【VIP专享】伟思网闸技术说明

网闸基本全参数1网闸1.设备参数要求：指标要求系统架构采用“2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成。

采用安全操作系统平台，隔离交换矩阵基于专用芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议系统要求采用具有自主知识产权的多核多线程ASIC并行操作系统平台，并提供该安全操作系统的软件著作权；接口配置要求不少于6个10/100M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）、扩展口；内外网主机系统分别具有1个RJ45串口；性能系统吞吐量不小于91Mbps并发连接数不小于 1.2万延时小于1ms交换开关切换小于2ns文件交换支持病毒检测；支持NFS、SMBFS、SAMBA等文件系统；文件服务器可以是Windows、Linux/Unix等系统平台；支持文件传输方向可控，实现单向或双向传输；支持按任务进行分策略过滤；支持一源多目的及多源一目的文件交换；文件交换可以采用客户端方式和无客户端方式的部署；文件传输支持身份认证及加密传输；支持增量传输、发送后删除、发送后转移等发送策略；支持文件格式特征过滤，并且不依赖于文件扩展名；支持文件类型检查可扩展模式，方便用户自主增加特定文件类型，并提供工具帮助用户识别不常见文件类型；（要求功能界面截图）重发策略，在文件发送端设置发送次数支持时间策略；支持文件大小传输限制；重名策略，接收端客户端支持对重名文件的控制策略，提供“覆盖”、“丢弃”、“重命名”等重名策略。

具备详细的日志记录功能，方便日志查询、统计等操作；可根据异常条件进行报警；支持邮件报警方式；数据库同步支持病毒检测；支持Oracle、SQL Server、Sybase、Db2等主流数据库；数据库同步客户端支持Windows、Linux等多种平台；支持Oracle数据库RAC集群同步；支持同种数据间（同构）和不同种数据库间（异构）的同步；支持字段级数据库间的单向或双向同步（不改变用户的库结构）。

伟思安全隔离与信息交换系统ViGap500WZ技术参数说明硬件物理隔离具备硬件物理隔离部件系统采用2+1架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

*该部件采用专用隔离芯片设计，不支持通用通讯协议,不可编程隔离区包含基于ASIC设计的开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。

隔离区信息交换采用DMA方式实现。

断开内外网TCP/IP连接设备断开内外网络TCP/IP连接内部数据交换速率>5.8Gbps接口网络接口包含八个100/1000M自适应端口管理接口内网唯一一个RS232接口，外网端不允许配置任何形式的管理接口，所有管理配置操作均通过网闸内网管理接口进行配置；网闸设备配置文件保存在网闸内网端。

*多网连接支持内外网端同时连接多个网络，实现多个网络的直接接入和安全隔离。

系统性能并发连接会话数>200,000 系统延时<50μs系统带宽>900Mbps资质要求隔离网闸资质证书公安部销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书（军C+）国家信息安全产品认证证书应用支持全面支持TCP/IP以上应用层协议系统透明支持TCP/IP以上的应用层协议，网页浏览、数据库复制、文件交换、数据库访问、邮件、消息服务等无需二次开发数据库数据库同步SQLServer、Oracle等的单、双向数据交换；支持周期复制、实时复制、增量更新等多种同步方式；支持设定同步时间和同步周期；支持复杂网络部署，不需改变用户网络环境；数据库访问支持SQLServer、Oracle、Sybase、DB2等常见数据库应用；文件交换文件同步和访问支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式；支持文件复制、移动、增量等多种传输方式；支持断点续传。

安全访问控制功能IP、网络、时间、协议端口、内容过滤等对象访问控制支持多种方式的访问控制，包括源，目的IP、子网、时间、时间端口、内容过滤IP/MAC地址绑定可实现基于IP+MAC绑定的客户端访问控制；支持MAC认证用户：应用于DHCP网络环境下；抗DDOS攻击防止多个DOS攻击源一起攻击某台服务器单/双向通讯控制支持单、双向可选的访问控制流量管理*流量控制支持任意接口之间都可以做流量管理和控制支持动态带宽调整；根据作用条件自动调整应用服务或IP流量的带宽值。

珠海伟思隔离网闸技术白皮书目录一、概述 (2)一、 .......................................................................................................................................... 网络安全现状 2二、 ................................................................................................................................. 现有网络安全技术 23、现有网络安全技术（防火墙技术）的缺点 (3)4、GAP技术简介 (3)二、ViGap介绍 (6)一、ViGap产品简介 (6)2、ViGap产品原理 (6)三、ViGap功能 (7)一、ViGap产品定位 (7)2、ViGap产品功能 (8)四、ViGap产品性能 (9)一、ViGap产品技术指标 (9)ViGap 100-150 (10)ViGap 100-350 (10)2、ViGap产品硬件和软件包 (10)五、ViGap产品应用 (11)一、通用解决方案 (11)二、重要网络数据资源保护 (12)3、电子政务安全岛 (12)ViGap技术白皮书一、概述1、网络安全现状运算机网络的普遍应用是现今信息社会的一场革命。

电子商务和电子政务等网络应用的进展和普及不仅给咱们的生活带来了专门大的便利，而且正在创造着庞大的财富，以Internet 为代表的全世界性信息化浪潮日趋深刻，信息网络技术的应用正日趋普及和普遍，应用层次不断深切，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，运算机网络也正面临着日趋剧增的安全要挟。

广为网络用户所知的黑客行为和解决活动正以每一年10倍的速度增加，网页被修改、非法进入主机、发送冒充电子邮件、进入银行系统盗取和转移资金、窃取信息等网络解决事件此起彼伏。

(5) (5) (28)与此同时，计算机网络也正面临着日益剧增的安全威胁。

广为网络用户所倍的速度增长，网页被修改、非法进入主针对上表所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、入侵检测技术也存在着局限性。

其最大的局限性就是漏报和误报严重，它的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝TCP连接，连接、不可信端到可信端的专有封值得提出的是，ViGap不但在逻辑上终止了TCP对话，还从物理上断开了内外网络之间的连接，使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。

GAP技术的关键技术要点是：要点描述Inject攻脚本等各类应内网管理配置，策略存储均在内网进行，避免外部任何威胁对设备自身的－1000三、ViGap 功能3.1、ViGap 产品定位现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题，但是，对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS 攻击、分布式DoS 、缓冲区溢出攻击等各类网络安全问题，已有的各类网络安全技术中，仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。

即使是使用一些高级的安全技术，例如网络防火墙，加密技术和代理，但是对任何一个单一的安全技术，网络安全问题都得不到很好的解决。

下图示意描述了现今可用的各种网络安全解决方案，在这个示意图中，按照应用的不同，网络本身被分为两个部分，即网络层和应用层。

而在各种网络安全方法中，包括了防范已知网络安全问题和未知网络安全问题的方法，各种网络安全技术都分别解决了相应部分的网络安全问题。

GAP 安全解决方法优势在于它既能阻塞又能预防。

阻塞发生在已经知道的攻击而预防则是对于未知的攻击。

已知防护措施（阻塞）未知防护措施（防护）网络层保护应用层保护FireWallApplicationProxyApplication ScannerViGap在上图的左上部分，是防火墙产品主要防范的网络安全问题，它能够对已知的攻击提供适当的保护，这也就意味着防火墙必须进行调整来鉴别威胁。

网闸技术构建内外网一体化门户一、序言近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。

电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。

电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。

如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。

一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。

本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。

二、网闸的概述1、网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客“无法入侵、无法攻击、无法破坏，实现了真正的安全。

2、网闸的组成网闸模型设计一般分三个基本部分组成：·内网处理单元：包括内网接口单元与内网数据缓冲区。

·外网处理单元：与内网处理单元功能相同，但处理的是外网连接。

·隔离与交换控制控制单元：是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。

3、网闸的主要功能∙·阻断网络的直接物理连接和逻辑连接∙·数据传输机制的不可编程性∙·安全审查∙·原始数据无危害性∙·管理和控制功能∙·根据需要提供定制安全策略和传输策略的功能∙·支持定时/实时文件交换∙·支持Web方式∙·支持数据库同步三、政府网络中物理隔离技术的应用1、我国网络信息安全现状随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展，Inter net正在逐渐融入到社会的各个方面。

(5) (5) (28)与此同时，计算机网络也正面临着日益剧增的安全威胁。

广为网络用户所倍的速度增长，网页被修改、非法进入主针对上表所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、入侵检测技术也存在着局限性。

其最大的局限性就是漏报和误报严重，它的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝TCP连接，连接、不可信端到可信端的专有封值得提出的是，ViGap不但在逻辑上终止了TCP对话，还从物理上断开了内外网络之间的连接，使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。

GAP技术的关键技术要点是：要点描述Inject攻脚本等各类应内网管理配置，策略存储均在内网进行，避免外部任何威胁对设备自身的－1000三、ViGap 功能3.1、ViGap 产品定位现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题，但是，对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS 攻击、分布式DoS 、缓冲区溢出攻击等各类网络安全问题，已有的各类网络安全技术中，仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。

即使是使用一些高级的安全技术，例如网络防火墙，加密技术和代理，但是对任何一个单一的安全技术，网络安全问题都得不到很好的解决。

下图示意描述了现今可用的各种网络安全解决方案，在这个示意图中，按照应用的不同，网络本身被分为两个部分，即网络层和应用层。

而在各种网络安全方法中，包括了防范已知网络安全问题和未知网络安全问题的方法，各种网络安全技术都分别解决了相应部分的网络安全问题。

GAP 安全解决方法优势在于它既能阻塞又能预防。

阻塞发生在已经知道的攻击而预防则是对于未知的攻击。

已知防护措施（阻塞）未知防护措施（防护）网络层保护应用层保护FireWallApplicationProxyApplication ScannerViGap在上图的左上部分，是防火墙产品主要防范的网络安全问题，它能够对已知的攻击提供适当的保护，这也就意味着防火墙必须进行调整来鉴别威胁。