访问同 步目录的用户 、密码。
数据库同步
数据库同步
• 新建任务 1、任务定义:任务名不允许包含特殊符号。
数据库同步
• 新建任务 2、源数据库、目标数据 库连接: 同步账号:用来执行同 步任务的账号,只需有 连接数据库的权限即可, 剩下的操作同步表的权 限将由程序利用数据库 环境初始化账号自动设 置; 数据库环境初始化账号: 必须有建表,删除表, 建触发器,删触发器的 权限,在oracle中,该 账号必须是所要建的同 步表的拥有者;
网闸基本全参数1
网闸基本全参数1网闸1.设备参数要求:指标要求系统架构采用“2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成。
采用安全操作系统平台,隔离交换矩阵基于专用芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议系统要求采用具有自主知识产权的多核多线程ASIC并行操作系统平台,并提供该安全操作系统的软件著作权;接口配置要求不少于6个10/100M自适应电口,内外网主机系统分别具有独立的网络口、管理口、HA口(热备口)、扩展口;内外网主机系统分别具有1个RJ45串口;性能系统吞吐量不小于91Mbps并发连接数不小于 1.2万延时小于1ms交换开关切换小于2ns文件交换支持病毒检测;支持NFS、SMBFS、SAMBA等文件系统;文件服务器可以是Windows、Linux/Unix等系统平台;支持文件传输方向可控,实现单向或双向传输;支持按任务进行分策略过滤;支持一源多目的及多源一目的文件交换;文件交换可以采用客户端方式和无客户端方式的部署;文件传输支持身份认证及加密传输;支持增量传输、发送后删除、发送后转移等发送策略;支持文件格式特征过滤,并且不依赖于文件扩展名;支持文件类型检查可扩展模式,方便用户自主增加特定文件类型,并提供工具帮助用户识别不常见文件类型;(要求功能界面截图)重发策略,在文件发送端设置发送次数支持时间策略;支持文件大小传输限制;重名策略,接收端客户端支持对重名文件的控制策略,提供“覆盖”、“丢弃”、“重命名”等重名策略。
具备详细的日志记录功能,方便日志查询、统计等操作;可根据异常条件进行报警;支持邮件报警方式;数据库同步支持病毒检测;支持Oracle、SQL Server、Sybase、Db2等主流数据库;数据库同步客户端支持Windows、Linux等多种平台;支持Oracle数据库RAC集群同步;支持同种数据间(同构)和不同种数据库间(异构)的同步;支持字段级数据库间的单向或双向同步(不改变用户的库结构)。
伟思安全隔离与信息交换系统ViGap500WZ技术参数
伟思安全隔离与信息交换系统ViGap500WZ技术参数说明硬件物理隔离具备硬件物理隔离部件系统采用2+1架构设计,包括内端机、外端机和独立的硬件隔离信息交换区。
*该部件采用专用隔离芯片设计,不支持通用通讯协议,不可编程隔离区包含基于ASIC设计的开关隔离芯片,不采用SCSI、网卡以及任何加/解密等方式。
隔离区信息交换采用DMA方式实现。
断开内外网TCP/IP连接设备断开内外网络TCP/IP连接内部数据交换速率>5.8Gbps接口网络接口包含八个100/1000M自适应端口管理接口内网唯一一个RS232接口,外网端不允许配置任何形式的管理接口,所有管理配置操作均通过网闸内网管理接口进行配置;网闸设备配置文件保存在网闸内网端。
*多网连接支持内外网端同时连接多个网络,实现多个网络的直接接入和安全隔离。
系统性能并发连接会话数>200,000 系统延时<50μs系统带宽>900Mbps资质要求隔离网闸资质证书公安部销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书(军C+)国家信息安全产品认证证书应用支持全面支持TCP/IP以上应用层协议系统透明支持TCP/IP以上的应用层协议,网页浏览、数据库复制、文件交换、数据库访问、邮件、消息服务等无需二次开发数据库数据库同步SQLServer、Oracle等的单、双向数据交换;支持周期复制、实时复制、增量更新等多种同步方式;支持设定同步时间和同步周期;支持复杂网络部署,不需改变用户网络环境;数据库访问支持SQLServer、Oracle、Sybase、DB2等常见数据库应用;文件交换文件同步和访问支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式;支持文件复制、移动、增量等多种传输方式;支持断点续传。
安全访问控制功能IP、网络、时间、协议端口、内容过滤等对象访问控制支持多种方式的访问控制,包括源,目的IP、子网、时间、时间端口、内容过滤IP/MAC地址绑定可实现基于IP+MAC绑定的客户端访问控制;支持MAC认证用户:应用于DHCP网络环境下;抗DDOS攻击防止多个DOS攻击源一起攻击某台服务器单/双向通讯控制支持单、双向可选的访问控制流量管理*流量控制支持任意接口之间都可以做流量管理和控制支持动态带宽调整;根据作用条件自动调整应用服务或IP流量的带宽值。
珠海伟思隔离网闸产品手册
珠海伟思隔离网闸技术白皮书目录一、概述 (2)一、 .......................................................................................................................................... 网络安全现状 2二、 ................................................................................................................................. 现有网络安全技术 23、现有网络安全技术(防火墙技术)的缺点 (3)4、GAP技术简介 (3)二、ViGap介绍 (6)一、ViGap产品简介 (6)2、ViGap产品原理 (6)三、ViGap功能 (7)一、ViGap产品定位 (7)2、ViGap产品功能 (8)四、ViGap产品性能 (9)一、ViGap产品技术指标 (9)ViGap 100-150 (10)ViGap 100-350 (10)2、ViGap产品硬件和软件包 (10)五、ViGap产品应用 (11)一、通用解决方案 (11)二、重要网络数据资源保护 (12)3、电子政务安全岛 (12)ViGap技术白皮书一、概述1、网络安全现状运算机网络的普遍应用是现今信息社会的一场革命。
电子商务和电子政务等网络应用的进展和普及不仅给咱们的生活带来了专门大的便利,而且正在创造着庞大的财富,以Internet 为代表的全世界性信息化浪潮日趋深刻,信息网络技术的应用正日趋普及和普遍,应用层次不断深切,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,运算机网络也正面临着日趋剧增的安全要挟。
广为网络用户所知的黑客行为和解决活动正以每一年10倍的速度增加,网页被修改、非法进入主机、发送冒充电子邮件、进入银行系统盗取和转移资金、窃取信息等网络解决事件此起彼伏。
伟思ViGap安全隔离与信息交换系统v6.5技术白皮书(2012)-推荐下载
(5) (5) (28)与此同时,计算机网络也正面临着日益剧增的安全威胁。
广为网络用户所倍的速度增长,网页被修改、非法进入主针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、入侵检测技术也存在着局限性。
其最大的局限性就是漏报和误报严重,它的,此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝TCP连接,连接、不可信端到可信端的专有封值得提出的是,ViGap不但在逻辑上终止了TCP对话,还从物理上断开了内外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。
GAP技术的关键技术要点是:要点描述Inject攻脚本等各类应内网管理配置,策略存储均在内网进行,避免外部任何威胁对设备自身的-1000三、ViGap 功能3.1、ViGap 产品定位现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题,但是,对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS 攻击、分布式DoS 、缓冲区溢出攻击等各类网络安全问题,已有的各类网络安全技术中,仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。
即使是使用一些高级的安全技术,例如网络防火墙,加密技术和代理,但是对任何一个单一的安全技术,网络安全问题都得不到很好的解决。
下图示意描述了现今可用的各种网络安全解决方案,在这个示意图中,按照应用的不同,网络本身被分为两个部分,即网络层和应用层。
而在各种网络安全方法中,包括了防范已知网络安全问题和未知网络安全问题的方法,各种网络安全技术都分别解决了相应部分的网络安全问题。
GAP 安全解决方法优势在于它既能阻塞又能预防。
阻塞发生在已经知道的攻击而预防则是对于未知的攻击。
已知防护措施(阻塞)未知防护措施(防护)网络层保护应用层保护FireWallApplicationProxyApplication ScannerViGap在上图的左上部分,是防火墙产品主要防范的网络安全问题,它能够对已知的攻击提供适当的保护,这也就意味着防火墙必须进行调整来鉴别威胁。
通过网闸技术实现内外网隔离
网闸技术构建内外网一体化门户一、序言近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。
电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。
电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。
如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。
一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。
本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。
二、网闸的概述1、网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。
由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。
所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。
2、网闸的组成网闸模型设计一般分三个基本部分组成:·内网处理单元:包括内网接口单元与内网数据缓冲区。
·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。
3、网闸的主要功能∙·阻断网络的直接物理连接和逻辑连接∙·数据传输机制的不可编程性∙·安全审查∙·原始数据无危害性∙·管理和控制功能∙·根据需要提供定制安全策略和传输策略的功能∙·支持定时/实时文件交换∙·支持Web方式∙·支持数据库同步三、政府网络中物理隔离技术的应用1、我国网络信息安全现状随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展,Inter net正在逐渐融入到社会的各个方面。
伟思ViGap安全隔离与信息交换系统v6.5技术白皮书(2012)-推荐下载
(5) (5) (28)与此同时,计算机网络也正面临着日益剧增的安全威胁。
广为网络用户所倍的速度增长,网页被修改、非法进入主针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、入侵检测技术也存在着局限性。
其最大的局限性就是漏报和误报严重,它的,此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝TCP连接,连接、不可信端到可信端的专有封值得提出的是,ViGap不但在逻辑上终止了TCP对话,还从物理上断开了内外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。
GAP技术的关键技术要点是:要点描述Inject攻脚本等各类应内网管理配置,策略存储均在内网进行,避免外部任何威胁对设备自身的-1000三、ViGap 功能3.1、ViGap 产品定位现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题,但是,对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS 攻击、分布式DoS 、缓冲区溢出攻击等各类网络安全问题,已有的各类网络安全技术中,仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。
即使是使用一些高级的安全技术,例如网络防火墙,加密技术和代理,但是对任何一个单一的安全技术,网络安全问题都得不到很好的解决。
下图示意描述了现今可用的各种网络安全解决方案,在这个示意图中,按照应用的不同,网络本身被分为两个部分,即网络层和应用层。
而在各种网络安全方法中,包括了防范已知网络安全问题和未知网络安全问题的方法,各种网络安全技术都分别解决了相应部分的网络安全问题。
GAP 安全解决方法优势在于它既能阻塞又能预防。
阻塞发生在已经知道的攻击而预防则是对于未知的攻击。
已知防护措施(阻塞)未知防护措施(防护)网络层保护应用层保护FireWallApplicationProxyApplication ScannerViGap在上图的左上部分,是防火墙产品主要防范的网络安全问题,它能够对已知的攻击提供适当的保护,这也就意味着防火墙必须进行调整来鉴别威胁。
伟思网闸
400 的IP 地址的初始化客户机。
伟思网闸
• 配置伟思网闸是需安装伟思ViGapAdmin软件
• 伟思ViGapAdmin软件的默认用户名:admin,密码admin05
数据库同步
数据库同步
• 新建任务 1、任务定义:任务名不允许包含特殊符号。
数据库同步
• 新建任务 2、源数据库、目标数据 库连接: 同步账号:用来执行同 步任务的账号,只需有 连接数据库的权限即可, 剩下的操作同步表的权 限将由程序利用数据库 环境初始化账号自动设 置; 数据库环境初始化账号: 必须有建表,删除表, 建触发器,删触发器的 权限,在oracle中,该 账号必须是所要建的同 步表的拥有者;
伟思网闸
• 映射配置
伟思网闸
• 协议添加 1. 右键点击“协议”从弹出菜单中点击“新建”
伟思网闸
• 1. 路由添加 点击“高级隔离 功能”从弹出菜 单中点击“路由 设置”; 点击“添加”, 填写IP地址段、 掩码、网关,点 击“确定”;
2.
伟思网闸
•
1.
2.
3.
配置上传、下载、 备份 上传:进入隔离 设备,点击“更 新设备配置”; 下载:进入隔离 设备,点击“下 载设备配置”; 备份:找到 ViGapAdmin软 件的安装跟目录, 备份Admin.con、 RuleBase.con文 件
文件夹同步
• 过滤文件选中 时,可以对想 要的文件类型 的文件进行过 滤,如选择黑 名单的单选项 时,所选择的 文件类则不进 行文件同步( 黑名单)。选 择白名单则为 只对所选择的 文件类型的文 件进行文件同 步(白名单) 。
网络安全产品-网闸
GAP的主流实现技术
基于SCSI的网闸技术
基于SCSI的网闸技术是目前最主流的网闸技术。SCSI是一个 外设读写协议,而不是一个通信协议。外设协议是一个主从的单 向协议,外设设备仅仅是一个介质目标,不具备任何逻辑执行能 力,主机写入数据,但并不知道是否正确。需要读出写入的数据, 通过比较来确认写入的数据是否正确。因此,SCSI本身已经断开 了OSI模型中的数据链路,没有通信协议。但SCSI本身有一套外 设读写机制,这些读写机制保证读写数据的正确性和可靠性。 SCSI的可靠性保证,与通信协议的保证在机制上是不同的。通 信协议的可靠性保证是通过对方的确认来完成的。SCSI写入数据 的可靠性保证,是靠验证来确认。对通信协议的攻击,受害者是 对方,对SCSI的读写机制进行破坏,不会伤害到对方。“
网闸(GAP)工作示意图
内网与专网(或外网)之间无信息交换时,物理隔离网闸与内 网,物理隔离网闸与专网,内网与专网(或外网)之间是完全 断开的,即三者之间不存在物理连接和逻辑连接
网闸(GAP)工作示意图
当内网数据需要传输到专网(或外网)时,物理隔离网闸主动向内网 服务器数据交换代理发起非 TCP/IP协议的数据连接请求,并发出 “写”命令,将写入开关合上,并把所有的协议剥离,将原始数据 写入存储介质。在写入之前 ,根据不同的应用,还要对数据进行必 要的完整性、安全性检查,如病毒和恶意代码检查等。
公安部发放销售许可证的物理 隔离网闸产品情况表
表1 公安部发放销售许可证的物理隔离网闸产品情况表
单位 北京京泰网络科技有限公司 北京盖特佳信息安全技术有限 公司 北京大唐永创科技发展有限公 司 北京天行网安信息技术有限责 任公司 北京天行网安信息技术有限责 任公司 联想控股有限公司 中网信息技术有限公司 珠海经济特区伟思有限公司 证书号码 XKC30146 XKC30242 XKC30253 XKC30268 XKC30269 XKC30361 XKC30363 有效期 2003070 4 2004061 1 2004071 5 2004082 6 2004082 6 2005030 7 2005031 2 产品名称 京泰网络物理隔离系统 BHLNET 1.0 网闸动态实时网络隔离系统V1.0 网络隔离系统 SafeDoor 1000 安全隔离网闸 M-1000型 安全隔离网闸WD-1000型 联想网御安全隔离网闸 网御SIS-3000。 中网隔离网闸X-gap V1.0 伟思网络安全隔离网闸ViGap
300网闸配置
伟思安全隔离网闸Vigap300型号的配置说明与注意事项配置前的准备工作:1)网闸外观和接口2)实施前要知道客户的网络拓扑图,根据客户应用决定网闸需要安装在哪个节点,和网闸需要的IP地址数3)先把用来配置网闸的电脑IP修改成10.119.119.*(119除外),掩码255.255.255.0,安装控制平台后会在桌面生成一个快捷图标,对应的是所在安装目录的4)用直连网线(B类线)连上网闸可信端网口(网闸默认内网口和外网口各两个,只有中间的两个可以用),ping 10.119.119.119测试网络连接是否正常,然后进行配置。
5)网闸开箱默认模式是set模式,根据需要可以在控制平台里进行模式转换。
(透明模式管理IP:172.26.78.1,禁ping,可以telnet ip 112测试)网闸配置的一般步骤:1)双击桌面快捷图标启动管理平台,默认用户名:admin,密码:admin05。
进入管理平台,如下图:主页面分三部分,安全隔离与信息交换设备,系统安全审计功能,访问控制规则表。
一般很少用到系统安全审计功能。
2)安全隔离与信息交换设备页面,右键点击隔离设备,选择添加(注意:一定要保证设备已经开机,笔记本已经连接设备可信端接口,并配置IP已经测试连通性,如果笔记本与设备之间的网络不通的情况下,在该页面添加设备会报错),然后弹出如下图对话框点下一步会跳到配置IP信息及系统名的页面如下图如上图标注,其中可信端的IP地址是灰色,鼠标无法选中并配置(300的设备可信端的接口地址是没办法在这个页面进行配置的,即使IP不配,配置上网关和掩码也是不生效的),配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面,默认全选上(在后面的文档中会介绍到这一部分)。
最后点击完成,回到如下图的界面。
3)切换到访问控制规则表页面,如下图这个页面里主要是配置配置过程中所用到的端口及详细控制访问策略。
隔离网闸技术参数表
系统支持基于 TCP/IP 以上的 HTTP、FTP、SMTP 等应用层协 议,并支 持自定 义协议 功能, 无需二 次开发 。 系统支持包括 IP 地址、子网、时间、FTP 命令、HTTP 命令、 邮件内容 等在内 的对象 实现访 问控制 规则。
国家信息 安全认 证产品 型号证 书(复 印件) 涉密信息 系统产 品检测 证书( 复印件 ) 公安部颁 发的“网 络隔离 与信息 交换产 品”入围 通知书( 复 印件); 提供产品 原厂商 针对本 项目授 权书和 产品质 保函; 提供三年质保服务,出现故障必须 6 小内解决问题; 系统采用 2+1(内、外网处理系统加隔离硬件)在不影响网 络传输情 况下采 用电子 开关方 式架构 实现,隔离硬 件由基 于 ASIC 设计的半导体电子开关芯片实现网络物理隔离,该芯 片不可编 程。 系统断开内外网直接的 TCP 会话连接,不允许安全隔离与信 息交换系 统内、 外网络 存在直 接的网 络连接 。 硬件隔离芯片数据吞吐量大于 5Gbps。 网络隔离 与数据 交换模 块,电 子邮件 功能模 块,网 页浏览 模 块,文件 传输与 数据库 查询模 块。 1.能够基于目录、网页文件、Webservice 服务调用、ASP 活 动脚本等 对象实 现访问 控制。 2.实现 cookie 安全签名。 3.能够对客户端 输入参 数实现 访问控 制和过 滤。 4.能够对客户端 URL 请求实现可定义字段过滤。 5.对已知各类网 站攻击( 网站漏 洞、数据 库漏洞)实现自 动 检测和防 御。 6.具有学习模式 。 支持包括 Radius、LDAP、微软活动目录(Active Directory) 在内的用 户认证 方式。 具有详细的日志系统,能够实现日志的本地/ 异地存储与备 份,支持 syslog 第三方日志系统。 产品能对 HTTP、SMTP、POP3、FTP、DNS 等主流应用协议进 行协议分 析,防 止来自 协议漏 洞的攻 击。
伟思网络安全隔离网闸(350)
伟思网络安全隔离网闸(350)
无
【期刊名称】《网上俱乐部:电脑安全专家》
【年(卷),期】2005(000)002
【摘要】近期,珠海伟思(集团)有限公司推出了“网络安全隔离网闸(350)”。
该新品采用了国际上先进的第二代GAP网络安全技术,同时具备网关功能。
它可以有效地保证内部网络与不可信网络物理隔断,能够阻止各种已知或未知的网络层和操作系统层攻击。
通过其强大的协议检查、内容审查和用户审计等手段,能够有效确保内外网资源,实现信息和数据的安全交换。
【总页数】1页(P12)
【作者】无
【作者单位】无
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.安全隔离网闸在油田物联网中的应用探讨 [J], 余忠凯;吴金峰;吴美华;陈戈
2.机密网络的"门神"--联想网御安全隔离网闸解决方案 [J], 刘晶妹
3.安全隔离网闸在内外网系统中的设计与应用r——以福建广电为例 [J], 林善志
4.浅谈安全隔离网闸在我院的应用 [J], 程学波
5.安全隔离网闸在流程工业现场的应用 [J], 尹红媛;汪建凯
因版权原因,仅展示原文概要,查看原文内容请购买。
伟思隔离网闸的优势
隔离网闸的需求与原理及伟思ViGap300隔离网闸的优势一、隔离网闸的应用需求与工作原理我国电子政务发展过程中一直重视安全问题,按照国家相关保密要求,内网与互联网等外部网络必须实现绝对物理隔离,即断开物理线路上的电气连接。
由于没有物理连接通道的存在,因此,黑客没有可能连接到内网并对内网主机进行控制和破坏。
物理隔离技术概念清晰、功能明确避免了系统漏洞、安全软件设计缺陷、访问控制策略不严谨、人为错误等网络安全防御的不确定因素,在保护内网安全方面起到了其它网络安全技术所不可替代的作用,具有极高的安全可靠性。
我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条就明确规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。
实际上在各级政府系统中,物理隔离方式早已应用,在互联网与机关办公网即实现了严格的物理隔离,使得办公网处于与外界物理隔断的安全环境。
随着电子政务的进一步发展,物理隔离创造了大量各自封闭的信息孤岛,这些封闭网络间的信息交换成为了阻碍信息化发展的瓶颈。
根据应用的需求,国家相关保密部门制定了在物理隔离环境下进行数据交换的工作模式――手工电子拷盘方式,该模式很早就在政府各级部门中应用,其结构如下:手工电子拷盘实现物理隔离环境下信息交换有一个管理员来操作,另外包括两个网络:不可信网络和可信网络,这两个网络物理隔断,在大多数情况中,还有一台独立于内外网的计算机,用于在拷盘过程中对所要交换的内容进行检查。
其网络信息流如下:1.该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。
2.该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。
检测包括(不仅仅这些):病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。
3.如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。
500网闸配置
伟思安全隔离网闸Vigap500型号的配置说明与注意事项(500的设备是基于b/s结构的,即可以通过浏览器直接访问来配置的,另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段,如果需要,可以修改某些参数来实现。
)1)配置前的准备工作:1)500设备的默认管理地址是https://192.168.0.254:10000,用户名:admin,密码:888888。
如果来配置一台新设备,首先我们将用来配置网闸的电脑IP修改成192.168.0.*(254除外),掩码255.255.255.0。
然后用直连网线(B类网线)连接设备可信端的NIC0口,然后ping 192.168.0.254,测试网络连通性。
如果没问题,直接打开IE,地址栏输入https://192.168.0.254:10000,回车登录。
2)新设备如果网络不通,重新启动下设备,观察设备前面板左下角的两个硬盘指示灯,开机过程中,有没有硬盘数据灯闪烁,2个都闪烁,可以排除硬盘和主板的故障,可以尝试下串口恢复下设备配置。
(发货过程中,由于物流方面的拿放不当,可能造成设备出现故障)2)网闸配置的一般步骤:1)IE地址栏直接输入https://IP:10000(IP为可信端或者非可信端IP,其中如果客户不需要从非可信端IP访问配置页面,可以在隐藏页面关闭,登录进设备后,隐藏页面为https://IP:10000/firewall),回车,弹出证书页面,选择是,用户名:admin,密码:888888。
弹出如下登录界面:2)接口配置:“接口配置”包括:模式选择和接口配置。
模式选择:系统默认模式为SAT+NAT模式,该模式是转源的(注意:有些认证系统是从源mac来登记的,该情况只能用不转源模式来实现)。
如果需要可以转换成SAT模式,该模式不转源。
接口配置:如下图,其中不可信端可以直接配置接口IP地址及网关,可信端只能配置相应的IP地址,如果下面挂的有三层设备,需要指回程路由,可以在下面的网络配置下静态路由中可信端添加。
安全隔离网闸功能详细配置
2、正确填写与对端相连的证书公共名;
3、发送用户与接收用户确定唯一任务;
4、客户端发送端测试连通性确保服务开启;
5、客户端之间任务号、任务名称同侧仅需唯一,无对应关系 要求;
6、不支持透明访问;
6、其他注意事项见相关用户手册;
4.1 数据库同步-功能概要
支持Oracle、SQL Server、Sybase、DB2等数据库内、 外网间的数据库数据的同步传输。
2、在线服务: 。
3、产品注册,以便将新技术成果及时传递给您!
1.2 登录管理-准备工作
1、接通电源,听到“滴滴滴”后,启动完毕; 2、选用一带Windows系统PC作为管理主机; 3、使用交叉线,管理网闸。
1.3 登录管理-管理方式
支持多种管理方式:
01、登录管理 02、无客户端文件交换 03、有客户端文件交换 04、数据库同步 05、安全浏览 06、FTP访问 07、邮件传输 08、数据库传输 09、定制访问 10、高可靠性 11、消息模块 12、统一用户认证 13、安全通道 14、数据交换
1、登录管理
前期工作 准备工作 管理方式 登录网闸
4.3 数据库同步-客户端配置
第七步:配置发送端客户端 – 任务调度
4.4 数据库同步-基本步骤
1、网闸WEB配置 启动服务、配置客户端和服务端;
2、客户端配置 发送端配置:系统设置、通道配置、数据源配置、发送任务等; 接收端配置:系统设置、数据源配置、接收任务等;
网闸功能原理及应用ppt课件
7
和勤网闸是和勤软件公司自主研发的,具有高可用性、 高安全性的新一代安全隔离产品,在保证网络间链路 隔离的前提下,进行高效的、安全的、可控的数据交 换和数据整合,实现资源共享和协同办公。
内网处理主机 专用隔离硬件 外网处理主机
8
切换控制电路
非 信 任 网 络
C卡
外网处理机 A卡
B卡 内网处理机
现有员工200人,技术人员占 70%,同时有总参51所、解放军 测评中心、保密局保密研究所、 中科院等多位信息安全专家作 为公司的顾问。
股东上海和勤软件技术有限公 司提供强大的资金后盾
Hinge
20
和勤网闸V8系列
和勤安全审计系列 V1.0
和勤信息审计探针高速采集卡
和勤商业智能V7.0-数据挖掘技术 和勤防火墙 V3.1
4
和勤网闸背景-传统技术防御效果
Host A
Host B
FTPServer
Host C DataBaseServer
防病毒
ManagerServer
图例:
已知攻击 未知攻击
Ethernet
识别
还是不够安全?通 知
Host E FileServer Host D
怎么办?
防火墙
入侵检测
Internet
K-BNSS-600(百兆)
K-BNSS-300(百兆) 和勤安全隔离与信息交换系统
(HG-BNSS )
和勤网闸业务功能(ALL)
10
应用功能
HTTP/HTTPS应用支持 TCP应用支持 UDP应用支持 FTP应用支持 邮件应用支持
数据库访问支持 文件同步支持 数据库同步支持
高级应用功能
Vigap物理隔离网闸--技术白皮书
GAP技术—物理隔离网闸白皮书(简)物理隔离网闸珠海伟思(集团)有限公司ZHUHAI VICTORY-IDEA(GROUP)CO., LTD.介绍安全背景今天的网络面临许多日益剧增的安全威胁:病毒、特洛伊木马、机动代码(mobile code)、拒绝服务攻击、电子商务入侵和盗窃等。
随着INTERNET的发展,网络变得容易访问进而容易受到外部攻击,这使得许多安全专家认为一台连入INTERNET的PC就是一个攻击的目标。
从一个安全的角度观察,解决方案是简单的,将可信网络与其它任何网络特别是INTERNET断开,保密数据就可牢牢锁定,既没入口,也没出口。
彻底断开可以减少安全威胁。
不幸的是,在今天的电子商务和信息全球化年代,不接入INTERNET是不现实的,很多情况下简直是不可能,与此相反,许多公司越来越依赖于网络:提供职员、客户和商业伙伴快速自由的在线访问内部back-office系统和数据中心。
更复杂的是,通常企业许多敏感的商业信息要和有选择性的外部人员共享。
GAP技术针对这一挑战,通过结合物理断开和逻辑连接,提供给企业一个重要的、附加级的安全措施。
本册解释了怎样实现这一迷人的结合。
什么是GAP技术?GAP技术,它创建一个这样的环境,两个网络物理断开,但逻辑地相连。
某些网络是典型的可信网络,如企业内部网(INTRANET);另一些网络则是不可信的网络,如INTERNET。
GAP技术在这两个网络之间创建了一个物理隔断,这意味着网络数据包不能从一个网络流向另外一个网络,并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。
对于有连接的PC,黑客使用各种方法,通过网络能够建立连接来对它们进行控制,然而物理隔断却能杜绝这种情况发生。
GAP技术除可以实现物理隔断外,还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。
正因为有这样的特点,GAP技术允许公司分享两个网络世界的杰出优点:物理隔断使可信网络安全和在线式不可信网络访问。
网闸工作原理
网闸工作原理一、引言网闸作为网络安全的重要设备之一,负责对网络流量进行监控和管理,以保护网络的安全和稳定运行。
本文将详细介绍网闸的工作原理,包括其基本功能、工作流程和关键技术。
二、基本功能1. 流量监控:网闸能够实时监控网络中的数据流量,包括传入和传出的数据包。
通过对流量的分析和统计,可以了解网络的使用情况和流量分布,为网络管理提供数据支持。
2. 流量控制:网闸可以根据预设的策略对流量进行控制,包括允许、阻挠、限速等操作。
通过对流量的控制,可以保护网络免受恶意攻击和异常流量的影响。
3. 安全检测:网闸可以对流经的数据进行安全检测,包括入侵检测、病毒检测、漏洞扫描等。
通过对流量的检测,可以及时发现和阻挠网络安全威胁,保障网络的安全性。
4. 用户认证:网闸可以对用户进行身份认证,确保惟独经过授权的用户才干访问网络资源。
通过对用户的认证,可以有效防止非法用户的入侵和滥用。
三、工作流程1. 流量捕获:网闸首先通过网络接口捕获流经的数据包。
数据包是网络通信的基本单元,包含源IP地址、目标IP地址、端口号等信息。
2. 流量解析:网闸对捕获的数据包进行解析,提取其中的关键信息,如源IP地址、目标IP地址、协议类型等。
解析后的数据被传递给下一步的处理模块。
3. 流量分类:网闸根据预设的策略对解析后的数据包进行分类。
根据不同的策略,可以将数据包分为允许通过、阻挠、限速等不同的类别。
4. 流量处理:根据分类结果,网闸对不同类别的数据包进行相应的处理。
对于允许通过的数据包,可以直接转发到目标设备;对于阻挠的数据包,可以丢弃或者发送警告信息;对于限速的数据包,可以进行带宽控制。
5. 安全检测:网闸对通过的数据包进行安全检测,包括入侵检测、病毒检测等。
通过对数据包的深度分析和特征匹配,可以及时发现和阻挠潜在的安全威胁。
6. 用户认证:对于需要用户认证的流量,网闸会对用户进行身份验证。
认证可以通过用户名密码、证书、双因素认证等方式进行,确保惟独合法用户才干访问网络资源。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
伟思信安安全隔离与信息交换系统系统可靠性系统可用性安全功能系统管理应用支持产品规格产品特点ViGap是一款面向大型网络的安全隔离系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服务器与外界的实时(适度)信息交换。
采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。
采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。
在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII 系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga 位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。
充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证采用无协议的“GAP Reflective”,GAP隔离反射技术实现开放网络通讯协议的剥离与重组,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。
广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL等),包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。
采用专利技术的应用层安全防御系统,ViGap300特别针对广泛应用的WEB、EMAIL和FTP等服务采用专利技术WebApplication?,实现了全面应用层安全防护,可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JaveScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。
智能化攻击识别与过滤,ViGap300采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为,ViGap300提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。
产品功能介绍系统可靠性双机热备功能 ViGap300系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。
通过内置的双机热备系统,连接在同一个网络内的多台ViGap300设备可以建立双机热备机制,并通过虚拟IP统一对外提供服务。
从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。
结合ViGap300独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。
系统工作状态检测与报警 ViGap300系列采用基于工业控制系统的架构设计,具备良好的稳定性。
并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。
同时,ViGap300系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。
系统可用性ViGap300系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。
除了采用更高端的处理系统、内存以及接口以外,ViGap300系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。
ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap300集群中的平均分配,从而将处理性能大幅提升。
安全功能网络隔离功能 ViGap300系列具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。
IDS入侵检测功能 ViGap300系列在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。
该系统将自动分析对受保护内网的访问请求,并与ViGAP隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。
SAT(服务器地址映射)功能 ViGap300系列具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap300系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。
身份认证功能不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。
ViGap300系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。
安全代理服务功能 ViGap300系列允许可信端用户以应用代理方式访问不可信网络,ViGap300系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。
AI安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。
ViGap300系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和ActiveX applet 的攻击。
ViGap300系列在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。
防病毒功能系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP 等方式向外泄漏信息。
实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。
内容及格式检测功能 ViGap300系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。
VPN通讯安全 ViGap300系列对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。
该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。
WEB站点保护功能目前大量应用基于B/S架构开发,WEB服务成为了越来越通用的服务,然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。
ViGap300系列全面分析了来自WEB服务的漏洞,建立了WEB站点保护系统WebAppliaction?,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。
包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。
系统管理轻松管理 ViGap300系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。
一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。
良好的用户界面 ViGap300系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。
丰富的日志及审计 ViGap300系列管理平台能够监控并记录 ViGap300系列产品的系统状态。
全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。
应用支持安全上网 ViGap300系列支持用户安全上网应用,可根据身份认证、IP+MAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。
数据库应用 ViGap300系列全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、SyBase等主流的数据库的SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。
网络应用 ViGap300系列支持各类TCP/IP以上的网络应用协议,无需二次开发。
包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。
支持用户自定义开发的特殊应用协议。
同时,针对用户特殊需求ViGap300系列提供API应用开发接口。
产品规格硬件规格:尺寸规格:标准2U机架式重量:15KG电压:100-240V,47-63HZ功率:300W操作环境:-5℃-50℃环境湿度:5%-95%系统接口:网络接口:4个10/100Mbps RJ45以太网接口,2个1000M光纤模块接口(ViGAP300D)系统控制:DB9针RS232串行通讯接口系统显示:内置液晶显示面板、2个网络连接LED指示灯安全及电磁标准:CB to IEC 60950:1999, 3rd editionTUV GS mark toEN60950: 2000TUV C-US to UL60950: 2000CAN/CSA-C22.2;No 60950: 2000FCC Class B, VCCI Class B, CE class B。