安全隔离与信息交换产品参数

网神SecSIS 3600系列安全隔离与信息交换系统一、 产品介绍随着技术的发展和I n t e r n e t的普及，不仅带来了信息共享，也带来了黑客、病毒等不安全因素。

一些行业和机构中，公网的连接安全依赖防火墙设定的策略，但在机构内部也存在进一步保密数据要求，所以应运而生了保护这部分数据的安全隔离与信息交换系统（简称网闸）。

为了保护涉密网络的安全性，依靠自身在安全领域的技术和理念优势，网御神州开发出了安全、高效、灵活的网闸，实现了在物理隔离网络下信息的安全流转。

网神S e c S I S3600系列网闸部署在涉密网和内网之间，不仅能实现涉密网和内网的完全物理隔离，而且可以实现二者间的信息交换。

网神S e c S I S3600系列网闸，可为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。

一、 产品亮点1.安全高效的数据传输体系结构网神S e c S I S3600系列网闸具有自主研发的内外主机系统间的安全检测与控制处理单元，采用专有电路设计的双通道高速数据交换卡，实现了独立的硬件交换控制逻辑，不仅保证了内外主机系统之间数据交换的机密性、完整性和可信性，而且在保证安全性的同时，提供更好的处理性能（延时<20s），能够适应各种复杂网络环境对隔离应用的需求。

网神S e c S I S3600系列网闸在内外主机系统间采用专有协议，阻断网络连接，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

2.可靠的冗余和均衡架构网神S e c S I S3600系列网闸基于可靠性的考虑，通过双击热备等技术保证了在网络或设备故障时，业务的不间断运行。

在网络流量较大时，也可能会造成业务不可用或和响应速度下降，网神S e c S I S3600系列网闸支持多台设备的负载均衡（最多支持32台），最大限度的提升了网络的可用性。

伟思安全隔离与信息交换系统ViGap500WZ技术参数说明硬件物理隔离具备硬件物理隔离部件系统采用2+1架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

*该部件采用专用隔离芯片设计，不支持通用通讯协议,不可编程隔离区包含基于ASIC设计的开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。

隔离区信息交换采用DMA方式实现。

断开内外网TCP/IP连接设备断开内外网络TCP/IP连接内部数据交换速率>5.8Gbps接口网络接口包含八个100/1000M自适应端口管理接口内网唯一一个RS232接口，外网端不允许配置任何形式的管理接口，所有管理配置操作均通过网闸内网管理接口进行配置；网闸设备配置文件保存在网闸内网端。

*多网连接支持内外网端同时连接多个网络，实现多个网络的直接接入和安全隔离。

系统性能并发连接会话数>200,000 系统延时<50μs系统带宽>900Mbps资质要求隔离网闸资质证书公安部销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书（军C+）国家信息安全产品认证证书应用支持全面支持TCP/IP以上应用层协议系统透明支持TCP/IP以上的应用层协议，网页浏览、数据库复制、文件交换、数据库访问、邮件、消息服务等无需二次开发数据库数据库同步SQLServer、Oracle等的单、双向数据交换；支持周期复制、实时复制、增量更新等多种同步方式；支持设定同步时间和同步周期；支持复杂网络部署，不需改变用户网络环境；数据库访问支持SQLServer、Oracle、Sybase、DB2等常见数据库应用；文件交换文件同步和访问支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式；支持文件复制、移动、增量等多种传输方式；支持断点续传。

安全访问控制功能IP、网络、时间、协议端口、内容过滤等对象访问控制支持多种方式的访问控制，包括源，目的IP、子网、时间、时间端口、内容过滤IP/MAC地址绑定可实现基于IP+MAC绑定的客户端访问控制；支持MAC认证用户：应用于DHCP网络环境下；抗DDOS攻击防止多个DOS攻击源一起攻击某台服务器单/双向通讯控制支持单、双向可选的访问控制流量管理*流量控制支持任意接口之间都可以做流量管理和控制支持动态带宽调整；根据作用条件自动调整应用服务或IP流量的带宽值。

科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

网络卫士安全隔离与信息交换系统TopRules产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2010 天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈2目录1产品概述 (4)1.1公司简介 (4)1.2信息安全隔离的重要性 (4)1.3隔离技术的发展过程 (5)1.4天融信网络卫士安全隔离与信息交换系统T OP R ULES (5)2关键技术 (7)2.1“2+1”系统架构 (8)2.2专用硬件和专用通信协议 (8)2.3全隔离特征 (9)3产品特点介绍 (9)3.1基于下推自动机的高效过滤算法 (9)3.2内端机/外端机 (9)3.3仲裁/审计系统 (10)3.4基于用户的访问控制 (11)3.5受控协议通道及工作模式 (11)3.6安全管理 (12)3.7其它技术特点 (12)4产品功能 (13)4.1安全W EB浏览功能 (13)4.2安全邮件收发功能 (14)4.3FTP文件交换功能 (14)4.4T ELNET应用功能 (15)4.5数据库访问功能 (15)4.6文件同步功能 (15)4.7数据库同步功能 (15)4.8自定义应用 (16)5运行环境与标准 (16)6典型应用 (17)6.1在涉密网络系统中的应用 (17)6.2在常规网络系统中的应用 (17)6.3成功案例 (19)7产品资质 (24)8特别声明 (24)1产品概述1.1公司简介作为中国信息安全行业领导企业，北京天融信公司1995年成立于中国信息产业摇篮的北京，十年来天融信人凭借勇于创新、积极进取、和谐发展的精神，成功打造中国信息安全产业著名品牌——TOPSEC。

科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

Version 2.0
安全隔离与信息交换系统版本说明 V2.0 好的发布概述
发布日期：2021年11月3日
本次为正式版首次公开发布，主要内容为产品型号、产品功能列表。

平台
产品功能列表
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：
✹Chrome
获得帮助
Hillstone 山石网科安全隔离与信息交换系统配有以下手册，请访问获取：
✹《山石山石网科安全隔离与信息交换系统用户手册》
✹《山石山石网科安全隔离与信息交换系统部署手册》
✹《山石山石网科安全隔离与信息交换系统日志手册》
✹《山石山石网科安全隔离与信息交换系统快速安装手册》
服务热线：400-828-6655
官方网址：。

技术白皮书网神SecSIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司产品部所有目录1.产品概述 (3)2.产品原理 (4)3.产品说明 (5)4.产品功能说明 (6)4.1丰富的应用模块 (6)4.2访问控制 (7)4.3地址绑定 (7)4.4内容检查 (7)4.5高安全的文件交换 (8)4.6内置的数据库同步模块 (8)4.7融合加密、认证、授权多安全技术于一身 (9)4.8高可用设计 (9)4.9轻松的管理 (9)4.10传输方向控制 (9)4.11协议分析能力 (9)4.12完善的安全审计 (10)4.13强大的抗攻击能力 (10)4.14多样化的身份认证 (10)4.15负载均衡解决方案 (11)1.产品概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。

产品白皮书网神SIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSIS 3600安全隔离与信息交换系统产品白皮书文档版本号V7.0.13.1扩散范围销售/售前/客服/渠道商/用户作者黄熙日期2013/09初审人复审人●版本变更记录时间版本说明作者2012.11 V6.0.12.1 增加G1500-E026M、G9000-E046M、王起立G9000-E246M三个新型号2013.03 V6.0.12.2新增SSL通道、socks代理等功能黄熙2013.09 V7.0.13.1 新增IPV6功能黄熙目录1产品概述 (4)2产品特点 (4)3主要功能 (7)4 产品型号与指标 (14)5 产品资质 (16)5.1 产品资质 (16)5.2 产品荣誉 (16)1产品概述网神SecSIS 3600 安全隔离与信息交换系统能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点➢安全高效的体系架构：网神SecSIS 3600安全隔离与信息交换系统采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

联想网御安全隔离与信息交换系统
产品概述
网御SIS-3000安全隔离与信息交换系统通过专有的安全交换模块实现内外网络的安全
隔离，独创的SIS安全隔离技术把安全性、智能性、高效性等特点完美的结合在一起。

数据只能以专有数据块方式静态地在内外网间进行“信息摆渡”，切断了内外网络之间的任何连
接，从而保障数据安全、可靠、高效的交换。

可广泛应用于政府、企业、军队中不同安全等级的网络之间的安全隔离与信息交换。

产品特点
采用专有的安全隔离硬件，保证任意时刻内外网络的安全隔离基于信息摆渡机制和专有协议，
阻止任何TCP/IP连接直接穿透
提供基于应用层协议的细粒度安全检测，有效确保交换数据内容的安全可控具备数据迁移型
和数据访问型两种模式，应用面广功能模块化设计，菜单式选购，扩展灵活方便
采用专有高速交换总线和 DMA通道流水线技术，交换速率达到业界领先水平支持双机热备及
负载均衡功能，采用1 + 1冗余电源设计（可选），为用户提供不间
断服务
提供方便的开发接口，完全满足定制用户的个性化安全策略需求
产品资质
公安部销售许可证：XKC30361
国家信息安全测评认证中心注册号：CNITSEC2003TYP236
国家保密局产品检测证书：ISSTEC2004YT0143
中国人民解放军信息安全测评认证中心注册号：军密认字第0343号
国家版权局计算机软件著作权登记号：2003SR3221。

永达安全隔离与信息交换系统技术白皮书V2.3.2目录一、产品概述 41.1 概述 41.2 系统架构 4二、产品规格(参数、性能特性) 6三、功能介绍73.1 丰富的应用模块73.2 安全功能93.3管理功能113.4可靠性123.5扩展功能12四、产品特点134.1 用户态协议栈,避免内核协议栈实现本身漏洞134.2 先进的数据库同步技术 134.3高速包捕获与转发134.4双摆渡传输技术144.5高强度自身防护144.6 集安全隔离、防火墙、防毒特征于一身144.7 强大的定制扩展能力14五、典型应用155.1单向（策略控制）访问安全隔离解决方案155.2双向（策略控制）访问安全隔离解决方案155.3双机热备冗余安全隔离解决方案16六、销售许可证与资质176.1销售许可证：176.2资质证书：18一、产品概述1.1 概述随互联网应用越来越多样化，出于各种目的网络入侵和攻击也越来越频繁。

人们在享受网络带来的丰富、便捷的信息同时，频繁的网络攻击、病毒泛滥、非授权访问、信息泄密数据篡改等问题也日益突显。

为了解决不同安全等级的网络及系统之间信息的传递与交换，建立高速、安全的数据交换通道，从物理层、链路层、网络层和应用层逐层确保网络的安全和信息交互的安全，提供高安全级别与低安全级别之间的数据保护与信息交换的需求，而研制出永达ASG安全隔离与信息交换系统。

永达ASG1000系统采用独特的“2+1”安全体系架构,由信任网处理单元、专有隔离硬件和非信任网处理单元三部分组成。

永达安全隔离与信息交换系统可以完全阻断可信网络与非可信网络间的TCP/IP连接，剥离通用协议，将数据信息格式转换成只有永达安全隔离与信息交换系统可以识别的专有数据格式，将信息从一边网络传送到另一边网络，同时采用多种安全技术对出入的数据进行安全检查，最大程度地保证数据信息交换的安全，充分满足了网络间边界防护和数据信息安全交换的需求。

彻底实现不同安全等级网络间信息的隔离，保证了信息交换的安全。

山石网科运维安全网关版本说明Version 2.0R1山石网科安全隔离与信息交换系统V2.0R1发布概述发布日期：2022 年 9 月 16 日本次版本升级，主要新增了协议代理、文件交换、新增支持达梦、Kingbase、PostgreSQL、DB2、sybase数据库同步等新功能，优化修复了一些漏洞和问题。

在升级 V2.0R1 版本时，请务必查看“升级注意事项”进行升级。

产品型号和升级包文件类型升级包名称适用版本适用型号V2.0R1版本升级包GAP_upgrade_v2.0_to_v2.0r1_20220916.zipV2.0SG-6000-GAP- M600LSG-6000-GAP- M600SG-6000-GAP- G1000SG-6000-GAP- G6000新增功能功能描述涉及型号新增协议代理模块，支持TCP和UDP协议代理的丰富应用，如数据库安全访问代理、HTTP代理、邮件代理、FTP代理、TCP单向传输、域。

所有型号新增客户端自动接收下载文件功能。

所有型号新增客户端域服务器端数据交换采用AES对称加密算法。

所有型号新增支持客户端支持文件交上传、下载及自动下载功能。

所有型号SIP模块新增支持用户认证，注册阶段不进行认证校验，呼叫阶段要求与所有型号SIP编号绑定的用户认证通过，支持超时与管理员清除在线用户功能。

SIP模块新增支持设备认证功能，根据IP、MAC、端口等信息控制数据的接所有型号入，支持黑白名单的双向切换。

新增支持达梦、Kingbase、PostgreSQL、DB2、sybase数据库同步。

所有型号已解决问题问题描述涉及型号优化双机热备切换ARP包文处理机制。

所有型号优化日志磁盘空间管理方案。

所有型号优化网闸部署模式规则，新增查看任务配置功能。

所有型号升级注意事项1、由于网闸内外端设备的特殊性，所以需要邮件申请升级操作。

2、在升级到 V2.0R1 版本后，所有配置信息都会清除，包括授权。

1.1.1.1.网络安全防护系统一、安全隔离与信息交换系统：（1）吞吐率≥900Mbps，系统延时<2ms，并发连接数≥30万；（2）内网接口：千兆电口≥6个；千兆光口≥2个（多模光模块满配）；console口≥1个；USB口≥2个；（3）外网接口：千兆电口≥6个；千兆光口≥2个（多模光模块满配）；console口≥1个；USB口≥2个；（4）CPU：不低于4核4线程 2.2GHz *2；内存4G*2 DDR4；硬盘容量可用空间512G固态硬盘 *2（5）采用2+1系统架构即内网单元+外网单元+专用隔离芯片硬件。

隔离区基于隔离芯片开关设计，不采用SCSI、网卡以及任何加/解密等方式，且具有不可编程特性；（6）标准2U机架式设备，1个LCD液晶屏；（7）支持应用协议代理映射，包括HTTP、FTP、SMTP、POP3、H323、MySQL和自定义TCP\UDP协议；Modbus、OPC、S7等工业协议代理映射；（8）支持同构和异构同步，如Mysql同步至Oracle；（9）支持数据同步条件过滤，自定义数据要求，仅允许符合条件要求的数据进行传输，支持采用 WHERE语句编程；（10）支持SIP、RTSP视频协议代理，支持GB 28181通信标准的平台级联及平台点播；（11）支持Modbus TCP/RTU/ASCII协议、OPC DA/UA协议数据采集、查看实时通讯报文、批量操作采集点位、批量启停采集点；（12）上报模块支持OPC DA/UA Client/server模式上报，危化行业标准SOCKE加密上报，标准物联网MQTT协议发布数据，（13）支持MySQL、SqlServer、oracle、MAGUS，支持缓存服务，断网重连，多中心数据上报。

二、安全监测中心防火墙防火墙：1、最大网络层吞吐量≥4Gbps；IPS吞吐量≥2.5Gbps；AV吞吐量≥1.5Gbps2、最大并发连接数≥180万； 每秒新建连接数(TCP)≥4万3、IPSec VPN吞吐量≥2Gbps；IPSec VPN隧道数≥40004、SSL用户数最大≥10005、网络接口：千兆电口≥5个；Combo口≥4对； 管理接口：CON口≥1个； USB3.0 接口≥1个6、内存≥4G； 硬盘容量≥240GB ； 电源：含交流双电源7、支持针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段和深度应用识别技术。