tr-71166参数__天融信安全隔离与信息交换系统toprules-应用交付产品部

TR-71166参数分类特性/功能详细描述产品架构系统基本架构“2+1”系统结构，内外端机为TCP/IP网络协议的终点,阻断TCP/IP协议的直接贯通。闪外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。安全体系结构控制台管理系统部署于内端机上，采用专冇协议对设备进行管理，无法通过外端机直接连接到隔离系统。只能通过内端机上的管理口对网闸进行配置，不允许使用任何数据通讯口进行管理包括ssh后台管理。可避免内外端机由于被黑容从通讯口入«，导致隔离网闸被黑客完全控制的现象。安全操作系统采用TopOS安全操作系统、增强型内核，能够对两个主机系统提供多层次、高强度的安全防护，保护其東要进程、文件、数据不受黑荠«袭。操作系统基于Linux内核设计开发，全面加闹强化安全防护能力；采用对象互斥和线程守护技术，保护主耍进程的安全性和稳定性；不采川通W的指令库和阑数库，只提供冇限的内部调试川指令阑数；内置IDS特征库，集成抗DDOS和痫毒杏杀功能，可抵御各类黑客入侵、拒绝服务攻击和病毒木马威胁，保证网闸系统自身的安全。产品资质资质公安部计算机信息系统安全专用产品销色许可证书（三级）保密局涉密信息系统产品检测证书信息安全认证中心中WM家信息安全产品认证证书（二级）中国人民解放军军用信息安全产品认证证书（军B级）硬件要求硬件架构硬件架构凼内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各內具有独立主板、独立总线、独立的存储和运算单元；W端机和外端机之间非网线、USB线、SCSI线等线缆直连，基丁光隔离技术专冇硬件进行隔离和数据交换。接口配H内网6个10/100/1000MRJ45接口（含5个数据口和1个MAN口），1个串门，2个USB门外网6个10/100/1000MRJ45接口（含5个数据口和1个HA口），1个串口，2个USB口性能指标网络吞吐量：200Mbps系统整体吋延：＜5亳秒所有1办议通道并发连接数：35000电源标配单电源，可扩展冗余电源功能要求安全上网功能支持WEB访问，支持HTTP协议应用的各种指令控制。支持HTTPS网络传输，并且可在该加密通道中分解出正常HTTPS网络应用，保障传输。同时可以屏蔽自由门等各类加密翻墙软件的传输。内容过滤：关键字过滤。脚本过滤:javascript、Applet、ActiveX等。其他过滤策略：文件类型、页面提交方式等，支持情景模式，能够控制用户上网以及服务器对外提供服务的具体时间。代理、透明和路山工作校式下均支持HTTP和HTTPS协议内部命令及命 令参数控制策略。安全邮件功能提供安全的邮件访问，支持POP3、SMTP协议。支持邮件主机地址过滤、附件过滤。支持发件地址、收件地址过滤。支持内容过滤包括URL和关键字。支持情景模式，能够设置指定时间段允许进行邮件信息交换。代理、透明和路由工作模式T均支持POP3和SMTP协议内部命令及命令参数控制策略。文件传输功能支持FTP文件传输协议，支持主动被动两种模式。支持FTP命令参数控制支持对传输文件的类型过滤。支持内容过滤。支持情贵模式，能够设畀吋间段允许文件传输。代理、透明和路由工作模式下均支持FTP协议内部命令及命令参数控制策略。文件同步功能支持Samba、FTP、HTTP等多种通信协议。提供专用文件同步客户端提供安全的文件同步功能。支持手动文件同步和自动文件同步。支持文件内容过滤包括URL和关键字。支持文件类型黑D名单传输控制。支持windows平台和linux平台。同少传输方向可控，双向或单向。支持一对多或多对一文件同步。支持目录内子目录同步，至多支持32级目录。支持中文文件名或目录同步。支持文件变动实时同少、定时同步、系统资源空闲智能同步等多种同步方式。支持同步删除和同步覆盖策略配置，并能将同步删除和同步覆盖的文件备份到指定文件夹。支持文件同步容错策略和告荇策略，同步出错能够自动熏传并能够设H熏传次数，出现异常同步状况能够终止同步弹出告警提示并记录bl志。数据库访问功能提供对多种主流数裾库，如：MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问。支持SQL语句控制。支持情景模式，能够设定特定吋间允许访问数据库。代理、透明和路由T作模式下均支持数据库内部命令及命令参数控制策略。数据库同步功能基于专叫客户端与网闸安全连接方式，提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的M步。支持同构、异构数据库之间的同步，同步可具体设H到字段级别。支持全表复制，支持多种增莆同步方式，可分别定义增加、删除、修改的传输方式。支持二进制普通文件、图片、文本文件及BLOB大字段同步。支持数据一对一、一对多、多对多的单向或双交换和同步。 支持数据库实时同步或定时同步的策略定义。数据库同步传输不使用通用数据库服务端口例如1433、1521、3306等，保障数据库同步传输的安全性。支持灵活的数据冲突检测机制，当同步的数据记录发成冲突时，可以灵活处理出现冲突的数据记录。数据库同步髙可靠性，即使发生网络故障，己变化数据也不会丢失。无需修改数据库表结构，不涉及到代码修改及二次开发。视频监控兼容主流视频传输及控制协议H.323、H.264、MMS、RSTP、SIP等，通过内置多媒体应用处理模块，提供髙效率的视频信息交换。能够支持基于动态端U传输的流媒体视频应用。采用复杂对称多处理（RSMP）技术，成倍提升处理能力，使网闸能够满足高并发、高质最、多路视频数据交换耍求。根据策略配置可以控制视频数据的单向传输。对接入点身份进行审查，对未通过审查的对象一律丢弃。保证视频数据交换的安全可控。支持怙景模式，能够设罝视频监控允许传输的时间。OPC工控应用支持DCS/SCADA网络与办公网络之间的OPC应用数据的传输。支持同步、异步监测数据的传输，只需要绑定固定的一个起始端口即可满足动态的数据端口的数据传输。支持TRPROXY功能，可拦肌任何不符合OPC标准格式的DCE/RPC访问，通过OPC基金会的测试套件OPC协议测试。支持情景模式，能够设置OPC工控应川允许通信的时间。自定义功能支持ft定义的TCP、UDP协议的数裾隔离交换，以用户定制的命令、参数等协议解析方式来解析自定义应用的通信内容，支持16进制数据格式的定制。用户自定义应用无需对自定义协议软件进行二次修改开发。提供二次开发，可以根据需求开发新的专用协议处理过滤功能。支持情景模式，能够控制自定义应用的访问吋间。代理、透明和路由工作模式下均支持用户Ll定义应用的应用层数据控制功能。管理配置管理采用C/S架构专有|办议管理，网闸管理口无IP地址，管理主机也不必设.胃JP即可搜索到设备，管理设备，支持设备集中管理。双重密码验证，用户需耍同时输入管理密码设备密码才能登录到设备上并进行规则配置等操作。采取系统策略配置管理员与日志管理员角色分立的权限分配校式，用户只能维护操作本类拈础管理角色的功能与操作，权限各不交义。支持多用户权限分配制度，确保合法用户只能做指定的操作。管理端通过独立的管理门与网闸相连，不允许采用内外端机.卜.的数据通讯口进行管理。设备管理端提供系统状态杏看，可以实时的了解到设备的CPU、内存以及系统网络数据乔吐S,管理者可设定状态监测的史新频率，支持策略规则模板的导入、导出。曰志审计支持对所有访问进行日志记录，包招系统事件、成功事件、报警事件。提 供对H志信息的浏览、查询、删除、下载等多种操作支持本地日志存储，也可以将日志外发到单独的syslog日志服务器上，支持图形化日志统计可以生成html格式的日志报衮文件。其他功能支持代理模式、透明代理、路由模式三种工作模式，管理员可依据实际M络状况进行相应的部署，以满足各种网络环境状况。支持SNMP协议，可与标准网管平台无缝旅容。支持SYSLOG协议。支持OSPF动态路由穿透。内置IDS特征库，支持抗DDOS攻击功能。所宥功能模块均支持基于源地址、目的地址、源端U、H的端U、通讯协议的访问控制功能。支持双机热备及多机热备功能，备机不需耍二次配置支持配置fl动学习功能。支持IP/MAC地址绑定，可实现基于IP与MAC绑定的客户端访问控制。