网闸CopGap管理手册(bs模式)

网闸技术规范书需方拟采购中网物理隔离网闸。

一、功能描述：整个技术体系完全自主可控；具有自主知识产权的物理隔离内核；采用了自主可控的安全操作系统；物理隔离网闸的程序全部固化（只读）；采用“2＋1”结构，即双主机系统和一个固态介质存储交换系统；支持即插即用，对网络结构没有要求；具有普适性，对两个网络的IP地址没有要求；支持“无缝”地嵌入当前应用和业务系统；对两个网络执行物理隔离；消除了任何IP包穿透物理隔离网闸；消除任何的TCP/IP会话；消除任何的应用会话（B/S或C/S）；消除了任何的通信和网络协议；没有网络协议通过物理隔离网闸，两网之间无直接访问；消除了基于网络的攻击；屏蔽了内网网络结构的缺陷；屏蔽了内网主机操作系统的缺陷；屏蔽了内网的应用缺陷；提供两个网络之间的文件信息交换；支持数据库应用；支持HTTP访问；支持Email收发；对加载了代理功能模块的应用提供服务；对物理隔离的保护功能；防扫描功能（Anti-scan）；抗攻击功能（Anti-dos）；入侵防御功能（IPS）；（登录，篡改）主机访问控制功能（ACL）；提供身份认证；传输文件的格式限制；支持通道管理和传输方向控制；配置方便，易于使用和管理，提供GUI，命令行等配置使用方式；完善的日志记录和查询审计功能；二、基本要求1、原厂商的非OEM产品；2、不影响现有系统的使用。

三、资质要求1、为保证供货和服务的及时性，本次竞价限本地供应商或在本地有销售及服务网点的外地供应商参与，外地供应商须在竞价时以附件形式上传本地销售服务网点证明材料；2、本次竞价投标供应商须为中央政府采购网中该产品协议供货商；3、为保证产品为国内行销原装正货且能够享受完善的售后服务，供应商竞价时需提供原厂售后服务承诺函，承诺提供三年7*24小时技术支持和售后响应服务；4、报价应包含设备费用、运输保险费用、安装调试费用、税金等所有费用。

四、服务要求提供全国范围内免费送货至用户指定地点交货时间:按照合同执行保修：交货后3年安装、调试、现场技术培训服务：上门安装，有技术人员提供现场服务免费上门服务期限：交货后3年内，在服务期内提供技术支持服务，如免费的版本升级和专业的售后服务专线支持（800电话）等。

珠海伟思隔离网闸技术白皮书目录一、概述 (2)一、 .......................................................................................................................................... 网络安全现状 2二、 ................................................................................................................................. 现有网络安全技术 23、现有网络安全技术（防火墙技术）的缺点 (3)4、GAP技术简介 (3)二、ViGap介绍 (6)一、ViGap产品简介 (6)2、ViGap产品原理 (6)三、ViGap功能 (7)一、ViGap产品定位 (7)2、ViGap产品功能 (8)四、ViGap产品性能 (9)一、ViGap产品技术指标 (9)ViGap 100-150 (10)ViGap 100-350 (10)2、ViGap产品硬件和软件包 (10)五、ViGap产品应用 (11)一、通用解决方案 (11)二、重要网络数据资源保护 (12)3、电子政务安全岛 (12)ViGap技术白皮书一、概述1、网络安全现状运算机网络的普遍应用是现今信息社会的一场革命。

电子商务和电子政务等网络应用的进展和普及不仅给咱们的生活带来了专门大的便利，而且正在创造着庞大的财富，以Internet 为代表的全世界性信息化浪潮日趋深刻，信息网络技术的应用正日趋普及和普遍，应用层次不断深切，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，运算机网络也正面临着日趋剧增的安全要挟。

广为网络用户所知的黑客行为和解决活动正以每一年10倍的速度增加，网页被修改、非法进入主机、发送冒充电子邮件、进入银行系统盗取和转移资金、窃取信息等网络解决事件此起彼伏。

科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

GAP技术—物理隔离网闸白皮书（简）物理隔离网闸珠海伟思(集团)有限公司ZHUHAI VICTORY-IDEA（GROUP）CO., LTD.介绍安全背景今天的网络面临许多日益剧增的安全威胁：病毒、特洛伊木马、机动代码（mobile code）、拒绝服务攻击、电子商务入侵和盗窃等。

随着INTERNET的发展，网络变得容易访问进而容易受到外部攻击，这使得许多安全专家认为一台连入INTERNET的PC就是一个攻击的目标。

从一个安全的角度观察，解决方案是简单的，将可信网络与其它任何网络特别是INTERNET断开，保密数据就可牢牢锁定，既没入口，也没出口。

彻底断开可以减少安全威胁。

不幸的是，在今天的电子商务和信息全球化年代，不接入INTERNET是不现实的，很多情况下简直是不可能，与此相反，许多公司越来越依赖于网络：提供职员、客户和商业伙伴快速自由的在线访问内部back-office系统和数据中心。

更复杂的是，通常企业许多敏感的商业信息要和有选择性的外部人员共享。

GAP技术针对这一挑战，通过结合物理断开和逻辑连接，提供给企业一个重要的、附加级的安全措施。

本册解释了怎样实现这一迷人的结合。

什么是GAP技术？GAP技术，它创建一个这样的环境，两个网络物理断开，但逻辑地相连。

某些网络是典型的可信网络，如企业内部网（INTRANET）；另一些网络则是不可信的网络，如INTERNET。

GAP技术在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

对于有连接的PC，黑客使用各种方法，通过网络能够建立连接来对它们进行控制，然而物理隔断却能杜绝这种情况发生。

GAP技术除可以实现物理隔断外，还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。

正因为有这样的特点，GAP技术允许公司分享两个网络世界的杰出优点：物理隔断使可信网络安全和在线式不可信网络访问。

中网X-GAP产品简介中网X-GAP（又称物理隔离网闸，或安全隔离与信息交换系统，以下简称X-GAP）产品是当今已知的安全性最高的网络安全设备。

X-GAP在保证通信隔离（又称物理隔离）的情况下，实现信息交换服务。

X-GAP可以轻松地集成到政府、电力、工商、税务、公安、交通、能源、金融和大型企业等的网络和业务环境中。

X-GAP不仅为客户提供基于隔离的安全保障，而且还提供高速度、高稳定性的数据交换能力，能够满足客户对高安全、高性能、高可靠性的应用需要。

产品概述：★专用的隔离设备隔离是指断开的意思。

安全隔离是指X-GAP连接的内外网之间，在物理链路层是永远隔断、没有连接，因此没有通信连接，没有网络连接，没有应用连接。

安全隔离后，网络无法进行数据通信。

隔离设备引入“文件摆渡”概念，通过“读写”两个命令来实现“文件摆渡”，在保证隔离的情况下实现文件安全交换。

★明确的产品定位X-GAP适用于相互断开的两个网络间安全、高速、可靠地交换文件。

X-GAP 在两个网络断开的前提下，通过“文件摆渡”实现数据交换，解决了各行业由于政策强制要求“物理隔离”所引起的“既要网络断开，又要交换数据”的两难境地，在保持隔离特性的同时，提供一种安全、有效的信息交换途径。

★易于管理和配置X-GAP的系统设计充分考虑到用户的使用和配置，为用户提供的配置界面和管理接口简单易用，安全管理员可以直观方便地配置系统。

产品组成（八大模块）：★安全隔离（断开与摆渡）由外部主机、内部主机和开关系统组成。

外部主机连接外网，内部主机连接内网，外部主机包含外部单边代理、内部主机包含内部单边代理，内外网主机代理之间的文件交换均通过X-GAP的开关系统来摆渡。

★抗攻击内核（内核防护）X-GAP的内核是专有的裁剪加固的高安全性内核。

X-GAP系统采用了中网独有的宙斯盾抗攻击网关内核，为X-GAP本身提供了具有最高强度的抗DOS/DDOS 攻击特性。

X-GAP还支持防扫描的功能（Anti-Scan）和嵌入式的入侵检测防御功能（IDP）。

精心整理隔离网闸使用说明书CGWAY-12/T 正向型版权©2010工业800保留所有权力1产品概述 1.1分层分区方案 根据电力二次系统的特点，划分为生产控制大区和管理信息大区。

生产控制大区分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）。

信息管理大区分为生产管理区（安全区Ⅲ）和管理信息区（安全区Ⅳ）。

正向型网络安全隔离网闸（CGWAY-12/T ）用于安全区I/II 到安全区III/IV 的单向数据传递。

如图1所示：图1：分层分区方案1.2硬件结构 网络安全隔离网闸（CGWAY-12/T ）的硬件结构如图2所示。

本产品硬件采用RISC 体系架构高性能嵌入式计算机芯片，双机之间通过高速物理传输芯片进行物理连接。

底板上有两个高速10M/100M 网口（NET_A 和NET_B)用于连接要隔离的两个网络。

1.3同时1.4产品功能1.2.3.4.基于MAC5.支持NAT6.防止穿透性7.8.1.51.采用非2.3.4.抵御除1.6 1.7内网A 连接时，该外网B A 1.内网取得2.外网取得3.内网发起的4.B 机重新对外网发起连接。

5.B 机无程序设为SERVER 接受外网连接。

2.产品分发与安装 正向型网络安全隔离装置（CGWAY-12/T ）产品分发包括硬件和软件两大部分。

2.1硬件部分 用户在使用本产品时，应先检查硬件产品是否带有具有（CPS ）标志，外观是否有损坏现象。

如有以上现象，请勿使用并及时与本公司取得联系，处理相关事宜。

为了产品稳定、可靠的运行，请勿私自打开隔离装置。

如图5、6所示：图5：产品正面图6：产品背面2.2软件部分 隔离装置随机带有一张配置软件关盘，该程序不用安装，直接使用。

点击cps_tools.exe ，打开配置软件主界面，如下图7所示： 图7：网闸配置工具主界面 2.3网络拓扑图 隔离网闸的配置说明以下图为例，详细说明隔离网闸如何配置。

我公司会在内网侧配置一台接口机，接口机连在内网交换机上，接口机的作用是用DATAClient-OPC 获取DCSOPCServer 的数据，然后通过隔离网闸向外转发。