Leadsec-SIS-V1.1-白皮书-安全隔离与信息交换系统(网闸)产品白皮书.docx

联想网解平安隔离与信息交换系统（网闸）产品白皮书1.eadsec-SISV1.1高平安的"2+1"系琉架构和细粒度的内容过滤技术.打造数据平安专家最早突破网阐性能瓶颈.单线口阻向可达730MbPS吞吐.Img延时10多个应用模块，满意用户通用需求，10多个行业深化探讨，支律用户专业嘉求城高可达32台网阐他负或均衡,电信级高牢靠性设计,故障运行时间5万小时以上191W1.1 产品定位61.2 工作原理61.3 技术特性73 93.1 硬件架构93.2 软件架构114 产AWA124.1 而平安的架构设计124.2 高连隔离交换性能124.3 专家汲的数据平安124.4 广泛的应用适用性134.5 业内领先高牢球性135 .-.145.1 平安性技术优势145.2 i性能技术优势175.3 适用性技术优势175.4 牢靠性技术优势185.5 易管理技术优势195.6 概心技术优势216基本功能237产品规格288299301.1 平安阅读301.2 文件传输311.3 数据库同步321.4 由I；件交换331.5 双机热备331.6 负我分担3410 ->.-<3510.1 网上报税3510.2 公安行业3610.3 电子政务3710.4 保险行业3910.5 新闻媒体3910.6 多网接入4011 目.4211.1 电子政务4211.2 公安行业4311.3 税务行业4311.4 其它行业431.1 ?品1314公司债介461引言MichaelBobbin（计算机平安杂志主编）说，“保证个系统真正平安的途径只有一个：断开网络，这或许正在成为一个其正的解决方案在政府、国防、能源等许多重要领域，对数据机密性、网络平稳性、业务连续性要求极高，坚如磐石的平安保障尤其关键。市场需求催生了平安技术的创新，在上世纪90年头中期俄罗斯人RyJoncs首先提出“AirGap”隔离概念，然后，以色列研制胜利物理隔离卡，实现网络之间的平安隔离；其后，美国WhaleCommunications公司和以色歹IJSpcarHead公司先后推出了C-Gap和NCtG叩产品，利用专有硬件实现两个网络在不连通的状况下数据的平安交换和资源共享，从而使平安隔离技术从单纯实现“网络隔离禁止交换”发展到“平安隔离和牢靠、可控交换”。目前，美国军方、重要政府部门均采纳隔离技术保障信息平安，我国的平安隔离技术的发展同样经验了类似的过程。2000年I月1日，国家保密局发布实施攵计算机信息系统国际联网保密管理规定明确要求“涉及国家随私的计算机信息系统，不得干脆或间接地与国际互联网或其它公共信息网络相连，必需实行物理隔离”。该规定在互联网发展初期具有前脂性地提出政府上网必需“物理隔离”，刚好的把政府上网平安提到一个重要的高度，具有重大意义.并由此而发展出了平安隔离计算机、平安隔离卡等系列平安隔离平安产品。网御SIS产品就是联想网御科技（北京）有限公司开发的而性能平安隔离与信息交换系统，它凭借强大的功能、卓越的性能、以及遍及全国各地的完善客户服务机构和保障体系为用户的网络隔离平安供应最全面、最平安的解决方案。2产品概述1.2 产品定位联想网御SlSJO(X)系列是联想网御依兆多年信息平安产品研发的积累，严格遵照国家有关主管部门的设计规位要求，具有完全自主学问产权的平安隔离与信息交换系统。该产品是利用网络隔离技术的访问限制产品，处于网络边界，连接两个或多个平安等级不同的网络，主要应用丁政府部门网络建设中，对重点数据供应商平安隔高的爱护。政府部门的主要应用定位包括：,各政府部门对外供应各项便民服务的接口，内网数据必需部分要共享到外网.,各政府部门的不同平安域之间进行数据交换的接口。,各政府部门与业务相关的其他政府部门之间进行数据交换的接口。国家保军同对平安隔岗与信息交换类产品的应用也做了规定，规定平安隔离与信息交换系统在以卜四种网络环境卜应用：,不同的涉密网络之间；,同涉密网络的不同平安域之间：/与Internet物理隔离的网络与隐私级涉密网络之间：,未与涉密网络连接的网络与Internet之间。广义的应用定义，以下环境可举荐应用网闸：原有肯定物理隔齿的网络，现有数据交换的须要；要加强现有网络边界平安，实现网络间平安隔离的前提下进行信息交换；1.3 工作原理平安隔离技术的工作原理是运用带有多种限制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立主机系统之间，不存在通信的物理连接和逻辑连接，不存在依据TCRIP协议的信息包转发，只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采纳完全的私有方式，不具备任何通用性。平安隔高与信息交换系统两例网络之间全部的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息依据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的平安会话进行最终的数据通信，即实现“协议落地、内容检测:这样，既从物理上隔离、阻断了具有潜在攻击可能的切连接,乂进行了强制内容检测，从而实现最高级别的平安.格式化敌据埃格式化故岷块联想网御S1S-3(X)()系列平安隔离与信息交换系统匚作原理图1.4 技术特性平安隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内网主机系统与内网相连，外网主机系统与外网相连，内/外网主机系统分别负贡内外网信息的获得和协议分析，隔离交换矩阵依据平安策略完成信息的平安检测，内外网络之间的平安交换。整个系统具备以下技术特性：,多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡二/被隔离网络之间任何时刻不产生物理连接。/内/外网主机系统之间没有网络协议逻辑连接，通过隔离交换矩阵的全部是应用层数据，也就是OSl模型的七层协议全部断开。,数据交换方式完全私有，不具备可编程性.，3系统架构3.1 硬件架构现在国内平安隔离与信息交换系统业内的硬件架构设计主要有：双主机架构、三主机架构和“2+1”架构三种,下表为三种硬件架构的简要说明和对比分析。架构名称架构也成平安分析平安性性能双主机架构硬件由内网机、外网机和连接硬件组成，连接硬件如网城、SCSI纹、IJsB线等两主机完成协议终止和内容检查,连接硬件采纳通用可编程硬件低1",：三主机架构硬件由内网机、仲裁机、外网机组成内网机和外网机完成协议终止，的裁机独立完成数据检铉高低2+1”架构硬件由内网机、外网机两个主机系统和一个隔离交换电际组成的主机完成仍议终止和内容检查,隔离交换矩阵不受主机系统限制高高基于平安隔离与信息交换系统要在硬件上实现接近于物理隔离的原则，就要求系统的三部分硬件必需相互独立，并且通过隔高交换硬件实现切换来确保内外网两个主机系统任何时刻不干脆相连。联想网御SIS-3000系列平安隔离与信息交换系统硬件架构采纳“2+1”模型结构设计，即内网主机系统、外网主机系统加上隔离交换矩阵，内外主机系统采纳专有工控主板班计，性能稳定、明量牢靠，隔离交换矩阵采纳专有硬件交换电路设计的双通道隔离交换模块，隔高交换模块拥有完全的自主学问产权。隔齿交换模块基于专有的1.eadSeCASlC平安隔离芯片和交换芯片，是内外网主机系统唯一的连接部件，因此内外主机系统之间不存在任何网络设备连接。其中,1.cadsccASIC平安隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包，交换芯片的交换了系统和开关限制子系统实现对数据的临时缓存和平安交换。硬件架构如下图所示:联想网御安全隔离网闸可信网络非可信网络联想网御S1S-3000系列平安隔离与信息交换系统陵件架构原理图通过交换芯片的开关限制子系统，隔离交换模块首先断开彼此之间的物理连接，分别通过ASIC芯片连接内外网生机系统，内外网生机系统通过ASlC芯片将数据块封装为自有协议格式写入交换芯片的交换子系统和/或通过ASIC芯片读出交换子系统缓存将自有协议格式数据拆封为数据块，完成一次摆渡：然后隔离交换模块通过开关限制子系统断开与内外网主机系统的连接，彼此之间建立连接，臼动进行协商，实现数据交换，完成二次摆渡。通过这种双摆渡技术，内外网络恒久不会干脆连接，由于采纳特地设计的硬件隔离交换模块进行数据交换，没有任何管理接口，因此，内外网主机系统之间无法进行基于网络协议的数据交换，从而从硬件层面保证了内外网主机系统之间的平安隔离。隔离交换模块具有独立的硬件交换限制逻辑，无OS及任何“软”限制，自主完成数据的交换，主机系统只负责把数据块传速到隔离交换模块，由隔离交换模块依据硬件限制逻辑自动完成自有协议的封装和数据交换，自动同步两恻限制逻辑，进行互斥的读写操作，同时还具有自动数据完成性校验，当发觉数据错误时，自动重传，保证数据的完全正确，从而实现内外网主机系统真正的物理隔离交换。3.2 软件架构联想网御S1S-3(XX)系列平安隔离与信息交换系统通过基本模块实现关键的数据交换功能，它是内外网主机系统进行信息交换的唯一接口，其他任何功能模块都建立在基本模块之上，通过核心层驱动程序的设计和隔离交换模块高速全双工流水线设计，使得内部数据交换达到最大的性能.其他各功能模块建立在对通信过程七层还原的基础上，以模块化设计。对常见的网络协议以独立的功能模块完成，用户可依据不同的应用需求选用，系统还供应应用层检测二次开发功能来适应特别的用户需求。此外，系统供应基于数字认证的多种远程管理功能，功能强大的集中管理、日志审计等多种管理手段，有效的帮助用户运用和管理平安隔离与信息交换系统.每个主机系统的软件系统架构如下图所示。系统内核蚣据包袄取和Hl断611管理工具本地申口管理配文件隔离交换卡联想网御SIS-3000系列平安隔离与信息交换系统主机系统软件架构图就据交换控制模决配JI首理慢快的说重组应用品检测开发按口应用点安全检测网绛Jg安全¾uw4产品特色4.1 高平安的架构设计领先提出“2+1”系统架构，不是多主机架构或双主机架构。,平安的“2+1”的系统架构：“内网主机”+“交换隔离矩阵”+“外网主机”：/内/外网主机专用的自主学问产权的操作系统VSP,固化于硬件中，防翼改：/平安的内外网独立管理机制：4.2 高速隔离交换性能最早突破网闸性能瓶颈，单端口单向可达730MbpS吞吐，Ims延时。/高速的平安隔离芯片和交换芯片，有力提高交换性能；,系统内部的并行处理、线程池等技术，提高J'内容检查、过泄、协议分析、病毒扫描等效率；4.3 专家级的数据平安高效的病毒扫描和细粒度的内容过滤技术，打造数据平安专家。/智能的全文内容过滤引擎统一平安引擎:对隔离交换报文进行全文数据还原，时用户登录、吩咐恳求、文本系统、协议格式等实施深度检测和过滤，并支持对特定应用协议标签的检测限制：智能黑臼名白:针对文件名、吩咐、域名等内用进行严格限制，创建黑名单和白名单任务策略，拦截各种非法数据报文，保证数据的平安性：平安访问限制:针对数据库和文件数据，通过访问用户身份识别，保证数据不被非法访问和传递:分级分权管理:针对不同用户操作，系统供应了分级别管理机制，依据最小化用户权限的艰则，使不同用户管理配置不同的任务，最大程度保障用户运用的平安。/高效的病毒过滤技术自主研发的防病年引擎，获得网络防病毒技术专利，结合了特征值检测和启发式检测，高效过施多种形式的病毒：4.4 广泛的应用适用性IO多个应用模块，满意用户通用需求，IO多个行业深化探讨，支撑用户定制需求。/功能模块：文件交换、FTP文件传输、数据库同步、数据库访问、邮件传输、平安阅读、消息传输、平安通道、定制访问/定制案例：电子政务、才克务、军队、公安、通讯,多网隔离：满意多种网络形式接入,比如”对、对多、多对”的网络隔离4.5 业内领先高牢靠性业界独有3机以上负载均衡网闸，电信级高牢弟性设计，无故障运行时间5万小时以上。,领先的自身牢靠性设计：电源冗余、双机热备、端口冗余、链路聚合等；/独有的动态负栽均衡技术：业界独有3机以上负载均衡：,电信级军热性设计：如防过压设计、滤波设计、固态电容元件、整体运行管理监控等：/MTBF25万小时:5技术优势5.1 平安性技术优势基丁测试统计，一般防火墙设备对丁基丁网络U的攻击绝大部分可以拦截,对基于应用层的攻击基本无法拦截：联想网御SIS-30系列平安隔窗与信息交换系统对于各种基于网络层和应用层的模拟攻击实现了100%的拦截。管单S*1 .平安的隔离硬件联想网御SIS-3(XX)系列平安隔离与信息交换系统通过专有隔离交换模块实现基于硬件的平安隔M1.CadSCCASIC芯片将数据块转化为臼有协议格式的数据包，交换芯片的开关限制系统使得两个网络之间没有任何的物理连接，没有任何的网络协议可以干脆穿透，从而建立了一个平安牢靠的平安隔离硬件体系及平安隔离区域。2 .平安的操作系统凭借联想网御在平安设备上的长期积累建立的专有抗DDoS内核的VSP(VersatileSecurePlatform)通用平安平台，针对平安隔离与信息交换系统量身定制，具有极高的平安性。对于Synflood.CC攻击、HTTPGctFlood、DnsQucryFlOod等各种D1.)OS攻击均可彻底阻挡。同时，操作系统固化于内外网生机系统的硬件中，不能被随意修改，而日志采纳特地的H志服务器管理，把操作系统和日志存储系统分开，使得系统结构更加平安。3 .应用怖议内容平安联想网御S1S-3（XX）系列平安隔离与信息交换系统依据不同的应用需求，S身定制多个功能模块，满意用户的不同应用需求，主要包括：文件交换模块：实现不同平安等级网络间文件的平安交换，支持NFS,Smbfs4SAMBA等常用文件系统，支持更新传确、改名传输、传输后删除等多种方式，文件传输过程中，支持强制性的文件类型、文件内容（黑、白名单）等检查。数据库传输模块（访问）：在内外网隔离环境下实现对OraCle、Sybase,SQ1.Server,DB2等多种数据库系统的平安访问和同步，支持TNS协议、支持授权用户平安。邮件传输模块：在内外网隔离环境下实现内网用户平安访问外网邮件服务器，支持电子邮件地址限制，支持邮件主题过流、内容过灌、附件过滤。平安阅读模块：在内外网隔探环境下保证内网用户平安阅读外网资源，支持本级认证、Radius,1.DAp认证，支持UR1.过滤、ActiveX,Cookie,JavaAppIet等恶意代码过渡。FTP访问模块：在内外网隔离环境下实现平安的FTP访问，支持动态建立数据通道，支持用户限制、吩咐限制、文件类型限制等细粒度访问限制.TCP/UDP访问模块：在内外网隔离环境卜.特定TCP、UDP协议的数据交换。其他模块：用户定制的专用应用模块。其它功能说明： 支持的应用协议有HTTPS,HTTP、FTP、SMTP、POP3、TNS,DNS、TclnctSAMBA、NFS、IMAP、定制TCP和UDP、SNMP、SSH.RTSP、MMS、H.323、1.DAP协议、IRC等协议; 支持登录防爆破，登录密码超出设定次数，系统自动锁定。 支持用户访问限制，管理主机与网闸间通过证书认证和用户密码才可登录，其它应用中支持用户统一身份认证，保证登录系统的用户是合法的。 支持IR'MAC绑定功能，防止非授权管理及我登录系统. 完善的日志审计功能，日志支持远程和本地管理，支持标准的Syslog的接入：不同的功能模块依据各自的需求特点，在应用层实现了功能强大的过滤机制，通过对应用层内容的过渡和检测，进一步保隙数据的平安.这些包括：关键字检测、黑白名单过浦、文件类型检脸、用户名/口令校验、数据数字签名、身份认证、控件过滤、脚本过滤、UR1.过滤、邮件属性过灌等等。系统还可以依据用户的平安须要进行二次开发，对用户数据进行深度平安检测。4 .网络层平安主机系统支持包过渡检测技术，支持通过源地址、目的地址、流经的物理端口、协议类型等多种元素设定过滤规则。通过对平安策略的设定,使得平安隔离与信息交换系统干脆在网络U就能拒绝部分非法连接的访问.5 .强的抗攻击实力联想网御不断深化分析应用协议，依据协议规范和跟踪用户运用习惯形成“访问内容白名单”嵌入到主机系统中，并I1.融合独创的智能算法形成“智能白名单技术”时数据报文的协议格式和数据内容进行快速严格检查，通过专有算法智能比对正确协议格式和数据内容的“白名派”，从而实现对各种畸形攻击数据报文的拦截。主机系统内置独立的联想网御自主研发的USE(UniformSecureEngine)统平安引擎，与系统紧密集成，包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采纳实时入侵检测机制和自动响应技术，可选择配巴不同的攻击特征码并且支持攻击特征码分类，可以依据大类进行特征码选择。攻击的特征库包括IP地址欺瞒'ARP欺瞒、PingOfDeath,Smurf、扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击，可以检测到网络中的绝大多数入侵行为，可以实时设置阻断规则，将入侵刚好阻断。并且供应攻击特征码的升级和特征码的自定义。6 .防IP地址盗用为了防止IP地址被非法盗用,平安隔离与信息交换系统采纳IPMAC地址绑定技术校验主机的合法性。系统能够对指定接口所连接的网络中主机的IP和MAC地址进行绑定，防止IP盗用，对非法IP地址的访问系统会进行具体记录，以便管理员在看，而且系统能够通过自动探测来发觉IP和MAC的对应关系，使捡个配置过程简洁快捷。5.2 高性能技术优势联想网御SIS-3(XX)系列平安隔离与信息交换系统的系统吞吐量为线性处理速度的80%以上。如此高的处理实力依靠于以下技术的胜利应用.1 .ASlC并行处理技术隔离交换模块上的1.CadSCCASlC平安隔离芯片采纳了多线程并行处理技术，供应了多个平安通道，解决了多网接入时数据摆渡带宽瓶颈问题。2 .ASlC协议处理技术隔离交换模块上的IeadwcASlC平安隔离芯片通过硬件固化处理将数据块转化为自有协议格式的数据包，实现了协议转换时的线性处理。3 .双摆渡传输技术隔离交换模块上的交换芯片通过独特的开关限制系统实现双摆渡传输机制，从而实现同一时刻内外网交换卡之间或交换卡与主机系统之间的双向数据高效交换。4 .鞋路聚合技术通过主机系统的链路聚合技术可实现聘两个物理链路聚合成为一个逻辑链路，从而解决了多个外网访问单内网时主机与内网数据传输过程中的带宽瓶颈问题.5.3 适用性技术优势1 .帕«的多网隔离联想网御S1S-3O系列平安隔离与信息交换系统在支持两网隔离的同时，为了满意多个相同平安级别的外联网络要与可信网络隔离的需求，进步支持多网接入隔离，即可以同时接入多个外联网络，比如交警网络和多家银行网络同时互联，并且每个主机系统的网络接口之间在系统内部固化实现无法汇访，具有更大的网络适用性。基于VSP通用平安平台，可将外网主机系统的任一网口与隔离交换矩阵中的ASlC芯片的一个或数个固化通道绑定，继而与内网主机系统的一个或数个网口绑定，从而实现一对一或一对多的网络隔离交换：同样地，外网主机系统的多个网口也可通过隔离交换炬阵中的ASIC芯片与内网主机系统的一个网口建立多对一的网络隔离交换；内网主机系统和外网主机系统的各自网门间通过VSP禁止互访。2 .敏捷的安芸部系统通过在内外网主机系统上影射内外网服务器的方式，可以在不变更用户网络环境的状况下，实现设备的接入，极大地便利了设备的安装部署。5.4 牢靠性技术优势基于MRP(Multi-1.iiyersRedundantProtocol)多匝冗余协议实现多IIl化冗余方案，支持端口冗余、链路聚合、双机热备、负载均衡，保障了用户网络和应用的育牢靠性。1 .端口冗余系统支持多乂次的高牢靠性，在单机模式下可以支持端口冗余和链路聚合，既可以提高带宽又可以保证某个线路有问题时，不影响系统的运用。2 .双机热备双机模式卜支持虚拟IP和双机热济功能，两台平安隔离与信息交换系统网闸通过心跳检测进行相互监控，假如其中的台出现故障（宕机、网络故障.那么另一台就顶替出现故障的网闸供应服务。3 .动态负财衡系统支持多机负栽均衡的功能。2-32台平安隔掰与信息交换系统组成一个服务机群，通过负载均衡技术，采纳高效调度算法,将外部客户恳求视服务机群中各平安隔离与信息交换系统上的负载状况合理安排到某台平安隔离与信息交换系统上，籍此大幅提高获得数据的速度，解决海量并发访问问题。无需额外第三方软硬件支持。5.5 易管理技术优势1 .强大、多样的Ira方式有机结合多种管理方式，能够最大限度的满意客户不同的管理需求：/管理员分级：支持系统管理员、审计员、任务管理员等多种管理身份。/WEB方式管理：支持基丁数字证书的HTTPS的Weh方式管理“/吩咐行方式管理:支持串口吩咐行管理,SSH吩咐行管理，全部的管理功能都可以通过吩咐行实现.,集中管理：可以通过联想网御的集中管理工具和1.CadSCC进行集中管理。集中管理包括拓扑生成、全同集中日志审计、全局桀中监控等.2 .高效的集中式管理系统联想网御的IeUkeC平安管理系统，以统一的策略和集成的平台对受控网络进行平安配置和管理。集中管理员通过集中管理中心可以对全局网络中的平安设备完成集中、统的配置、管理和系统监视工作.这种管理模式对于拥有多台联想网御平安设备的大型企业网络的平安管理尤为重要。它一方面提高了网络平安规则的一样性，增进网络的平安性，另一方面也为管理员供应了便利的配置和诊断工具，使管理员可以腾出更多精力的关注更高级的平安管理工作。1.eadNeC平安管理系统主要包括以下功能：/设备自动发觉功能。通过对网络的探询或侦听Uf以生成和维护全局设备列表：通过该列表，管理员可以进行集中的平安配置和管理。/支持对单台和多台平安设备运行状态的实时监控。利用SNMP协议从平安设备端收集运行状态数据，经过肯定的运算和处理以可视化图表和数字的形式呈现给管理员，使管理员刚好精确的了解设备当前的运行状态。/实时平安事务报警。从网络上监听SNMPTraP形式的报警报文，经过快速处理后实时的以解目的方式(如声音、视觉)呈现给管理员。,集中的日志隹询系统和管理员操作审计系统。可以对平安设备的日志进行集中查询和对管理员的操作进行审计。3 .完善的日志和审计完善的日志和审计系统是个具仃完整平安体系的平安产品中不行或缺的部分，联想网御SIS-3(XX)系列平安隔离与信息交换系统供应了强大的日志和审计功能：全部的系统事务都有相关的日志记录。日志分为多个功能分组，如系统日志、管理日志、各功能模块日志、攻击日志等等，日志格式支持WCbTgndS格式。基本的日志审计功能可以在系统上完成，另外困难功能也可以通过独立的日志服务器来完成。日志的审计功晶包括对隔离和信息交换系统事务和网络事务的统计、查询、分析等。4 .友好的管理界面Web系统通过专业的人机界面设计，功能组织合理，符合直观思维.支持全套的吩咐行，WCb界面可以完成的功能通过吩咐行都可以完成，充分满意网络管理处的专业化需求“支持配置信息的导入导出、加物备份，便利备份管理。通过智能化的1.icense限制实现模块管理，运用时只需激活相应1.icense即可实现对应功能，大大削减了系统的部署时间。5.6 核心技术优势联想网御在平安隔离与信息交换系统业内开创了多网隔离技术，并首次胜利采纳ASIC平安芯片，从而构建了高平安性、高性能和高适应性的多网隔离硬件平台，独创的彼件架构、多网隔离技术和超强的抗攻击实力，是联想网御SIS-3(XM)系列平安隔岗与信息交换系统的核心技术。1 .领先的多网Rm通过市场的枳累和技术的支持，联想网御在2006年苜先提出并设计了多网隔离网闸，这样通过台网闸满意用户的多端口接入，用户节约了购买成本，同时数据平安不受任何膨响。产品设计中充分的考虑到了多网隔离中的数据的相互穿越问题，在产品实现过程中通过底层应用技术，保证每个网络的接入是不相比不通讯，同时上匕应用程序也保证1.数据之间相互独立，互不转换.2 .独创的硬件架构联想网御SIS-YXX)系列平安隔离与信息交换系统饿件架构采纳“2+1”模型结构设计，即内网主机系统、外网主机系统加上隔高交换矩阵。具体详见节部分。隔离交换模块是整体硬件架构的技术核心，采纳专有1.eadSeCASIC平安芯片和交换芯片设计，具有如下特点：硬件实现自有协议封装，隔离交换模块上的1.eadSeCASlC平安隔离芯片通过硬件固化处理将数据块转化为自有协议格式的数据包，实现了协议转换时的线性处理。多线程并行处理技术，隔离交换模块上的1.eadSeCASlC平安隔离芯片采纳了多线程并行处理技术，解决了多网接入时数据摆渡带宽瓶颈问题。Q独立限制建鼻：隔离交换模块具有独立限制逻第1.无操作系统，不受任何软系统限制，数据交换不受任何外部信号和指令限制，完全基丁硬件进行平安交换。令双摆渡传，技术I隔离交换模块上的交换芯片通过独特的开关限制系统实现双拐渡传输机制，隔离交换模块自动进行协商，从而实现同一时刻内外网交换卡之间或交换卡与主机系统之间的双向数据高效交换。Q硬件自动协商：隔离交换模块的开关限制系统依据分时轮询机制实现对连接的自动、高效的限制.内外网两交换卡之间协商实现时钟同步，进一步实现开关同步，避开了信号死锁。牢靠传输限制：自有协议支持CRC校险以保证隔离交换模块之间数据的牢靠传输，系统自动进行CRC校验，当出现CRC校验错时，系统支持数据亚传，A正实现服务器级牢靠性。3 .超强的貌攻击实力内外主机采纳联想网御自主学问产品的平安通用平台VSP,平安通用平台具备入侵检测和抗DDoSfDOS实力，可以有效的防范病福和黑客攻击。6基本功能功能点具体描述产品架构系统架构采纳”2,泰统架构，即由两个主机系统和一个隔离交换m阵姐成，主机系统采纳VSP通用平安平台，隔历交换即方星于SadASlC专用芯片实现主机系统间采纳力行砂议提源数据.砒保信任Iq络和非信任网络之间任何连接的断开.阳底阻断TCP/IP出位及其他M络协仪隔离交帙矩阵自主班发的硬件.无操作蒙统.外界无法编印取刎,而不是采纳怔平安性的通用可细卷慢件.如网拔、SCSI.USe等功能模块文件交Ift支持NN、SWFS、SMJW等文件系统;支持文件服务器可以是*ind（WKjinUXAMIX好冢统平台：发送方向可控,可以是单向或者双向I文件交换可以来第客户砧方式和无客户解方式:支持客户端与网网之向双向认证，认证方式可以是数字iE的方式.并支持第：方符合XS09格式的数字证的文件传输支持份认证及和变化检：可以版提«贸允许成境止传输模式支持改看传输,增IR传输、传输后融除等三料方式.改名传输方式,可实现对讯Zfl?k名后遂行传输,其中还可可实现"源名"标识和“元成守标讯!增质传怆方式，可实现只传输借戒和帮加了的谭文竹；传珀后阳除方式，可实现位输姑束EjH除海文件，保团目标丈件不变更,发送文件优先级跟制.任务发送或可供应三种（孤、中、低）发送优先级策珞：欺队状况以文件书H（英文）为格列侬次玳发黄略发送端可以出贪发送次数任务间隔津略.支持任务间间隔设覆更名策略.接收编客户端支持对。名文件的IR制策略.供应"覆4T.工弃”.加命名“等多种更名策略访问Itt制策略.支持用户访问限制，可对发送用户和掖收用户的权限进行限制I支持对发送客户册地址、网即本机地址和堵口的访问过渡双内h支持对网网运行时间的IRt«8略:支挎时何段眼制出略：可以是一次性、周循环等方式支持美键字作我.便利配N和赞理，支持用户与任务绑定策略：任务号对应眼刖.强化文ft平安传输.内容过泄.支抄文件名、二进制文件的限刎：支持通用符*和？：支持文件黑白名制限制：支持对子书目下多级书目的文件交换I支拈报收和发送任务的政iti殳置；文件传输可实现孤军急性设置,以保证文件的完弗性和平安性IH备借任的日志记录功像.便利H志审it-ti据库同步支齐Oracle.SQ1.Server.Sybase、M>2等主i&数据库tk据冷板本为Oraclc8i9i.SqI-WrVer2000、SqI-ScrVer2005、Sjbascll.Db28.1.Db29.5、SybaMH5.0、Sybaw:12.5,SybaMj1.9等：支持同构和异构方式：同构方式同步.近合同构的数据阵的衣名.字段名.字段类率完全相同；k构方式同步,透令致据阵的表结构不同的数据库表之间的同步,支持大部分字段之间的Ml步，支持OraCIe-SQIServer,Sqlserver->Oracle的同步I支弁散!咋的密除、壑很、用字段的同步；支技儿于字段的同步，支持主从关系表同步.支持表结构冲突校测I支持数寨咋同步力向双M.可以地提设置的向或行双向同步支持以主或和多主键表站构主城字段的类型可为字符申、整巾和H期型等英型支持客户痂与网闸问的第二方数字证"方式的身份认证,确保只石祓授权的合法用户才能运行I支持客户端与网沏间的SS1.加密竹箱.阴俣网络我据传描的平安，支持时段限制策略；可设置任务Ib快速实现数据同步：支持启伶服务：支并客户端与网闸之何连接的相关认证关联，即IwMAC型绑、CA认证、WP等认西供应敛樵阵同步日志记戏.满惠日志审计FIP访向实现平安的HT访问，支持对访日用户、访问怯仪吩咐.上传下敦文件美制等访向过境限制1支持中文文件名的过戏跟M支持动态媳立数据通道,井可对访豺端口号自由定义；可供应对本机HI'或拟生务地址和端口的自由定义设Jt支折透亮，般i问模式I支持对FTP主动和被动互关转换传怆模式：即ctir->Paivc.Passive->Active默认条件不支持，专换HJ式，支拜访问时段策略I时间可以设置为一次性或衣周循环方式可对访何M地址、目的地址和瑞”进行访问过渡：支持对中文文件名的过戏跟刎：支挎中文文件名的传输限制,可设“后用/禁止”服务限制可依据任务号.改置多条FTP访问服务供应财网何内、外主机的FIP服务的白停以M致粼除访问现时多种(MySql,SqlSener.Oracle.De2、Sybase)主端数姐性系统的平安i问，支井数据库访问的透亮模式和一般模式：支持TNS的议.克特对访问数据麻的用户权限进行限IWl供应数据阵取务地址和授权用户的过港：支弁对访何源地址、目的炮址和新桥.本机地址和端门的自定义访问过渔故据陈访问丈后-呱访"和透光访豺模式：一敏模式下.供应对数鼎伟真实地址刖眩务茶口的尔制，透亮模式下支持OnwlCSi黑通道IP地址的设？I支持时段双制访Hl时段设置可以是一次性成衣周循环性供应服务舞地址和访何用户拥携尔制；供应M何内外主机的效揩临访问后件权势展利供应数富障访问日也,邮件功用支持基于所P协议的体件发送和POp3协收的包件接收；支并透亮访同方式和一般访问方式；极IW件访问模式下，支持对m件服务器地址和螭口的餐制t际件访问过注尔巾h供应对抵件发送人地址.接收人地址，主题关<8字Jfi名单.正文关犍字属名取、见件中内容美糖字K%第'见件容此人小、谢件虻M名的过½:H'l'.附件容加大小可以般批出置或不设置；供应对i河源地址、目的地址和制IK本机地址和制Il的自定义访问过iiMiiM闻件发送和接收任务可服糙或置,任务号的对电加强了MI件的发送和接收的平安邮件收发支持时段访向限制：时间段可以是一次性或#周砧环的方式供应对榭件的附件过找功能进行启停RiM：供应怖件访问日志.便利日志审计和管理平安同读实现内网用户平安阅读外网资辑1.有效保证内MSt彝的平安，支并透亮访问和-股访外方式；支持多种用户认证方式：认证方式包括本地用户认证.第三方Radius认证、第二方UMP认证:内咨过电供应对InTP页面中多种元发的过池限制，包括ACdVe控件、Cookie信息、script的本、JaVaapplet小程序等M<lIR1.的过滤,可实现黑白名单过访问过迪现制机制.支持对访问文件搅S1.WME,类型的过雄：过能壮ME类型包括应用程序类.初%类.音频类.图像类.文本类I过滋HllW方式为I不禁止、仝部禁止、部分禁止：可用户自行设置过i规则:访问过迪限制机制.供应对本地HTTP虚IaeI务IP胞址和瑞口自定义设B1.支持时允许的HnP方法（48种）的过渡：支椅对HnP赤议.HnPS班议的访问中口的过渔：支持对访问源地址的限制：透光模式下支持对目的地址及端口的跟州：交推上网时段架射策珞,时间策略"J以是一次性或%制循环模式：支持平安阅读服务的启伶I便利平安闽逾允许和禁止设置供应平安何设日志定M访村实现特定TCP.IW为仪的数招隔肉交挨，可合作定制开发针对特定协议的平安检测.实现加SlI白名单取M.关键字过渡等TCP定制访问支持透克访日和股访计：UDP访问只支持透亮访问模式：访向限制.支持对访豺源地址的限制：透亮极式下,支持对目的地址和端口的眼制：一般馍式下，支并对不地虚拟服务IP地址及痂口的限制,同时支持对立实厥务器地址及服务消【限制1支持时段限制策略,时间模式可以X,XH或周循环：供应网M的内外主机的后动和秒止限M网闸通用接口：供应外何APl函数及说明:消息模块中内置r身份认证,访向用户Bl制、潮信加密、数据传输模式、时间限制策略、内容过渔双剂、访问双副、树牢靠性等应用I身份认i£支持客户制与网网认证，认证方犬可以是数字证书、X5O9格式的牧字证".本地用户口令认证：通信加常可以实现客户或。网例之间的SS1.加密,实现密文传输：传轴模式可以足以文件.字符申.N件和？存申粗台等.种传输方式；平安通道支特一JR访问和透光访可以对源地址和就口、目