技术培训-应用交付产品部-张凌云-XXXX0311.pptx

网络卫士安全隔离与信息交换系统TopRules技术培训应用交付产品部张凌云2012年7月 提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍15网闸FAQ 隔离技术的起源一、网闸基础知识介绍网络隔离，是指把两个或两个以上可路由的网络通过不可路由的协议进行数据交换。其原理主要是采用了不同的协议，所以通常也叫协议隔离。国内隔离技术要求实在2000年前后由国家保密局提出的，经过10余年的发展，已经日趋完善。隔离技术最早起源于美国和以色列等国，早在1997年，著名的信息安全专家MarkJosephEdwards在他编写的《UnderstandingNetworkSecurity》一书中，就明确了协议隔离的概念。在书中他也明确地指出了协议隔离和防火墙不属于同类产品。 我国隔离政策要求中共中央办公厅2002年17号文件《国家信息化领导小组关于我国电子政务建设指导意见》2007年四部委联合下发的《信息安全等级保护管理办法》1232000年保密局发布实施《计算机信息系统国际互联网保密管理规定》涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。不同安全级别的网络与信息系统实施分级保护，在我国电子政务以及电信、金融、能源、民航、交通等重要行业以及企业不同安全级别、不同业务网络之间实现安全隔离和安全、高效的信息交换。政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。在旅馆业、印章业等特种行业管理规定中，明确要求公安外网和公安内网之间必须使用网闸设备进行安全隔离。4公安部文件（公通字[1999]100号）一、网闸基础知识介绍 隔离技术的发展过程隔离技术初期隔离技术发展期隔离技术中期隔离技术成熟期物理隔离单机隔离卡传统网闸安全隔离与信息交换系统网络之间物理断开，网络间信息传递需要通过存储介质拷贝实现。这种方法造成资源的浪费操作也很不方便，最终形成信息孤岛的不利局面将设备上的硬盘物理分割为两个分区，并分别与内外网络相连，通过切换系统实现内外网工作。在隔离卡建立起的两套系统间设立数据缓冲区，进行分时连接和切换。现在业界普遍使用的逻辑隔离网闸产品。一、网闸技术知识介绍 为什么用网闸一、网闸基础知识介绍合规性：符合国家保密局的要求。安全性：高强度、高粒度的安全防护。保密性：防止泄密。 多机架构（2+1或者3机）协议落地、私有协议协议剥离、数据摆渡、安全控制网闸技术特点一、网闸基础知识介绍 提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍1网闸FAQ5 二、TopRules产品介绍TopRules产品线单向网闸百兆网闸千兆网闸万兆网闸TR-61166TR-61288TR-71144、TR-71166TR-71288、TR-7355TR-81144、TR-81288TR-8333、TR-8377TR-81366 二、TopRules产品介绍TR-711662U机型；内端机6个10/100/1000Base-T接口（5个数据口+1个MAN口）；外端机6个10/100/1000Base-T接口（5个数据口+1个HA口；标配单电源,可扩展冗余电源；网络吞吐量：150Mbps。系统整体时延：5毫秒；并发连接数：35000。 TopRules主要业务功能介绍二、TopRules产品介绍javascript、Applet、ActiveX关键字、URL控制基于IP、MAC、端口、时间等Http各种命令控制在加密通道中分解出正常HTTPS网络应用，可以屏蔽自由门等各类加密翻墙软件的传输。文件类型控制Web应用脚本控制内容过滤访问控制指令控制Http、Https文件控制 TopRules主要业务功能介绍二、TopRules产品介绍指定邮件服务器收发邮件附件过滤、附件类型过滤基于IP、MAC、端口、时间等SMTP、POP3各种命令控制支持SMTP、POP3协议发件地址、收件地址过滤Mail应用邮件服务器过滤内容过滤访问控制指令控制SMTP、POP3邮箱过滤 TopRules主要业务功能介绍二、TopRules产品介绍基于IP、MAC端口、时间等FTP命令参数控制支持主动、被动模式文件类型控制、文件内容关键字过滤FTP应用访问控制指令控制PORT、PASV文件过滤 TopRules主要业务功能介绍二、TopRules产品介绍基于IP、MAC、端口过滤SQL语句Oracle、SqlServer、DB2、Sybase、Mysql、PostGrelsql操作时间控制、特定时间访问数据库数据库访问访问控制Sql语句控制常见数据库访问时间控制 TopRules主要业务功能介绍二、TopRules产品介绍实时同步、定时同步、一对多同步、多对一同步文件内容过滤、文件类型过滤Windows平台、Linux平台单向同步、双向同步支持Samba、FTP、Http协议同步目录同步、目录内子目录同步、支持中文文件名、至多支持32级目录同步文件同步同步策略内容过滤跨平台同步方向控制多协议目录同步 TopRules主要业务功能介绍二、TopRules产品介绍实时同步、定时同步、一对一同步、一对多同步数据库同构同步、异构同步Windows平台、Linux平台单向同步、双向同步ORACLE、SQLSERVER、MYSQL、SYBASE、DB2增加、删除、修改同步、BLOB大字段同步、字段级同步数据库同步同步策略同构、异构跨平台同步方向控制多数据库支持同步方式 TopRules主要业务功能介绍二、TopRules产品介绍支持电力行业单向传输网闸要求支持动态端口的OPC工业控制应用支持动态端口应用的视频监控、视频会议应用IP、MAC、端口、协议、时间等控制TCP、UDP自定义应用自定义应用应用层控制、如命令、参数、内容等控制自定义应用TCP单向应用OPC工控应用视频应用访问控制TCP、UDP内容控制 提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍1网闸FAQ5 2+1系统架构三、TopRules特色介绍内网单元外网单元数据迁移控制单元专用传输隔离硬件数据迁移控制单元：独立硬件数据迁移逻辑，无操作系统；专用隔离硬件，内外单元的数据高效摆渡；私有协议。内网单元、外网单元独立主板、总线及CPU控制专用安全操作系统，多层次的高强度安全防护内网单元、外网单元：独立主板、总线及CPU控制；专用安全操作系统，多层次的高强度安全防护管理：管理端口、业务端口相互独立；内网管理；多种管理员登陆认证保密机制。数据：单独数据口传输接收数据；拆封TCP/IP协议，剥离应用层协议，将数据还原为文件。 多种应用模式，满足各种应用场合三、TopRules特色介绍代理模式透明模式路由模式两端在同一网段或者原来网络就路由可达，网闸数据口不需要配置IP地址、不改变用户网络结构、用户通过网闸访问时，直接访问目标的地址。两端不在同一网段且路由不可达，网闸的数据口要配置IP地址、用户通过网闸访问时，需要改变客户端的访问方式，访问的目标是网闸的地址。两端不在同一网段且路由不可达，网闸的数据口要配置IP地址、客户端需要把网关地址指向网闸，用户通过网闸访问时，访问的是目标的地址。 三、TopRules特色介绍管理端口无IP双机、多机热备OSPF协议支持可实现双机、多机热备，配置简单方便，只需在主设备上配置相应规则即可，从设备无需配置。管理口独立，并且只允许内网管理；另外，管理端口无IP地址，进一步加强设备自身安全性。支持OSPF路由协议。应用灵活 三、TopRules特色介绍应用层控制功能强大动态端口应用支持数据库同步功能强大支持动态端口应用，满足视频会议、视频监控等应用。不但支持常规应用的应用层控制功能、而且还支持自定义IP应用的应用层控制功能。数据库功能强，能满足多数应用场合。应用层控制功能强 三、TopRules特色介绍内容过滤访问控制IDS、DOS基于IP、MAC、协议、端口、时间段等黑白名单控制。URL、关键字、各种应用命令、参数黑白名单控制。内置IDS特征库，检测网络攻击、抗DOS攻击。安全功能强 我司产品支持自定义应用应用层数据控制功能，网神的自定义应用不支持应用层数据控制功能。网御产品透明工作模式下不支持应用的应用层数据过滤功能，我们的产品支持。其数据库同步功能不完善，目前数据库双向同步，当出现数据冲突的时候没法解决，我们的可以圆满解决数据库记录冲突的问题，另外网御的数据库同步效率较低，只能达到我们的一半。工作模式上我们支持三种，网御不支持路由模式1234产品在前期技术成熟度不高，主要是用其防火墙产品基础上改装的，安全性很低，从2010年以后才开始做真正的网闸产品，目前个别功能还不稳定，尤其体现在数据库同步功能上，网御产品支持负载功能和身份认证功能，目前我们不支持。优势分析-网御星云三、TopRules特色介绍 我司产品支持自定义应用应用层数据控制功能，网神的自定义应用不支持应用层数据控制功能。网神产品透明工作模式下不支持应用的应用层数据过滤功能，我们的产品支持。工作模式上我们支持三种，网神不支持路由模式123网神产品的网闸功能很细致，个别模块比我产品做的细，另外网神产品在招标过程中往往会强调防病毒功能，而防病毒功能恰恰是我们产品的弱势优势分析-网御神州三、TopRules特色介绍 伟思数据库同步功能不完善，数据记录多的时候，会出现丢数据的情况，而我们产品不会。我司产品支持自定义应用应用层检测功能伟思不支持。工作模式上我们支持三种，伟思只支持代理模式。123伟思的网闸产品主要特色是在其产品中集成了流控功能，并且有万兆产品。优势分析-伟思三、TopRules特色介绍 提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍1网闸FAQ5 四、案例介绍-电子政务在电子政务网络中，网闸主要部署在电子政务内网与电子政务外网，电子政务内网与电子政务专网之间。政务外网受理公众的业务申请，将数据存储到外网数据库中，网闸的数据库同步痛能负责将电子政务外网数据库中的特定数据实时的摆渡到电子政务外网，并储存到政务内网的数服务器中；电子政务内网负责处理外网的业务申请，处理完毕后网闸再将政务内网数据库中特定的数据摆渡到政务外网，并将数据存储到外网数据库服务器中，供电子政务外网用户浏览查询。通过网闸，实现了电子政务内网与电子政务外网之间数据的实时安全交互。在电子政务内网和电子政务专网之间通过网闸产品可以开放特定应用（大多数情况下是基于文件的传输），保障电子政务内网与电子政务专网之间可控的信息交换。 四、案例介绍-公安在公安旅馆业、印章业等行业中，网闸主要部署在外网的前置机与公安内网之间，保证公安外网前置机上的文件传输到公安内网指定的服务器上。旅馆业、印章业等应用是把需要上传到公安内网的数据保存成特定格式的文件，并通过互联网上传到公安外网的前置机上，网闸的文件同步功能把公安外网前置机上的特定类型的文件实时的摆渡到公安内网的服务器上。通过网闸产品，保障公安外网的特定类型的文件能单向的传输到公安内网，防止公安内网泄密。 四、案例介绍-平安城市在平安城市项目中，网闸主要部署在公安内网视频监控平台和外网视频监控区之间，网闸的视频处理模块负责把公安外网监控区的视频实时的传送到公安内网监控平台上，其它的数据一律禁止通过。 四、案例介绍-石化在石油石化等行业中，网闸主要部署在企业的办公网与生产网之间，负责把生产网的生产数据以数据库访问或者文件同步的方式单向的输送到办公网的服务上，办公网数据不传送到生产网中。 四、案例介绍-智慧城市天融信网闸 TopRules应用行业四、应用案例电子政务石油、石化、煤炭等烟草、金融、证券国税、地税、国土国土、海关、交通公、检、法、军队、军工 提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍1网闸FAQ5 1、什么是网闸五、网闸FAQ网闸是是一种带有多种安全控制功能的、在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸是网络安全隔离与信息交换系统的简称，英文名称GAP。网闸的硬件一般由外部处理单元、内部处理单元、隔离硬件三部分组成。 双机或三机结构网络协议逻辑连接数据传输私有ISO模型七层全部断开，只传输应用层数据五、网闸FAQ2、网闸技术特性有哪些 4、单系统的设备是网闸吗五、网闸FAQ单系统的设备如（信息流转器）不是安全隔离网闸设备,它不符合国家保密局对网闸2+1系统架构的要求。另外，类似的单系统一旦系统遭受到攻击，攻击者完全有可能在单系统的两张网卡之间建立起路由，从而内部网络会完全暴露。无论从功能还是实现原理上讲，隔离网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全产品，而隔离网闸重点是数据交换用。因此两种产品由于定位的不同，因此不能相互取代。5、网闸能取代防火墙吗 防火墙单机架构网闸双机或三机架构硬件架构防火墙互通的前提下尽量安全网闸安全的前提下尽量互通功能定位防火墙公有协议网闸私有协议通信协议防火墙包过滤、应用代理网闸终结协议层的七层，私有协议交换应用层数据安全机制防火墙性能高，基本能满足所有应用网闸性能低、应用上有一定局限应用与性能5、网闸与防火墙对比五、网闸FAQ 谢谢！！ 演讲完毕，谢谢观看！