网闸基本全参数1
网闸
1.设备参数要求:
指标要求
系统架构采用“2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成。
采用安全操作系统平台,隔离交换矩阵基于专用芯片实现主机系统间采用自有
协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断
TCP/IP协议及其他网络协议
系统要求采用具有自主知识产权的多核多线程ASIC并行操作系统平台,并提供该安全操作系统的软件著作权;
接口配置要求不少于6个10/100M自适应电口,内外网主机系统分别具有独立的网络口、管理口、HA口(热备口)、扩展口;
内外网主机系统分别具有1个RJ45串口;
性能系统吞吐量不小于91Mbps
并发连接数不小于 1.2万
延时小于1ms
交换开关切换小于2ns
文件交换支持病毒检测;支持NFS、SMBFS、SAMBA等文件系统;文件服务器可以是Windows、Linux/Unix等系统平台;
支持文件传输方向可控,实现单向或双向传输;
支持按任务进行分策略过滤;支持一源多目的及多源一目的文件交换;
文件交换可以采用客户端方式和无客户端方式的部署;
文件传输支持身份认证及加密传输;
支持增量传输、发送后删除、发送后转移等发送策略;
支持文件格式特征过滤,并且不依赖于文件扩展名;支持文件类型检查可扩展模式,方
便用户自主增加特定文件类型,并提供工具帮助用户识别不常见文件类型;(要求功能
界面截图)
重发策略,在文件发送端设置发送次数
支持时间策略;支持文件大小传输限制;
重名策略,接收端客户端支持对重名文件的控制策略,提供“覆盖”、“丢弃”、“重命名”等重名策略。
具备详细的日志记录功能,方便日志查询、统计等操作;
可根据异常条件进行报警;支持邮件报警方式;
数据库同步支持病毒检测;支持Oracle、SQL Server、Sybase、Db2等主流数据库;数据库同步客户端支持Windows、Linux等多种平台;
支持Oracle数据库RAC集群同步;
支持同种数据间(同构)和不同种数据库间(异构)的同步;
支持字段级数据库间的单向或双向同步(不改变用户的库结构)。支持同步库中初始数
据功能;
支持灵活的数据库冲突处理策略,当关键字数据发生冲突时可选择:覆盖/丢弃;(提供功能介面截图)
支持字段值按条件进行数据同步;(提供功能介面截图)
支持一源表对多目的表同步,支持多源表对一目的表的同步;
支持数据库同步事件邮件报警功能;(提供功能介面截图)
支持数据库同步客户端的双机热备技术(不仅仅是网闸的双机热备),为用户提供更高
的冗余技术支持;(提供功能介面截图)
支持数据容错处理,当数据同步失败时,用户可以查询、复位、删除未能正常传输的数
据。
支持有外键的表的同步;
支持数据库表及级字段的同步;支持同步库中初始数据功能;
支持单主键、多主键及无主键(无重复)表结构;
支持客户端与网闸间的第三方数字证书方式的身份认证,确保只有被授权的合法用户才
能运行;
支持时段控制策略;
支持数据库同步数据统计、查询功能;(提供功能介面截图)
提供数据库同步实时日志记录,满足日志审计、查询;
数据库传输支持病毒检测功能;实现对多种(如MySql、SqlServer、Oracle、DB2、Sybase)主流数据库系统的安全访问;
提供数据库访问用户的过滤和控制;
支持数据库SQL语句过滤功能。
提供任务单独启停控制;
支持对访问源地址、目的地址和、本机地址和端口的自定义访问过滤
提供服务器地址和访问用户捆绑控制;提供网闸内外主机的数据库访问启停服务控制
支持访问时段控制;提供数据库访问日志;
FTP访问支持病毒检测功能;实现安全的FTP访问,支持对访问用户、访问协议命令、上传下载文件类型等访问过滤控制;
支持访问用户的黑白名单过滤;
支持FTP协议命令的黑白名单控制;
支持上传文件类型的黑白名单控制;
支持文件大小控制,超过指定文件上限将被阻断;
支持主动、被动两种传输模式;
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;支持透明方式、普通方式两种部署模式;
支持访问时段策略;时间可以设置为一次性或者周循环方式
可对访问源地址、目的地址和端口进行访问控制;
邮件传输支持基于SMTP协议的邮件发送和POP3协议的邮件接收;
支持病毒检测功能;
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;提供对访问源地址、目的地址和端口、本机地址和端口的自定义访问过滤控制;邮件收发支持时段访问控制;时间段可以是一次性执行、周循环两种方式
提供邮件访问日志,方便日志审计和管理
安全浏览支持病毒扫描功能;
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;支持访问源地址、目的地址、目的端口的访问控制;
支持上网时段控制策略,时间策略可以是一次性或者周循环模式;
提供安全浏览日志
定制访问实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等
支持TCP/UDP的透明访问和普通访问;
支持源地址、目的地址、目的断开的访问控制。
支持时段控制策略,时间模式可以是一次性执行、周循环两种方式;
提供访问任务的单独启停控制;
消息传输网闸通用接口;提供外部API函数及说明;消息模块中内置了身份认证、访问用户控制、通信加密、数据传输模式、时间控制策略、内容过滤控制、访问控制、高可靠性等应用;
身份认证支持客户端与网闸认证,认证方式可以是数字证书、X509格式的数字证书、本地用户口令认证;通信加密可以实现客户端与网闸之间的SSL加密,实现密文传输;传输模式可以是以文件、字符串、文件和字符串组合等三种传输方式;
安全通道支持多种安全访问方式,比如普通访问模式、透明访问模式、同一个IP多个端口等访问模式;
支持HTTP/HTTPS/FTP/SMTP/POP3等应用协议;
支持H323/H323_GK等多媒体协议;
支持TNS等Oracle数据库访问;
支持SNMP/DNS等协议;
支持多种访问控制,比如IP地址和端口访问控制,连续端口范围控制等;
支持时间策略访问控制。
病毒检测
★支持病毒检测专用模块,支持自动/手动两种升级模式;(提供功能界面截图)
★采用自有知识产权的病毒防护引擎,包括病毒检测引擎和病毒分析引擎(提供
相关专利证明)
★采用专用国产知名病毒库。(提供相关证明)
入侵检测
功能
支持实时入侵检测功能;
抗DDoS
攻击
支持抗DoS、DDoS攻击功能;
安全管理支持HTTPS的Web方式管理,实现了远程管理信息加密传输;
支持命令行方式管理,可通过命令行完成全部管理配置工作;可以通过命令方
式进行资源分配、深层次管理;
内/外网主机系统分别具有独立管理接口,而不是采用低安全的管理方式,如通
过网络接口管理、通过内网一个管理接口完成全部管理等;
管理员权限支持超级管理、配置管理、策略管理、审计管理权限,不同的管理
员可以设置不同的帐号;
防暴力破坏限制支持系统防爆处理,对管理员登陆有密码次数限制,密码输入错误,超过限定次数,自动锁定设备,阻止非法管理员再次登录。根据限定期限,可自动解除锁定。
*双机热备通过独立的热备端口实现双机热备;
*负载均衡支持2~32台设备实现负载均衡,无需第三方软硬件支持;(访问类模块)
*端口冗余支持设备自身物理端口冗余功能;
无故障运
行时间
不少于5万小时;
日志管理日志实现按功能模块分组管理
实现对日志的浏览、查询、导出、删除等操作
日志支持远程存储,能为第三方提供日志格式,实现日志数据分析;支持SysLog
标准
产品资质要求设备具备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》。
具有公安部信息安全产品检测中心检测报告
具备国家信息安全产品认证证书
应急服务能力要求要求设备生产商具有信息安全应急处理服务一级资质
出于对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服务资质》
二、服务及集成要求
要求集成商具有信息系统集成三级以上资质;要求所供设备提供三年免费质保;
要求集成商负责所购设备的安装调试,并协助用户完成对业务系统的调整部署,设备安装调试涉及的网络线缆等辅料由集成商提供;
要求集成商每季度安排一次巡检,日常提供7*24小时服务;
要求集成商为用户提供现场培训和两人次专业培训;
网闸配置注意事项20140910
网闸调试注意事项 1、笔记本装上控制台也连接到了设备的管理口却搜索不到设备 可能笔记本存在多个网卡,首先确认一下安装完控制台后选择的通信网卡是否正确,如果选择的网卡正确,再确认下笔记本正确的连接到了网闸内网的管理口。选择网卡界面如下:可以根据网卡存在的IP地址区分哪一块是物理网卡 2、能搜索到设备却怎么都无法登录 先查看出错信息,如果信息提示未知错误,可能是设备密码输入错误,或者上次登录没有退出控制台就拔掉了网线,确认一下密码输入的是否正确,如果输入正确,重启一下设备尝试重新登录。 3、对象定义注意事项:定义对象以及对象组时,名称和备注等信息不能使用IP/MAC/MASK等关键字。
4、对象定义注意:定义一个地址范围要用“-”来间隔,如(192.168.1.1-192.168.1.253) 如果要定义所有客户端都可以访问内网服务器,IP地址MAC地址和子网掩码全为0。 示。
6、定义服务时注意:如果存在相应的处理模块要选择处理模块或者不选。选择处理模块可以控制的更加细密,如果用户的服务不属于内置模块的服务,勾选“此应用中未定义 的命令允许执行”选框。 7、安全通道选择要注意:默认存在两个安全通道,内网到外网的LAN1通道和外网到内网的LAN1方向,分别用InToOut和OutToIn来表示。如果部署模式没有使用默认的这两 个接口,可以自己修改或者重新建立安全通道。
8、定义系统规则:系统规则把系统模版和安全通道绑定在一起,确保通过网闸的数据 符合系统模版和安全通道的规定。 9、设备规则应用注意:在应用规则前要确认你定义的规则是正确的,可以到设备规则 栏下边双击当前系统规则栏内相应的规则名称,查看定义规则的全部信息。
最新招标文件技术要求资料
采购内容及技术要求 一、项目概述 项目名称:企业数据中心机房建设 占地面积:约36个平方 分布区域:分为中心机房区(35个平方),UPS电池房及操作办公区 二、项目建设范围 1)综合布线系统 IT机柜、上走线强弱电桥架、光纤熔接盘、24口屏蔽配线架、双绞线、光缆、光纤跳线、双绞线跳线等 2)精密空调系统 精密空调16kw,2台,上送风下回风; 3)UPS电源 强电配电柜,UPS主机(40KVA)、蓄电池组(满足满载1小时持续供电)、PDU、电池架等 4)动力环境监控系统 温湿度、水浸、电量监测、GSM短信报警、配电柜监测、精密空调监测、UPS主机监测、视频监控、门禁等
5)防雷接地系统 二、三级防雷、等点位接地、引入大楼综合接地等 6)气体灭火消防报警系统 气体灭火自动报警、温感、烟感、气体灭火装置、七氟丙烷等 7)机房装饰装修 天面微孔天花铝合金吊顶、墙面彩钢板饰面、防盗门、玻璃隔断平移门、照明及墙壁插座 8)配套 空调、电视机、KVM 9)其他 如果本技术规格书有明显未提到的细节,或在本技术规格书的条款中没有明显规定的,后期所有遗漏的责任由投标人承担,并不得因弥补遗漏增加费用,投标人投标时对该条款需提供承诺函,未提供或承诺含义不清,投标技术评分则为零分。 三、项目技术要求 (1)综合布线系统 品牌要求:双绞线、配线架、信息模块、跳线、面板指定品牌:美国康普、美国西蒙、法国罗格朗、台湾岳丰;光通信产品采用森豪、长飞、烽火;机柜采
用法国罗格朗、图腾 布线结构要求:采用EOR布线方式,并充分考虑网络配线架和光纤配线架数量,因配置数量不足导致综合布线工程无法满足项目需求,中标单位无偿配置齐全。 内容要求(包含但不限于):服务器机柜10套,按照EOR布线结构方式配置网络配线架、光纤配线架及相关线缆,弱电线缆采用上走线方式。 产品质量服务要求:必须具备并保证在工程完工时向厂商申请25年原厂质量及系统保证 技术要求: 1)综合布线线缆产品必须保证材料的防火、阻燃和防止由于燃烧释放出对人体有害的氯素有毒气体原因造成的人员不安全因素,其中低烟无卤线缆必须有国际或国内权威机构燃烧安全性检测报告,符合防火标准IEC60332-1的要求。 综合布线系统所选用的材料品牌必须为品牌表内的标准化产品,铜缆布线产品包括铜线缆、铜跳线、铜配线架、铜信息模块、信息面板、须采用端对端同一品牌产品。 铜布线系统,用户不接受其主要产品如双绞线、配线架、信息模块、跳线、面板,和主干光缆等采用OEM 方式的厂家产品。 综合布线产品的品牌具有25年及以上的历史,请提供相关证明文件。 2)综合布线产品的品牌具有REACH欧盟认证,并在国内具有自己独力产
网闸典型应用方案
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
最新联想网御网闸(SIS-3000)配置过程教学文稿
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下 区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持
招标技术要求
第二部分招标内容及要求 1.工程概况 2.招标内容 淮北市中泰广场项目空调末端设备采购。 3.设备名称、规格型号、数量,具体内容如下: 风机盘管及新风机组汇总表 所提供的服务包括货物的供货、运输、指导安装、技术及售后服务等。上述设备型号供参考,投标人可根据技术参数的要求,选择等于或优于本文件要求的产品投标。
4.技术要求 ①完整性:投标人所提供的设备应能满足空调系统等完整性的要求。需要招标人自行解决的设备、附件应在投标文件中列出,否则系统正常运行所缺的设备及附件,均视为免费及时提供。 ②适应性:投标人所提供的设备应能保证在使用地的自然环境、气候条件、公用设施等情况下全天候正常运行。 ③投标人所提供的设备必须是成套的、全新的、功能全的单元,并且必须是代表制造商最高水平的设计,同时应是先进的、工艺精良和高质量的产品。 ④所供设备按国产优质产品标准选用,满足通用性、体积小、互换性好,操作方便等要求。设备的通用性为“设备与使用的系统工程间衔接部件具有通用性,正常使用情况下易磨损或损坏部件应为市场通用的标准配件,如该设备不具备前述情况,在投标文件的货物性能详细说明中应载明”。 ⑤技术标准:符合国家和专业部门相关标准和规范。 ⑥末端设备详细技术要求 空调末端主要评价其内部及其配套的主要部件选配情况、技术参数、性能等指标。该部分的调试等工作由投标人负责。 1、关于风机盘管的基本技术要求 盘管供水温度7℃,回水温度12℃,盘管工作压力1.6兆帕。 性能参数:各风机盘管均要求提供最近一次国家有关部门测试报告。 性能差异:各投标单位用表格将招标要求与实际性能一一列出,有差异的应另附性能差异表。 2、空调机组(含新风机组)的基本技术要求 1)形式: 组合式空调机组应考虑可分段制造和运输,在现场根据紧固件连接各功能段,实现最终的功能。另外各投标人需考虑对招标文件中所有组合式空调机组现场拼装并就位的费用。 2)使用年限和使用条件 连续工作时间:全年工作**(由投标人填写)天,每天连续工作**(由投标
5.10网闸配置_配置安全通道
1.1 配置安全通道 ◆网络拓扑 FTP客户端 FTP服务端 ◆应用概述 如上图所示,今以FTP应用服务配置为例,其他应用服务类似(只要该C/S模式底层符合标准的TCP/UDP协议)。此应用要求实现内网FTP客户端主机通过安全隔离网闸安全地访问外网FTP服务器,通过安全通道模块达到对文件上传/下载的目的。该应用环境使用要点如下: 1、网闸内、外网络口各直连一台装有WindowsXP Professional系统的主机,与网闸外 侧相连的是FTP服务器(端口:21),与网闸内侧相连的是访问客户端主机; 2、今要求以透明和普通两种方式访问; 3、IP地址设置见网络拓扑图; ◆配置步骤 网闸WEB配置部分,下面以FTP应用为例展开叙述,其他应用与之类似,不再赘述。 1、配置网闸内侧任务,并启动服务 添加网闸内侧任务,如下图:
启动服务,如下图: 按下按钮,启动服务 2、配置网闸外侧任务,并启动服务 添加网闸外侧任务,仅对普通访问有效,如下图:
服务类型可选【tcp_any】;亦可 选【ftp】,但目的端口可不填。 启动服务,同上。 3、测试 针对普通访问,访问时如下图: 普通访问模式下,该 地址为网闸内侧地址 普通访问模式下,格式为: 用户名 针对透明访问,访问时如下图:
透明访问模式下,该地 址为真实FTP服务器地址 透明访问模式下,格式为:用户名 1、透明访问时,需配置默认网关或添加静态路由,详见《4.2.2 FTP访问》的“配置步骤”第4步; 2、支持日志访问; 3、支持一些动态端口应用服务,比如:ftp、tns、h.323等等; 4、支持源、目的端口范围; 5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务; 6、普通访问时,不支持服务器地址范围; 7、支持ping; 8、支持相同服务多服务器的应用模式; IE浏览器进行FTP访问; 1、配置客户端任务(针对普通访问和透明访问),并启动服务; 2、配置服务端任务(仅针对普通访问),并启动服务; 3、测试;
物理隔离网闸讲解学习
物理隔离网闸 一、物理隔离网闸的概念 我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。 物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络,但是我国的涉密网络与公共网络,特别是与互联网是无任何关联的独立网络,不存在与互联网的信息交换,也用不着使用物理隔离网闸解决信息安全问题。所以,在电子政务、电子商务之前,物理隔离网闸在我国因无市场需求,产品和技术发展较慢。 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。物理隔离网闸成为电子政务信息系统必须配置的设备,由此开始,物理隔离网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。 1.1 物理隔离网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。 1.2 物理隔离网闸的信息交换方式 我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。 网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。说到“摆渡”,我们会想到在1957年前,长江把我国分为南北两部分,京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨,又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时,它必然与粤汉铁路断开,反之依然。与此类似,物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络的主机系统相连接时,它与内部网络的主机系统必须是断开的,反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆
网闸作用
问题:网闸工作原理解答:网闸基本原理:切断网络间通用协议连接;数据包进行解或重组静态数据;静态数据进行安全审查包括网络协议检查代码扫描等;确认安全数据流入内部单元;内部用户通严格身份认证机制获取所需数据。 问题:网闸解答:网闸两同安全域间通协议转换手段信息摆渡式实现数据交换且系统明确要求传输信息才通其信息流般通用应用服务注:网闸闸字取自于船闸意思信息摆渡程内外网(游)未发物理连接所网闸产品必须要至少两套主机物理隔离部件才完物理隔离任务现市场现单主机网闸或单主机两及处理引擎滤产品真网闸产品符合物理隔离标准其包滤安全产品类似防火墙注:单主机网闸单向网闸掩耳目。 问题:隔离网闸设备解答:隔离网闸种由专用硬件电路切断网络间链路层连接能够物理隔离网络间进行适度安全数据交换网络安全设备。 问题:隔离网闸硬件设备软件设备解答:隔离网闸由软件硬件组设备。 问题:隔离网闸硬件设备由几部组解答:隔离网闸硬件设备由三部组:外部处理单元、内部处理单元、隔离硬件。 问题:单向传输用单主机网闸解答:隔离网闸组必须由物理三部组所单主机(包括处理器)安全产品并网闸产品完物理隔离任务其所谓单向传输基于数据包滤类似防火墙产品并物理隔离产品。 问题:要使用隔离网闸解答:用户网络需要保证高强度安全同与其信任网络进行信息交换情况采用物理隔离卡信息交换需求满足;采用防火墙则防止内部信息泄漏外部病毒、黑客程序渗入安全性保证种情况隔离网闸能够同满足两要求避免物理隔离卡防火墙足处物理隔离网络间数据交换佳选择。 问题:政府机关网计算机必须内外网物理隔离 解答:政府建立内部网工程安全保密问题直工程建设重点内容内部网信息涉密或内部信息家明确规定涉及家秘密计算机信息系统直接或间接与际互联网或其公共信息网络相联接必须实行物理隔离确保家秘密安全。 问题:隔离网闸与防火墙何同解答:主要几点同:A、隔离网闸采用双主机系统内端机与需要保护内部网络连接外端机与外网连接种双系统模式彻底内网保护起即使外网黑客攻击甚至瘫痪内网造伤害防火墙单主机系统 B、隔离网闸采用自身定义私通讯协议避免通用协议存漏洞防火墙采用通用通讯协议即
招标参数
招标参数 一、项目概况 1、项目名称 深圳出入境检验检疫局动植中心仪器采购项目 2、项目总体要求说明 2.1投标人应提供所代表品牌厂商原装、全新的、符合国家及用户提出的有关质量标准的设备和产品。 2.2如果因为所代表品牌厂商无法提供的原因而提供其他品牌的设备/部件,投标人应明确说明并提出质量保证承诺。 2.3所有设备、器材在开箱时必须完好,无破损,配置与装箱单相符。数量、质量及性能不低于本方案中提出的指标要求。 2.4所建议的设备的性能应达到或超过指标要求表中所列技术指标。 2.5投标人在投标书中建议提供的设备必须给出具体的选型说明,这些选型说明和证明文件应以附件形式在投标书中列出。所提供的说明书必须能反映投标人在设备配置技术要求中的指标。
二、各包组技术参数要求 A包:体式显微镜 一)、主要技术参数: 1、变倍比≥20:1; ★2、变倍方式:电动连续变倍; 3、支持的最小放大倍数不得大于2.3倍; 4、支持的最大放大倍数不得小于1312倍; ★5、调焦方式:电动; 6、调焦精度:350 nm; 7、具有触摸屏的控制器能够操控解剖镜所有功能,包含:电动变倍、电动调焦、电动光源开/关,并可电动调整光强度等;并可显示以下信息:当前所用物镜倍数、目镜倍数、总放大倍数、视野范围、分辨率、景深、z轴调焦位置、透射光及反射光亮度、光强的色温值等参数。支持多使用者的管理系统;可记忆多个调焦位、倍率、照明方式,方便观察条件重现; 8、体视显微镜最大可用物镜工作距离不得小于253mm,最大样本空间不得小于475mm; 9、物镜工作距离:1.0倍物镜工作距离80mm以上; 10、可根据需要扩展成3孔物镜转盘,以方便操作。 (其中不可偏离参数须在序号前加“★”) 二)、一般技术参数: 1、三目观察镜筒观察角度:观察角度≤20度; 2、目镜:10X/23,可屈光度补偿,视力修正范围+5到-5之间; 3、 1倍物镜分辨率≥430线对/毫米,最高分辨率1000线对/毫米; 4、反射光底座; 5、照明方式:冷光源,LED照明; 6、配环行光纤。 三)、配置要求: 1、变倍体 1个; 2、三目观察镜筒1个; 3、电动支架1个; 4、底座1个; 5、10x/23目镜2个; 6、目镜罩2个; 7、工作距离80 mm以上1倍物镜1个; 8、LED冷光源2套; 9、环行光纤2根;
投标产品技术参数表
投标产品技术参数表 招标编号: 序号包号货物设备名称规格型号(mm)招标文件要求投标产品技术参数 1 第一包四层板式冲孔 货架 1135*500*1550 材质采用201#优质不锈钢 板制作,层板厚度1.2mm 制作,每层采用不锈钢板 连接;每层层板满冲12大 圆孔滤水,立柱采 用¢38*1.2mm不锈钢管,连 可调节高度不锈钢子弹 脚;每层层架载重量150 公斤。全无缝焊接技术, 产品牢固耐用。 材质采用201#优质不锈 钢板制作,层板厚度 1.2mm制作,每层采用不 锈钢板连接;每层层板满 冲12大圆孔滤水,立柱采 用¢38*1.2mm不锈钢管, 连可调节高度不锈钢子弹 脚;每层层架载重量150 公斤。全无缝焊接技术, 产品牢固耐用。 2 第一包L型平板推车900*600*900 材质采用201#优质不锈钢 板制作,台面厚度1.2mm; 推手采用38*38*1.2mm不 锈钢管;配4个活动脚轮 (两定向两万向)连优质 轴承。方便实用、采用全 无缝焊接技术,产品牢固 耐用,承载能力强。 材质采用201#优质不锈 钢板制作,台面厚度 1.2mm;推手采用 38*38*1.2mm不锈钢管; 配4个活动脚轮(两定向 两万向)连优质轴承。方 便实用、采用全无缝焊接 技术,产品牢固耐用,承 载能力强。 3 第一包米面台1750*750*250 材质采用201#优质不锈钢 板制作,台面厚度1.2mm, 承重1000KG不变形。 材质采用201#优质不锈 钢板制作,台面厚度 1.2mm,承重1000KG不变 形。 4 第一包米面台1800*750*250 材质采用201#优质不锈钢 板制作,台面厚度1.2mm, 承重1000KG不变形。 材质采用201#优质不锈 钢板制作,台面厚度 1.2mm,承重1000KG不变 形。 5 第一包四层板式冲孔 货架 1135*500*1550 材质采用201#优质不锈钢 板制作,层板厚度1.2mm 制作,每层采用不锈钢板 连接;每层层板满冲12大 圆孔滤水,立柱采 用¢38*1.2mm不锈钢管,连 可调节高度不锈钢子弹 脚;每层层架载重量150 公斤。全无缝焊接技术, 产品牢固耐用。 材质采用201#优质不锈 钢板制作,层板厚度 1.2mm制作,每层采用不 锈钢板连接;每层层板满 冲12大圆孔滤水,立柱采 用¢38*1.2mm不锈钢管, 连可调节高度不锈钢子弹 脚;每层层架载重量150 公斤。全无缝焊接技术, 产品牢固耐用。
招标技术参数
招标技术参数 一、技术功能要求 1.能测量粉末、颗粒、纤维、多孔材料等样品的表面能,无需进行样品处理 2.能测量样品表面能非均匀性。例如由于表面污染、表面修饰、晶体取向、晶格不规则性、水合、样品尺寸和形状等导致的样品表面能非均匀性。 ★3.能够精确测量固体材料的表面能,精确度达到±0.1mj/m2,重复性误差不大于±1%RSD。 ★4.能够在一次实验中支持不同浓度探针分子进行实验,蒸汽探针分子与载气的注射浓度比可以精确到1:4000。能够在实验中控制不同探针分子、流速、温度进行测试,探针分子可以选择12种,流速0-200sccm,温度达到20℃-150℃ 5.能够对检测器进行增益调节,4种增益可调。备有1倍(低增益),10倍(中增益),100倍(高增益),500倍(超高增益),精确峰面积与保留时间。 6.集成的探针分子产生与注入系统,只需将所需溶剂注入样品池即可。 7.先进的指示及状态诊断功能,如溶剂池密封、泄露探测报警、检测器点火以及系统运行状态。 ★8.采用独特分析手段,可获取等温线、BET、表面能、竞争吸附、吸附热、酸碱化学分析。可配备高级分析进行体相分析,对粘附功、内聚能、交联度、玻璃化转变、溶解度参数进行分析。 二、样品分析色谱柱 ★9.硅烷化玻璃管色谱柱,具备表面能低、均与性特点,内径可分为2mm、3mm、4mm、等。 三、样品填充装置 10.样品色谱柱振荡器 11.自动进行粉末、颗粒等样品填充 四、高精度注射系统: 12.可变的注射大小 13.宽广的浓度范围(灵敏度1:4000) ★14.盛放12种溶剂的推拉式溶剂池设计,利于精密温度控制 15.惰性电磁阀、PEEK管与全氟橡胶O型圈,确保脉冲高重复性与高精度 16.独立流量控制器,流量范围0-200sccm 五、恒温柱箱 17.快速适配柱设计 18.双样品柱设计 19.热电加热和致冷方式 20.温度范围:20℃-150℃ 21.精度±0.1℃ 六、火焰电离探测器(FID) ★22.4种增益可调:1倍(低增益),10倍(中增益),100倍(高增益),500倍(超高增益) 七、前置LED指示灯 23.方便获取系统状态信息,如数据存储、检测器点火、漏气探测等 八、软件控制系统 24.智能化基于向导实验 25.多方法变量:覆盖面积、溶剂、温度、流速 26.实时显示实验进程 27.易于设置、保存和恢复 28.多达10种方法批量运行 29.先进的系统诊断 九、数据分析系统
有关网闸的配置案例
有关网闸配置的案例 1.1配置网闸的基本步骤有哪些? 答: 1)在PC上安装客户端;本地IP为192.168.1.1/24,用交叉线与仲裁机相连(默认无法ping);2)通过客户端连接仲裁机(192.168.1.254)用户名/口令superman/talent123登录; 3)设置内端机IP地址,设置外端机地址(一般均为eth0) 4)为了调试方便,通过命令行的方式允许ping 通内外端机; 5)设置TCP应用通道,启用通道 6)配置安全策略 1.2通过一个案例来说明如何配置网闸来保证内外数据安 全交换 1.2.1拓扑图如下: 1.2.2基本说明: 1.在OA区域里有服务器,安全管理和终端,边界由网闸来隔离,只允许有限的访问。 2.目前具体的要求是只允许外部的终端10.10.1.1访问OA服务器,内部机器可以访问外
部的WEB 10.10.1.5 3.不能泄漏内(外)部的网络结构。 1.2.3基本配置: 设置内外端地址 1.2.4测试验证: 由于是端口转发,客户端的IE无需作代理设置,只是将访问的目的设为外(内)端机地址10.10.1.2(10.10.0.1)即可。 1.2.5效果 用户只需访问本地的服务器,通过网站作代理映射,就可以到达从内部(外部)访问外部(内部)的目的。以下为链接: http: //10.10.0.1 (可以访问到10.10.1.5) http://10.10.1.2(可以访问到10.10.0.109) 1.3 对于级联的网闸的配置如何来做 在等级保护的实际案例中,需要两个或以上的网闸来配置一条完整的通道,如以下图
1.3.1基本要求 OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3 门户网站区域()可以访问位于OA区域的OA服务器10.10.0.109 1.3.2基本配置 1.3. 2.1 OA区域网闸配置 说明:从内到外的访问目的就是门户网闸的外端机地址(192.168.4.2) 从外到内的访问目的是真实的服务器地址10.10.0.109
ips与网闸
入侵防御系统 编辑本义项 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网 络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 网路安全 随着电脑的广泛应用和网路的不断普及,来自网路内部和外部的危险和犯罪也日益增多。20年前,电脑病毒(电脑病毒)主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软体。而今天,不仅病毒数量剧增,质量提高,而且通过网路快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软体失效。 目前流行的攻击程序和有害代码如 DoS (Denial of Service),DDoS (Distributed DoS),暴力猜解(Brut-Force-Attack),埠扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软体的漏洞和缺陷钻空子、干坏事,让人防不胜防。 网路入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软体失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网路资源,这就是所谓Zero Day Attack。 防火墙可以根据英特网地址(IP-Addresses)或服务埠(Ports)过滤数据包。但是,它对于利用合法网址和埠而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。 每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。除病毒软体就是通过储存所有已知的病毒特征来辨认病毒的。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第
力控网闸配置示例
目录 1TCP协议-------------------------------------------------------------------------- 2 1.1 同网段配置实例 --------------------------------------------------------------- 2 1.2不同网段配置实例 -------------------------------------------------------- 6 2UDP协议 ------------------------------------------------------------------------ 10 2.1同网段配置实例--------------------------------------------------------------- 10 2.2不同网段配置实例------------------------------------------------------------ 14 3定制访问 ------------------------------------------------------------------- 18 3.1映射模式 ----------------------------------------------------------------------- 18 4双机热备 ------------------------------------------------------------------- 22
空调招标技术要求
空调招标技术要求 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
附件1:技术标准与要求 1.技术规范 1.1.适用于本工程的国家、地方或行业规范 除非合同文件另有约定,本工程适用国家现行规范、规程和标准,以及本市 或行业规范、规程和标准。包括设计图纸和其他设计文件中的有关文字说 明,新技术、新工艺和新材料相应使用说明或操作说明等内容,以及国外同 类标准的内容等。 构成合同文件的任何内容与国家现行规范、规程和标准之间出现矛盾,乙方 应书面要求甲方予以澄清,除非甲方有特别指令,乙方应按照其中要求最严 格的标准执行。材料、施工工艺和本工程都应依照本技术标准和要求以及国 家现行规范、规程和标准的最新版本执行。 1.2.适用于本工程的特殊技术规范如下: 2. 2.1.设计参数及优化设计 2.1.1.设备需满足设计图纸相关设计参数要求:。 2.1.2.乙方应根据甲方提供的图纸资料、技术要求及有关规范和规定,对本项目空 调系统进行二次设计、选用适当的型号,以确保符合甲方的使用要求。并提
供满足招标文件和施工图纸所要求的空调设备表、用电负荷表、主要设备材料表等施工设计资料。 2.1. 3.本空调系统为冷、暖系统,夏季制冷、冬季供暖。乙方应根据平面图、制冷 量要求并结合各自产品的特点进行系统深化设计。 2.2.安装、调试及试运行 2.2.1.乙方应按甲方通知的日期到现场进行安装、调试。合同签订后乙方的项目代 表,负责协调乙方在工程全过程的各项工作,如图纸确认、包装、发运、现场安装、调试验收等。 2.2.2.合同签订后15日内,结合施工图、精装修图设计进行中央空调系统深化设 计,并将深化设计图纸报工程主体设计院审批确认,并汇入设计院图纸,作为设计的一部分,图纸须盖有设计院图签。 2.2. 3.安装开始前,所有有关图纸及技术协议必须提供完整,并经甲方确认。机组 的安装应严格按批准的图纸进行施工。如有疑问或变更,须经甲方同意。 2.2.4.安装工程的安全技术、环境保护等应按国家及扬州江都市有关现行规定及甲 方、监理的要求执行。乙方须服从甲方、监理等有关方面的指挥监督。 2.2.5.安装过程中应严格执行安全保护及消防安全的有关规定。充分考虑到施工及 使用人员的安全因素,预防各种意外事故发生。应避免出现尖锐顶角、毛刺、开口等问题。材料应具有阻燃性能、低烟无毒。 2.2.6.安装所使用的各种主要材料、设备、成品或半成品应有出厂合格证或质量鉴 定文件;如为进口产品,还应提供报关、清关资料和商检证明文件、原产地证明。 2.2.7.安装前应做好开箱检验的各种准备工作,通知甲方、监理参加,并做好 2.2.8.乙方应负责在现场对设备进行调试和试运行,以检验其设计制作操作性和功能 等方面的情况。 2.2.9.系统安装完毕,应在甲方工程师、监理的监督下进行试运行前的测试,以证明 其可以进行试运行。 2.3.验收 2.3.1.最终验收将在系统安装调试完毕后,按国家标准及招标文件要求或双方经协商 认可的标准进行。应交由权威主管部门进行检验,甲方、监理单位等将参加检验。
招标参数(一)
招标参数:(包一) *1、为了便于管理和维修,所有投标产品必须为同一品牌、同一型号,不允许同一投标厂家投标产品中出现2个及以上品牌。 1、8吨洗扫车主要技术参数(2辆) 项目参数 底盘型号东风天锦DFL1160BX5 底盘发动机型号东风康明斯ISDe210 40柴油发动机(国Ⅳ排放)底盘发动机功率155 kW /2500 r/min 副发动机型号东风康明斯EQB160-20型柴油发动机) 副发动机功率118 kW /2500 r/min 副发动机转速智能系统自动控制 最大总质量16000 kg 最高车速≥90 km/h 最小转弯直径≤19 m 最大爬坡度≥30% 清扫宽度≥3.5 m 扫盘组合采用中置两扫盘装配,具有清洗、清扫、洗扫功能 吸嘴组合长排吸嘴、左右各一个吸口吸嘴长度≥2 m 吸嘴和扫盘控制采用液压浮动技术控制。扫刷组合能清洗路缘石的立体式扫刷左右侧喷杆具有双向防撞避让功能洗扫宽度≥3.5 m 低压冲洗宽度≥24m 作业速度≥20 km/h 最大作业能力≥70000 m2/h
最大吸入粒度100 mm 洗净率≥90% 高压水路系统流量106 L/min 高压水路系统工作压力10MPa 清水箱容积≥9 m3 垃圾箱容积≥7 m3 垃圾箱卸料角≥48° 驾驶室配置配原厂冷暖空调、视频监控 主要性能要求: 1. 清水箱及垃圾箱均采用瓦楞结构(提供车辆彩图证明)、材料使用进口不锈钢制作,永不生锈,且垃圾箱装有防溢满报警装置。 2. 垃圾箱采用大倾角倾翻卸料,污水中的沉积泥沙和垃圾可以自动卸出。垃圾箱内设置了高压喷淋清洗装置,倾倒垃圾后可对污水箱进行自动清洗。 3. 垃圾箱尾部下方设有高压喷雾系统,可进行道路喷雾降尘和夏季道路降温作业。 4. 在右扫盘及垃圾箱后部设置高清晰监视探头,驾驶室内设置一高清晰液晶显示器,画面可分别切换到右扫盘位置及垃圾箱后部位置,作业时,可对扫盘作业工况和整车作业质量进行监控,倒车映像。 5.采用先进的智能化一键式操作,作业时,只需选定作业模式后,各作业机构的启动与关停由程序自动控制。作业装置有全洗扫作业、左洗扫作业、右洗扫作业、全扫路作业、左扫路作业和右扫路作业等作业模式。 6、显示屏操作,驾驶室显示屏操作,彩色视频作业监控,具有语音报警、自诊断、预警处理、应急防护、故障分析、作业记录功能。
300网闸配置
伟思安全隔离网闸Vigap300型号的配置说明 与注意事项 配置前的准备工作: 1)网闸外观和接口 2)实施前要知道客户的网络拓扑图,根据客户应用决定网闸需要安装在哪个节点,和 网闸需要的IP地址数 3)先把用来配置网闸的电脑IP修改成10.119.119.*(119除外),掩码255.255.255.0, 安装控制平台后会在桌面生成一个快捷图标,对应的是所在安装目录的 4)用直连网线(B类线)连上网闸可信端网口(网闸默认内网口和外网口各两个,只 有中间的两个可以用),ping 10.119.119.119测试网络连接是否正常,然后进行配置。 5)网闸开箱默认模式是set模式,根据需要可以在控制平台里进行模式转换。(透明 模式管理IP:172.26.78.1,禁ping,可以telnet ip 112测试) 网闸配置的一般步骤: 1)双击桌面快捷图标启动管理平台,默认用户名:admin,密码:admin05。进入管 理平台,如下图:主页面分三部分,安全隔离与信息交换设备,系统安全审计功能,访问控制规则表。一般很少用到系统安全审计功能。
2)安全隔离与信息交换设备页面,右键点击隔离设备,选择添加(注意:一定要保证 设备已经开机,笔记本已经连接设备可信端接口,并配置IP已经测试连通性,如果笔记本与设备之间的网络不通的情况下,在该页面添加设备会报错),然后弹出 如下图对话框 点下一步会跳到配置IP信息及系统名的页面如下图
如上图标注,其中可信端的IP地址是灰色,鼠标无法选中并配置(300的设备可信端的接口地址是没办法在这个页面进行配置的,即使IP不配,配置上网关和掩码也是不生效的),配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面,默认全选上(在后面的文档中会介绍到这一部分)。最后点击完成,回到如下图的界面。
网闸和防火墙的区别、网闸主要特点
网闸和防火墙的区别、网闸主要特点 网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。网闸技术在安全技术领域源于被称之为GAP,又称为Air Gap的安全技术,它本意是指由空气形成的用于隔离的缝隙。在网络安全技术中,主要指通过专用的硬件设备在物理不连通的情况下,实现两个独立网络之间的数据安全交换和资源共享。下面贤集网小编来为大家介绍网闸和防火墙的区别、网闸主要特点、网闸技术要求及网闸常见问题解答。一起来看看吧!
网闸和防火墙的区别 1、应用场景区别 网闸和防火墙的应用场景是不同的,网络已经存在考虑安全问题上防火墙,但首先要保证网络的连通性,其次才是安全问题,网闸是保证安全的基础上进行数据交换,网闸是两个网络已经存在,现在两个网络不得不互联,互联就要保证安全,网闸是现在唯一最安全的网络边界安全隔离的产品,只有网闸这种产品才能解决这个问题,所以必须用网闸。 2、硬件区别 防火墙是单主机架构,早期使用包过滤的技术,网闸是双主机2+1架构,通过私有的协议摆渡的方式进行数据交换,基于会话的检测机制,由于网闸是双主机结构,即使外网端被攻破,由于内部使用私有协议互通,没办法攻击到内网,防火墙是单主机结构,如果被攻击了,就会导致内网完全暴露给别人。 图1:防火墙单主机架构 图2:网闸双主机2+1架构
网闸的主要功能是什么
客户要了解网闸,首先就要明白网闸都能干什么? 以下我们以安盟华御网闸产品为例进行说明 首先,前面已经讲过,网闸的主要功能是 隔离信息和交换。 其次,我们讲讲网闸主要支持哪些功能,这些功能又能给客户解决哪些问题? 1、同步功能 (1)文件同步 (2)数据库同步 A(内网) ----网闸-----B(外网) (1)先说同步功能,同步是由网闸主动发起的同步, 例如客户希望内网的A 服务器一个目录的文件允许开放到外网,这时由网闸发起同步,把内网A服务器的目录文件同步到B服务器上,这样可以保证A服务器不会受到影响,而B 服务器开放在外网,就算黑客入侵,也只是获取一些公开的内容,对内网没有威胁。 (2)数据库同步支持相同数据库和不同数据库,应用于文件同步类似,数据某个表需要同步到B服务器。 同步功能可以给客户解决只对外共享允许的数据,保证内部数据不外泄。 这两个功能可以反映出产品的质量,一些厂商的网闸同步数据库、文件时会出现丢数据或传输极慢的问题。 2、访问功能(数据库访问、视频交换、工业访问控制、Web代理、组播代理、邮件交换、文件传输) A-----网闸-----B
数据库访问:可以对数据的访问做精细的控制,比如A用户读取B服务器的数据库,正常数据库有增、删、改、查4个动作,可以在网闸限制,只能查不能做其他的,这是独立于数据库权限之外的,只要经过网闸就可以进行限制。 保护客户的服务器数据不被篡改或非法访问 视频交换:顾名思义就是视频流量穿越网闸,很多网闸是没法做视频交换的,就是视频流量到了网闸会断掉,因为这里面需要做代理协议,每个厂商实现又不太一样,因为我们专注于网闸研发,所以目前市面的视频交换都支持,即使遇到不支持的情况,在短时间内也可以做到支持。 为客户解决视频穿越的问题。 工业访问控制:在工业环境下,一般用OPC、MODBUS工控协议控制和检测设备,如果设备被黑客远程控制是非常危险的,使用网闸可以把生产网和其他网络隔离起来,可以根据客户需求限制从其他网络到生产网只允许查看,不允许下发控制指令,这样可以满足监视设备运行状态,又保证安全的目的。 解决生产网的安全问题 Web代理:通常情况下我们访问一个网站很容易打开,但是确很少考虑怎么安全的打开,经过网闸时由于需要保证安全,所以访问过程是经过代理的,比如http 最基本的get、post 等操作,代理就隐藏了客户端真实的信息,这样可以保证网络安全。 解决web访问安全问题 组播代理:组播报文可以穿越网闸,网闸会代理组播保温,一些厂商的网闸是不支持组播代理的。