珠海伟思隔离网闸产品手册.docx
《珠海伟思隔离网闸产品手册.docx》由会员分享,可在线阅读,更多相关《珠海伟思隔离网闸产品手册.docx(13页珍藏版)》请在冰豆网上搜索。
珠海伟思隔离网闸产品手册
珠海伟思隔离网闸
技术白皮书
ViGap技术白皮书
一、概述
1、网络安全现状
运算机网络的普遍应用是现今信息社会的一场革命。
电子商务和电子政务等网络应用的进展和普及不仅给咱们的生活带来了专门大的便利,而且正在创造着庞大的财富,以Internet为代表的全世界性信息化浪潮日趋深刻,信息网络技术的应用正日趋普及和普遍,应用层次不断深切,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,运算机网络也正面临着日趋剧增的安全要挟。
广为网络用户所知的黑客行为和解决活动正以每一年10倍的速度增加,网页被修改、非法进入主机、发送冒充电子邮件、进入银行系统盗取和转移资金、窃取信息等网络解决事件此起彼伏。
运算机病毒、特洛伊木马、拒绝服务解决、电子商务入侵和盗窃等,都造成了各类危害,包括机密数据被窜改和窃取、网站页面被修改或丑化、网络瘫痪等。
网络与信息安全问题日趋突出,已经成为影响国家安全、社会稳固和人民生活的大事,进展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、现有网络安全技术
运算机网络是基于网络可识别的网络协议基础之上的各类网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所利用的协议的设计问题,也包括协议和应用的软件实现问题,固然还包括了人为的因素和系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型
问题点
问题描述
协议设计
安全问题被忽视
制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题
架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题
设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误
协议设计错误,导致系统服务容易失效或招受攻击。
软件设计
设计错误
协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误
程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作
操作失误
操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护
默认值不安全
软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。
容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统
软件和操作系统的各种补丁程序没有及时修复。
内部安全问题
对由信任系统和网络发起的各种攻击防范不够。
信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各类网络安全问题,全世界的网络安全厂商都试图进展了各类安全技术来防范这些问题,这些技术包括访问控制技术、识别和辨别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、运算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,接踵陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了必然的安全防范,必然程度上解决了网络安全问题某一方面的问题。
3、现有网络安全技术(防火墙技术)的缺点
现有的各类网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在必然程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。
如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法避免确认的用户之间传递的信息是不是安全的问题,而运算机病毒防范技术只能防范运算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各类网络安全技术中,只有防火墙技术能够在必然程度上解决各类网络安全问题。
防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙。
可是防火墙产品容易蒙受包括IP欺骗解决、拒绝服务解决、分片解决、木马解决等在内的各类网络解决,而且对这些解决的防范能力不够。
即即是采用状态检测技术的防火墙产品,也会受到包括协议隧道解决、反弹木马解决等在内的网络解决,而且黑客还能够利用FTP-PASV绕过防火墙的认证,从而实现对防火墙的解决,而对这些安全问题,防火墙产品没有专门好的防范和解决方案。
而在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙如此的产品来保障自己的网络安全,但是相对应的是,新的OS漏洞和网络层解决层出不穷,攻破防火墙、解决运算机网络的事件也愈来愈多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的一路需求和目标。
4、GAP技术简介
在介绍GAP技术之前,先来简单地介绍一下GAP技术的原型:
Sneaker-NET。
图一、Sneaker-NET技术
在Sneaker-NET技术中,有一个人来操作,另外包括两个网络:
不可信网络和可信网络,这两个网络物理隔间,在大多数Sneaker-NET方案中,也有一个独立的运算机,或一个与两个网络分离的DMZ区域,用于内容检查。
采用Sneaker-NET技术后,网络信息流如下:
1.该人在不可信网络上的运算机上手工方式拷贝文件到磁盘或磁带。
2.该人将磁盘或磁带拿到一个独立的运算机上进行内容检测。
检测包括(不单单这些):
病毒扫描、查验该文件格式是不是和预先概念的文件格式相符等。
3.若是内容检测为不安全或非法,它们将被抛弃;若是内容是安全和合法的,这人在可信网络上的运算机上手工方式将该磁盘或磁带的文件拷贝到运算机上。
4.信息从可信网络传输到不可信网络将也用相似的流程。
在Sneaker-NET技术中,没有人能够从不可信的网络访问和操作控制可信网络上的运算机,所有允许到可信网络的数据都在一个安全的环境中通过详细的审查,这是从不安全环境到安全环境信息传输的一个最安全的方式。
GAP技术就是基于如此的一个机理实现的一种安全信息互换技术。
在Sneaker-NET中,人的作用是在两个网络之间进行低速的手工互换数据,而在采用GAP技术的设备中,用一个快速电子开关来实现这一功能;用在Sneaker-NET中做数据互换的磁介质,在GAP技术中则用存储设备来代替。
在某一时刻,电子开关只能连接到其中的一个网络,其它的硬件和软件实施则类似于Sneaker-NET的装置。
对于可信网络和不可信网络有连接的网络,如防火墙,黑客能够利用各类方式,通过连接并最终控制可信网络。
但是,GAP技术能够创建一个如此的环境,即两个网络物理断开,但却逻辑相连的环境。
GAP技术在这两个网络之间创建了一个物理隔间,这意味着网络数据包不能从一个网络流向另外一个网络,而且可信网络上的运算机和不可信网络上的运算机从不会有实际的连接,从而杜绝黑客控制可信网络的情形发生。
同Sneaker-NET即便类似,GAP技术除能够实现物理隔间外,还能够允许可信网络和不可信网络之间的数据、资源和信息的安全互换。
GAP技术的突出长处在于,物理隔间使可信网络安全,而逻辑连接使咱们能够在线式访问不可信网络。
通过GAP技术,专门是反射GAP技术,能够将咱们的核心业务系统和因特网物理隔离开,保护它们免受各类已知乃至未知的网络要挟和解决。
GAP技术的关键技术要点是:
要点
描述
物理隔断
可信网和不可信网物理隔断,可信网络上的计算机不能访问不可信网络
可选择数据交换
两个网络能够有选择的交换数据,好像它们直接相连一样
数据是静态的
在交换数据过程中,数据是静态的(被动的),不能被执行
独立决策
所有决策在一个安全的环境中处理,与不可信网络隔断
支持文件和命令
交换数据可以包含文件和命令
高性能
上述所有工作实时进行,实现最大吞吐量和最小延时
二、ViGap介绍
1、ViGap产品简介
伟思信安隔离网闸(以下简称ViGap)是珠海伟思有限公司采用先进GAP技术独立研制生产的新一代网络安全产品。
它放置在可信网络和不可信网络之间,连接两个网络并控制网络间的信息互换。
ViGap通过专用硬件在可信网络与不可信网络间实现物理隔间,能够避免各类基于网络层和操作系统层的解决,并通过基于硬件设计的反射GAP系统,实此刻线高速实时的数据传输。
ViGap还具有壮大的协议终止、协议检查、内容审查等功能,可确保可信网络不受解决,并保护网络间资源、信息和数据互换的安全进行。
由于ViGap的自身技术特点,使它具有以往其它网络安全产品所不具有的安全防护能力,填补了网络安全产品在防范网络解决方面的某些空白。
ViGap产品能够用在任何需要保障内部网络信息安全免受外部黑客解决的网络出口连接处。
适用于政府机构、金融保险、军队警察、电力电讯及企业网络。
2、ViGap产品原理
ViGap系统由两套独立工作的运算机系统和一套反射GAP系统组成,两套运算机系统别离是连接不可信网络的不可信网络端运算机和连接可信网络的可信网络端运算机,两套运算机系统通过反射GAP系统相连,处置两个网络互换数据事务。
与其他GAP产品相较,ViGap利用了LVDS总线和高速双开关体系结构,在性能方面有显著的增强。
ViGap是运用GAP技术研制的具有当前国际先进水平的网络安全产品。
ViGap采用了先进的新一代的反射GAP技术和协议终止技术,成功地实现了既保证可信网络与不可信网络的物理隔间,又保证两个网络间的数据实时访问,能避免针对网络层和OS层的已知的和未知的解决。
◣ViGap采用先进的电子开关通断技术
为保证可信网络与不可信网络在ViGap设备上的物理隔间,ViGap中包括了精心设计的硬件电子开关动作系统,使得连接可信网络端和不可信网络端的两组高速电子开关配合系统数据流分时地“接通”、“断开”。
◣ViGap采用先进的反射GAP技术
ViGap的内部反射GAP系统完全基于硬件体系,目的是将不可信网络端运算机存储系统和可信网络端运算机存储系统中的数据进行快速互换。
反射GAP系统不依赖于任何通信协议和操作系统服务,它具有独立的硬件逻辑电路,通过独立的总线互换数据,实现了网络间数据的高速互换。
◣ViGap采用先进的协议终止及分析技术
当网络数据流经ViGap时,数据在ViGap设备运算机系统上被处置,通过协议终止、协议检查并剥离数据包装,然后剥离出的裸数据被反射GAP系统传送到另一方,并从头生成协议后送达目的地。
完全杜绝黑客利用协议对可信网络进行解决。
三、ViGap功能
1、ViGap产品定位
现有的各项网络安全技术能够在必然程度上解决已知的部份网络安全问题,可是,对于网络应用中不时刻刻都在发生和产生的每一种新的网络蠕虫、DoS解决、散布式DoS、缓冲区溢出解决等各类网络安全问题,已有的各类网络安全技术中,仍然没有一种能完全预防的安全技术来确保一个企业的信息系统的安全。
即即是利用一些高级的安全技术,例如网络防火墙,加密技术和代理,可是对任何一个单一的安全技术,网络安全问题都得不到专门好的解决。
下图示意描述了现今可用的各类网络安全解决方案,在那个示用意中,依照顾用的不同,网络本身被分为两个部份,即网络层和应用层。
而在各类网络安全方式中,包括了防范已知网络安全问题和未知网络安全问题的方式,各类网络安全技术都别离解决了相应部份的网络安全问题。
GAP安全解决方式优势在于它既能阻塞又能预防。
阻塞发生在已经明白的解决而预防则是对于未知的解决。
在上图的左上部份,是防火墙产品主要防范的网络安全问题,它能够对已知的解决提供适当的保护,这也就意味着防火墙必需进行调整来辨别要挟。
左下部份描画应用代理,能够在应用层对已明白的解决进行阻塞。
在右下角表述的是一些新的技术,例如内容检测,主机保护和对应用程序扫描等。
可是,目前针对应用层未知解决的各类防护方式还不是专门好。
ViGap产品的功能定位即主要在这一层上,它既能阻止网络层和操作系统层的已知的解决,又能避免网络层和操作系统层受到未知的解决,解决了防范未知网络解决的安全难题。
ViGap引入新的安全层次,可是在传输数据时不会对网络和操作系统服务造成任何危害。
作为网络安全设备,ViGap提供四种最主要的保护:
网络漏洞,操作系统的不稳固,软件漏洞,解决。
2、ViGap产品功能
ViGap产品具有以下功能:
◆HTTP功能
◆EMAIL功能
◆FTP功能
◆其他服务支持
◆内容过滤功能
◆黑名单功能
◆日记和警报功能
◆ViGap数据库备份功能
◆邮件的报警和通知功能
HTTP功能
ViGap提供了功能壮大的HTTP协议分析模块,能够允许可信网络用户自如地访问不可信网络上的各类网络资源,也能够允许不可信网络上的用户安全地访问可信网络上的WEB服务。
EMAIL功能
ViGap也提供了功能完善的SMTP/POP(3)协议分析模块,能够允许可信网络用户自如地通过ViGap收发来自不可信网络上的各类电子邮件,也能够允许不可信网络上的用户安全地通过ViGap来收发可信网络上的电子邮件。
FTP功能
ViGap的FTP协议分析模块,提供了和HTTP功能和Email功能一样安全的FTP服务支持。
其他服务支持功能
ViGap同时提供了对其他各类用户自概念服务功能的支持。
内容过滤功能
针对关键字(词)进行检索,依照匹配的原理,对通过ViGap传输的数据进行过滤和检查,能够保护网络的各类敏感资源和数据,也保护了可信网络资源。
黑名单功能
针对通过ViGap传输的数据的文件名进行过滤的黑名单功能,不仅能够有效阻止敏感文件的互换,而且能够有效防范通过附件文件对可信网络的各类解决。
日记和警报功能
ViGap提供的日记和警报功能,能够监视和解决对可信网络和设备本身的连接和破坏安全的问题,也能够通过管理控制台状态选项卡对整个ViGap系统进行常规的状态监视。
日记和警报功都所涉及内容包括:
✧ViGap系统的问题
✧通信故障
✧破坏安全的企图
✧通过ViGap系统的传输和指令
✧通过ViGap系统传输的文件和其它类型的内容
ViGap数据库备份功能
对ViGap数据参数和运行参数和日记内容的备份功能,为系统管理和安全管理提供了有力的支持。
邮件的报警和通知功能
ViGap系统的电子邮件警报和电子邮件通知能够在某些特定事件发生时,使系统管理员能够清楚地了解发生了什么。
邮件跟踪机制包括:
✧电子邮件警报,每当系统中发生特定事件,就会发出电子邮件信息以通知系统管理员。
✧电子邮件通知,发给一个或多个通信方的电子邮件信息的消息。
四、ViGap产品性能
1、ViGap产品技术指标
ViGap100是ViGap产品的一个系列,是伟思公司第一投放市场的ViGap产品。
ViGap100系列中有4个型号的产品,覆盖了从中小规模网络到电信级规模网络的各类应用。
技术特性
◆在可信网络与不可信网络之间实现物理隔间
◆可信网络与不可信网络端间实时高速安全地数据互换
◆支持基于UDP和TCP的网络协议
◆系统日记及存档和备份功能,并支持多种第三方系统日记
◆流量控制功能
◆支持普遍的协议检查
◆丰硕图形用户接口(GUI)的人机交互界面
◆为多个ViGap提供集群和负载平衡能力
高粒度协议检查
◆对协议关键字和命令进行全面检查
◆灵活的数据类型管理
◆用户指定的文件名和扩展名
◆精准概念访问概念目录、子目录和文件
◆内置HTTPS分析支持服务
◆内置论证支持(PKI,LDAP,RADIUS)服务
◆嵌入关键字搜索引擎
◆内置文件格式检查
技术指标
◆并发连接能力:
最高1500个实时连接数,未来可实现6000个
◆单个ViGap系统吞吐量:
约90Mbps
◆反射GAP内部数据互换速度:
1Gbps
◆伟思信安ViGap100系列产品的并发连接数:
产品
并发的连接数量
ViGap100-150
150
ViGap100-350
350
ViGap100-750
750
ViGap100-1500
1500
2、ViGap产品硬件和软件包
硬件规格
尺寸
高度:
英寸(89mm)
宽度:
英寸(432mm)
长度:
英寸(555mm)
重量
15KG
电压
100~240VAC,47~63Hz
功率
300W
操作环境
-5º―50ºC
环境湿度
5%―95%
产品外形
ViGap100的软件支撑
ViGap100系列产品现有如下软件包,用户能够选择安装:
WEB(W)软件包,EMAIL(E)软件包,INTERNET(N)软件包
WEB软件包包括以下内容:
◆HTTP/HTTPS协议检查
◆FTP协议检查
◆PKI证书支持
◆对保密数据进行文件格式检查
◆关键字搜索
EMAIL软件包包括以下内容:
◆SMTP/POP3协议检查
◆对保密数据进行文件格式检查
◆关键字搜索
◆电子邮件通知和报警
INTERNET软件包:
◆同时包括WEB软件包和EMAIL软件包
五、ViGap产品应用
ViGap应用领域
◆政府机构
◆公安、军队
◆金融保险
◆税务、海关
◆企事业单位的电子商务或电子政务系统
1、通用解决方案
ViGap典型应用之一-----内部网络安全保护
在一般的中小规模网络安全解决方案中,通常在网络出口处安装防火墙来保护网络的安全,但防火墙在某些黑客的歹意解决下可能被攻破,致使内部网络直接面对黑客的要挟。
能够采用安装ViGap替代防火墙内部网络的安全。
如图2所示:
2、重要网络数据资源保护
ViGap典型应用之二-----增强DMZ区的安全性
在常规的网络安全解决方案中,通常把各项应用服务器放置在防火墙的DMZ区来对外提供服务,但防火墙的DMZ区在黑客的解决下可能被攻破,致使服务器直接面临黑客的解决。
在DMZ区安装ViGap后能够保证对外服务的服务器加倍安全。
如图3所示:
图3ViGap的典型应用之一
3、电子政务安全岛
ViGap典型应用之三-----ViGap与“安全岛”
政府数据专网是我国电子政务工程的一个极为重要的部份,担负政务网的信息互换的重任。
由于网络互联,内部网络的信息安全需要强有力的保护。
“安全岛”是为了实现政府数据专网的安全数据互换而设立的网间安全设施,政府机构的内网数据通过安全岛,经由政府数据专网传送给其它相关的政府机构。
ViGap是安全岛中的核心产品。
如图4所示:
图4电子政务网络简单示用意
升级会员 