TopRules網(wǎng)閘產品說明.doc

網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 1 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng)網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明產品說明 天融信 TOPSEC 北京市海淀區(qū)上地東路 1 號華控大廈 100085 電話 8610 82776666 傳真 8610 82776677 服務熱線 8610 8008105119 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 2 版權聲明版權聲明 本手冊中的所有內容及格式的版權屬于北京天融信公司 以下 簡稱天融信 所有 未經天融信許可 任何人不得仿制 拷貝 轉 譯或任意引用 版權所有 不得翻印 1995 2008 天融信公司 商標聲明商標聲明 本手冊中所談及的產品名稱僅做識別之用 手冊中涉及的其他 公司的注冊商標或是版權屬各商標注冊人所有 恕不逐一列明 TOPSEC 天融信公司 信息反饋信息反饋 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 i 1前言前言 2 2產品概述產品概述 3 3產品特點產品特點 5 4產品功能產品功能 8 4 1WEB訪問功能 8 4 2郵件訪問功能 8 4 3文件訪問和同步功能 8 4 4FTP 訪問功能 8 4 5數(shù)據(jù)庫訪問和同步功能 9 4 6自定義功能通道 9 5產品規(guī)格產品規(guī)格 10 6運行環(huán)境和標準運行環(huán)境和標準 11 7典型應用典型應用 12 7 1涉密網(wǎng)絡中的應用 12 7 2常規(guī)網(wǎng)絡中的應用 13 目目 錄錄 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 2 1 前言前言 作為中國信息安全行業(yè)領導企業(yè) 北京天融信公司 1995 年成立于中國信息產業(yè)搖籃 的北京 十年來天融信人憑借勇于創(chuàng)新 積極進取 和諧發(fā)展的精神 成功打造中國信 息安全產業(yè)著名品牌 TOPSEC 從 1996 年天融信率先推出填補國內空白的中國自主知識產權防火墻產品 到能夠提 供防火墻 VPN 入侵檢測與防御 多功能安全網(wǎng)關 UTM 過濾網(wǎng)關 安全審計 安 全管理等高品質全系列安全產品 再到以安全產品為基礎 以打造信息安全保障體系為 目標 以等級保護為主線 天融信已經完成了從單一安全產品生產商向全線安全產品 解決方案與服務綜合提供商的飛躍 天融信作為民族信息安全產業(yè)的領航者肩負著國家 信息安全重任 秉承 完全你的安全 Seamless Security Network 品牌宗旨 結合多 年網(wǎng)絡安全技術 以 可信安全管理 為技術發(fā)展方向 全力保障客戶網(wǎng)絡與信息安全 為客戶創(chuàng)造更大價值 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 3 2 產品概述產品概述 最早提出隔離概念是 70 年代美國 俄羅斯和以色列等國 并且都存在此方面的技術 應用和相關法規(guī) 國內隔離要求最早是由國家保密局提出的 并已嚴格在涉密網(wǎng)內執(zhí)行 隨著電子政務的開展 我國相關部門已經陸續(xù)出臺相關的政策和規(guī)章 2000 年 1 月 1 日開始實施的 計算機信息系統(tǒng)國際網(wǎng)保密管理規(guī)定 涉密網(wǎng) 絡不得與公共信息網(wǎng)絡連接 要實行物理隔離 中共中央辦公廳 2002 年第 17 號文件明確強調 政務內網(wǎng)和政務外網(wǎng)之間物 理隔離 政務外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離 2007 年 3 月 電子政務保密管理指南 電子政務信息系統(tǒng)間的信息交換 可采用國家保密工作部門批準的安全隔離與信息交換系統(tǒng)進行連接 在我國的 2006 2020 年國家信息化發(fā)展戰(zhàn)略 中 把推行電子政務和建設國家信 息安全保障體系作為我國未來 15 年的信息化發(fā)展戰(zhàn)略重點 電子政務力圖在實現(xiàn)國家行 政決策的同時 信息得以廣泛傳播 服務能夠隨時面向社會公眾 與此同時 關系國家 安全的重要信息也面臨威脅 信息安全成為電子政務的頭等大事 事關國家安全和社會 穩(wěn)定 如何確保電子政務安全性就成了當務之急 傳統(tǒng)做法傳統(tǒng)做法 獨立網(wǎng)絡形式 通過建立多套完全獨立的網(wǎng)絡來實現(xiàn)隔離 信息孤島問題嚴 重 簡單的介質拷貝 效率低 數(shù)據(jù)缺乏安全審查 帶來其他的安全隱患 病毒 泄密 無法審核核心涉密網(wǎng)內部人員誤用 濫用以及違規(guī)違法的行為 用防火墻進行過濾 通用協(xié)議 極易導致攻擊代碼的流入 應用層過濾深度 不夠 網(wǎng)絡隔離卡 將一臺設備上的硬盤物理分割為兩個分區(qū) 形成兩個完全獨立的 環(huán)境 采用單機隔離卡技術 解決了單機非實時信息交換的需求 但網(wǎng)間連 續(xù)實時的業(yè)務依然無法開展 且對單機通信的信息泄漏問題沒有有效的監(jiān)控手 段 而且人力 物力浪費 操作不便 傳統(tǒng)網(wǎng)閘技術 在安全隔離方面也曾出現(xiàn)過其它多種技術方案 比如在隔離 卡建立起的兩套系統(tǒng)間設立數(shù)據(jù)緩沖區(qū) 進行分時連接和切換 還有就是基于 電子開關的方式進行隔離系統(tǒng)兩端網(wǎng)絡通斷的控制 這類技術可以歸結為傳統(tǒng) 網(wǎng)閘技術 傳統(tǒng)網(wǎng)閘技術在一定程度上能夠解決信息交換和隔離的需求 但在 安全功能實現(xiàn)和系統(tǒng)性能上仍不能完全滿足電子政務建設的安全要求 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 4 傳統(tǒng)做法 避免了安全責任 滿足了形式上的隔離要求 技術上不夠安全 很難兼 顧安全隔離與信息交換兩者的需求 更缺乏對信息安全的嚴格審查 由此 一種需要避免信息孤島 需要進行重點積極防御 提高防御的廣度和深度 需要提高安全管理能力和服務響應能力 排除來自外網(wǎng)的攻擊 同時避免內部人員的違 法和違規(guī)行為的需求擺在我們面前 一種能在保證重要網(wǎng)絡與其他網(wǎng)絡安全隔離同時 還能實現(xiàn)高效 受控的數(shù)據(jù)交換的設備需求迫切 因此 天融信結合自身多年的網(wǎng)絡安全技術和可信安全體系架構 經過嚴密的產品 設計和研發(fā)推出了安全高效的網(wǎng)間隔離產品 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 該產品基于完整的安全體系架構設計理念 完善了安全隔離的概念 提出了 安全高效的隔離模型 將訪問控制 身份簽別 客體重用 審計和數(shù)據(jù)完整性等多種安 全技術完美結合 徹底切斷了不同安全級別網(wǎng)絡間的直接連接 通過對信息進行落地 還原 掃描 過濾 防病毒 入侵檢測 審計等一系列安全處理 實現(xiàn)數(shù)據(jù)在應用層的 細粒度 深層次的完全內容過濾檢測 并以自有專用協(xié)議在安全隔離網(wǎng)間交換 有效防 止黑客攻擊 惡意代碼和病毒滲入 同時防止內部機密信息的泄露 實現(xiàn)網(wǎng)間安全隔離 和信息交換 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 5 3 產品特點產品特點 三機三系統(tǒng)架構 TopRules 采用獨特的三機系統(tǒng)結構 以軟硬件結合的方式 系統(tǒng)硬件平臺由內網(wǎng)主 機系統(tǒng) 仲裁主機系統(tǒng) 外網(wǎng)主機系統(tǒng) 專用的隔離卡四部分組成 內網(wǎng)主機 仲裁主 機和外網(wǎng)主機系統(tǒng)分別具有獨立的運算單元和存儲單元 并以天融信自主知識產權的 TOS 通用安全平臺作為系統(tǒng)支撐 仲裁主機獨立于內 外網(wǎng)主機 不受內 外網(wǎng)主機系統(tǒng) 控制 獨立完成協(xié)議的剝離和重建 達到對應用數(shù)據(jù)的封包 拆包 完全內容過濾監(jiān)測 和擺渡 從而實現(xiàn)網(wǎng)間隔離和數(shù)據(jù)交換 如下圖所示 圖表 3 1 三機系統(tǒng)模型 專用協(xié)議擺渡 TopRules 的內網(wǎng)主機和外網(wǎng)住機是內部網(wǎng)絡和外部網(wǎng)絡通用協(xié)議 TCP IP 協(xié)議的終 點 各自的網(wǎng)絡協(xié)議在仲裁主機實現(xiàn)剝離和重建 內部網(wǎng)絡和外部網(wǎng)絡不可向對方延伸 所有過往的信息流都從 TCP IP 協(xié)議包中剝離 被還原為應用層數(shù)據(jù) 應用層數(shù)據(jù)通過專 用硬件和專用通信協(xié)議發(fā)送給仲裁系統(tǒng)進行安全控制和審查 如下圖所示 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 6 圖表 3 2 安全隔離與信息交換系統(tǒng)的數(shù)據(jù)流 有效安全通道 TopRules 連接的網(wǎng)絡之間 所有的數(shù)據(jù)交換活動都在預先建立的有效安全通道上進 行 這些安全通道借助基于用戶的訪問控制 安全的專用協(xié)議以及相關的安全策略 檢 測 過濾并阻斷各種已知 未知攻擊 特別是很多基于應用的攻擊手段 例如 Web 腳本 攻擊 病毒和蠕蟲等惡意代碼 有效保護內部網(wǎng)絡系統(tǒng)的安全性 與此同時 借助嚴格 的內容檢測控制 防止內部敏感信息泄漏出去 獨特的客體重用機制 TopRules 在為所有內部或外部網(wǎng)絡主機連接進行資源分配時 專用的隔離系統(tǒng)保證 了不提供以前連接的任何信息內容 充分保障了數(shù)據(jù)交換的安區(qū)性和可靠性 應用級完全內容檢測與審計 集成天融信獨有的一站式內容安全模塊 過濾所有交換數(shù)據(jù) 全面解析網(wǎng)絡傳輸信 息 通過深層次細粒度的內容過濾 預先攔截內 外網(wǎng)用戶禁止訪問的內容 特別適合 對大批量的關鍵字同時進行過濾 還具有避免常見的掩飾手段 如拆分敏感關鍵詞 加 入標點 換行等 干擾的特點 達到了完全內容檢測 CCI Complete Content Inspection 同時仲裁系統(tǒng)對所有信息交換數(shù)據(jù)和行為進行審計記錄 便于及時獲知網(wǎng) 絡使用情況 獨有的并發(fā)處理機制 采用基于虛電路的并發(fā)處理機制 解決了傳統(tǒng)多進程處理的效率問題 大大提高了 現(xiàn)有硬件設備的數(shù)據(jù)吞吐能力 安全性 可靠性 TopRules 設備本身的管理和維護 都在仲裁機上進行 仲裁機基于獨立網(wǎng)絡 與內 外網(wǎng)絡沒有任何關聯(lián) 不但保證了設備本身的可靠性和安全性 而且做到了內 外皆防 獨特的仲裁機結構設計和所支持的雙機熱備功能 更在極大程度上保證了網(wǎng)絡系統(tǒng)間信 息交換的安全性和可靠性 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 7 卓越的網(wǎng)絡及應用環(huán)境適應能力 支持常見的基于 TCP 和 UDP 的各類主流應用協(xié)議 此外 針對某些網(wǎng)絡系統(tǒng)中存 在的其它數(shù)據(jù)庫和其它類型的信息交換業(yè)務 TopRules 提供靈活的擴展和定制功能 能 夠快速方便地滿足用戶需求 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 8 4 產品功能產品功能 4 1 Web 訪問功能訪問功能 Web 訪問功能有兩種工作機制 客戶端保護機制和服務端保護機制 Web 客戶端保 護機制保護內網(wǎng)用戶不受外網(wǎng) Web 站點上有害內容的侵擾 服務端保護機制保護內網(wǎng) Web 服務器不受外來訪問的惡意攻擊 TopRules 在 HTTP 協(xié)議中加入了多種安全策略 協(xié)議通道可以訪問的 URL 清單 協(xié)議通道允許使用的用戶名但 協(xié)議通道過濾有害腳本 協(xié)議通道過濾的敏感關鍵字列表 4 2 郵件訪問功能郵件訪問功能 TopRules 在處理郵件服務協(xié)議時 可將其看作一個安全的郵件信息交換平臺 用戶 可以使用常見的郵件客戶端工具 如 outlook 和 foxmail 來設置在互聯(lián)網(wǎng)上的公共郵箱 以便實現(xiàn)郵件信息交換 TopRules 在郵件相關協(xié)議的處理中加入了多種保護郵件的策略設置 對郵件的主題及內容進行過濾 可以有效地防止內部機密信息的泄漏 限制郵件的大小 可限制大附件的郵件 限制郵件中的執(zhí)行腳本 限制垃圾郵件 保護用戶不受垃圾郵件的干擾 檢測管理員設置的附件文件名的安全規(guī)則 阻斷規(guī)則所禁止的郵件 4 3 文件訪問和同步功能文件訪問和同步功能 TopRules 提供文件交換和同步通道 支持 SAMBA NFS 等多種文件交換方式 同 時提供文件整體性 正確性校驗機制和斷點續(xù)傳高可靠性技術保障 4 4 FTP 訪問功能訪問功能 TopRules 提供 FTP 協(xié)議通道主要保護內網(wǎng) FTP 服務器不受攻擊 除受控通道的基本 安全支持外 FTP 協(xié)議還可對使用 FTP 通道傳輸?shù)膬热葸M行過濾 包括病毒等惡意代碼 的查殺 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 9 4 5 數(shù)據(jù)庫訪問和同步功能數(shù)據(jù)庫訪問和同步功能 TopRules 提供 MS SQL Server Oracle Sybase DB2 等協(xié)議通道 保護數(shù)據(jù)庫信息 交換的安全性 適時性和實時性 支持各種同構或異構的關系數(shù)據(jù)庫之間的數(shù)據(jù)交換 如 Oracle Sybase SQL Server DB2 等 另外 還支持數(shù)據(jù)庫到文件 文件到數(shù)據(jù)庫 文件到文件的數(shù)據(jù)交換 支持異構數(shù)據(jù)結構以及代碼語義的轉換規(guī)則定義 并實現(xiàn)源數(shù) 據(jù)到目標數(shù)據(jù)之間的實時數(shù)據(jù)交換 支持數(shù)據(jù)整合業(yè)務 支持數(shù)據(jù)一對一 一對多 多 對多的單向或雙向交換和同步 支持實時交換或定時同步的策略定義 采用 XML 技術 具有可配置性 可以通過標準定義 規(guī)則定義 通道定義和路由定義進行個性化的數(shù)據(jù) 交換策略定義 4 6 自定義功能通道自定義功能通道 TopRules 在設計上具有強大的可擴展性 使得 TopRules 具有很大的靈活性 能夠適 應多種應用領域并可以根據(jù)用戶的需求定制功能通道 包括 自定義功能通道可以采取代理工作模式或者轉發(fā)工作模式 自定義功能通道可以直接使用現(xiàn)有的全部通道基本設置 自定義功能通道可以根據(jù)需求定制安全功能 自定義功能通道可以根據(jù)需求開發(fā)新的專用協(xié)議處理功能 除以上功能外 TopRules 還融合了天融信多年來在信息安全方面的其他安全技術 提供了完整的安全保證 其中包括 內嵌的入侵檢測和病毒防護機制 支持數(shù)字簽名 黑白名單 地址綁定 雙機熱備等 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 10 5 產品規(guī)格產品規(guī)格 產品規(guī)格如下表所示 產品型號標準配置主要指標 TopRules80004U 1 個 100Base T RJ 45 接口 2 個 10 100 1000M 自適應接口 內外傳輸口數(shù)量可按需求擴 展 最多可擴到 4 個口 網(wǎng)絡吞吐量 400Mbps 時延 0 7ms 最大受控 協(xié)議通道 256 種 單個 協(xié)議通道并發(fā)連接數(shù) 32767 所有協(xié)議通道并發(fā) 連接數(shù) 65535 最大用戶 數(shù) 2048 TopRules7000U 3 個 100Base T RJ 45 接口 內外傳輸口數(shù)量可按需求擴 展 最多可擴到 5 個口 網(wǎng)絡吞吐量 80Mbps 時 延 0 7s 最大受控協(xié)議 通道 256 種 單個協(xié)議 通道并發(fā)連接數(shù) 16382 所有協(xié)議通道并發(fā)連接數(shù) 32767 最大用戶數(shù) 1024 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 11 6 運行環(huán)境和標準運行環(huán)境和標準 電源類型 AC 90 132 180 265V 電氣性能 電源功率 300Wx2 輻射標準符合 FCC Part15 CLASSA EN55022 溫度 工作 20 55 高度 10000 英尺 3000 米 溫度 存儲 10 70 高度 30000 英尺 9000 米 相對濕度 工作 10 90 非冷凝 物理環(huán)境 相對濕度 存儲 5 95 非冷凝 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 12 7 典型應用典型應用 7 1 涉密網(wǎng)絡中的應用涉密網(wǎng)絡中的應用 針對涉密網(wǎng)絡中的特殊要求 TopRules 能最大程度上提供安全隔離和信息交換的服 務 它通過專用硬件進行數(shù)據(jù)交換 由仲裁機負責完成安全保密檢查 從而在安全隔離 的基礎上 實現(xiàn)內外網(wǎng)之間有效 安全 受控的數(shù)據(jù)交換 TopRules 在涉密網(wǎng)絡中的典型應用 例如在存在手動拷盤傳輸數(shù)據(jù)的場合 基于自 身獨特的設計 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 能做到只允許單向的信息交 換 這樣就防止了內網(wǎng)向外網(wǎng)的泄密 進一步保證了網(wǎng)間隔離的安全 而采用 安全隔 離與信息單向傳輸系統(tǒng) 將 Internet 信息導入涉密網(wǎng)的方案 將會比通過手動拷盤傳輸數(shù) 據(jù)方式更安全 網(wǎng)絡衛(wèi)士安全隔離與信息交換系統(tǒng) TopRules 產品說明 服務熱線 8008105119 13 7 2 常規(guī)網(wǎng)絡中的應用常規(guī)網(wǎng)絡中的應用 除了在涉密網(wǎng)絡系統(tǒng)中應用之外 TopRules 也可以廣泛使用在行業(yè)數(shù)據(jù)網(wǎng)之間的隔 離 行業(yè)內不同性質業(yè)務網(wǎng)間的隔離以及內部網(wǎng)絡和外部網(wǎng)絡之間的隔離 該平臺上的 數(shù)據(jù)交換業(yè)務是可以靈活配置和快速定制的 數(shù)據(jù)交換可以單向也可以雙向 內部核心網(wǎng)與內部一般業(yè)務網(wǎng)的隔離 內部核心網(wǎng)與內部一般業(yè)務網(wǎng)由于業(yè)務性質不同 一般情況下 其數(shù)據(jù)庫性質也是 不同的 但之間往往存在數(shù)據(jù)交流 直接向對方開放權限讓其訪問是很不安全的 即使 使用防火墻設備 為了讓對方能夠訪問 也必須使其在開放的業(yè)務上網(wǎng)絡可達 TopRules 可以在網(wǎng)絡安全隔離的基礎上 與網(wǎng)絡應用提供者共同制定應用通信協(xié)議 并 對該協(xié)議的數(shù)據(jù)流進行仲裁 從而實現(xiàn)安全的數(shù)據(jù)交換和隔離 內部邊緣網(wǎng)與總部綜合網(wǎng)間的隔離 由地理因素隔開的一個組織的分部和總部之間的信息交換是常見的 分部和總部之 間一般通過開放的互聯(lián)網(wǎng)絡傳輸設施相互連接 其間任何一方直接向互聯(lián)網(wǎng)絡開放訪問 權限都是不明智的行為 即使使用防火墻設備也必須為相應的業(yè)務開放相應的權限 從 而帶來各種安全隱患 TopRules 在信息隔離的基礎上 提供受控業(yè)務信息交換的通道 可以避免向互聯(lián)網(wǎng)絡開放權限帶來的弊病 內部甲部門業(yè)務網(wǎng)與乙部門業(yè)務網(wǎng)間的隔離 單位內部的各個部門之間的信息一般情況下是隔離的 當然 出于單位統(tǒng)一的業(yè)務 需要 部門間常常會發(fā)生信息交換 甚至多個部門聯(lián)合進行業(yè)務活動 在這種情況下 在部門之間直接開放各種訪問權限是簡單直接的做法 但也是最不安全的行為 即使使 用了防火墻 由于防火墻的協(xié)議可達性 同樣容易造成部門之間信息直接溝通的不安全 性 TopRules 避免了基于協(xié)議的攻擊 經過審