伟思网闸技术说明

伟思安全隔离与信息交换系统ViGap500WZ技术参数说明硬件物理隔离具备硬件物理隔离部件系统采用2+1架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

*该部件采用专用隔离芯片设计，不支持通用通讯协议,不可编程隔离区包含基于ASIC设计的开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。

隔离区信息交换采用DMA方式实现。

断开内外网TCP/IP连接设备断开内外网络TCP/IP连接内部数据交换速率>5.8Gbps接口网络接口包含八个100/1000M自适应端口管理接口内网唯一一个RS232接口，外网端不允许配置任何形式的管理接口，所有管理配置操作均通过网闸内网管理接口进行配置；网闸设备配置文件保存在网闸内网端。

*多网连接支持内外网端同时连接多个网络，实现多个网络的直接接入和安全隔离。

系统性能并发连接会话数>200,000 系统延时<50μs系统带宽>900Mbps资质要求隔离网闸资质证书公安部销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书（军C+）国家信息安全产品认证证书应用支持全面支持TCP/IP以上应用层协议系统透明支持TCP/IP以上的应用层协议，网页浏览、数据库复制、文件交换、数据库访问、邮件、消息服务等无需二次开发数据库数据库同步SQLServer、Oracle等的单、双向数据交换；支持周期复制、实时复制、增量更新等多种同步方式；支持设定同步时间和同步周期；支持复杂网络部署，不需改变用户网络环境；数据库访问支持SQLServer、Oracle、Sybase、DB2等常见数据库应用；文件交换文件同步和访问支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式；支持文件复制、移动、增量等多种传输方式；支持断点续传。

安全访问控制功能IP、网络、时间、协议端口、内容过滤等对象访问控制支持多种方式的访问控制，包括源，目的IP、子网、时间、时间端口、内容过滤IP/MAC地址绑定可实现基于IP+MAC绑定的客户端访问控制；支持MAC认证用户：应用于DHCP网络环境下；抗DDOS攻击防止多个DOS攻击源一起攻击某台服务器单/双向通讯控制支持单、双向可选的访问控制流量管理*流量控制支持任意接口之间都可以做流量管理和控制支持动态带宽调整；根据作用条件自动调整应用服务或IP流量的带宽值。

公安信息网视频监控安全接入解决方案2011年3月目录一、概述2二、视频监控业务及安全防御难点分析32.1视频监控业务分析32.2公安网视频监控应用的安全防御难点分析4三、建设标准与目标53.1 建设标准53.2 建设目标5四、视频安全接入解决方案64.1总体架构设计64.1.1 接入对象84.1.2 接入链路84.1.3 边界接入平台视频接入链路94.1.4 公安信息通讯网124.2 平台安全防御体系设计124.2.1视频接入认证服务124.2.2网络隔离与访问控制功能154.2.3 反弹木马阻断功能164.2.4 视频数据实时病毒检测与阻断174.2.5 视频用户认证与授权功能184.3 集中安全管理与日志审计204.4 高性能设计214.5 高可靠性设计22五、主要技术性能225.1 安全功能225.2 技术性能245.3 设备规格24一、概述公安信息网（公安网）目前是星型拓扑结构，由一、二、三级主干网和接入网组成。

公安部至各省公安机关主干网为一级网络，省级公安机关至所辖地市公安机关的网络为二级网，地市级公安机关至所辖县区公安机关的网络为三级网络，基层科、所、队到分局或市局的网络为接入网。

公安网络系统的主要功能是为各级公安业务部门提供语音、数据、图像等交换和传输服务。

公安数据业务包括人口、治安、交管、刑侦、预审、出入境管理等二十多种业务的信息传输与查询；办公自动化、电子邮件等内部管理数据；公安内部信息网站浏览等业务，文字、图表、动、静态图像等数据的传输和交换。

在视频监控应用的接入过程中，公安信息通信网面临很大风险。

例如来自外网的各种攻击、入侵、植入木马、探头（信息搜索代理Agent）和病毒等威胁；各类设备上的后门有可能受控启用，造成信息失控、设备故障；内外勾结造成的内部重要信息通过视频应用通道泄漏；由于误操作、非授权访问等造成的信息丢失、失控等问题。

由于社会治安视频监控网络采用的网络传输环境复杂，前端系统（视频监控点）覆盖面广且管理部门不统一，因此，公安部制定了《公安信息通信网边界接入平台安全规范》，严格制定了公安网与外网间信息交换的标准、架构、安全等技术要求，各级公安机关都必须按照规范要求建设外网接入公安网的安全体系架构，治安视频监控网络也必须通过规范的安全隔离接入平台接入公安内网，本方案专门针对视频监控中的安全风险设计满足管理、安全、性能需求的解决方案。

珠海伟思隔离网闸技术白皮书目录一、概述 (2)一、 .......................................................................................................................................... 网络安全现状 2二、 ................................................................................................................................. 现有网络安全技术 23、现有网络安全技术（防火墙技术）的缺点 (3)4、GAP技术简介 (3)二、ViGap介绍 (6)一、ViGap产品简介 (6)2、ViGap产品原理 (6)三、ViGap功能 (7)一、ViGap产品定位 (7)2、ViGap产品功能 (8)四、ViGap产品性能 (9)一、ViGap产品技术指标 (9)ViGap 100-150 (10)ViGap 100-350 (10)2、ViGap产品硬件和软件包 (10)五、ViGap产品应用 (11)一、通用解决方案 (11)二、重要网络数据资源保护 (12)3、电子政务安全岛 (12)ViGap技术白皮书一、概述1、网络安全现状运算机网络的普遍应用是现今信息社会的一场革命。

电子商务和电子政务等网络应用的进展和普及不仅给咱们的生活带来了专门大的便利，而且正在创造着庞大的财富，以Internet 为代表的全世界性信息化浪潮日趋深刻，信息网络技术的应用正日趋普及和普遍，应用层次不断深切，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，运算机网络也正面临着日趋剧增的安全要挟。

广为网络用户所知的黑客行为和解决活动正以每一年10倍的速度增加，网页被修改、非法进入主机、发送冒充电子邮件、进入银行系统盗取和转移资金、窃取信息等网络解决事件此起彼伏。

网闸操作简易流程及说明1.登录1)运行管理控制端：选择“开始”菜单下“GoldenSecurity”下的“FerryWay 管理端”。

2)显示登录窗口。

如图：.3)在登录窗口中输入登录主机地址、用户帐号、密码，按“确定”，登录管理控制端。

4)FerryWay默认登录信息登录主机：192.168.1.168默认用户帐号：admin2003默认密码：admin20032.设置内端机 IP 地址选择“系统”菜单下的“设置”项，显示系统设置列表，可以看到eth0~eth6多个内外端IP设置（eth1~eth6用于多网口或扩展），选择“设置内端机eth0 IP地址”，显示设置窗口。

选择“高级…”，显示多个IP地址设置窗口。

3.设置外端机 IP 地址选择“系统”菜单下的“设置”项，显示系统设置列表，可以看到eth0~eth6多个内外端IP设置（eth1~eth6用于多网口或扩展），选择“设置外端机eth0 IP地址”，显示设置窗口。

选择“高级…”，显示多个IP地址设置窗口。

4.添加新的应用通道在“应用通道”菜单中选择“TCP应用通道”-->“添加”或在“TCP应用通道列表”右键快捷菜单中选择“添加”，显示添加界面。

4.1.设置应用通道应用通道源：发起访问的源方向。

工作模式：一般选转发模式通道名称：给该通道取的名称，可随意命名。

应用类型：除FTP需要选择FTP类型外，一般情况请选择Null_TCP。

源机IP地址：对外被访问的IP地址，为网闸接口地址。

源机端口：网闸内/外端机监听的端口号。

目的机IP地址：实际服务器的IP地址。

目的机端口：实际服务器监听的端口号。

允许的最大连接数：一般输入10000即可。

身份认证：默认为不需要即可。

4.2.使用时间安排的设置设置应用通道可以使用的时间段。

在指定的时间段内，该应用通道是可用的。

应用通道的起始使用时间必须早于结束时间。

4.3.允许使用的IP地址的设置如果选择“允许全部IP地址使用当前通道”，则对使用该通道的用户IP 地址没有限制；如果选择“设置允许使用的IP地址”，则只有在指定的IP地址列表中的用户才可以使用该通道。

GAP技术—物理隔离网闸白皮书（简）物理隔离网闸珠海伟思(集团)有限公司ZHUHAI VICTORY-IDEA（GROUP）CO., LTD.介绍安全背景今天的网络面临许多日益剧增的安全威胁：病毒、特洛伊木马、机动代码（mobile code）、拒绝服务攻击、电子商务入侵和盗窃等。

随着INTERNET的发展，网络变得容易访问进而容易受到外部攻击，这使得许多安全专家认为一台连入INTERNET的PC就是一个攻击的目标。

从一个安全的角度观察，解决方案是简单的，将可信网络与其它任何网络特别是INTERNET断开，保密数据就可牢牢锁定，既没入口，也没出口。

彻底断开可以减少安全威胁。

不幸的是，在今天的电子商务和信息全球化年代，不接入INTERNET是不现实的，很多情况下简直是不可能，与此相反，许多公司越来越依赖于网络：提供职员、客户和商业伙伴快速自由的在线访问内部back-office系统和数据中心。

更复杂的是，通常企业许多敏感的商业信息要和有选择性的外部人员共享。

GAP技术针对这一挑战，通过结合物理断开和逻辑连接，提供给企业一个重要的、附加级的安全措施。

本册解释了怎样实现这一迷人的结合。

什么是GAP技术？GAP技术，它创建一个这样的环境，两个网络物理断开，但逻辑地相连。

某些网络是典型的可信网络，如企业内部网（INTRANET）；另一些网络则是不可信的网络，如INTERNET。

GAP技术在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

对于有连接的PC，黑客使用各种方法，通过网络能够建立连接来对它们进行控制，然而物理隔断却能杜绝这种情况发生。

GAP技术除可以实现物理隔断外，还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。

正因为有这样的特点，GAP技术允许公司分享两个网络世界的杰出优点：物理隔断使可信网络安全和在线式不可信网络访问。

(5) (5) (28)与此同时，计算机网络也正面临着日益剧增的安全威胁。

广为网络用户所倍的速度增长，网页被修改、非法进入主针对上表所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、入侵检测技术也存在着局限性。

其最大的局限性就是漏报和误报严重，它的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝TCP连接，连接、不可信端到可信端的专有封值得提出的是，ViGap不但在逻辑上终止了TCP对话，还从物理上断开了内外网络之间的连接，使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。

GAP技术的关键技术要点是：要点描述Inject攻脚本等各类应内网管理配置，策略存储均在内网进行，避免外部任何威胁对设备自身的－1000三、ViGap 功能3.1、ViGap 产品定位现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题，但是，对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS 攻击、分布式DoS 、缓冲区溢出攻击等各类网络安全问题，已有的各类网络安全技术中，仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。

即使是使用一些高级的安全技术，例如网络防火墙，加密技术和代理，但是对任何一个单一的安全技术，网络安全问题都得不到很好的解决。

下图示意描述了现今可用的各种网络安全解决方案，在这个示意图中，按照应用的不同，网络本身被分为两个部分，即网络层和应用层。

而在各种网络安全方法中，包括了防范已知网络安全问题和未知网络安全问题的方法，各种网络安全技术都分别解决了相应部分的网络安全问题。

GAP 安全解决方法优势在于它既能阻塞又能预防。

阻塞发生在已经知道的攻击而预防则是对于未知的攻击。

已知防护措施（阻塞）未知防护措施（防护）网络层保护应用层保护FireWallApplicationProxyApplication ScannerViGap在上图的左上部分，是防火墙产品主要防范的网络安全问题，它能够对已知的攻击提供适当的保护，这也就意味着防火墙必须进行调整来鉴别威胁。

伟思信安隔离网闸ViGAP100简介ViGap100系列产品介绍GAP技术创建更加安全的内部网络GAP技术，它创建一个这样的环境，内外两个网络物理断开，但逻辑地相连。

GAP技术在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

对于有连接的PC，黑客使用各种方法，通过网络能够建立连接来对它们进行控制，然而物理隔断却能杜绝这种情况发生。

GAP技术除可以实现物理隔断外，还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。

GAP技术带来的最大好处：物理隔断时可信网络安全同时允许在线式实时访问不可信网络。

伟思的ViGap产品正是引用了国际上最先进网络安全技术（第二代GAP技术）设计的安全网关，通过它的专用硬件保证内部网络与不可信网络物理隔断，能够阻止各种已知和未知的网络层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安全性能，并通过基于硬件的反射技术，实现在线式实时访问不可信网络（如Internet）,通过强大的协议检查、内容审查、用户审计等手段来确保内外网资源、信息和数据的安全交换。

所有ViGap100设备包含以下功能：◆反射GAP功能◆系统日志和报警显示◆日志存档和备份功能◆流量控制特性◆支持DNS协议检查◆支持SNMP、WebTrends™ 和SysLog™外部系统日志◆丰富的图形用户接口（GUI）管理和规则库系统◆远程的、加密的和论证的策略管理系统◆为多ViGap提供集群和负载平衡能力ViGap100优点：◆已知或未知的对网络层和操作系统层的攻击◆可信网络与不可信网络物理隔断的同时，提供对它的实时访问◆提供一个附加的安全层来保护网络的同时，不会降低速度和性能◆阻止攻击进入可信网络，提高关键服务器正常运行时间◆强迫流量控制来保护基础设备免受DoS攻击◆在可信网络端创建所有的安全策略◆在配置ViGap后能提高和增强一个组织现有的安全级别◆服务器OS的安全漏洞的修复需求大大减少，降低维护费用ViGap100系列产品的特性◆并发会话能力◆反射GAP内部数据交换速度：1GB/秒ViGap100设备都可以使用以下的软件包WEB (W)软件包包含以下内容：◆ HTTP/HTTPS协议检查◆ FTP协议检查◆激活PKI◆对保密数据进行文件格式检查◆关键字搜索EMAIL (E)软件包包含以下内容：◆SMTP/POP3协议检查◆对保密数据进行文件格式检查◆关键字搜索◆电子邮件通知和报警INTERNET (N)软件包：◆同时包含WEB (W)软件包和EMAIL (E)软件包策略管理工具高粒度协议检查◆对协议关键字和命令进行全面控制◆灵活的数据类型管理◆用户指定的文件名和扩展名◆精确地定义访问定义目录、子目录和文件◆内置HTTPS分析支持◆内置论证支持（PKI，LDAP，RADIUS）◆嵌入关键字搜索引擎◆内置文件格式检查ViGap构架更加安全的电子商务和电子政务网络◆电子商务和电子政务对外或分支机构提供服务◆防火墙保护内部网络访问互联网的安全◆在防火墙DMZ区直接安装对外服务的服务器不够安全◆ ViGap保证对外服务的服务器的安全◆在DMZ区安装ViGap保证对外服务的服务器更加安全应用领域◆政府机构◆金融机构◆公安◆税务◆企事业单位的电子商务或电子政务系统中◆其它需要提高网络安全级别的组织机构硬件规格。

伟思安全隔离网闸Vigap300型号的配置说明与注意事项配置前的准备工作：1)网闸外观和接口2)实施前要知道客户的网络拓扑图，根据客户应用决定网闸需要安装在哪个节点，和网闸需要的IP地址数3)先把用来配置网闸的电脑IP修改成10.119.119.*（119除外），掩码255.255.255.0，安装控制平台后会在桌面生成一个快捷图标，对应的是所在安装目录的4)用直连网线（B类线）连上网闸可信端网口（网闸默认内网口和外网口各两个，只有中间的两个可以用），ping 10.119.119.119测试网络连接是否正常，然后进行配置。

5)网闸开箱默认模式是set模式，根据需要可以在控制平台里进行模式转换。

（透明模式管理IP：172.26.78.1，禁ping，可以telnet ip 112测试）网闸配置的一般步骤：1)双击桌面快捷图标启动管理平台，默认用户名：admin，密码：admin05。

进入管理平台，如下图：主页面分三部分，安全隔离与信息交换设备，系统安全审计功能，访问控制规则表。

一般很少用到系统安全审计功能。

2)安全隔离与信息交换设备页面，右键点击隔离设备，选择添加（注意：一定要保证设备已经开机，笔记本已经连接设备可信端接口，并配置IP已经测试连通性，如果笔记本与设备之间的网络不通的情况下，在该页面添加设备会报错），然后弹出如下图对话框点下一步会跳到配置IP信息及系统名的页面如下图如上图标注，其中可信端的IP地址是灰色，鼠标无法选中并配置（300的设备可信端的接口地址是没办法在这个页面进行配置的，即使IP不配，配置上网关和掩码也是不生效的），配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面，默认全选上（在后面的文档中会介绍到这一部分）。

最后点击完成，回到如下图的界面。

3)切换到访问控制规则表页面，如下图这个页面里主要是配置配置过程中所用到的端口及详细控制访问策略。

伟思网络安全隔离网闸（350）
无
【期刊名称】《网上俱乐部：电脑安全专家》
【年(卷),期】2005(000)002
【摘要】近期，珠海伟思(集团)有限公司推出了“网络安全隔离网闸（350)”。

该新品采用了国际上先进的第二代GAP网络安全技术，同时具备网关功能。

它可以有效地保证内部网络与不可信网络物理隔断，能够阻止各种已知或未知的网络层和操作系统层攻击。

通过其强大的协议检查、内容审查和用户审计等手段，能够有效确保内外网资源，实现信息和数据的安全交换。

【总页数】1页(P12)
【作者】无
【作者单位】无
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.安全隔离网闸在油田物联网中的应用探讨 [J], 余忠凯;吴金峰;吴美华;陈戈
2.机密网络的"门神"--联想网御安全隔离网闸解决方案 [J], 刘晶妹
3.安全隔离网闸在内外网系统中的设计与应用r——以福建广电为例 [J], 林善志
4.浅谈安全隔离网闸在我院的应用 [J], 程学波
5.安全隔离网闸在流程工业现场的应用 [J], 尹红媛;汪建凯
因版权原因，仅展示原文概要，查看原文内容请购买。

伟思信安安全隔离与信息交换系统∙系统可靠性∙系统可用性∙安全功能∙系统管理∙应用支持∙产品规格产品特点ViGap是一款面向大型网络的安全隔离系统，为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护，并在可控状态下实现内部网络或服务器与外界的实时（适度）信息交换。

采用独特的“2＋1”安全体系架构，通过基于ASIC芯片技术设计的专用隔离电子开关系统，实现用户关键网络及服务系统与外界的物理隔断，实现链路层与网络层的彻底断开。

采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构，拥有全线速隔离交换性能，满足大型网络应用所面对大用户量、低延时访问的需求。

在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片，该芯片具有500万门电路以及多路Giga位的通道，支持内部高达1060个硬件I/Os通道，使得电子开关具有高速的数据传输能力和并发处理能力。

充分考虑关键应用对可靠性、可用性的要求，独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证采用无协议的“GAP Reflective”，GAP隔离反射技术实现开放网络通讯协议的剥离与重组，有效阻断来自网络层及服务器OS层的各类已知/未知攻击，弥补其它安全技术对网络未知攻击的防御盲区。

广泛支持各类通用应用协议（HTTP、FTP、SMTP、DNS、SQL等），包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议，无需再进行二次开发或单独购买模块。

采用专利技术的应用层安全防御系统，ViGap300特别针对广泛应用的WEB、EMAIL 和FTP等服务采用专利技术WebApplication?，实现了全面应用层安全防护，可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JaveScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。

隔离网闸的需求与原理及伟思ViGap300隔离网闸的优势一、隔离网闸的应用需求与工作原理我国电子政务发展过程中一直重视安全问题，按照国家相关保密要求，内网与互联网等外部网络必须实现绝对物理隔离，即断开物理线路上的电气连接。

由于没有物理连接通道的存在，因此，黑客没有可能连接到内网并对内网主机进行控制和破坏。

物理隔离技术概念清晰、功能明确避免了系统漏洞、安全软件设计缺陷、访问控制策略不严谨、人为错误等网络安全防御的不确定因素，在保护内网安全方面起到了其它网络安全技术所不可替代的作用，具有极高的安全可靠性。

我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条就明确规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。

实际上在各级政府系统中，物理隔离方式早已应用，在互联网与机关办公网即实现了严格的物理隔离，使得办公网处于与外界物理隔断的安全环境。

随着电子政务的进一步发展，物理隔离创造了大量各自封闭的信息孤岛，这些封闭网络间的信息交换成为了阻碍信息化发展的瓶颈。

根据应用的需求，国家相关保密部门制定了在物理隔离环境下进行数据交换的工作模式――手工电子拷盘方式，该模式很早就在政府各级部门中应用，其结构如下：手工电子拷盘实现物理隔离环境下信息交换有一个管理员来操作，另外包括两个网络：不可信网络和可信网络，这两个网络物理隔断，在大多数情况中，还有一台独立于内外网的计算机，用于在拷盘过程中对所要交换的内容进行检查。

其网络信息流如下：1．该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。

2．该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。

检测包括（不仅仅这些）：病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。

3．如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。

伟思安全隔离网闸Vigap500型号的配置说明与注意事项（500的设备是基于b/s结构的，即可以通过浏览器直接访问来配置的，另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段，如果需要，可以修改某些参数来实现。

）1)配置前的准备工作：1)500设备的默认管理地址是https://192.168.0.254:10000，用户名：admin，密码：888888。

如果来配置一台新设备，首先我们将用来配置网闸的电脑IP修改成192.168.0.*（254除外），掩码255.255.255.0。

然后用直连网线（B类网线）连接设备可信端的NIC0口，然后ping 192.168.0.254，测试网络连通性。

如果没问题，直接打开IE，地址栏输入https://192.168.0.254:10000，回车登录。

2)新设备如果网络不通，重新启动下设备，观察设备前面板左下角的两个硬盘指示灯，开机过程中，有没有硬盘数据灯闪烁，2个都闪烁，可以排除硬盘和主板的故障，可以尝试下串口恢复下设备配置。

（发货过程中，由于物流方面的拿放不当，可能造成设备出现故障）2)网闸配置的一般步骤：1)IE地址栏直接输入https://IP:10000（IP为可信端或者非可信端IP，其中如果客户不需要从非可信端IP访问配置页面，可以在隐藏页面关闭，登录进设备后，隐藏页面为https://IP:10000/firewall），回车，弹出证书页面，选择是，用户名：admin，密码：888888。

弹出如下登录界面：2)接口配置：“接口配置”包括：模式选择和接口配置。

模式选择：系统默认模式为SAT+NAT模式，该模式是转源的（注意：有些认证系统是从源mac来登记的，该情况只能用不转源模式来实现）。

如果需要可以转换成SAT模式，该模式不转源。

接口配置：如下图，其中不可信端可以直接配置接口IP地址及网关，可信端只能配置相应的IP地址，如果下面挂的有三层设备，需要指回程路由，可以在下面的网络配置下静态路由中可信端添加。

物理隔离网闸一、物理隔离网闸的概念我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。

物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。

我国也有庞大的政府涉密网络和军事涉密网络，但是我国的涉密网络与公共网络，特别是与互联网是无任何关联的独立网络，不存在与互联网的信息交换，也用不着使用物理隔离网闸解决信息安全问题。

所以，在电子政务、电子商务之前，物理隔离网闸在我国因无市场需求，产品和技术发展较慢。

近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。

电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。

电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。

如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。

一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。

物理隔离网闸成为电子政务信息系统必须配置的设备，由此开始，物理隔离网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。

1.1 物理隔离网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

安全隔离网闸招标参数采购单位：安阳市第六人民医院标段一标段设备名称安全隔离网闸供货期10天质量层次国产数量1台预算价 6.5万元功能点指标性能要求(★为关键指标，不允许负偏离)★硬件配置和性能指标机型规格标准2U机架式，标配双电源，千兆安全隔离与信息交换系统硬件设备接口内网6个10/100/1000M RJ45接口（含一个管理口），1个串口；外网6个10/100/1000MRJ45接口（含一个HA口），1个串口网络吞吐量≥900Mbps（实际）并发连接数≥100000内部交换带宽≥6GB系统指示设备提供明显指示，可直观显示硬件故障提示报警，如通讯故障、硬件故障、系统故障等。

时延系统延时<1ms日志审计专门的系统管理模块支持日志信息输出到SysLog、WebTrends外部日志系统，可定义外部服务的接收IP、端口以及0-7级分类日志输出；可通过邮件形式将违反规则的行为发送到管理员报警信箱；提供全面的日志记录，支持日志备份功能。

产品架构系统结构采用“2+1”主机架构，主机系统采用安全加固的LINUX操作系统，主机系统间采用专有协议“摆渡”数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。

隔离部件中间隔离部件是基于专用硬件隔离电子开关系统，具有不可编程性。

不采用SISC、网卡以及任何其他加/解密等方式；隔离区信息交换采用DMA方式实现。

功能模块文件交换功能实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能；支持增量传输方式，可实现只传输修改和增加了的源文件；支持传输后删除方式，可实现传输结束后删除源文件。

数据库传输功能数据库支持：提供对主流数据库SQL Server，Oracle，Sybase，DB2等的支持，具有数据库单向、双向访问和同步技术；数据库同步应支持全表复制、增量更新、全表更新、标识更新；要求具备普遍适用性，部署网闸无需更改数据库环境设置安全浏览功能实现内网用户安全浏览外网资源，支持基于CHAP、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能。