上海人科电子科技有限公司
目 录
一、概述........................................................................................................................................... 3
1.1、网络安全现状 .................................................................................................................. 3 1.2、现有网络安全技术 .......................................................................................................... 3 1.3、现有网络安全技术的缺陷 .............................................................................................. 4 1.4、GAP技术简介 ................................................................................................................. 5
1.4.1、GAP模型的实现 .................................................................................................. 6 1.4.2、协议的分拆与重组 ............................................................................................... 7 二、ViGap介绍 ............................................................................................................................... 8
2.1、ViGap产品简介 .............................................................................................................. 8 2.2、ViGap产品原理 .............................................................................................................. 9 三、ViGap功能 ............................................................................................................................. 10
3.1、ViGap产品定位 ............................................................................................................ 10 3.2、ViGap产品功能 ............................................................................................................ 11 四、ViGap产品性能 ..................................................................................................................... 14
4.1、ViGap产品技术指标 .................................................................................................... 14 4.2、ViGap产品硬件 ............................................................................................................ 15 五、ViGap产品应用 ..................................................................................................................... 16
5.1、 5.2、 5.3、 5.4、
通用解决方案 ......................................................................................................... 16 重要网络数据资源保护 ......................................................................................... 17 “数据大集中”应用模式 ..................................................................................... 17 “外网受理,内网处理”模式的应用 ................................................................. 18
附录一、与防火墙产品的比较 ..................................................................................................... 20
包过滤防火墙 ......................................................................................................................... 20
应用代理防火墙 ..................................................................................................................... 20 全状态检测(stateful inspect)防火墙 ............................................................................. 22 ViGap网络隔离网闸 .............................................................................................................. 22
一、概述
1.1、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。 1.2、现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。 问题类型 问题点 问题描述 协议设计 软件设计 人员操作 系统维护 安全问题被忽制定协议之时,通常首先强调功能性,而安全性问题视 则是到最后一刻、甚或不列入考虑范围。 其它基础协议架构在其他不穏固基础协议之上的协议,即使本身再问题 完善也会有很多问题。 设计协议时,对各种可能出现的流程问题考虑不够周流程问题 全,导致发生状况时,系统处理方式不当。 设计错误 协议设计错误,导致系统服务容易失效或招受攻击。 协议规划正确,但协议设计时发生错误,或设计人员设计错误 对协议的认知错误,导致各种安全漏洞。 程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能程序错误 发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。 操作规范严格且完善,但是操作人员未受过良好训操作失误 练、或未按手册操作,导致各种安全漏洞和安全隐患。 软件或操作系统的预设设置不科学,导致缺省设置下默认值不安全 系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。 未修补系统 软件和操作系统的各种补丁程序没有及时修复。 对由信任系统和网络发起的各种攻击防范不够。信任内部安全问题 领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。 针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。 1.3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。
同时,防火墙还存在着一些弱点:
一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;
二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;
三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。 1.4、GAP技术简介
在介绍GAP技术之前,先来简单地介绍一下GAP技术的原型:Sneaker-NET。
InternetLAN
图一、Sneaker-NET技术
在Sneaker-NET技术中,有一个人来操作,另外包括两个网络:不可信网络和可信网络,这两个网络物理隔断,在大多数Sneaker-NET方案中,也有一个独立的计算机,或者一个与两个网络分离的DMZ区域,用于内容检查。
采用Sneaker-NET技术后,网络信息流如下:
1.该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。 2.该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括(不仅仅这些):病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。
3.如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。
4.信息从可信网络传输到不可信网络将也用相似的流程。
在Sneaker-NET技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是从不安全环境到安全环境信息传输的一个最安全的方法。 1.4.1、GAP模型的实现
GAP隔离网闸技术就是基于这样的一个机理实现的一种安全信息交换技术。在Sneaker-NET中,人的作用是在两个网络之间进行低速的手工交换数据,而在采用GAP技术的设备中,用一个快速大规模集成电路ASIC隔离部件来实现这一功能;用在Sneaker-NET中做数据交换的磁介质,在GAP技术中则用存储设备来代替。在某一时刻,ASIC隔离部件只能连接到其中的一个网络,其它的硬件和软件实施则类似于Sneaker-NET的装置。
从前述的Sneaker-Net模型中我们不难发现,模型之所以具有上述有价值的安全特性,关键在于隔离机制的实现,因此,网闸如何真实模拟人的运动机制是实现Snaeker-Net模型的关键,也是体现网闸安全优势的关键。
最佳的实现方式是通过半导体大规模集成电路ASIC隔离部件来实现。半导体ASIC隔离部件以纯物理方式实现了电路的导通与断开,与加/解密等逻辑断开方式不同,它具有固化的不可编程特性,不会因溢出等逻辑问题导致系统的崩溃,在最低层即物理层面上保证了网络断开功能的实现,具有最高的安全可靠性。
由于半导体ASIC隔离部件具有开关功能,通过两组开关器件即可准确模拟出Sneaker-Net模型中人的工作机制,如图所示:
公众网受保护内网InternetLAN交换池网网网网网网网网网
图中箭头标志代表了半导体ASIC隔离部件,它可以在公众外网服务器与受保护网服务器间摆动,同一时刻开关仅能与一边服务器连通,该动作模拟人在断开的内外网服务器间的移动。与ASIC隔离部件直接相连的是一个暂存数据的交换池,该结构模拟了人手中的存储介质。
半导体ASIC隔离部件结构在最基本的物理层次上真实模拟了Sneaker-Net模型,它不仅继承了Sneaker-Net模型所有的安全特性,同时又解决了原模型中数据传输速度与延时的问题,使得该模型可在不影响用户网络应用的前提下实现期望的安全功能。可以说,ASIC隔离部件的实现是区分网闸与其它安全产品的重要指标。
1.4.2、协议的分拆与重组
隔离网闸对于接收到的任何外部会话连接,首先通过外部网络接口将会话终止,然后利用协议解析模块将TCP/UDP数据格式打破,并采用内部专有的封装协议将分解得到的数据打包后通过隔离开关传输到内网可信端。在可信端数据经过一系列安全检查之后,协议解析模块对数据重组,并在内部网络接口重构到内部服务器的会话。
对于从内部到外部的TCP连接,隔离网闸也具有对等的处理方式。
经过如上的处理,隔离网闸事实上已经将原来直接连通内外网络的TCP连接,从逻辑上分解为外网到网闸不可信端的TCP连接、不可信端到可信端的专有封装协议连接、可信端到内网的TCP连接的组合。因此,在添加伟思信安隔离网闸之后,可以阻断内外网络之间的TCP对话,其结构如图所示:
值得提出的是,隔离网闸不但在逻辑上终止了TCP对话,还从物理上断开了内外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。
GAP技术的关键技术要点是: 要点 物理隔断
描述 可信网和不可信网物理隔断,可信网络上的计算机不能访问不可信网络 可选择数据交两个网络能够有选择的交换数据,好像它们直接相连一样 换 数据是静态的 在交换数据过程中,数据是静态的(被动的),不能被执行 独立决策 所有决策在一个安全的环境中处理,与不可信网络隔断 支持文件和命交换数据可以包含文件和命令 令 高性能 上述所有工作实时进行,实现最大吞吐量和最小延时 二、ViGap介绍 2.1、ViGap产品简介
伟思信安隔离网闸(以下简称ViGap)是珠海伟思有限公司采用先进GAP技术独立研制生产的新一代网络安全产品。它放置在可信网络和不可信网络之
间,连接两个网络并控制网络间的信息交换。ViGap通过专用硬件在可信网络与不可信网络间实现物理隔断,可以防止各种基于网络层和操作系统层的攻击,并通过基于硬件设计的反射GAP系统,实现在线高速实时的数据传输。 ViGap还具备强大的协议终止、协议检查、内容审查等功能,可确保可信网络不受攻击,并保护网络间资源、信息和数据交换的安全进行。
由于ViGap的自身技术特点,使它具有以往其它网络安全产品所不具备的安全防护能力,填补了网络安全产品在防范网络攻击方面的某些空白。
ViGap产品可以部署在任何需要保障内部网络信息安全免受外部黑客攻击的网络出口连接处。适用于政府机构、金融保险、军队警察、电力电讯及企业网络。
2.2、ViGap产品原理
ViGap系统由两套独立工作的计算机系统和一套反射GAP系统组成,两套计算机系统分别是连接不可信网络的不可信网络端计算机和连接可信网络的可信网络端计算机,两套计算机系统通过反射GAP系统相连,处理两个网络交换数据事务。与其他GAP产品相比,ViGap使用了LVDS总线和高速双开关体系结构,在性能方面有显著的增强。
ViGap是运用GAP技术研制的具有当前国际先进水平的网络安全产品。ViGap采用了先进的新一代的反射GAP技术和协议终止技术,成功地实现了既保证可信网络与不可信网络的物理隔断,又保证两个网络间的数据实时访问,能防止针对网络层和OS层的已知的和未知的攻击。
◣ViGap采用先进的ASIC隔离部件通断技术
为保证可信网络与不可信网络在ViGap设备上的物理隔断,ViGap中包含了精心设计的硬件ASIC隔离部件动作系统,使得连接可信网络端和不可信网络端的两组高速ASIC隔离部件配合系统数据流分时地“接通”、“断开”。
◣ViGap采用先进的反射GAP技术
ViGap的内部反射GAP系统完全基于硬件体系,目的是将不可信网络端计算机存储系统和可信网络端计算机存储系统中的数据进行快速交换。反射GAP系统不依赖于任何通信协议和操作系统服务,它具有独立的硬件逻辑电路,通过独立的总线交换数据,实现了网络间数据的高速交换。 ◣ViGap采用先进的协议终止及分析技术
当网络数据流经ViGap时,数据在ViGap设备计算机系统上被处理,经过协议终止、协议检查并剥离数据包装,然后剥离出的裸数据被反射
GAP系统传送到另一方,并重新生成协议后送达目的地。彻底杜绝黑客利用协议对可信网络进行攻击。
三、ViGap功能 3.1、ViGap产品定位
现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题,但是,对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS攻击、分布式DoS、缓冲区溢出攻击等各类网络安全问题,已有的各类网络安全技术中,仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。即使是使用一些高级的安全技术,例如网络防火墙,加密技术和代理,但是对任何一个单一的安全技术,网络安全问题都得不到很好的解决。
下图示意描述了现今可用的各种网络安全解决方案,在这个示意图中,按照应用的不同,网络本身被分为两个部分,即网络层和应用层。而在各种网络安全方法中,包括了防范已知网络安全问题和未知网络安全问题的方法,各种网络安全技术都分别解决了相应部分的网络安全问题。GAP安全解决方法优势在于它既能阻塞又能预防。阻塞发生在已经知道的攻击而预防则是对于未知的攻击。
已知防护措施(阻塞)FireWall网络层保护应用层保护ApplicationProxy未知防护措施(防护)ViGapApplicationScanner
在上图的左上部分,是防火墙产品主要防范的网络安全问题,它能够对已知的攻击提供适当的保护,这也就意味着防火墙必须进行调整来鉴别威胁。左下部分描绘应用代理,能够在应用层对已知道的攻击进行阻塞。在右下角表述的是一些新的技术,例如内容检测,主机保护和对应用程序扫描等。但是,目前针对应用层未知攻击的各种防护方法还不是很好。ViGap产品的功能定位即主要在这一层上,它既能阻止网络层和操作系统层的已知的攻击,又能防止网络层和操作系统层受到未知的攻击,解决了防范未知网络攻击的安全难题。
ViGap引入新的安全层次,但是在传输数据时不会对网络和操作系统服务造
成任何危害。作为网络安全设备,ViGap提供四种最主要的保护:网络漏洞,操作系统的不稳定,软件漏洞,D.O.S攻击。
3.2、ViGap产品功能
ViGap产品具有以下功能: ◆ HTTP功能 ◆ EMAIL功能 ◆ FTP功能
◆ 内容过滤功能 ◆ 黑名单功能
◆ IDS入侵检测功能
◆ SAT(服务器地址映射)功能 ◆ 身份认证功能 ◆ 安全代理服务功能 ◆ AI安全过滤功能 ◆ WEB站点保护功能 ◆ 防病毒功能
◆ VPN通讯安全功能 ◆ 日志和警报功能 ◆ 安全上网 ◆ 数据库应用 ◆ 网络应用 ◆ 定时服务功能 ◆ 高可用功能 HTTP功能
ViGap提供了功能强大的HTTP协议分析模块,可以允许可信网络用户自如地访问不可信网络上的各种网络资源,也可以允许不可信网络上的用户安全地访问可信网络上的WEB服务。 EMAIL功能
ViGap也提供了功能完善的SMTP/POP(3)协议分析模块,可以允许可信网络用户自如地通过ViGap收发来自不可信网络上的各种电子邮件,也可以允许不可信网络上的用户安全地通过ViGap来收发可信网络上的电子邮件。 FTP功能
ViGap的FTP协议分析模块,提供了和HTTP功能和Email功能一样安全的
FTP服务支持。 内容过滤功能
针对关键字(词)进行检索,按照匹配的原理,对通过ViGap传输的数据进行过滤和检查,可以保护网络的各种敏感资源和数据,也保护了可信网络资源。 黑名单功能
针对通过ViGap传输的数据的文件名进行过滤的黑名单功能,不仅可以有效阻止敏感文件的交换,并且可以有效防范通过附件文件对可信网络的各种攻击。
IDS入侵检测功能
ViGap在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与ViGAP隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。
SAT(服务器地址映射)功能
ViGap具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。 身份认证功能
不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。ViGap除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。 安全代理服务功能
ViGap允许可信端用户以应用代理方式访问不可信网络,ViGap作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。 AI安全过滤功能
应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。ViGap产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻
击。ViGap在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。
WEB站点保护功能
目前大量应用基于B/S架构开发,WEB服务成为了越来越通用的服务,然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。ViGap全面分析了来自WEB服务的漏洞,建立了WEB站点保护系统WebAppliaction™,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。 防病毒功能
系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。 VPN通讯安全功能
ViGap对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。 日志和警报功能
ViGap提供的日志和警报功能,可以监视和解决对可信网络以及设备本身的连接和破坏安全的问题,也可以通过管理控制台状态选项卡对整个ViGap系统进行常规的状态监视。日志和警报功都所涉及内容包括:
ViGap系统的问题 通讯故障
破坏安全的企图
通过ViGap系统的传输和指令
通过ViGap系统传输的文件和其它类型的内容
安全上网
ViGap支持用户安全上网应用,可根据身份认证、IP+MAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。 数据库应用
ViGap全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、SyBase等主流的数据库的SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。 网络应用
ViGap支持各类TCP/IP以上的网络应用协议,无需二次开发。包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议。同时,针对用户特殊需求ViGap提供API应用开发接口。 定时服务功能
ViGap安全隔离系统内置定时功能,可设置多个时间点来控制(非断电,加电)网闸网络服务的启动和终止,在停机期间任何外部主机都无法访问网闸,网闸此时类似于已关机。该功能使得网闸在不需要进行数据交换的时间段处于不工作状态,内外网彻底与外网物理隔离,绝对安全,如果不对定时功能进行设置,在默认情况下网闸可正常使用。 高可用功能
ViGap产品针对大型网络的应用提供了负载均衡、双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台ViGap设备可以建立双机热备机制,并通过虚拟IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。结合ViGap独有的状态检测系统,管理员能够迅速发现设备故障并做出处理。
四、ViGap产品性能 4.1、ViGap产品技术指标
技术特性
◆ 在可信网络与不可信网络之间实现物理隔断
◆ 可信网络与不可信网络端间实时高速安全地数据交换 ◆ 支持基于UDP和TCP的网络协议
◆ 系统日志及存档和备份功能,并支持多种第三方系统日志 ◆ 流量控制功能
◆ 支持广泛的协议检查
◆ 丰富图形用户接口(GUI)的人机交互界面 ◆ 为多个ViGap提供集群和负载平衡能力
高粒度协议检查
◆ 对协议关键字和命令进行全面检查 ◆ 灵活的数据类型管理
◆ 用户指定的文件名和扩展名
◆ 精确定义访问定义目录、子目录和文件 ◆ 内置HTTPS分析支持服务
◆ 内置认证支持(PKI,LDAP,RADIUS)服务 ◆ 嵌入关键字搜索引擎 ◆ 内置文件格式检查
百兆技术指标
2+1架构, ASIC硬件隔离部件,具有不可编程特性
网络接口:≥4个10/100Mbps RJ45以太网自适应接口,提供
HA、管理接口;
内外网系统独立控制:DB9针RS232串行通讯接口; 百兆设备最大网络吞吐量(双向)≥180Mbps,单向≥95Mbps;
内部数据总线交换带宽≥5Gbps;
系统延时≤20ns,最大并发连接数≥8000,无用户数限制; 平均无故障时间≥60,000小时,
系统状态显示:内置液晶显示面板、多个网络连接LED指示
灯
千兆技术指标
4.2、ViGap产品硬件
硬件规格
尺寸规格:标准2U机架式 重量:15KG
电压:100-250V,47-63HZ
2+1架构, ASIC硬件隔离部件,具有不可编程特性
网络接口:≥4个10/100/1000Mbps RJ45以太网自适应接口, 可选千兆GBIC光电自适应模块化接口,提供HA、管理接口; 内外网系统独立控制:DB9针RS232串行通讯接口;
千兆设备最大网络吞吐量(双向)≥1600Mbps,单向≥800Mbps;
内部数据总线交换带宽≥5Gbps;
系统延时≤2ns,最大并发连接数≥20000,无用户数限制; 平均无故障时间≥60,000小时,
系统状态显示:内置液晶显示面板、多个网络连接LED指示灯
功率:300W
操作环境:-5℃-50℃ 环境湿度:5%-95%
安全及电磁标准
五、ViGap产品应用 ViGap应用领域
◆ 政府机构 ◆ 公安、军队 ◆ 金融保险 ◆ 税务、海关
◆ 企事业单位的电子商务或电子政务系统
5.1、 通用解决方案
ViGap典型应用之一 -----“内网用户安全上网”应用模式 例:某部门内网用户需要上网浏览互联网,为保护内网用户与互联网间的安全隔离,其方式如下:
如下图所示:
CB to IEC 60950:1999, 3rd edition TUV GS mark toEN60950: 2000 TUV C-US to UL60950: 2000 CAN/CSA-C22.2;No 60950: 2000 CCC
FCC Class B, VCCI Class B, CE class B
5.2、 重要网络数据资源保护
ViGap典型应用之二 -----保护WEB、EMAIL等对外服务系统
例:电子政务的一个重要应用是通过互联网对外提供信息服务平台,其WEB站点代表了政府部门的对外形象,由于暴露在互联网上,因此经常遭到黑客攻击,为保护WEB服务系统安全,可采用ViGap隔离与交换系统先进的WEB智能保护引擎实现对政府对外WEB站点操作系统以及应用系统的全面防护,如下图所示:
5.3、 “数据大集中”应用模式
例:某管理部门拥有省、市、县三级网络,各自负责其管辖范围内的业务管
理工作,为建立高效率的管理决策机制,该部门需要实时将县一级数据汇总到市,市一级数据汇总到省。为保证省、市、县不同网络安全域间的有效访问控制与信息交换,设计采取“网络安全隔离+数据库同步模式(或文件交换等数据交换模式)”,如下图所示:
5.4、 “外网受理,内网处理”模式的应用
例:某电子政务应用需要在互联网上建立WEB服务站点,用户可通过连接互联网方便地查询信息、下载表格、申报资料办理相关审批手续。其业务处理系统位于政务内网,两者之间需要实现安全隔离,具体实现方式如下图所示:
附录一、与防火墙产品的比较
从目前流行的防火墙类型看,我们可以把它们大致分为包过滤防火墙、应用代理防火墙和全状态检测型防火墙,比较如下: 包过滤防火墙
作用在网络层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。
转发或拒绝,在客户机和目标机之间,有实际的包流过。
没有切断客户机和目标机的实际连接,另外为了增加性能,一般在设计上协议检查只检查特定协议RFC中定义的少数关键字段,因此它的协议分析能力不强,以上两个弱点容易被黑客利用,攻击容易得手。
应用代理防火墙
让我们先来看看应用代理的结构图,如下:
应用代理(Application Proxy):也叫应用网关(Application Gateway)能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系,安全级别比包过滤强。
应用代理只检查协议,没有进行物理隔离,也没有对数据包头进行剥离,通过复制传递可能把协议攻击带入后端系统。
应用代理针对特定应用而设,每种应用必须有它自己的代理,如Http代理、Ftp代理等。并且应用代理只对应用层进行保护,而它并不保护应用层以下的各层。
全状态检测(stateful inspect)防火墙
ViGap网络隔离网闸
结合动态包过滤防火墙和应用代理等技术,提供七层检测能力 不中断的C/S模式,给黑客可乘之机 运行开销大,对性能的负面影响大
优化配置困难,许多用户只作为动态包过滤防火墙来使用
协议检查,去掉协议头,反射 规则检查,内容检测,生成新的会话
ViGap数据交换直接通过GAP硬件反射实现,是不依赖任何网络协议和OS服务,因此它的后端能防止已知的和未知的基于网络层和OS层的攻击。
总结:
1.防火墙是基于特征库匹配的运作模式,因此它只能防止已知的攻击,对未知的攻击,它无能为力。对于新发现的攻击,即使现在是已知的攻击,但是由于可能未加入到它的特征库中(通过版本(补丁)升级实现),也起不到保护的作用。升级的过程网络系统要中断服务,影响服务质量。而ViGap不是基于特征库匹配的运作模式,它没有特征库的概念,它是通过基于协议RFC检查、拆包处理(只传送有效数据部分)和反射GAP实现它的保护能力的,既它能防止已知和未知的基于网络层和OS层的攻击,它不需要为特征库而打补丁。
2.防火墙和GAP的硬件结构不同,这才是它们的本质的不同。防火墙内外两个网络没有物理隔离装置,内外的客户/服务器存在实际的连接,可能被黑客通过使用IP碎片包攻击或通过未知的攻击来旁路防火墙规则库的检查,并通过
修改规则库使之成为一个网络层的简单路由器,这是防火墙就象一座没有士兵看守的桥一样,随便通行,此时,内部网络安全性可想而知。而ViGap内外两个网络是物理隔离的,因此黑客是不可能入侵到GAP的后端,即可信网络端服务器和可信网络(内部网络),并且网络安全策略放在可信网络端,黑客不能访问到,更不能修改它。当然GAP的前端(即不可信网络端服务器)是暴露在外部的攻击下,它也是我们系统的替罪羊,黑客可能攻击到它,并可能使它不能正常工作。即使这样,黑客也不能通过隔离的GAP入侵到可信网络端服务器。可信网络端服务器会时时检测不可信网络端服务器的运行情况,在不可信网络端服务器不能工作时,自动重新启动它,使它恢复正常,并有效地减少系统中断的时间,提高服务质量。同时,在不可信网络端服务器上我们安装了IDS系统来尽量避免它遭受来自外部的攻击。
3.ViGap能防止针对网络层和OS层的已知的和未知的攻击,而防火墙不能防止未知的攻击。大家知道,半数以上的攻击是基于网络层和OS层的攻击,其中多数成功的攻击是采用人们还未知的攻击,特别是新OS的引入,各种漏洞和后门都潜在,容易被黑客利用,对于未知的攻击防火墙无能为力。这也是防火墙屡屡被攻穿的主要原因之一。
因篇幅问题不能全部显示,请点此查看更多更全内容