天融信網(wǎng)絡(luò)衛(wèi)士安全隔離與信息交換系統(tǒng)TopRules技術(shù)培訓(xùn)-應(yīng)用交付產(chǎn)品部-張凌云-20130311

1、網(wǎng)絡(luò)衛(wèi)士安全隔離與信網(wǎng)絡(luò)衛(wèi)士安全隔離與信息交換系統(tǒng)息交換系統(tǒng)TopRules技術(shù)培訓(xùn)技術(shù)培訓(xùn)應(yīng)用 交付產(chǎn)品部張凌云2012年7月 提綱網(wǎng)閘基礎(chǔ)知識(shí)介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應(yīng)用案例介紹15網(wǎng)閘FAQ隔離技術(shù)的起源一、網(wǎng)閘基礎(chǔ)知識(shí)介紹 網(wǎng)絡(luò)隔離，是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換。其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離。國(guó)內(nèi)隔離技術(shù)要求實(shí)在2000年前后由國(guó)家保密局提出的，經(jīng)過(guò)10余年的發(fā)展，已經(jīng)日趨完善。隔離技術(shù)最早起源于美國(guó)和以色列等國(guó)，早在1997年，著名的信息安全專家Mark Joseph Edwar

2、ds在他編寫的Understanding Network Security一書中，就明確了協(xié)議隔離的概念。在書中他也明確地指出了協(xié)議隔離和防火墻不屬于同類產(chǎn)品。我國(guó)隔離政策要求中共中央辦公廳2002 年17 號(hào)文件國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見2007年四部委聯(lián)合下發(fā)的信息安全等級(jí)保護(hù)管理辦法 1 2 32000年保密局發(fā)布實(shí)施計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連，必須實(shí)行物理隔離。不同安全級(jí)別的網(wǎng)絡(luò)與信息系統(tǒng)實(shí)施分級(jí)保護(hù)，在我國(guó)電子政務(wù)以及電信、金融、能源、民航、交通等重要行業(yè)以及企業(yè)不同安全級(jí)別

3、、不同業(yè)務(wù)網(wǎng)絡(luò)之間實(shí)現(xiàn)安全隔離和安全、高效的信息交換。政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。在旅館業(yè)、印章業(yè)等特種行業(yè)管理規(guī)定中，明確要求公安外網(wǎng)和公安內(nèi)網(wǎng)之間必須使用網(wǎng)閘設(shè)備進(jìn)行安全隔離。 4公安部文件（公通字1999100號(hào)）一、網(wǎng)閘基礎(chǔ)知識(shí)介紹 隔離技術(shù)的發(fā)展過(guò)程隔離技術(shù)初期隔離技術(shù)初期隔離技術(shù)發(fā)展期隔離技術(shù)發(fā)展期隔離技術(shù)中期隔離技術(shù)中期隔離技術(shù)成熟期隔離技術(shù)成熟期物理隔離物理隔離單機(jī)隔離卡單機(jī)隔離卡傳統(tǒng)網(wǎng)閘傳統(tǒng)網(wǎng)閘安全隔離與信息安全隔離與信息交換系統(tǒng)交換系統(tǒng)網(wǎng)絡(luò)之間物理斷開，網(wǎng)絡(luò)間信息傳遞需要通過(guò)存儲(chǔ)介質(zhì)拷貝實(shí)現(xiàn)。這種方法造成資源的浪費(fèi)操作也很不方便，最終形成信

4、息孤島的不利局面將設(shè)備上的硬盤物理分割為兩個(gè)分區(qū)，并分別與內(nèi)外網(wǎng)絡(luò)相連，通過(guò)切換系統(tǒng)實(shí)現(xiàn)內(nèi)外網(wǎng)工作。在隔離卡建立起的兩套系統(tǒng)間設(shè)立數(shù)據(jù)緩沖區(qū)，進(jìn)行分時(shí)連接和切換?，F(xiàn)在業(yè)界普遍使用的邏輯隔離網(wǎng)閘產(chǎn)品。一、網(wǎng)閘技術(shù)知識(shí)介紹 為什么用網(wǎng)閘一、網(wǎng)閘基礎(chǔ)知識(shí)介紹 合規(guī)性：符合國(guó)家保密局的要求。安全性：高強(qiáng)度、高粒度的安全防護(hù)。保密性：防止泄密。多機(jī)架構(gòu)（2+1或者3機(jī)）協(xié)議落地、私有協(xié)議協(xié)議剝離、數(shù)據(jù)擺渡、安全控制網(wǎng)閘技術(shù)特點(diǎn)一、網(wǎng)閘基礎(chǔ)知識(shí)介紹 提綱網(wǎng)閘基礎(chǔ)知識(shí)介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應(yīng)用案例介紹1網(wǎng)閘FAQ5二、TopRules產(chǎn)品介紹TopRule

5、s產(chǎn)品線單向網(wǎng)閘百兆網(wǎng)閘千兆網(wǎng)閘萬(wàn)兆網(wǎng)閘TR-61166TR-61288TR-71144、TR-71166TR-71288、TR-7355TR-81144、TR-81288TR-8333、TR-8377TR-81366二、TopRules產(chǎn)品介紹TR-71166n2U機(jī)型；n內(nèi)端機(jī)6個(gè)10/100/1000Base-T接口（5個(gè)數(shù)據(jù)口+1個(gè)MAN口）；n外端機(jī)6個(gè)10/100/1000Base-T接口（5個(gè)數(shù)據(jù)口+1個(gè)HA口；n標(biāo)配單電源,可擴(kuò)展冗余電源；n網(wǎng)絡(luò)吞吐量：150Mbps。n系統(tǒng)整體時(shí)延：5毫秒；n并發(fā)連接數(shù)：35000。TopRules主要業(yè)務(wù)功能介紹二、TopRules產(chǎn)品介紹

6、javascript、Applet、ActiveX關(guān)鍵字、URL控制基于IP、MAC、端口、時(shí)間等Http各種命令控制在加密通道中分解出正常HTTPS網(wǎng)絡(luò)應(yīng)用，可以屏蔽自由門等各類加密翻墻軟件的傳輸。文件類型控制Web應(yīng)用腳本控制內(nèi)容過(guò)濾訪問(wèn)控制指令控制Http、Https文件控制TopRules主要業(yè)務(wù)功能介紹二、TopRules產(chǎn)品介紹指定郵件服務(wù)器收發(fā)郵件附件過(guò)濾、附件類型過(guò)濾基于IP、MAC、端口、時(shí)間等SMTP、POP3各種命令控制支持SMTP、POP3協(xié)議發(fā)件地址、收件地址過(guò)濾Mail應(yīng)用郵件服務(wù)器過(guò)濾內(nèi)容過(guò)濾訪問(wèn)控制指令控制SMTP、POP3郵箱過(guò)濾TopRules主要業(yè)務(wù)功能介

7、紹二、TopRules產(chǎn)品介紹基于IP、MAC端口、時(shí)間等FTP命令參數(shù)控制支持主動(dòng)、被動(dòng)模式文件類型控制、文件內(nèi)容關(guān)鍵字過(guò)濾FTP應(yīng)用訪問(wèn)控制指令控制PORT、PASV文件過(guò)濾TopRules主要業(yè)務(wù)功能介紹二、TopRules產(chǎn)品介紹基于IP、MAC、端口過(guò)濾SQL語(yǔ)句Oracle、Sql Server、DB2、Sybase、Mysql、PostGrelsql操作時(shí)間控制、特定時(shí)間訪問(wèn)數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)訪問(wèn)訪問(wèn)控制Sql語(yǔ)句控制常見數(shù)據(jù)庫(kù)訪問(wèn)時(shí)間控制TopRules主要業(yè)務(wù)功能介紹二、TopRules產(chǎn)品介紹實(shí)時(shí)同步、定時(shí)同步、一對(duì)多同步、多對(duì)一同步文件內(nèi)容過(guò)濾、文件類型過(guò)濾Windows平臺(tái)、

8、Linux平臺(tái)單向同步、雙向同步支持Samba、FTP、Http協(xié)議同步目錄同步、目錄內(nèi)子目錄同步、支持中文文件名、至多支持32級(jí)目錄同步文件同步同步策略內(nèi)容過(guò)濾跨平臺(tái)同步方向 控制多協(xié)議目錄同步TopRules主要業(yè)務(wù)功能介紹二、TopRules產(chǎn)品介紹實(shí)時(shí)同步、定時(shí)同步、一對(duì)一同步、一對(duì)多同步數(shù)據(jù)庫(kù)同構(gòu)同步、異構(gòu)同步Windows平臺(tái)、Linux平臺(tái)單向同步、雙向同步ORACLE、SQLSERVER、MYSQL、SYBASE、DB2增加、刪除、修改同步、BLOB大字段同步、字段級(jí)同步數(shù)據(jù)庫(kù)同步同步策略同構(gòu)、異構(gòu)跨平臺(tái)同步方向 控制多數(shù)據(jù)庫(kù)支持同步方式TopRules主要業(yè)務(wù)功能介紹二、To

9、pRules產(chǎn)品介紹支持電力行業(yè)單向傳輸網(wǎng)閘要求支持動(dòng)態(tài)端口的OPC工業(yè)控制應(yīng)用支持動(dòng)態(tài)端口應(yīng)用的視頻監(jiān)控、視頻會(huì)議應(yīng)用IP、MAC、端口、協(xié)議、時(shí)間等控制TCP、UDP自定義應(yīng)用自定義應(yīng)用應(yīng)用層控制、如命令、參數(shù)、內(nèi)容等控制自定義應(yīng)用TCP單向應(yīng)用OPC工控 應(yīng)用視頻應(yīng)用訪問(wèn)控制TCP、UDP內(nèi)容控制 提綱網(wǎng)閘基礎(chǔ)知識(shí)介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應(yīng)用案例介紹1網(wǎng)閘FAQ52+1系統(tǒng)架構(gòu)三、TopRules特色介紹內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元專用傳輸專用傳輸隔離硬件隔離硬件數(shù)據(jù)遷移控制單元 ：獨(dú)立硬件數(shù)據(jù)遷移邏輯，無(wú)操作系統(tǒng)；專用隔離硬件，內(nèi)外

10、單元的數(shù)據(jù)高效擺渡；私有協(xié)議。內(nèi)網(wǎng)單元、外網(wǎng)單元 獨(dú)立主板、總線及CPU控制 專用安全操作系統(tǒng)，多層次的高強(qiáng)度安全防護(hù)內(nèi)網(wǎng)單元、外網(wǎng)單元： 獨(dú)立主板、總線及CPU控制；專用安全操作系統(tǒng)，多層次的高強(qiáng)度安全防護(hù)管理：管理端口、業(yè)務(wù)端口相互獨(dú)立；內(nèi)網(wǎng)管理；多種管理員登陸認(rèn)證保密機(jī)制。數(shù)據(jù)：?jiǎn)为?dú)數(shù)據(jù)口傳輸接收數(shù)據(jù)；拆封TCP/IP協(xié)議，剝離應(yīng)用層協(xié)議，將數(shù)據(jù)還原為文件。多種應(yīng)用模式，滿足各種應(yīng)用場(chǎng)合三、TopRules特色介紹代理模式透明模式路由模式兩端在同一網(wǎng)段或者原來(lái)網(wǎng)絡(luò)就路由可達(dá)，網(wǎng)閘數(shù)據(jù)口不需要配置IP地址、不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)、用戶通過(guò)網(wǎng)閘訪問(wèn)時(shí)，直接訪問(wèn)目標(biāo)的地址。兩端不在同一網(wǎng)段且路由不

11、可達(dá)，網(wǎng)閘的數(shù)據(jù)口要配置IP地址、用戶通過(guò)網(wǎng)閘訪問(wèn)時(shí)，需要改變客戶端的訪問(wèn)方式，訪問(wèn)的目標(biāo)是網(wǎng)閘的地址。兩端不在同一網(wǎng)段且路由不可達(dá)，網(wǎng)閘的數(shù)據(jù)口要配置IP地址、客戶端需要把網(wǎng)關(guān)地址指向網(wǎng)閘，用戶通過(guò)網(wǎng)閘訪問(wèn)時(shí)，訪問(wèn)的是目標(biāo)的地址。三、TopRules特色介紹管理端口無(wú)IP雙機(jī)、多機(jī)熱備OSPF協(xié)議支持可實(shí)現(xiàn)雙機(jī)、多機(jī)熱備，配置簡(jiǎn)單方便，只需在主設(shè)備上配置相應(yīng)規(guī)則即可，從設(shè)備無(wú)需配置。管理口獨(dú)立，并且只允許內(nèi)網(wǎng)管理；另外，管理端口無(wú)IP地址，進(jìn)一步加強(qiáng)設(shè)備自身安全性。支持OSPF路由協(xié)議。應(yīng)用靈活三、TopRules特色介紹應(yīng)用層控制功能強(qiáng)大動(dòng)態(tài)端口應(yīng)用支持?jǐn)?shù)據(jù)庫(kù)同步功能強(qiáng)大支持動(dòng)態(tài)端口應(yīng)用，

12、滿足視頻會(huì)議、視頻監(jiān)控等應(yīng)用。不但支持常規(guī)應(yīng)用的應(yīng)用層控制功能、而且還支持自定義IP應(yīng)用的應(yīng)用層控制功能。數(shù)據(jù)庫(kù)功能強(qiáng)，能滿足多數(shù)應(yīng)用場(chǎng)合。應(yīng)用層控制功能強(qiáng)三、TopRules特色介紹內(nèi)容過(guò)濾訪問(wèn)控制IDS、DOS基于IP、MAC、協(xié)議、端口、時(shí)間段等黑白名單控制。URL、關(guān)鍵字、各種應(yīng)用命令、參數(shù)黑白名單控制。內(nèi)置IDS特征庫(kù)，檢測(cè)網(wǎng)絡(luò)攻擊、抗DOS攻擊。安全功能強(qiáng)我司產(chǎn)品支持自定義應(yīng)用應(yīng)用層數(shù)據(jù)控制功能，網(wǎng)神的自定義應(yīng)用不支持應(yīng)用層數(shù)據(jù)控制功能。網(wǎng)御產(chǎn)品透明工作模式下不支持應(yīng)用的應(yīng)用層數(shù)據(jù)過(guò)濾功能，我們的產(chǎn)品支持。其數(shù)據(jù)庫(kù)同步功能不完善，目前數(shù)據(jù)庫(kù)雙向同步，當(dāng)出現(xiàn)數(shù)據(jù)沖突的時(shí)候沒(méi)法解決，我

13、們的可以圓滿解決數(shù)據(jù)庫(kù)記錄沖突的問(wèn)題，另外網(wǎng)御的數(shù)據(jù)庫(kù)同步效率較低，只能達(dá)到我們的一半。工作模式上我們支持三種，網(wǎng)御不支持路由模式1234產(chǎn)品在前期技術(shù)成熟度不高，主要是用其防火墻產(chǎn)品基礎(chǔ)上改裝的，安全性很低，從2010年以后才開始做真正的網(wǎng)閘產(chǎn)品，目前個(gè)別功能還不穩(wěn)定，尤其體現(xiàn)在數(shù)據(jù)庫(kù)同步功能上，網(wǎng)御產(chǎn)品支持負(fù)載功能和身份認(rèn)證功能，目前我們不支持。優(yōu)勢(shì)分析-網(wǎng)御星云三、TopRules特色介紹我司產(chǎn)品支持自定義應(yīng)用應(yīng)用層數(shù)據(jù)控制功能，網(wǎng)神的自定義應(yīng)用不支持應(yīng)用層數(shù)據(jù)控制功能。網(wǎng)神產(chǎn)品透明工作模式下不支持應(yīng)用的應(yīng)用層數(shù)據(jù)過(guò)濾功能，我們的產(chǎn)品支持。工作模式上我們支持三種，網(wǎng)神不支持路由模式123

14、網(wǎng)神產(chǎn)品的網(wǎng)閘功能很細(xì)致，個(gè)別模塊比我產(chǎn)品做的細(xì)，另外網(wǎng)神產(chǎn)品在招標(biāo)過(guò)程中往往會(huì)強(qiáng)調(diào)防病毒功能，而防病毒功能恰恰是我們產(chǎn)品的弱勢(shì)優(yōu)勢(shì)分析-網(wǎng)御神州三、TopRules特色介紹偉思數(shù)據(jù)庫(kù)同步功能不完善，數(shù)據(jù)記錄多的時(shí)候，會(huì)出現(xiàn)丟數(shù)據(jù)的情況，而我們產(chǎn)品不會(huì)。我司產(chǎn)品支持自定義應(yīng)用應(yīng)用層檢測(cè)功能偉思不支持。工作模式上我們支持三種，偉思只支持代理模式。123偉思的網(wǎng)閘產(chǎn)品主要特色是在其產(chǎn)品中集成了流控功能，并且有萬(wàn)兆產(chǎn)品。優(yōu)勢(shì)分析-偉思三、TopRules特色介紹 提綱網(wǎng)閘基礎(chǔ)知識(shí)介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應(yīng)用案例介紹1網(wǎng)閘FAQ5四、案例介紹-電子政務(wù)

15、在電子政務(wù)網(wǎng)絡(luò)中，網(wǎng)閘主要部署在電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)，電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)專網(wǎng)之間。政務(wù)外網(wǎng)受理公眾的業(yè)務(wù)申請(qǐng)，將數(shù)據(jù)存儲(chǔ)到外網(wǎng)數(shù)據(jù)庫(kù)中，網(wǎng)閘的數(shù)據(jù)庫(kù)同步痛能負(fù)責(zé)將電子政務(wù)外網(wǎng)數(shù)據(jù)庫(kù)中的特定數(shù)據(jù)實(shí)時(shí)的擺渡到電子政務(wù)外網(wǎng)，并儲(chǔ)存到政務(wù)內(nèi)網(wǎng)的數(shù)服務(wù)器中；電子政務(wù)內(nèi)網(wǎng)負(fù)責(zé)處理外網(wǎng)的業(yè)務(wù)申請(qǐng)，處理完畢后網(wǎng)閘再將政務(wù)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)中特定的數(shù)據(jù)擺渡到政務(wù)外網(wǎng)，并將數(shù)據(jù)存儲(chǔ)到外網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器中，供電子政務(wù)外網(wǎng)用戶瀏覽查詢。通過(guò)網(wǎng)閘，實(shí)現(xiàn)了電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)之間數(shù)據(jù)的實(shí)時(shí)安全交互。在電子政務(wù)內(nèi)網(wǎng)和電子政務(wù)專網(wǎng)之間通過(guò)網(wǎng)閘產(chǎn)品可以開放特定應(yīng)用（大多數(shù)情況下是基于文件的傳輸），保障電子政務(wù)內(nèi)網(wǎng)與電子政

16、務(wù)專網(wǎng)之間可控的信息交換。四、案例介紹-公安在公安旅館業(yè)、印章業(yè)等行業(yè)中，網(wǎng)閘主要部署在外網(wǎng)的前置機(jī)與公安內(nèi)網(wǎng)之間，保證公安外網(wǎng)前置機(jī)上的文件傳輸?shù)焦矁?nèi)網(wǎng)指定的服務(wù)器上。旅館業(yè)、印章業(yè)等應(yīng)用是把需要上傳到公安內(nèi)網(wǎng)的數(shù)據(jù)保存成特定格式的文件，并通過(guò)互聯(lián)網(wǎng)上傳到公安外網(wǎng)的前置機(jī)上，網(wǎng)閘的文件同步功能把公安外網(wǎng)前置機(jī)上的特定類型的文件實(shí)時(shí)的擺渡到公安內(nèi)網(wǎng)的服務(wù)器上。通過(guò)網(wǎng)閘產(chǎn)品，保障公安外網(wǎng)的特定類型的文件能單向的傳輸?shù)焦矁?nèi)網(wǎng)，防止公安內(nèi)網(wǎng)泄密。四、案例介紹-平安城市在平安城市項(xiàng)目中，網(wǎng)閘主要部署在公安內(nèi)網(wǎng)視頻監(jiān)控平臺(tái)和外網(wǎng)視頻監(jiān)控區(qū)之間，網(wǎng)閘的視頻處理模塊負(fù)責(zé)把公安外網(wǎng)監(jiān)控區(qū)的視頻實(shí)時(shí)的傳送到

17、公安內(nèi)網(wǎng)監(jiān)控平臺(tái)上，其它的數(shù)據(jù)一律禁止通過(guò)。四、案例介紹-石化在石油石化等行業(yè)中，網(wǎng)閘主要部署在企業(yè)的辦公網(wǎng)與生產(chǎn)網(wǎng)之間，負(fù)責(zé)把生產(chǎn)網(wǎng)的生產(chǎn)數(shù)據(jù)以數(shù)據(jù)庫(kù)訪問(wèn)或者文件同步的方式單向的輸送到辦公網(wǎng)的服務(wù)上，辦公網(wǎng)數(shù)據(jù)不傳送到生產(chǎn)網(wǎng)中。四、案例介紹-智慧城市天融信網(wǎng)閘TopRules應(yīng)用行業(yè)四、應(yīng)用案例電電子政務(wù)務(wù)石油、石化、煤炭等煙草、金融、證證券國(guó)稅國(guó)稅、地稅稅、國(guó)國(guó)土國(guó)國(guó)土、海關(guān)關(guān)、交通公、檢檢、法、軍軍隊(duì)隊(duì)、軍軍工 提綱網(wǎng)閘基礎(chǔ)知識(shí)介紹2TopRules產(chǎn)品介紹34TopRules特色介紹TopRules應(yīng)用案例介紹1網(wǎng)閘FAQ51、什么是網(wǎng)閘五、網(wǎng)閘FAQ網(wǎng)閘是是一種帶有多種安全控制功能的、在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。網(wǎng)閘是網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的簡(jiǎn)稱，英文名稱GAP。網(wǎng)閘的硬件一般由外部處理單元、內(nèi)部處理單元、隔離硬件三部分組成。雙機(jī)或三機(jī)結(jié)構(gòu)網(wǎng)絡(luò)協(xié)議邏輯連接數(shù)據(jù)傳輸私有ISO模型七層全部斷開，只傳輸應(yīng)用層數(shù)據(jù)五、網(wǎng)閘FAQ2、網(wǎng)閘技術(shù)特性有哪些4、單系統(tǒng)的設(shè)備是網(wǎng)閘嗎五、網(wǎng)閘FAQ單系統(tǒng)的設(shè)備如（信息流轉(zhuǎn)器）不是安全隔離網(wǎng)閘設(shè)備,它不符合國(guó)家保密局對(duì)網(wǎng)閘2+1系統(tǒng)架構(gòu)的要求。另外，類似的單系統(tǒng)一旦系統(tǒng)遭受到攻擊，攻擊者完全有可能在單系統(tǒng)的