您的位置:360文档中心› 网神SecSIS 3600安全隔离与信息交换系统G1500-E026P产品白皮书V7.0.13.1【V8.11.1】

网神SecSIS 3600安全隔离与信息交换系统G1500-E026P产品白皮书V7.0.13.1【V8.11.1】

合集下载

网神SecGate 3600 防火墙用户手册

网神SecGate 3600 防火墙用户手册

声明服务修订:●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任:●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息:●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术(北京)股份有限公司目录导言、概述.................................................. 错误!未定义书签。

第一章、基于web管理界面.................................... 错误!未定义书签。

1.web管理界面页面..................................... 错误!未定义书签。

2.Web管理界面主菜单................................... 错误!未定义书签。

3.使用web管理界面列表................................ 错误!未定义书签。

4.在web管理界面列表中增加过滤器...................... 错误!未定义书签。

4.1 包含数字栏的滤波器................................. 错误!未定义书签。

4.2 包含文本串的滤波器................................. 错误!未定义书签。

5.在web管理界面列表中使用页面控制.................... 错误!未定义书签。

5.1 使用栏设置来控制显示栏............................. 错误!未定义书签。

网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]

网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]

●版权声明Copyright © 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。

未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (5)2产品功能说明 (7)2.1SSL 应用发布 (7)2.1.1B/S软件的应用 (7)2.1.2企业站点的应用 (7)2.1.3单点登录功能(SSO) (8)2.1.4C/S应用发布 (8)2.1.5TCP端口应用 (10)2.1.6SSL 隧道模式 (10)2.2LAN TO LAN 的解决方案 (11)2.3远程用户安全性检查 (11)2.4远程用户访问认证 (12)2.5用户访问策略 (12)2.6日志审计功能 (12)2.7防火墙功能 (13)2.8支持动态IP接入 (13)2.9完美的个性化定制 (14)3产品技术优势 (14)3.1将C/S应用转成B/S访问 (14)3.2Web应用功能 (15)3.3访问的安全性 (15)3.4稳定性及高可用性 (17)3.5低带宽运行特性 (17)3.6部署灵活,维护简单 (18)4典型应用 (18)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。

网神SecGate 3600防火墙快速指南

网神SecGate 3600防火墙快速指南

v1.0 可编辑可修改声明服务修订:本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任:本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息:任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术(北京)股份有限公司1网神信息技术(北京)股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1.安全使用注意事项 (2)2.检查安装场所 (3)温度/湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3.安装 (5)4.加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1.选用管理主机 (6)2.连接防火墙 (6)3.登录CLI界面 (7)五、通过WEB界面进行管理 (9)1.选用管理主机 (9)2.安装认证驱动程序 (9)3.安装USB电子钥匙 (9)4.连接管理主机与防火墙 (10)5.认证管理员身份 (10)6.登录防火墙WEB界面 (10)7.许可证导入 (12)2网神信息技术(北京)股份有限公司 28.WEB界面配置向导 (14)六、常见问题解答FAQ(需根据测试提供的FAQ整理) (21)3网神信息技术(北京)股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式:(1)通过CONSOLE口的命令行管理方式(2)通过网口的WEB(https)管理方式(3)拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便,为保证安全,WEB方式连接之前需要对管理员身份进行认证。

网神SecGate 3600防火墙技术白皮书[V9.12.1]

网神SecGate 3600防火墙技术白皮书[V9.12.1]

技术白皮书网神SecGate 3600防火墙本文档解释权归网神信息技术(北京)股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。

未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品功能说明 (4)2.1自适应的网络接入模式 (4)2.2完善的状态包过滤 (5)2.3全面的NAT地址转换 (5)2.4全面灵活的连接限制 (6)2.5病毒过滤 (6)2.6邮件过滤 (7)2.7VPN功能 (7)2.8强大的抗攻击能力 (8)2.9Web过滤 (9)2.10用户认证 (9)2.11与IDS联动 (10)2.12入侵防御IPS (10)2.13双机热备和高可用性HA (11)2.14全面的系统监控 (11)2.15丰富、安全的管理方式 (11)2.16分级权限的安全管理 (12)2.17完善的系统升级 (12)2.18系统配置的导入导出 (12)3产品技术优势 (13)3.1领先的SecOS安全协议栈 (13)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (14)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一:网络出口综合安全防范 (14)4.2拓扑二:透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600防火墙(简称:“网神防火墙)是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构,中小型企业的互联网出口打造的集防火墙、防病毒、抗攻击、VPN、内容过滤、行为管理、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合防火墙系统。

360安全管理系统

360安全管理系统

4
360 安全管理系统产品白皮书
2 产品特点
l 统一的资源监控和预警 360 安全管理系统能够管理企业和组织 IT 资源中的各种网络设备、安全设 备、主机和服务器、服务和应用系统,为用户提供一个全方位监控的统一管理 平台,使得管理员通过一个单一控制台就能够进行实时全网监控,确保企业和 组织 IT 资源的可用性,以及业务的持续性。 通过网络拓扑图,管理员可以直接进入各种设备和系统的管理配置界面,进 行各种细致的配置操作,使得 360 安全管理系统成为一个日常管理的统一入 口,提高管理员的工作效率,提升应急响应效率。 l 全面的 IT 资源监控 360 安全管理系统能够监控 IT 资源中的各种网络设备、安全设备、主机和 服务器、服务和应用系统。 目前,360 安全管理系统能够监控的 IT 资源类型如下表所示:
层次 监控功能项 异常流量监控 网络层 路由追踪(路由拓扑) 链路性能检测 设备(主机)层 应用层 信息层 行为层 主机进程黑/白名单监控 配置和诊断工具 WEB 网页篡改检测 日志安全审计 终端接入监控
l 安全设备策略集中管理 为了不断应对来自内部和外部的安全挑战,企业和组织先后部署了大量的安 全网关,包括防火墙、VPN 等设备。针对这些大量的分布式部署的安全设备,管 理人员需要花费大量的精力放在设备配置和维护上,费时费力,十分不方便。 尤其是下发 VPN 策略的时候,需要分别在不同的安全网关上进行设置,十分容 易出错。因此,企业和组织迫切需要一个针对这些安全设备的集中配置管理解 决方案。 360 安全管理系统采用集中管理的方式对网神防火墙/VPN 设备进行集中策略 配置、统一升级,以及集中的日志审计。 本系统能够对全网安全设备的 VPN 端点、VPN 隧道和安全规则进行统一的集 中编辑,并进行策略下发,把配置安全策略的过程转变为“编辑——下发”的

网神SecGate3600防火墙用户手册解析

网神SecGate3600防火墙用户手册解析

声明服务修订:●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任:●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息:●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术(北京)股份有限公司网神信息技术(北京)股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (21)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (23)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (24)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (25)第二章、系统管理 (25)网神信息技术(北京)股份有限公司1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (29)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (42)1.9 在升级前测试固件 (44)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (54)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (72)2.3 配置网络选项 (74)2.4 配置SecGateDNS服务 (75)2.5 配置显式网络代理 (81)3. 系统动态主机设置协议服务器(DHCP) (89)3.1 SecGate DHCP服务器和中继 (90)3.2 配置DHCP服务 (91)3.3查看地址租借 (95)4.系统配置 (96)网神信息技术(北京)股份有限公司4.1 HA (97)4.2 简单网络管理协议(SNMP) (107)4.3 替换信息 (120)4.4 操作模式和虚拟域管理入口 (127)5.系统管理 (130)5.1 管理员 (131)5.2 管理资料 (145)5.3 设置 (149)5.4 SecGateIPv6支持 (153)6. 系统认证 (158)6.1 本地证书 (159)6.2 CA证书 (166)第三章、路由 (168)1. 路由静态 (168)1.1 路由概念 (169)1.2 如何建立路由表 (170)1.3 如何做出路由判定 (170)1.4 多路径路由以及决定最佳路线 (171)1.5 路线优先 (172)1.6 黑洞路由 (173)2. 静态路由 (174)2.1 使用静态路由 (174)2.2 默认路由和默认网关 (178)2.3 添加静态路由至路由表 (179)网神信息技术(北京)股份有限公司3. 等值多路径路由协议(ECMP)路由失败备援及负载均衡 (181)3.1 ECMP路由同步会话至相同目标IP地址 (184)3.2 配置溢出或基于使用ECMP (184)3.3 从CLI中添加权重至静态路由 (192)4. 策略路由 (194)5. 路由信息协议(RIP) (200)5.1 RIP页面 (200)5.2 RIP网页网络部分 (201)5.3 RIP网页的接口部分 (202)5.4 高级RIP选项 (202)5.5 RIP-启用接口 (205)6. 开放式最短路径优先(OSPF) (207)6.1 定义OSPF自主系统—概览 (207)6.2 基本OSPF设置 (208)6.3 OSPF页面 (208)6.4 OSPF页面的区域部分 (209)6.5 OSPF页面网络部分 (210)6.6 OSPF页面的接口部分 (210)6.7 高级OSPF选项 (211)6.8 OSPF页面高级选项 (211)6.9 定义OSPF区域 (213)6.10 OSPF网络 (215)6.11 OSPF接口的运行参数 (216)7. 边界网关协议(BGP) (219)7.1 BGP页面 (220)网神信息技术(北京)股份有限公司7.2 BGP页面领域部分 (220)7.3 BGP页面网络部分 (221)8. 多路广播 (221)8.1 覆盖接口多路广播设置 (223)8.2 多路广播目标NAT (225)9. 双向转发检测(BFD) (225)9.1 配置BFD (226)10. 路由器监控 (229)10.1 查看路由信息 (230)10.2 查找SecGate路由表 (233)第四章、防火墙 (234)1. 策略 (234)1.1 身份识别防火墙策略 (247)1.2 中心网络地址转换(NAT)表 (254)1.3 互联网协议第六版(IPv6)策略 (256)1.4 拒绝服务(DoS)策略 (256)2. 地址 (259)2.1 地址列表 (260)2.2 地址组 (262)3. 服务 (264)3.1 预定义服务器列表 (265)3.2 定制服务 (273)3.3 定制化服务组 (274)4. 时间表 (276)网神信息技术(北京)股份有限公司4.1 循环时间表列表 (276)4.2 一次性时间表列表 (278)4.3 时间表组 (279)5. 流量整形器 (281)5.1 共享流量整形器 (281)5.2 Per-IP模式流量整形 (284)6. 虚拟IP地址 (285)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (286)6.2 虚拟IP地址 (286)6.3 虚拟域IP地址(VIP)组 (290)6.4 IP地址池 (292)7. 负载均衡功能 (293)7.1 虚拟服务器 (294)7.2 有效服务器 (301)7.3 健康检查监控器 (302)7.4 监控服务器 (305)第五章、UTM (306)1.拒绝服务(DoS)感应器 (306)2.SYN代理 (309)3.SYN界限(使用一个DoS感应器防止SYN泛滥) (310)4.了解异常状况 (310)第六章、虚拟专用网(IPsec VPN) (312)1.IPSec VPN概述 (313)2.策略性对路由型虚拟专用网络(VPN) (314)网神信息技术(北京)股份有限公司3.自动交换密钥(IKE) (317)3.1 第一阶段配置 (318)3.2 第一阶段高级配置设定 (322)3.3 第二阶段配置 (328)3.4 第二阶段高级配置设定 (328)4.人工密钥 (333)4.1 新人工密钥配置 (334)5.集中器 (339)6.监控虚拟专用网络(VPN) (340)7.安全套接层虚拟专用网络(SSL VPN) (343)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (343)7.2 基本配置步骤 (344)7.3 配置(Config) (346)7.4 界面 (348)7.5 界面设定 (351)7.6 界面小部件 (351)7.7 安全套接层虚拟专用网络(SSL VPN)监控器列表 (353)第七章、用户 (354)1.用户 (355)1.1 本地用户账户 (355)1.2 身份认证设置 (357)2.用户组 (359)2.1 防火墙型用户组 (362)2.2 安全套接层虚拟专用网络(SSL VPN)型用户组 (363)网神信息技术(北京)股份有限公司3.远程 (364)3.1 RADIUS (365)3.2 轻量级目录访问协议(LDAP) (368)3.3 TACACS+ (372)4.监控 (374)4.1 防火墙用户监控表 (374)第八章、日志与报告 (377)1.日志与报告概述 (378)2.什么是日志? (379)2.1 日志类型和分类型 (380)3.示例 (383)日志信息 (383)4.SecGate如何储存日志 (384)4.1 远程存储到系统日志服务器 (385)4.2 本地存储到内存 (387)4.3 本地存储到硬盘 (388)5.事件日志 (389)5.1 告警电子邮件 (390)6.接入并查看日志信息 (392)网神信息技术(北京)股份有限公司导言、概述SecGate 3600防火墙缺省支持两种管理方式:(1)通过CONSOLE口的命令行管理方式(2)通过网口的WEB(https)管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

网神SecIPS3600系列入侵防御系统

网神SecIPS3600系列入侵防御系统

网神S e c I P S3600系列入侵防御系统一、 产品介绍网神S e c I P S3600系列入侵防御系统基于先进的体系架构和深度协议分析技术,结合协议异常检测、状态检测、关联分析等手段,针对蠕虫、间谍软件、病毒、垃圾邮件、D O S攻击、网络资源滥用等危害网络安全的行为,采取主动防御措施,实时阻断网络流量中的恶意攻击,确保信息网络的运行安全。

二、产品亮点1.深度检测,多种技术融合融合多种检测技术,有效检测并阻止多种已知的和未知的攻击;应用层上的数据包重组、检测分析,以阻挡越来越多的应用层攻击行为;S e c I P S3600的攻击检测模块与内置访问控制模块的完美集成使得产品具有更安全可靠的防护能力。

2.A S E引擎实现准确的检测与防护S e c I P S3600基于独有的应用检测引擎A S E,实现了的协议状态分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术,结合基于特征匹配的检测技术,极大地提高检测的准确性,降低误报率。

S e c I P S3600特有的协议识别技术能够识别近100种包括后门、木马、I M、网络游戏在内的应用层协议,不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵,并且能更好的提高检测效率和准确率。

S e c I P S3600出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击,达到接近100%的检测准确率和几乎为零的误报率。

3.优异的产品性能S e c I P S3600专门设计了安全、可靠、高效的硬件运行平台。

硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞吐量;操作系统经过优化和安全性处理,保证系统的安全性和抗毁性。

S e c I P S3600依赖先进的体系架构、高性能专用硬件,在实际网络环境部署中性能表现优异,具有线速的分析与处理能力。

4.高可靠、可扩展S e c I P S3600支持失效开放(F a i l b y p a s s)机制,当出现软件故障、硬件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避免单点故障。

网神SecGate 3600安全网关NSG系列UTM技术白皮书[V6.12.2]

网神SecGate 3600安全网关NSG系列UTM技术白皮书[V6.12.2]

技术白皮书网神SecGate 3600 NSG系列下一代安全网关(UTM)目录1产品概述 (3)2产品功能说明 (3)2.1自适应的网络接入模式 (3)2.2完善的状态包过滤 (4)2.3全面的NAT地址转换 (5)2.43G与Wi-Fi (5)2.5病毒过滤 (5)2.6反垃圾邮件 (6)2.7VPN功能 (7)2.8强大的抗攻击能力 (7)2.9应用程序控制 (7)2.10Web过滤 (8)2.11身份验证 (9)2.12即时通讯(IM) (9)2.13入侵防御IPS (9)2.14双机热备和高可用性HA (10)2.15智能分析报表 (10)2.16全面的系统监控 (11)2.17丰富安全的管理方式与灵活的权限设置 (11)2.18完善的系统升级与双系统保障 (11)2.19系统配置的导入导出 (12)3产品技术优势 (12)3.1领先的SecOSII安全协议栈 (12)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (13)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一:网络出口综合安全防范 (14)4.2拓扑二:透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600 NSG系列下一代安全网关(UTM)(简称:“网神NSG系列UTM产品”)是基于完全自主研发、经受市场检验的成熟稳定SecOSII操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构,中小型企业的互联网出口打造的集防火墙、身份认证、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理等多项安全技术于一身并且内置完善的智能报表分析的主动防御综合UTM系统。

网神NSG系列UTM产品可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界,为用户同时提供多种、多层次安全防御,保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害,同时为用户节省了购买多个设备的高昂费用,可简便地统一管理各种安全模块及相关日志、报告,大大降低了设备的部署、管理和维护成本。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

产品白皮书网神SIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术(北京)股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。

未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSIS 3600安全隔离与信息交换系统产品白皮书文档版本号V7.0.13.1扩散范围销售/售前/客服/渠道商/用户作者黄熙日期2013/09初审人复审人●版本变更记录时间版本说明作者2012.11 V6.0.12.1 增加G1500-E026M、G9000-E046M、王起立G9000-E246M三个新型号2013.03 V6.0.12.2新增SSL通道、socks代理等功能黄熙2013.09 V7.0.13.1 新增IPV6功能黄熙目录1产品概述 (4)2产品特点 (4)3主要功能 (7)4 产品型号与指标 (14)5 产品资质 (16)5.1 产品资质 (16)5.2 产品荣誉 (16)1产品概述网神SecSIS 3600 安全隔离与信息交换系统能够有效实现内外网络的安全隔离,数据只能以专有数据块方式静态地在内外网络间进行“摆渡”,从而切断了内外网络之间的所有直接连接,保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点➢安全高效的体系架构:网神SecSIS 3600安全隔离与信息交换系统采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。

➢专用的隔离交换模块:网闸产品核心部件为隔离交换模块,网神SecSIS 3600安全隔离与信息交换系统隔离交换模块基于专用安全芯片设计,全硬件交换;网神隔离交换模块是业界首家研发并使用高效PCI-E接口的交换模块,此交换模块采用PCI-E x4通道设计,单向最高带宽大约是10Gbps,消除性能瓶颈;网神隔离交换模块采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。

➢操作系统安全可靠:内外网主机模块采用专用的网神自主研发的多核并行安全加固操作系统SecOS2,此系统具备强大的抗攻击能力,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。

➢IPV4/IPV6双协议支持技术:网神网闸全面支持IPV4和IPV6双栈接入各类网络环境,支持通过IPV4和IPV6协议管理网闸,无需改变现有网络设备和结构,即可实现IPV4和IPV6网络间的相互通信。

➢业界唯一安全高效的数据库同步技术:网神数据库同步模块,采用业界唯一内嵌数据库同步模块设计,数据库同步由网闸主动发起并完成,不需要第三方软件支持。

优势一:数据库同步请求完全由网闸主动发起,网闸无需开发任何端口,更具安全性;优势二:无需在内外端机数据库服务器上安装任何软件,对数据库服务器性能无任何影响,对数据库服务器本身运行的应用程序不存在任何兼容性问题。

➢业界唯一融合加密、认证、授权多安全技术于一身的网闸产品:网神网闸通过专用SSL通道客户端拨入,拨入链路通过SSL协议进行加密,认证通过后,结合拨入终端应有的权限,对拨入用户进行授权,即为此终端用户应具有的访问权限,通过授权防止方法用户的非法访问。

认证保证终端用户访问身份的合法性、加密保证数据传输的私密性、授权保证终端用户访问业务系统的合法性、加之网闸固有的协议转换、双通道结构等众多安全特性,最大程度保证高安全域网络的安全性。

➢强大的网络适应能力:网神网闸针对不同的软件模块具有多种部署方式,支持代理方式、透明方式等多种部署方式,可以根据用户网络的特殊性采用不同的实现方式进行灵活部署。

➢深度应用层解析过滤能力:网神网闸针对HTTP协议、FTP协议、POP3协议、SMTP协议、TNS协议等多种应用层协议进行深度解析及过滤,满足用户安全性需求。

➢深度应用层攻击防御能力:网神网闸具有防病毒功能模块,针对文件交换模块、FTP访问模块、安全浏览模块、邮件访问模块具有防病毒功能,支持本地升级及远程升级。

网神网闸具有入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。

➢强大的网络适应能力:网神网闸具有多种功能模块,用户可以根据网络需求选用相应的功能模块;网神网闸每种功能模块具有多种实现方式,用户可以根据网络需求选用相应的实现方式。

如:文件交换模块支持FTP、SMB、NFS等多种文件传输协议,支持无客户端方式及有客户端方式等;网神网闸双机热备、负载均行功能通讯接口可以设置为HA接口、网络接口等,支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,可以适应各种复杂的双机及负载网络环境需求;➢丰富的应用模块:网神SecSIS 3600安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求。

3主要功能项目技术要求硬件架构系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块自主研发的基于安全芯片的专用隔离部件,无操作系统,外部无法编程控制,全硬件交换内外端机为网络协议终点,彻底阻断各种网络协议,保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其他网络协议内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接,消除性能瓶颈内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理内、外网分别具有独立的HA口,实现双机热备及负载均衡面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。

(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000 -E006P/G9000-E046M/G10000-E246M)主模块采用基于linux内核的多核并行安全操作系统SecOS2提供基于https的图形化安全管理,支持IPV4和IPV6双栈管理,支持用户名/口令、数字证书等多种认证管理方式支持跨网段管理,实现管理终端IP地址和端口的访问控制全面支持IPV4和IPV6双栈接入各类网络环境,支持通过IPV4和IPV6协议管理网闸,无需改变现有网络设备和结构,即可实现IPV4和IPV6网络间的相互通信。

管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限支持管理员登录失败锁定次数、锁定时间和超时时间的设定支持对网络接口模式进行设定、MTU修改,进行灵活部署支持基于IPV4和IPV6协议的默认路由、静态路由及基于源地址的策略路由功能具有状态日志审计功能,能够对CPU、内存、设备信息、许可证信息、运行时间、交换卡状态、网络接口状态、功能模块运行状态等进行阀值设定并基于阀值进行日志审计。

具有独立审计用户,支持标准Syslog日志审计方式,支持Syslog端口自定义,支持内外端机主机名更改,强化日志审计及集中管理功能,能够对功能访问模块拒绝访问进行日志记录。

支持标准的SNMP协议安全管理支持通过SecFOX安全管理系统实现的集中安全管理支持配置管理,能够对单独模块及全部模块配置进行配置导入导出具有系统补丁管理功能支持设备诊断信息导出支持许可证下载,方便维护管理支持状态日志配置,通过设置硬件信息使用率进行日志记录及暂停使用支持IP/MAC地址绑定和自动探测通过WEB管理界面进行设备的远程关闭及重启功能支持NTP网络时间同步;支持内外端机系统时间同步提供调制工具,其中包括:trace、connect、tcpdump、ping、arp等支持软硬件多核技术;通过界面能够查看到多核CPU使用率(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000 -E006/G9000-E046M/G10000-E246M型号)提供设备运行状态检测、系统资源监控。

文件交换模块支持文件传输方向控制:单向传输和双向同步支持NFS、SMB、FTP等文件传输协议实现文件同步。

支持不同文件传输协议之间的文件同步,如:NFS与SMB之间的文件同步文件交换模块支持病毒检测功能,支持通过文件大小控制病毒查杀;支持多种同步模式:完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式。

文件交换支持传送优先级,可根据文件大小、后缀名等多种方式进行优先级排序传输支持断点续传支持无客户端传输方式,不需要安装任何客户端软件。

支持专用文件交换客户端,通过与网闸之间数据加密后实现文件交换。

支持被动传输方式,设备提供共享空间被动接受用户提交的文件。

支持子目录同步控制和二进制文件同步控制。

支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制。

可以设定同步任务的循环周期和开始时间。

支持暂缓传输文件控制。

提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。

既支持文件名及后缀名过滤,同时支持文件类型识别过滤,即不基于后缀名的过滤。

支持任务运行标记。

邮件模块邮件模块支持病毒检测功能;支持通过文件大小控制病毒查杀;支持超长邮件限定是否接受;支持SMTP、POP3通用协议,支持SMTP认证支持垃圾邮件过滤,支持对邮件内容和附件的过滤支持SMTP、POP3用户名过滤支持对邮件的数字签名支持邮件地址、主题、内容及附件关键字过滤支持对附件及其附件的大小和类型进行过滤控制能够对邮件访问的源/目的地址、端口进行访问控制支持任务运行标记支持任务运行时间控制数据库同步模支持Oracle、SQL Server等多种主流数据库同步不需要更改数据库结构和添加数据表,不影响数据库服务器性能同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安全任何第三方软件),支持windows、linux、unix等多种数据库操作系统类型。

网闸不需要开放任何服务端口,避免造成漏洞支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化块支持一对一、一对多、多对一数据库同步支持周期复制、实时复制、增量更新等多种同步方式。

相关文档
最新文档