网御网闸SIS-3000-Z2101技术参数
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:88893、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:192.168.20.2内:192.168.20.1外:192.168.10.1192.168.10.2FTP客户端网闸客户端网闸服务端FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要使用之一,根据外部使用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种使用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网闸服务端任务;2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;访问目的地址网闸另一侧的真实服务器地址和客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:◆登陆界面◆登陆首页◆更改密码(按需求修改)◆网口配置(按需求修改)◆配置网闸内侧任务,并启动服务(按需求修改)添加网闸内侧任务,如下图:若是【普通访问】,该地址为内侧网口地址【192.168.20.1】;若是【透明访问】,该地址为FTP 服务器地址对象【ftpsvr_192.168.10.2】。
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:88893、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:FTP客户端FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网闸服务端任务;2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:◆登陆界面◆登陆首页◆更改密码(按需求修改)◆网口配置(按需求修改)◆配置网闸内侧任务,并启动服务(按需求修改)添加网闸内侧任务,如下图:若是【普通访问】,该地址为内侧网口地址【192.168.20.1】;若是【透明访问】,该地址为FTP服务器地址对象【ftpsvr_192.168.10.2】。
联想网闸数据库同步用户手册
联想网御SIS安全隔离与信息交换系统数据库同步客户端操作手册声明♦本手册所含内容若有任何改动,恕不另行通知。
♦在法律法规的最大允许范围内,联想网御科技(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
♦在法律法规的最大允许范围内,联想网御科技(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
♦本手册含受版权保护的信息,未经联想网御科技(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
联想网御科技(北京)有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 (3)第1章前言 (4)1.1 导言 (4)1.2 本书适用对象 (4)1.3 本书适合的产品 (4)1.4 相关参考手册 (4)第2章如何开始 (5)2.1 系统概述 (5)2.2 工作原理 (5)2.3 产品特点 (5)2.3.1 与数据库的连接方式 (5)2.3.2 支持的数据库类型 (6)2.3.3 支持的数据库表结构 (6)2.3.4 支持的数据库表字段类型 (6)2.3.5 其他特点 (8)2.4 运行环境 (8)2.5 安装步骤 (9)第3章系统设置 (10)3.1 系统位置 (10)3.2 证书管理 (10)3.3 本机地址设置 (11)3.4 通信模式设置 (12)第4章发送任务 (13)4.1 新建任务 (13)4.2 删除任务 (15)4.3 修改任务 (15)第5章接收任务 (17)5.1 新建任务 (17)5.2 删除任务 (20)5.3 修改任务 (20)第6章任务调度 (22)6.1 任务调度 (22)第7章查看日志 (24)7.1 日志查看 (24)第8章附录 (25)8.1 常见问题说明 (25)第1章前言1.1 导言《数据库同步客户端操作手册》是联想网御SIS安全隔离与信息交换系统管理员手册中的一本。
网神SecSIS 3600安全隔离与信息交换系统技术白皮书 V1.0
网神SecSIS3600安全隔离与信息交换系统的数据库同步模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。该模块支持Oracle和Sql Server等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。
COOKIE过滤
网闸可对COOKIE进行过滤。通过对COOKIE进行过滤,可以防止敏感信息的泄漏。同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
文件类型检查
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。
病毒及恶意代码检查
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。”
由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口,避免网络安全漏洞。
3.7
网神SecSIS 3600安全隔离与信息交换系统支持高可用方案,全面解决设备故障与链路故障造成的业务中断,保证系统7X24小时不间断服务。
最新联想网御网闸(SIS-3000)配置过程教学文稿
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:88893、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:FTP客户端FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网闸服务端任务;2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:◆登陆界面◆登陆首页◆更改密码(按需求修改)◆网口配置(按需求修改)◆配置网闸内侧任务,并启动服务(按需求修改)添加网闸内侧任务,如下图:若是【普通访问】,该地址为内侧网口地址【192.168.20.1】;若是【透明访问】,该地址为FTP服务器地址对象【ftpsvr_192.168.10.2】。
联想网御网闸(SIS-3000)配置过程
联想⽹御⽹闸(SIS-3000)配置过程联想⽹御⽹闸(SIS-3000)设备测试报告⼀、设备管理、拓扑结构i 通过笔记本管理⽹闸,需要先在笔记本上导⼊管理证书(光盘⼀⼀管理证书⽂件夹下,密码:hhhhhh ),管理 IP:10.0.0.200,掩码:255.255.255.0。
2、登录内⽹:⽤⽹线连接内⽹专⽤管理⼝,在 IE 浏览器输⼊:3、输⼊⽤户名/密码:administrator/administrator (超级⽤户)或输⼊:admin/admin123(管理员⽤户)。
4、登录外⽹:⽤⽹线连接外⽹专⽤管理⼝,在IE 浏览器输⼊:或输⼊⽤户名/密码:administrator/administrator (超级⽤户)或输⼊:admin/admin123(管理员⽤户)。
测试拓扑结构:注:⽹闸的⼯作模式有两种,普通模式、透明模式。
“访问类别”功能是⽹闸的主要应⽤之⼀,根据外部应⽤客户端跨⽹闸访问“⽬的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应⽤模式具体的⽐较如下区别透明访问普通访问含义外部客户端,“⽆视”⽹闸的存在,直接访外部客户端通过访问相连⽹闸地址,再由问⽹闸另⼀侧的真实服务器地址;⽹闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置⽹闸客户端任务,⽆需配置⽹必须同时配置⽹闸客户端、服务端任务,闸服务端任务;且对应任务之间的任务号必须相同;2)客户端添加⼀条路由,指向⽹闸;访问⽬的地址⽹闸另⼀侧的真实服务器地址与客户端相连⼀侧的⽹闸地址⽹闸两侧⽹络⽀持⽀持地址同⽹段FTP 客户端FTP 服务端⽹闸客户端 I ⽹闸服务端⽹闸两侧⽹络⽀持⽀持地址不同⽹段双机热备⽀持⽀持负载均衡不⽀持⽀持硬件架构原理图如下⼆、⽹闸主要配置抓图2.1、内⽹配置抓图:内⽹陽离交换填坟交换芯⽚交换芯⽚I叫信⽹络仝抉⼦累统卄艾松剳r jfttr⼫笑控制⼦茶统Leadsec AS I C 芯⽚内⽹主机系统〕外⽹隔涌交揀模块联韻⽹御安全隔需⽹闸⾮⼝ j 信⽹络登陆界⾯;*rti碎曲⽇-nsew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎⽤〈?',巧:4P-勺訓抽灯P V JL A JL r勺咖⼠*■ -勺孚处托ifiCJTH^wtrri 丽—3Ma内IF魁和迥⽿E理轴1納垃⽦号■^-3flLjfl-£E!K犊忡嗾⾐寻j.0.200.6fed?璋nan jifCfU料⽤3旳科n柑印?4QaV£H⽤?KMna??ew iriMb⽇创冬誓u^W9?B■Mil 更改密码(按需求修改) BTT 7⿏碗.亏^T?3ft⼸jjfljwi?号+ ⼝IJLBHSiBQ产上呷功任''i H'hrs +"砒只?■*幻扳⿐i m⼯H>抚**+$ 3|EiS4 '⿐厚睥⼭闻t 1?TS晖诃歼+刁左±海査+ j "4Sfts.li;-暉理■ a ^r?昂啟号号i ^XTErilrr sy^Qj? 4&neha?i ⼘⽣茹* 辺起+a switB MLT4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ / J ' iiisintrnt)□IP^RD*?ar(I ^r?ra?i卞?■认⼝卒!*?*< ■?■■■/ ifc^sa⽥HKWffiI-E⽈妬计H"⽹⼝配置(按需求修改)-i E?⼆j j^-.wa a tinitf-l*、爵电礙■ q瑕戢?o⽤⼾。
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构i 通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘一一管理证书文件夹下,密码:hhhhhh ),管理 IP:10.0.0.200 ,掩码:255.255.255.0。
2、 登录内网:用网线连接内网专用管理口,在 IE 浏览器输入:3、 输入用户名/密码:administrator/administrator (超级用户)或输入:admin/admin123(管理员 用户)。
4、 登录外网:用网线连接外网专用管理口,在IE 浏览器输入:或输入用户名/密码:administrator/administrator (超级用户)或输入:admin/admin123(管理员用户)。
测试拓扑结构:注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访 外部客户端通过访问相连网闸地址,再由问网闸另一侧的真实服务器地址;网闸连接真实服务器; 原理区别 两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网必须同时配置网闸客户端、服务端任务, 闸服务端任务;且对应任务之间的任务号必须相同;2)客户端添加一条路由,指向网闸;访问目的地址 网闸另一侧的真实服务器地址 与客户端相连一侧的网闸地址 网闸两侧网络 支持支持地址同网段FTP 客户端FTP 服务端网闸客户端 I 网闸服务端网闸两侧网络支持支持地址不同网段双机热备 支持 支持 负载均衡不支持支持硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:内网陽离交换填坟交换芯片交换芯片I叫信网络仝抉子累统卄艾松剳r jfttr尸笑控制子茶统Leadsec AS I C 芯片内网主机系统〕外网隔涌交揀模块联韻网御安全隔需网闸非口 j 信网络登陆界面登陆首页;*rti碎曲日-n sew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎用〈•',巧:4P-勺訓抽灯P V JL A JL r勺咖士*■ -勺孚处托© ifiCJTH^wtrri 丽—3»Ma内IF魁和迥耳E理轴1納垃疋号■^-3flLjfl-£E!K犊忡嗾衣寻j.0.200.6fed?璋nan jifCfU料用3旳科n柑印•4QaV£H用・KMna««ew iriMb日创冬誓u^W9«B■Mil更改密码(按需求修改)© BTT 7鼠碗.a anm^-北屣舷鼻亏^T«3ft弓jjfljwi•号+ 口IJLBHSiBQ产上呷功任''i H'hrs +"砒只•■*幻扳鼻i m工H>抚**+$ 3|EiS4 '鼻厚睥山闻t 1・TS晖诃歼+刁左±海査+ j "4Sfts.li;-暉理■ a ^r«昂啟号•号i ^XTErilrr sy^Qj? 4&neha?i 卜生茹* 辺起+a switBMLT 4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ /J ' iiisintrnt)□IP^RD*«ar(I ^r®ra?i卞•■认口卒!*»*< ■•■■■/ ifc^sa田HKWffiI-E曰妬计H"网口配置(按需求修改)-i E?二j j^-.wa a tinitf-l*、爵电礙T ?)««■■ q瑕戢・o用戶。
网御网闸
★国家信息安全测评信息技术产品安全测评证书EAL3+
★从事网闸产品研发生产时间超过10年
★生产厂家具有安全服务一级资质和《一级风险评估服务资质》
支持文件传输方向可控,实现单向或双向传输;支持按任务进行分策略过滤
支持Windows、Linux/Unix等系统平台;支持NFS、SMBFS、SAMBA等文件系统
支持文件格式特征过滤,并且不依赖于文件扩展名;支持文件类型可扩展模式,方便用户自主增加特定文件类型,并提供工具帮助用户识别不常见文件类型;
支持情景模式,能够设置OPC工控应用允许通信的时间;
支持端口访问控制;
强制访问控制
★提供专用客户端,与网闸进行认证,支持本地用户名口令认证,支持对在线用户进行踢除、中断、查看等管理方式
★支持基于动态令牌的双因子认证方式
★支持对接入客户端的系统版本号和进程名进行控制
病毒检测
★采用专用国产知名病毒库;
★采用自有知识产权的病毒防护引擎
主机系统具有自主知识产权的多核多线程ASIC并行操作系统平台;
接口
12个10/100/1000M自适应电口内外网主机系统分别具有独立的网络口、管理口、HA口(热备口);4个USB口;内外网主机系统分别具有1个RJ45串口
性能
系统吞吐量不小于350Mbps;并发连接数不小于4万;延时小于1ms
设备状态自检要求
支持一对多,多对一,多对多同步方式;支持重名策略;
支持断点续传;支持对文件名关键字过滤,支持文件大小限制,支持时间策略;
支持身份认证及加密传输;支持增量传输、发送后删除、发送后转移等发送策略;支持文件格式特征过滤,支持文件类型检查可扩展模式,方便用户自主增加特定文件类型
网御星云SIS-3000-Z2101招标参数(完整版)
具备保密局《涉密信息系统产品检测证书》;
具有国家版权局颁发给产品的《计算机软件著作权登记证书》;
具备《军用信息安全产品认证证书》军B级;
具备《中国国家信息安全产品认证证书》(3C)二级;
★具有安全操作系统平台:多核多线程ASIC并行操作系统的《计算机软件著作权登记证书》;
支持TCP/UDP的透明访问和普通访问;
支持源地址、目的地址、目的断开的访问控制。
支持时段控制策略,时间模式可以是一次性执行、周循环两种方式;
提供访问任务的单独启停控制;
消息传输
网闸通用接口;提供外部API函数及说明;消息模块中内置了身份认证、访问用户控制、通信加密、数据传输模式、时间控制策略、内容过滤控制、访问控制、高可靠性等应用;身份认证支持客户端与网闸认证,认证方式可以是数字证书、X509格式的数字证书、本地用户口令认证;通信加密可以实现客户端与网闸之间的SSL加密,实现密文传输;传输模式可以是以文件、字符串、文件和字符串组合等三种传输方式;
系统要求
主机系统采用具有自主知识产权的多核多线程ASIC并行操作系统平台,并提供该安全操作系统的软件著作权作为证明;自主研发的通用安全操作系统V.S.P(提供证明文件)。
接口配置要求
不少于6个10/100/1000M自适应电口,内外网主机系统分别具有独立的网络口、管理口、HA口(热备口);4个USB口;最大可扩展至12个电口;
安全管理
支持HTTPS的Web方式管理,实现了远程管理信息加密传输;
支持命令行方式管理,可通过命令行完成全部管理配置工作;可以通过命令方式进行资源分配、深层次管理;
内/外网主机系统分别具有独立管理接口,而不是采用低安全的管理方式,如通过网络接口管理、通过内网一个管理接口完成全部管理等;
信息安全设备技术参数
信息安全设备技术参数
为进一步加强信息安全管理,提高我院信息安全保障能力,结合信息系统进行信息安全等级保护测评要求,需要采购一批信息安全设备项目,该项目包含:综合日志审计平台、主机安全及管理系统、态势感知平台、数据库审计与风险控制系统、网闸、IT智能监控软件、防火墙和准入系统。
一、采购内容:
二、配置要求:
三、其他
1.交付时间:
1.1、交付工期:合同签定后2个月内安装调试完成。
1.2、交付地点:医院指定地点。
1.3、实施进度:按照医院进度要求完成安装和调试,如在规定的时间内由于卖方的原因不能完成实施,投标方应承担由此给用户造成的损失。
1.4、实施标准:符合我国国家有关技术规范要求和技术标准。
1.5、实施过程中发生的费用由投标方负责。
2.售后服务:
2.1、投标方应在投标文件中说明在保修期内提供的服务计划,维护范围包括(包括但不限于)软、硬件安装,调试、维修,接口、集成等内容。
2.2、在系统的服务期内,投标方应确保系统的正常使用。
在接到用户服务要求后应立即做出回应,并在承诺的服务时间内实施服务。
2.3、投标人有良好的售后服务能力,需提供全年7天24小时服务(电话、远程或现场),并在接到招标人通知后15分钟内电话响应并2小时内到达客户现场。
项目验收合格后,每年不低于4次的例行维护及巡检。
3.培训要求:
3、1、中标人负责所供设备、软件的安装、调试及上线,招标单位予以配合。
设备、软件的安装、调试所需的工具、仪表及安装材料等应由投标人自行解决。
4、2、培训:根据医院的情况制定相关培训方案,所有的培训费用必须计入投标总价。
SIS-3000百兆产品硬件规格
工作温度0℃~45℃;存储温度-40℃~70℃
5%-95% RH不凝结
SIS-3000-SE22
(百兆精简型)
内网:2个10/100M网络电口;1个管理口,1个双机热备口(HA);1个串口
外网:2个10/100M网络电口;1个管理口,1个双机热备口(HA);1个串口
MTBF
不小于50000小时
百兆病毒防护(SIS-3000-AV-F)
SE、FE系列产品病毒防护模块;
千兆病毒防护(SIS-3000-AV-G)
GE、GF系列产品病毒防护模块;
外网:1个10/100/1000M自适应网络口,3个10/100/1000M网络扩展口;各1个10/100/1000M管理口和HA口;1个串口;
MTBF
不小于50000小时
SIS-3000-FE24
(百兆标准型)
内网:2个10/100/1000M自适应网络口,各1个10/100/1000M管理口和HA口;1个串口;
SIS-3000硬件平台的产品规格
SIS-3000-FE
基本参数
形态
2U机架型,单电源
性能参数
系统吞吐量
>150Mbps
系统架构
2+1
并发连接数
>2万
隔离技术
LeadsecGAPTM
系统延时
<5ms
多网隔离功能
支持
硬件延时
<1ns
操作系统:
Leadsec-VSP
物理接口
网络接口
10个10/100/1000M自适应电口
2个
主机重量
6.2KG
电源功率
最大输出功率为250W
电压范围
SIS3000产品介绍PPT-20110315
恶意命令:HTTP,FTP的GET,PUT POST命令等 的 恶意命令 命令等
IDC
越权客户端
GET命令 GET命令
FTP服务器 服务器
2.4、安全控制示意图
协议分析 内容检查 服务 服务
自有协议包
内 网 主 机 系 统
Application Presentation Session Transport Network Data Link Physical
终止所有网络协议, 终止所有网络协议,没有任何TCP/IP协议穿透网闸;在两个主机 协议穿透网闸; 系统之间采用自有协议,进行应用层数据的摆渡。 系统之间采用自有协议,进行应用层数据的摆渡。 采用自有协议
会 话 终 结
安 全 决 策
协 议 检 查
数 据 提 取
病 毒 检 查
内 容 检 查
格 式 化 数 据
2.7安全隔离网闸与防火墙的对比
对比项目
传统防火墙
联想网御安全隔离网闸
硬件结构 操作系统 协议处理 安全机制 管理安全
单主机 单一OS 采用在OSI协议栈的网络 层进行包过滤 简单的进行包头检查 攻击者获得了管理权限, 可调整防火墙的安全策 略
“2+1”结构 两主机系统各有独立OS 主机系统终止所有协议,隔离模 块采用自有协议进行数据“摆渡” 综合了访问控制、 内容过滤、抗 攻击、硬件隔离等安全防护技术 两主机系统分别有独立的管理接 口,安全策略分别下达,不可能 被控制
自有协议 数据包
数据块 数据块
通用协议 数据包
2.6、数据隔离交换过程(详细描述)
4 3 2
5
1
6 7 8
10 9
1.内网主机系统获取数据,进行协议分离,安全检测,形成任务队列,供通讯交换 2.隔离交换模块断开彼此连接,连接内外网主机系统,内网主机系统写数据到交换缓冲区 3.隔离交换模块断开内外网主机系统,彼此连接,进行通讯协商,完成数据交换 4.隔离交换模块断开彼此连接,连接内外网主机系统,外网主机系统从交换缓存读取数据 5.外网主机系统获取数据,进行数据重组,安全检测,与外网主机建立连接 6.6~10从外网往内网交换数据,工作流程相同1~5
SIS-3000网闸数据库同步配置文档
注:
•增量类型 增加类型:对应与数据库中的操作为insert数据; 修改类型:对应与数据库中的操作为update数据; 删除类型:对应与数据库中的操作为delete数据; 设置本任务所处理的操作类型,只有钩定了的类型才会被本任务进行 同步。 •导出初始数据 表示在任务第一次运行时是否将当前所有数据进行同步处理,请注 意,如当前同步数据表中记录过多,该过程会非常耗时,请慎重考虑 是否有必要进行该项配置。选择“是“系统配置完后会进行同步,选 择“否”不进行同步。 特别说明: 如配置任务初发送端纪录很多,建议采取硬盘拷贝或数 据库自身机制方式调平发送端和接收端数据。 此配置只能在添加任务时才能选择,修改任务时不能被 使用。 •查看同步表 此项目是方便用户查看已经配置的表映射关系的,添加任务状态当然 没有可查看的。
三、数据库同步客户端配置
e.点击数据源管理-添加按钮-添加目的数据源-测试连接
三、数据库同步客户端配置
f.选择正确的通道,通道是用来建立网闸和服务端的客户端通信
三、数据库同步客户端配置
g.点击添加任务-添加数据库同步任务
三、数据库同步客户端配置
注:
•任务名称 用于表示该任务名称,可以由字母和数字组成,最长8位。不能与已建 立的任务重名。该选项为必填项,它是在整个系统中作为任务唯一标 识。 •同步记录数 设置客户端在数据源发生变化时,客户端一次处理记录数,取值范围 从0—10000,默认值为100 ,建议不要随便改动。 •随系统启动 如选择该项,该任务会在客户端启动时自动进入启动状态,否则为停 止状态,需要手工启动,任务才能正常执行
三、数据库同步客户端配置
h.点击下一步配置通道设置
三、数据库同步客户端配置
i.点击下一步-配置调度策略
网御神州产品线介绍
目录
网神SecGate3600防火墙、UTM、IPSEC-VPN 网神SecSIS3600安全隔离与信息交换系统 网神SecIPS3600入侵防御系统 网神SecIDS3600入侵检测系统 网神SecAV3600防毒墙 网神SecSSL3600安全接入网关 网神SecWAF3600应用防火墙 网神SecSSM3600服务器安全加固与管理系统 网神SecFox-SNI安全网络监控 网神SecFox-NBA行为审计 网神SecFox-LAS日志审计
全线多核
追求功能的大而全
最高支持12个核 性能得不到保障
网神UTM:更加高效
网神UTM SecOSII操作系统
保障基本功能全面高效,对防 火墙的性能,IPS的性能,杀毒 的性能具有针对性的优化
目前UTM受到的质疑: 对于威胁防护的精细 化不够
网神UTM:更加精细:
国内首位取得多核操 作系统的安全厂商
内端机 6个千兆以太网接口 外端机 6个千兆以太网接口
2
50000小时
内端机 4个千兆以太网接口+2个SFP 外端机 4个千兆以太网接口+2个SFP
4
USB
4
4
4
4
4
机箱
1U
2U
2U
2U
2.5U
液晶面板
无
无
有
有
无
电源
单电源
单/冗余电源 单/冗余电源 单/冗余电源
单/冗余电源
网闸产品功能简介
文 件 交 换 模 块
网神IPS产品特殊型号分析
H2000
该型号为非标准型号,因此没有在型号全景中列出,标配16个网口,可扩 展为24个接口或者是16个千兆口加两个万兆接口可用于某些特殊情况下如: 性能要求较高,对手规格尤其是接口要求高,我们无法应对等情况。
网闸典型应用方案
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案目录1.前言Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。
中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。
面对如此众多的上网用户,为商家提供了无限商机。
同时,若通过Internet中进行传统业务,将大大节约运行成本。
据统计,网上银行一次资金交割的成本只有柜台交割的13%。
面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。
为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。
但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。
对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。
防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。
造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。
所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。
目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
Web服务器2.3将内部业务网与外部网络直接连接的安全隐患若直接将两个网络连接起来,将出现以下安全隐患:1)来自网络外部非法用户的攻击和越权访问等。
网闸详细技术参数
支持自定义的TCP、UDP协议的数据访问功能,用户自定义应用无需对自定义协议软件进行二次修改开发。
支持代理、透明、路由三种接入方式;
支持IP地址、端口、时间以及基于源用户身份的访问控制策略;
支持访问控制日志记录和告警功能;
文件同步功能
提供有客户端和无客户端两种文件同步方式。
无客户端方式无需在用户服务器上安装任何插件,网闸不开放任何服务端口;有客户端方式可提供专用文件同步客户端安装在用户服务器上,提供安全的文件同步服务。
公安部计算机信息系统安全专用产品销售许可证书(增强级)
涉密证书
保密局涉密信息系统产品检测证书
软著
计算机系统软件著作权登记证书
CCRC
网络关键设备和网络安全专用产品安全认证证书
中国国家信息安全产品认证证书(增强级)
IPV6证书
具有IPv6 Ready Logo 认证证书
GB/T28181
公安部GB/T28181-2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》检测报告
提供统一的https管理界面,支持ssh和telnet远程管理,支持配置文件的加密导入导出。
提供固件维护和license升级功能,支持本地、FTP、TFTP三种导入方式。
提供ping、traceroute、tcp、http、dns等诊断诊断测试工具,支持设备健康记录和调试信息的导出。(提供截图)
提供告警功能,支持邮件、声音、控制台、SNMP等多种告警方式。(提供截图)
内置邮件安全模块,支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。(提供截图)
安全VOIP功能
提供音视频通话访问功能,支持SIP和H323协议。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
技术指标
指标要求
基本要求
★2U标准机架式机箱;单电源;必须采用“2+1”系统架构,即由两个主机系统和一个隔离交换专用硬件组成;
安全系统
★主机系统具有自主知识产权的VSP或LOS或Unimas操作系统平台(提供原厂证明文件)
接口性能Βιβλιοθήκη 不少于6个10/100/1000M自适应电口,内外网主机系统分别具有独立的网络口、管理口、HA口(热备口);4个USB口;最大可扩展至12个电口;内外网主机系统分别具有1个RJ45串口;
★出于对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服务资质》;
★要求厂商提供针对本次项目的授权。
★双机热备支持配置同步(提供功能界面截图);支持负载均衡;
★双机热备支持抢占模式,支持主、备设备状态图表实时显示(提供功能界面截图);
★产品资质
具备公安部《计算机信息系统安全专用产品销售许可证》;
具备《军用信息安全产品认证证书》军B级
具备《中国国家信息安全产品认证证书》(3C)二级;
具有《北京市自主创新产品证书》;
从事网闸产品研发生产时间超过10年,提供公安部销售许可证书影印件证明;
具备IPv6 Ready认证证书;
通过国家下代互联网信息安全专项(高性能安全隔离与信息交换系统)测试,并提供相关测试报告;
国家信息安全测评信息技术产品安全测评证书EAL3+
应急服务能力要求
★要求设备生产商具有信息安全应急处理服务一级资质;
★具有抗DoS、DDoS攻击功能(提供功能界面截图);
管理审计
管理方式采用B/S架构的Web方式管理,基于数字证书管理;支持内外网分别采用专用管理口管理,支持专用管理主机管理;
支持全中文日志显示;支持FTP方式远程存储日志;支持日志按模块查询;
支持图表实时显示网口流量、CPU状态、内存状态信息;
可靠性
强制访问控制
1)提供专用客户端,与网闸进行认证,支持本地用户名口令认证,支持对在线用户进行踢除、中断、查看等管理方式(提供功能界面截图);
2)支持基于动态令牌的双因子认证方式(提供功能证明文件);
3)支持对接入客户端的系统版本号和进程名进行控制(提供功能界面截图);
攻击防御
★具有实时入侵检测机制,实时阻断入侵(提供功能界面截图);
系统吞吐量不小于300Mbps;并发连接数不小于4万;
IPV6/IPV4双栈接入
支持IPV6、IPV4双栈接入(提供功能界面截图);
设备功能
支持文件交换、数据库同步、数据库访问、安全浏览、FTP访问、邮件传输、定制访问、二次开发、流媒体传输等基本功能;支持DCS/SCADA网络与管理网络之间的OPC应用数据的传输;支持双机热备、负载均衡功能;支持日志审计,支持SYSLOG;支持病毒检测专用模块,支持自动/手动两种升级模式(提供功能界面截图);采用自有知识产权的病毒防护引擎,包括病毒检测引擎和病毒分析引擎(提供相关专利证明);支持实时入侵检测功能(提供功能界面截图);