产品名称安全隔离与信息交换系统

网神SecSIS 3600系列安全隔离与信息交换系统一、 产品介绍随着技术的发展和I n t e r n e t的普及，不仅带来了信息共享，也带来了黑客、病毒等不安全因素。

一些行业和机构中，公网的连接安全依赖防火墙设定的策略，但在机构内部也存在进一步保密数据要求，所以应运而生了保护这部分数据的安全隔离与信息交换系统（简称网闸）。

为了保护涉密网络的安全性，依靠自身在安全领域的技术和理念优势，网御神州开发出了安全、高效、灵活的网闸，实现了在物理隔离网络下信息的安全流转。

网神S e c S I S3600系列网闸部署在涉密网和内网之间，不仅能实现涉密网和内网的完全物理隔离，而且可以实现二者间的信息交换。

网神S e c S I S3600系列网闸，可为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。

一、 产品亮点1.安全高效的数据传输体系结构网神S e c S I S3600系列网闸具有自主研发的内外主机系统间的安全检测与控制处理单元，采用专有电路设计的双通道高速数据交换卡，实现了独立的硬件交换控制逻辑，不仅保证了内外主机系统之间数据交换的机密性、完整性和可信性，而且在保证安全性的同时，提供更好的处理性能（延时<20s），能够适应各种复杂网络环境对隔离应用的需求。

网神S e c S I S3600系列网闸在内外主机系统间采用专有协议，阻断网络连接，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

2.可靠的冗余和均衡架构网神S e c S I S3600系列网闸基于可靠性的考虑，通过双击热备等技术保证了在网络或设备故障时，业务的不间断运行。

在网络流量较大时，也可能会造成业务不可用或和响应速度下降，网神S e c S I S3600系列网闸支持多台设备的负载均衡（最多支持32台），最大限度的提升了网络的可用性。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

2001年8月由中共中央国务院重新组建国家信息化领导小组。

2015年上半年，国家强力支持“互联网+”。

国家发改委发布了《关于做好制定“互联网+”行动计划工作的通知》提出促进网上行政审批、增强公共服务能力、新业态新模式建设、创新服务民生方面等研究制定“互联网+”行动计划。

随着“互联网+”迈入黄金发展期，各行各业都加速拓展信息化建设。

网上报税智慧医疗网上挂号智慧交通智慧城市网上查询12306用户信泄露汉庭2000万开房信息泄露支付宝20G 用户资料泄露以色列30余名领导人通信信息外泄某高校U 盘事件某高校财务数据库被拖库在“互联网+行动计划”落实，政府、军队、企业等单位需要信息公开化不断提升互联网+服务。

在“互联网+”形式下的安全如何去防护？随着计算机网络的不断普及和发展，人类的生活、工作深度依赖计算机网络。

网络不仅给人类提供便利，同时也会威胁人类的信息安全，个人信息泄露，敏感数据丢失，核心资产遭到破坏等！传统防御技术已经应用了二十年左右的时间，其安全效能正在下降；最新的病毒、黑客攻击已经使传统防御技术防不胜防，因为这些病毒和攻击技术正是针对传统安全设备的弱点进行攻击和传播的。

信息化建设迫切需要引入新的、更强有力的防御技术为其发展作保障。

攻击技术的不断进化，催生了防御技术的革命，网闸因此而诞生并延用至今。

A网B网优点：保持了网络间物理隔离的特性，有效阻断了直接的网络攻击缺点：不能保证数据传递的时效性，速度慢，能够满足的应用过于单一，可靠性低，在防病毒/内容过滤等方面效果较差，人工操作风险高信息化建设离不开网络，需要将原本相互独立、相互隔离的各部门网络相互连接，实现适度资源开发和共享，提供信息服务。

如何确保数据安全和防止敏感信息外泄是信息化建设面临的头等问题。

仅依靠简单的、单一的安全措施，又无法满足安全要求；如常见的安全设备是对TCP会话的控制，它并不切断网络连接，存在安全风险如果采取早期的隔离方式，使用隔离卡或是利用移动介质进行数据传递，这种低效率、低可靠性的解决方案也无法满足信息化建设的需求21传统隔离与信息化之间的矛盾问题：•无法保障敏感数据安全；•核心网络容易遭受攻击；•直接连接违反法规政策；信息化建设：•互联互通•业务快速便捷•业务、数据共享 完全断开：•安全性高•无网络攻击风险•无违规风险问题：•信息化建设无法展开•业务效率低下•信息孤岛随着电子政务和各种社会化便民网络工程的建设完成，各政府部门和社会管理服务系统希望通过安全的信息系统建设，提高了办事效率，增加了办公的透明度，加强了监管力度。

科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

网络卫士安全隔离与信息交换系统TopRules产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2010 天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈2目录1产品概述 (4)1.1公司简介 (4)1.2信息安全隔离的重要性 (4)1.3隔离技术的发展过程 (5)1.4天融信网络卫士安全隔离与信息交换系统T OP R ULES (5)2关键技术 (7)2.1“2+1”系统架构 (8)2.2专用硬件和专用通信协议 (8)2.3全隔离特征 (9)3产品特点介绍 (9)3.1基于下推自动机的高效过滤算法 (9)3.2内端机/外端机 (9)3.3仲裁/审计系统 (10)3.4基于用户的访问控制 (11)3.5受控协议通道及工作模式 (11)3.6安全管理 (12)3.7其它技术特点 (12)4产品功能 (13)4.1安全W EB浏览功能 (13)4.2安全邮件收发功能 (14)4.3FTP文件交换功能 (14)4.4T ELNET应用功能 (15)4.5数据库访问功能 (15)4.6文件同步功能 (15)4.7数据库同步功能 (15)4.8自定义应用 (16)5运行环境与标准 (16)6典型应用 (17)6.1在涉密网络系统中的应用 (17)6.2在常规网络系统中的应用 (17)6.3成功案例 (19)7产品资质 (24)8特别声明 (24)1产品概述1.1公司简介作为中国信息安全行业领导企业，北京天融信公司1995年成立于中国信息产业摇篮的北京，十年来天融信人凭借勇于创新、积极进取、和谐发展的精神，成功打造中国信息安全产业著名品牌——TOPSEC。

２００４・７ 计算机安全１１Ｎｅｔｗｏｒｋ＆Ｃｏｍｐｕｔｅｒ　Ｓｅｃｕｒｉｔｙ国保金泰安全隔离与信息交换系统国保金泰安全隔离与信息交换系统是北京国保金泰信息安全技术有限公司送测的隔离产品。

该公司是从事信息系统安全技术产品研发、信息安全系统服务和信息安全系统集成的高新技术企业。

该产品在技术实现上，根据国家对网络管理的相关规定，提出了硬件映射隔离技术（ＨＲＩＴＭ），并将此技术运用于该隔离交换产品上。

该技术对处于内部网络的网关位置隔离系统，可以截获所有在网络上传输的数据包，并通过解析数据包头来判断信息的流向，进而将数据包头状态在本地保存，并将数据包中不包含连接信息的纯数据部分通过硬件映射隔离技术（ＨＲＩＴＭ），在内外网间进行纯数据交换，然后根据数据需要重新构造连接信息。

通过上述构造，国保金泰安全隔离与信息交换系统保证了系统之间的安全隔离与交换。

同时，基于ＨＲＩＴＭ技术的隔离交换卡是连接内端系统和外端系统的唯一数据通道。

在ＨＲＩＴＭ隔离交换卡上，它提出了芯片级信道控制技术，即通过芯片检测及芯片互锁机制在内端系统和外端系统之间建立起完全隔离的两条数据通道，一条数据通道仅传输内网到外网的数据，另一条数据通道仅传输外网到内网的数据，通过对数据流向的分离达到对信道的完全控制。

安全隔离与信息交换系统产品点评该产品在管理上，采用了专用管理平台，提供了专门的日志审计，审计日志可以基于自主加密、ＳｙｓＬｏｇ等方式输出。

同时，还提供了运行日志、告警日志、认证日志、审计日志、操作日志五大类日志信息，并可通过日志审计系统进行类别、用户账号、时间段、地址、告警级别等综合热点查询。

在功能实现上，该产品所具有的功能包括：通过内端系统的包过滤和应用代理及认证模块实现对内网用户请求的认证和管理，并支持合法内网用户进行网页浏览和邮件收发；通过内端系统内容过滤模块对由内网发往外网的邮件进行检查和过滤，防止内部信息非法泄露；通过与硬件卡配合的专用数据传输协议实现数据的交换；通过外端系统的入侵检测模块检查来自外网的攻击；通过外端系统的包过滤防火墙模块防止来自外网的非授权访问；通过防病毒模块检查和阻挡来自外网的病毒；通过日志管理模块动态显示当前数据交换的安全状态，并记录所有网络活动以备审计追踪；支持的通信协议包括：ＨＴＴＰ、ＨＴＴＰＳ、ＦＴＰ、ＳＭＴＰ、ＰＯＰ３、Ｏｒａｃｌｅ（ＴＮＳ）、ＳＱＬＳｅｒｖｅｒ、ＯＤＢＣ、ＤＮＳ、ＬＤＡＰ以及基于自主协议的ＴＣＨ专用通信ＡＰＩ；同时还提供专用数据交换套件，包括数据库同步套件、邮件同步套件、文件同步套件等。

Version 2.0
安全隔离与信息交换系统版本说明 V2.0 好的发布概述
发布日期：2021年11月3日
本次为正式版首次公开发布，主要内容为产品型号、产品功能列表。

平台
产品功能列表
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：
✹Chrome
获得帮助
Hillstone 山石网科安全隔离与信息交换系统配有以下手册，请访问获取：
✹《山石山石网科安全隔离与信息交换系统用户手册》
✹《山石山石网科安全隔离与信息交换系统部署手册》
✹《山石山石网科安全隔离与信息交换系统日志手册》
✹《山石山石网科安全隔离与信息交换系统快速安装手册》
服务热线：400-828-6655
官方网址：。

中网X-GAP产品简介中网X-GAP（又称物理隔离网闸，或安全隔离与信息交换系统，以下简称X-GAP）产品是当今已知的安全性最高的网络安全设备。

X-GAP在保证通信隔离（又称物理隔离）的情况下，实现信息交换服务。

X-GAP可以轻松地集成到政府、电力、工商、税务、公安、交通、能源、金融和大型企业等的网络和业务环境中。

X-GAP不仅为客户提供基于隔离的安全保障，而且还提供高速度、高稳定性的数据交换能力，能够满足客户对高安全、高性能、高可靠性的应用需要。

产品概述：★专用的隔离设备隔离是指断开的意思。

安全隔离是指X-GAP连接的内外网之间，在物理链路层是永远隔断、没有连接，因此没有通信连接，没有网络连接，没有应用连接。

安全隔离后，网络无法进行数据通信。

隔离设备引入“文件摆渡”概念，通过“读写”两个命令来实现“文件摆渡”，在保证隔离的情况下实现文件安全交换。

★明确的产品定位X-GAP适用于相互断开的两个网络间安全、高速、可靠地交换文件。

X-GAP 在两个网络断开的前提下，通过“文件摆渡”实现数据交换，解决了各行业由于政策强制要求“物理隔离”所引起的“既要网络断开，又要交换数据”的两难境地，在保持隔离特性的同时，提供一种安全、有效的信息交换途径。

★易于管理和配置X-GAP的系统设计充分考虑到用户的使用和配置，为用户提供的配置界面和管理接口简单易用，安全管理员可以直观方便地配置系统。

产品组成（八大模块）：★安全隔离（断开与摆渡）由外部主机、内部主机和开关系统组成。

外部主机连接外网，内部主机连接内网，外部主机包含外部单边代理、内部主机包含内部单边代理，内外网主机代理之间的文件交换均通过X-GAP的开关系统来摆渡。

★抗攻击内核（内核防护）X-GAP的内核是专有的裁剪加固的高安全性内核。

X-GAP系统采用了中网独有的宙斯盾抗攻击网关内核，为X-GAP本身提供了具有最高强度的抗DOS/DDOS 攻击特性。

X-GAP还支持防扫描的功能（Anti-Scan）和嵌入式的入侵检测防御功能（IDP）。

技术白皮书网神SecSIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司产品部所有目录1.产品概述 (3)2.产品原理 (4)3.产品说明 (5)4.产品功能说明 (6)4.1丰富的应用模块 (6)4.2访问控制 (7)4.3地址绑定 (7)4.4内容检查 (7)4.5高安全的文件交换 (8)4.6内置的数据库同步模块 (8)4.7融合加密、认证、授权多安全技术于一身 (9)4.8高可用设计 (9)4.9轻松的管理 (9)4.10传输方向控制 (9)4.11协议分析能力 (9)4.12完善的安全审计 (10)4.13强大的抗攻击能力 (10)4.14多样化的身份认证 (10)4.15负载均衡解决方案 (11)1.产品概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。

产品白皮书网神SIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSIS 3600安全隔离与信息交换系统产品白皮书文档版本号V7.0.13.1扩散范围销售/售前/客服/渠道商/用户作者黄熙日期2013/09初审人复审人●版本变更记录时间版本说明作者2012.11 V6.0.12.1 增加G1500-E026M、G9000-E046M、王起立G9000-E246M三个新型号2013.03 V6.0.12.2新增SSL通道、socks代理等功能黄熙2013.09 V7.0.13.1 新增IPV6功能黄熙目录1产品概述 (4)2产品特点 (4)3主要功能 (7)4 产品型号与指标 (14)5 产品资质 (16)5.1 产品资质 (16)5.2 产品荣誉 (16)1产品概述网神SecSIS 3600 安全隔离与信息交换系统能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点➢安全高效的体系架构：网神SecSIS 3600安全隔离与信息交换系统采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

伟思信安安全隔离与信息交换系统∙系统可靠性∙系统可用性∙安全功能∙系统管理∙应用支持∙产品规格产品特点ViGap是一款面向大型网络的安全隔离系统，为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护，并在可控状态下实现内部网络或服务器与外界的实时（适度）信息交换。

采用独特的“2＋1”安全体系架构，通过基于ASIC芯片技术设计的专用隔离电子开关系统，实现用户关键网络及服务系统与外界的物理隔断，实现链路层与网络层的彻底断开。

采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构，拥有全线速隔离交换性能，满足大型网络应用所面对大用户量、低延时访问的需求。

在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片，该芯片具有500万门电路以及多路Giga位的通道，支持内部高达1060个硬件I/Os通道，使得电子开关具有高速的数据传输能力和并发处理能力。

充分考虑关键应用对可靠性、可用性的要求，独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证采用无协议的“GAP Reflective”，GAP隔离反射技术实现开放网络通讯协议的剥离与重组，有效阻断来自网络层及服务器OS层的各类已知/未知攻击，弥补其它安全技术对网络未知攻击的防御盲区。

广泛支持各类通用应用协议（HTTP、FTP、SMTP、DNS、SQL等），包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议，无需再进行二次开发或单独购买模块。

采用专利技术的应用层安全防御系统，ViGap300特别针对广泛应用的WEB、EMAIL 和FTP等服务采用专利技术WebApplication?，实现了全面应用层安全防护，可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JaveScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。

科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

1.1.1.1.网络安全防护系统一、安全隔离与信息交换系统：（1）吞吐率≥900Mbps，系统延时<2ms，并发连接数≥30万；（2）内网接口：千兆电口≥6个；千兆光口≥2个（多模光模块满配）；console口≥1个；USB口≥2个；（3）外网接口：千兆电口≥6个；千兆光口≥2个（多模光模块满配）；console口≥1个；USB口≥2个；（4）CPU：不低于4核4线程 2.2GHz *2；内存4G*2 DDR4；硬盘容量可用空间512G固态硬盘 *2（5）采用2+1系统架构即内网单元+外网单元+专用隔离芯片硬件。

隔离区基于隔离芯片开关设计，不采用SCSI、网卡以及任何加/解密等方式，且具有不可编程特性；（6）标准2U机架式设备，1个LCD液晶屏；（7）支持应用协议代理映射，包括HTTP、FTP、SMTP、POP3、H323、MySQL和自定义TCP\UDP协议；Modbus、OPC、S7等工业协议代理映射；（8）支持同构和异构同步，如Mysql同步至Oracle；（9）支持数据同步条件过滤，自定义数据要求，仅允许符合条件要求的数据进行传输，支持采用 WHERE语句编程；（10）支持SIP、RTSP视频协议代理，支持GB 28181通信标准的平台级联及平台点播；（11）支持Modbus TCP/RTU/ASCII协议、OPC DA/UA协议数据采集、查看实时通讯报文、批量操作采集点位、批量启停采集点；（12）上报模块支持OPC DA/UA Client/server模式上报，危化行业标准SOCKE加密上报，标准物联网MQTT协议发布数据，（13）支持MySQL、SqlServer、oracle、MAGUS，支持缓存服务，断网重连，多中心数据上报。

二、安全监测中心防火墙防火墙：1、最大网络层吞吐量≥4Gbps；IPS吞吐量≥2.5Gbps；AV吞吐量≥1.5Gbps2、最大并发连接数≥180万； 每秒新建连接数(TCP)≥4万3、IPSec VPN吞吐量≥2Gbps；IPSec VPN隧道数≥40004、SSL用户数最大≥10005、网络接口：千兆电口≥5个；Combo口≥4对； 管理接口：CON口≥1个； USB3.0 接口≥1个6、内存≥4G； 硬盘容量≥240GB ； 电源：含交流双电源7、支持针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段和深度应用识别技术。