工业防火墙-工业网闸-工业隔离网关
工业防火墙-工业网闸-工业隔离网关
宇宙盾工业隔离网闸也称工控防火墙、工业隔离防火墙、工业控制防火墙或工业隔离网关是一种专门针对工业控制网与综合监控网之间进行网络隔离与数据传输而设计的硬件产品。该产品主要应用于包括数据采集与监控系统、能量管理系统、自动化系统、计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统等各种SCADA 和DCS网络与MIS网之间的安全数据交换。
工业防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。然而,人们常常发现被工业防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有工业防火墙的情况下。宇宙盾工业隔离防火墙与一般的工业防火墙的区别在于它不仅仅具有工业防火墙的所有功能,而且它还具有隔离功能,完全克服了普通工业防火墙的安全隐患,最大限度地保护了工业控制信息系统的安全。在宇宙盾工业隔离网闸(工业控制防火墙)的内部有两个采用国产CPU的嵌入式的主板(分别成为内网主板和外网主板)和一个隔离岛,任何时间隔离岛制和其中的一个主板相连,实现了类似于拷盘一样的信息复制功能,但是由于是在高速集成电路的操作下所以是完全自动的和非常高效的。这就有效地保证了工业控制网和管理网在任何时间多不会物理上连在一起,起到工业防火墙无法起到的安全隔离作用。有关工业防火墙的弊病以及与网络安全隔离网闸的区别请参阅第三章,与其它类安全产品的对比。
我公司研制的工业控制系统信息安全产品和网络安全隔离设备采用了一些全新的网络安全设计理念,是国内唯一种具有完全“自主安全可控”的网络安全产品,是全国唯一一家采用国产CPU、自主操作系统、自主通信协议栈的设计的信息安全产品,是真正可信赖的国产网络安全产品。产品所提供的“绝对安全保证”和高可靠性得到的国家电网中心的高度评价,已经广泛应用于对政府、军队、银行、电力、铁路、冶金、化工、石油、采矿、制造、交通、航空和通讯等几乎所有行业的网络安全防护。
宇宙盾工业隔离防火墙(工业隔离网关)可以让控制现场的实时数据通过网
闸在工业控制网和MIS系统之间进行安全地交换,MIS系统中的实时管理程序将能够对机组生产数据进行自动处理、存储和统计分析,为生产指挥和管理人员科学化管理以及冶金自动化的安全运行分析和经济运行指导提供了一个方便而
有效的手段。宇宙盾工业隔离网闸具有极高的网络隔离和自身安全防护能力,可以广泛地应用于对网络安全要求最严格的工业控制网络的安全防护和网络隔离。
宇宙盾工业控制网单向隔离防火墙可以只允许DCS控制网采集的数据流向MIS网,不容许任何其他数据返回到控制网络。对于一些特殊情况下,如果要求有少量的信息返回时,可采用双向的宇宙盾工业隔离防火墙,宇宙盾工业隔离防火墙将对返回的内容作严格的过滤,只允许符合控制网传输协议的数据返回到控制网络。数码星辰采用基于状态的内容过滤技术,专门为工业控制网的一些专有协议量身定制了相应的安全过滤规则,比采用通用的安全隔离产品具有无可比拟的防而以软件的攻击能力。
工业防火墙或工业隔离防火墙要想做好防护的角色,首先必须保证自身的安
全性,一个连自身安全都难保的网络安全设备,不仅无法保护内部网络的安全反而会成为黑客入侵后进一步入侵的跳板。因此数码星辰也非常重视网闸自身安全的设计。数码星辰设计的宇宙盾工业隔离防火墙都具有极高的自身防护特性,可以阻止器来自从任何协议层发起的攻击、入侵和非法访问,在被保护的网络或服务器前筑起一道坚固的屏障。千里之堤溃于蚁穴,任何一处的安全漏洞都可以颠覆一个严密设防的堡垒。
数码星辰为此提出了"整体安全性"的体系架构。与其他安全产品采用通用的"工控机"架构的设计不同(有关工控机设计的弊病请参阅我公司网站的技术专栏文章),宇宙盾工业隔离网闸均采用了自主设计的基于无后门的国产芯片专门的硬件平台,这样在硬件设计上就可以对硬件和软件的安全性作全面的设计和规划,为实现软硬件"整体安全"打下了坚实的基础。独特的 "整体网络安全防护的设计理念"和操作系统防病毒加载技术彻底消除了病毒和木马的生存基础,建立了一个任何病毒和入侵攻击都无法逾越的防线,使得宇宙盾工业网隔离防火墙产
品具有一般防火墙和安全隔离网闸无法比拟的自身防护能力。DShield/宇宙盾工业隔离防火墙具有极强的抗攻击能力可以有效地抵御和防止PING FLOOD、SYNF LOOD、Dos和DDos等多种网络攻击。
宇宙盾工业隔离防火墙拒绝一切外部发起的连接请求和非法连接,也可以有效地阻挡外部的一切嗅探活动。DShield/宇宙盾工业防火墙不仅"堵外"而且也"防内",它所独有的防间谍软件的功能,可以有效地过滤潜入网络内部系统中的间谍软件和木马病毒对外部网的非法访问,阻止由此引起的非法入侵。
工业控制网的可靠性是一个致关重要要的问题,不可靠的设备会造成控制网失效,有时会带来极为严重的后果。基于数码星辰骨干设计队伍设计电信级大型通信设备的丰富经验,数码星辰将宇宙盾工业隔离防火墙的可靠性设计作为一个最严格的准则,采取了一切可能的措施,从硬件设计、软件设计,系统管理等所有的层面进行全面的统筹设计,打造了一个高度可靠的工业隔离防火墙。宇宙盾工业隔离防火墙达到了电信级(99.000%)的高可靠性。
目前市场上绝大部分的工业防火墙和工业安全隔离网闸均采用了基于工控
机的硬件架构,这种架构安全性差,可靠性差,功耗高(均在200瓦以上),噪音大,启动速度极慢(2分钟以上)。(工控机架构的弊病请参阅我公司技术专栏的文章《选用安全隔离网闸注意的问题》)北京数码星辰的宇宙盾系列产品采用了专利保护的硬软件平台,在所有的技术指标上均远远地超越了同类产品。如前所述,宇宙盾工业隔离防火墙具有比工控机架构的网闸强大得多的自身安全防护能力,除此之外宇宙盾工业隔离防火墙的独特的优势还表现在以下几个方面:
1. 低功耗无风扇设计:功耗只有20瓦,无风扇,无噪声
2. 极高的可靠性:控制系统工业隔离防火墙的低功耗,不仅节能,而且极大地提高了硬件电路的热稳定性。无风扇设计也彻底杜绝了因风扇故障造成电路烧毁的严重问题。宇宙盾工业隔离防火墙从设计、零器件的选择到产品的测试和检测均采用严格的质量管理规程。宇宙盾工业防火墙的独有的动态自恢复技术DSR(Dynamic Self-Recovery),将设备的可靠性带到了一个新的高度。北京数码星辰科技有限公司的所有宇宙盾工业隔离防火墙所有现场运行的设备从未有一
台发生过任何故障,无一台返修,更没有一次故障报告,实现了惊人的零故障率!此外,宇宙盾工业防火墙产品还采用了双电源冗余设计,可以有效地防止由于电源或供电源的故障引起的设备断电停止运作的问题。
3. 优异的传输性能:宇宙盾工业隔离防火墙采用先进的线速处理技术,整
个系统具有卓越的数据传输能力和极高的数据吞吐能力,可以支持大量的并发连接和并发会话。与同类产品比较,北京数码星辰的产品在传输性能具很大的优势。
4. 配置后无需重新启动和高速启动能力:相对于2分钟启动时间,宇宙盾
工业隔离防火墙只需3秒即可启动。不同于其他同类产品,配置后需要重新启动网络隔离网闸,宇宙盾工业隔离防火墙系列产品配置可以立即生效,无需重新启动。这对于一个网络设备来说也是非常重要的,因为重新启动意味着所有联网的工业控制系统的通讯必须中断,对于一些连接网络的重要工业控制设备来说,中断网络服务可能是完全不能容忍的。
5. 宇宙盾工业隔离防火墙产品具有极高的可靠性和极为方便的用户接口和"傻瓜"式的配置方式。宇宙盾工业网防火墙的配置极其简便。用户只需在极短的时间做一些极简单的配置就可以完成,既极大地方便了用户的维护和使用,也极大地减少了由于误配或漏配而造成的安全隐患。
北京数码星辰的宇宙盾工业防火墙已经成功地应用于济钢集团、广东南方制碱、中石化总部、唐山热电厂、吉林浑江电厂...等数百个工业对网络要求最为严格的工业控制网中,产品优异的性能、稳定可靠的品质和高度的安全防护能力获得客户一致认可和好评。由于DShield/宇宙盾工业控制网防火墙卓越的表现,许多企业都成了DShield/宇宙盾工业防火墙的回头客,例如济南钢铁集团、广
东南方制碱集团、中石化、三河电厂、吉林浑江电厂等全国上千家工业控制企业。
关键词:工业防火墙工控防火墙工业控制防火墙工业隔离网关工业网络防火墙工业网闸工控防火墙品牌工控防火墙厂家工控防火墙厂商工控防火墙价格工控防火墙报价工控防火墙产品工业防火墙方案解决方案工业防火墙技术工业隔离防火墙工控防火墙工业网络防火墙工业隔离防火墙工业控制系统信息安全工业防火墙工控防火墙工业网络防火墙工控网络安全工业控制系统网络安全工控信息安全工业控制系统网络安全SCADA安全DCS安全PLC安全PCS安全工业控制系统安全工控系统安全工业控制网安全工控网
安全数据采集与监控安全(SCADA安全、分布式控制系统安全DCS安全、过程控制系统安全PCS安全、可编程逻辑控制器安全PLC安全SCADA信息安全DCS信息安全PLC信息安全 PCS信息安全网络隔离-安全隔离网闸- 网闸产品网络隔离器网络安全隔离网络隔离设备DCS系统,SCADA系统,工业自动化控制,实时控制系统,生产控制网,MIS,
网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]
●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)
1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
通过网闸技术实现内外网隔离
网闸技术构建内外网一体化门户 一、序言 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成: ·内网处理单元:包括内网接口单元与内网数据缓冲区。 ·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 ·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ?·数据传输机制的不可编程性 ?·安全审查
网闸穿透原理与安全-wwi
1、引言 随着公司一些局端应用系统的在各地的部署、上线,大家越来越多听说或者接触到网闸的概念,也基本都知道网闸能进行物理隔离的原理,大致就是相当于三台机器,在两个网络之间进行高速切换,以安全、高效的摆渡数据,其原理大致如下: 硬件结构原理图 Copyright Reserved by 天行网安2000-2002 但是,随着一些业务系统对实时性要求的提高,传统网闸的文件搬运已经无法满足大多数应用的需要,所以越来越多的出现所谓的“穿透性的网闸”,简单说就是对于内外网的应用来说,网闸基本可以看做是透明的,从某种角度看,和防火墙差不多,简单描绘如下: 因此局端系统的设计,也经常需要考虑网闸的这种穿透的特性,讨论应用程序针对性设计,那么在讨论过程中,就发现很多人有疑惑:这种穿透性网闸和防火墙在原理上到底有没有区别?能达到一定的安全性吗?否则为什么客户要花钱买这种设备呢? 注:本文重点不在于描述网闸的物理隔离、摆渡、搬运等内部的原理,这方面读者有兴趣的话,自行找资料深入研究即可; 另注:由于各品牌网闸的穿透原理不尽相同,而且各品牌在对外宣传上都不会突出“穿透”字眼,毕竟没有摆渡方式安全,所以我们接触过的相关网闸技术资料中,即使有穿透,也都是描述如何配置、如何操作的层面,没有相关原理的描述,所以本文的描述是基于我们
某位很有钻研精神的同事在陕西部署系统之际,通过与某品牌网闸工程师的沟通,我们自己汇总出来的,也许与实际并不相符,但这种描述,理论上貌似是可行的,谨供参考。 2、网闸穿透原理 2.1支持几种协议穿透 如上文所述,穿透性网闸,支持好多种网络协议,比如http、ftp等,下面以ftp协议的穿透为例,描述一下其具体的原理: 从图中可以明显看出,网闸对FTP协议的穿透,关键就在于两点:一是利用FTP协议的规范性,就可以模拟FTP服务器端,接受并解析请求,然后再一层层转发该请求直到真实的服务器端;二是通过这种转发,其内部实现可以利用自己的固有的安全协议,对数据进行分片、传递和重组; 2.2支持数据库同步 另外穿透性网闸,一般也都支持数据库同步,其实质并不是真的数据库穿透,也就是说网闸一边的系统,是肯定不能直接访问到另一边的数据库,其同步的原理,大致就是通过相关设置,使得数据库中某张表的数据一旦变更(增、删、改),就能够被网闸检测到,并能将其按一定规则组织成数据包交换到网闸的另一侧,同时网闸另一侧能够根据相关设置,主动去更新目标数据库中对应表的数据,具体示意图如下:
天融信-综合安全网关系统 TopGate
综合安全网关系统TopGate 产品概述 网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、WEB 内容过滤、反垃圾邮件,流量整形,用户身份认证、审计及BT、IM控制等应用。TopGate不但能为用户提供全方位的安全威胁防护方案,还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。 TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处,保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”(zero-hour)攻击等混合威胁的侵害;同时还为用户提供简便统一地管理各种安全特性及相关日志、报告,大大降低了设备部署、管理和维护的运营成本。除此之外,TopGate还为企业提供了CleanVPN服务,使得用户通过VPN远程访问企业内网时,确保VPN数据没有病毒等有害内容。在新攻击的防护上,TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。 TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术,可通过简单的配置和管理,以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测,而且能够阻挡来自垃圾邮件、恶意网页的威胁,所有的检测都是在实时状态下进行,具有很高的网络性能。
典型应用 产品特点 多功能与高性能的完美结合 TopGate网络卫士安全网关是高性能与多功能的完美结合,它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。真正实现了一机多用,管理简单,节省大量成本。 TopGate作为一款优秀的UTM产品,具备多种安全功能,既可以作为防火墙设备,也可以作为VPN设备、病毒网关或IPS设备,更重要的是这些功能融为一体,可同时任意组合使用,满足用户各种安全需求,为用户节省大量购置与维护成本。 完整的防火墙功能 防火墙是网关设备重要的基本功能,TopGate作为网关设备不但具有完整的3层协议以下的防火墙功能,而且还具有4~7层的防火墙防护功能。 VPN隧道内容过滤功能 企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。 TopGate同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。 完全内容检测CCI技术 CCI是指Complete Content Inspection,TopGate采用了最新的完全内容检测技术,可实时将网络层数据还原
安全隔离网闸疑难问题大全
安全隔离网闸疑难问题大全(40问) 1、网闸全称是什么?网闸的英文名称是什么? 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么? 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备? 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成? 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸? 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。 6、隔离了,怎么还可以交换数据? 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。 7、安全隔离网闸能够交换什么样的数据? 安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些? 性能指标包括: 系统数据交换速率:120Mbps 硬件切换时间:5ms 9、安全隔离网闸通常具备的安全功能模块有那些? 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
安全隔离网闸技术需求
安全隔离网闸技术需求 1 项目背景 为满足省局门户网站的业务需求,增强系统稳定性,对原有安全隔离网闸进行更换,采用双机热备模式组建门户网站内外交换平台。 2 采购内容 门户网站安全隔离交换网闸及其集成,数量:2台,互为热备。 3 技术指标要求 各类产品技术指标详见下表,所有加星号(*)指标项均为强制性指标,任何一条不满足将视为重大偏离,并导致投标被拒绝。未加星号(*)的指标项均为优选指标项。 所有设备具有的光接口均应配置光接口模块,集成中所必需的各类光纤、线缆等配件均应配置(双绞线应采用六类国际知名品牌成品双绞线,其他附材应符合国家的相关标准,并满足所使用部位的要求)。 所有指标项以公开产品宣传彩页、或国家具有相关职能的第三方中立检测机构的检测证明、或中央政府采购网站公告的内容为依据。
4 系统集成 4.1 系统安装、调试地点 投标人负责完成指定地点的设备安装及相关工作。 4.2 安装调试(集成)具体内容 安装调试的主要目标是使经过本次采购设备后,经过系统集成,使整个网络能够连通并具有互操作性、所有设备能够接通并正常运转、所有软件能够在相应平台上正常运行,并与已有设备互连互通,且与已有设备服务商密切合作,实现所有设备互连互通,满足业务系正常运行的要求。投标人有责任且必须承诺使项目单位的系统达到以上目标。 4.2.1 设备集成内容 根据标书要求,在标书规定的地点和环境下, 实现投标设备与其他设备的连接并正常运行,达到标书要求的性能和产品技术规格中的性能。系统集成中涉及的线缆等辅助材料或附件均由投标人负责,采购人不再支付任何费用。产品应由厂商专业技术人员进行安装调试或进行产品安装配置的检查和指导。 4.2.2 产品验收要求 1) 依标书要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)的验收。
网闸与防火墙的区别
网闸与防火墙的区别 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
网闸与防火墙的概念及功能区别 网闸与防火墙一样是网络安全边界的安全产品,其发挥的作用都不可轻视。但它们究竟有哪些不一样拉是不是有了防火墙安全性就安枕无忧拉或者说网闸的出现是为了取替防火墙的么 两者有哪些区别下边罗列一二: 1、从硬件架构来说,网闸是双主机+隔离硬件,防火墙是单主机系统,系统自身的安全性网闸要高得多; 2、网闸工作在应用层,而大多数防火墙工作在网络层,对内容检查控制的级别低;虽然有代理型防火墙能够做到一些内容级检查,但是对应用类型支持有限,基本上只支持浏览、邮件功能;同时网闸具备很多防火墙不具备的功能,数据库、文件同步、定制开发接口; 3、在数据交换机理上也不同,防火墙是工作在路由模式,直接进行数据包转发,网闸工作在主机模式,所有数据需要落地转换,完全屏蔽内部网络信息; 4、最后,防火墙内部所有的TCP/IP会话都是在网络之间进行保持,存在被劫持和复用的风险;网闸上不存在内外网之间的回话,连接终止于内外网主机。 从上边得知,无论从功能还是实现原理上讲,网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。两者的定位已经有明显的区别,彼此的作用都各适其所。也可以说,两者在发挥作用方面没有重复,只有互补。 以下是网闸与防火墙在概念及安全手段上的处理结果:
网闸与防火墙的安全概念区别 网闸与防火墙的安全功能区别
深网DEEPNET系列产品白皮书
DN-B12系列V5.0.a 上网行为管理和审计产品技术白皮书 上海深腾信息技术有限公司 2009年2月
版权说明 上海深腾信息技术有限公司? 2008版权所有,保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深腾信息技术有限公司(以下简称深腾)所有,受到有关产权及版权法保护。任何个人、机构未经深腾信息的书面授权许可,不得以任何方式擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息,并且随时可由深腾信息更改或撤回。 免责条款 根据适用法律的许可范围,深腾信息按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,深腾信息都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使深腾信息明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。 商标信息
目录 1. 互联网概述 (4) 1.1 互联网访问带来的威胁 (4) 1.2.上网行为管理的必然性 (5) 1.3.深网DEEPNET帮助用户解决互联网访问带来的威胁 (5) 2. 产品优势特性 (6) 2.1 嵌入式的操作系统 (6) 2.2 网络数据处理芯片 (7) 2.3 硬件设计 (7) 2.4 分体式管理 (7) 2.5 继承式策略管理 (8) 2.6 版本智能管理 (8) 2.7 双线接入 (8) 2.8 内容墙技术 (9) 2.9 流控门技术 (9) 2.10 行为聚类技术 (9) 2.11 BY-PASS (10) 2.12 LCD液晶信息面板 (10) 3. 功能介绍 (10) 3.1 上网行为管理功能(DeepNet Manager System) (10) 3.2 上网行为审计功能(DeepNet Comptroller System) (15) 3.3 路由功能 (19) 3.4 防火墙功能 (20) 3.5 整体方案导入/导出 (20) 4. 产品规格 (20) 5. 部署方式 (21) 6. 关于深腾信息 (24)
网闸典型应用方案范文
网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案
目录 1.前言错误!未定义书签。 2. 需求分析...................................... 错误!未定义书签。 3 网络安全方案设计错误!未定义书签。
1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580 万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet 中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
网闸和防火墙最大的区别是什么呢
网闸和防火墙最大的区别是什么呢? 安全网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。安全网闸技术在安全技术领域源于被称之为GAP,又称为Air Gap的安全技术,它本意是指由空气形成的用于隔离的缝隙。在网络安全技术中,主要指通过专用的硬件设备在物理不连通的情况下,实现两个独立网络之间的数据安全交换和资源共享。其原理如图:(略) 它由三个组件构成:A网处理机、B网处理机和GAP开关设备。我们可以很清楚地看到连接两个网络的GAP设备不能同时连接到相互独立的A网和B网中,即GAP在某一时刻只与其中某个网络相连。GAP设备连接A网时,它是与B网断开的,A网处理机把数据放入GAP中;GAP在接收完数据后自动切换到B网,同时,GAP与A网断开;B网处理机从GAP中取出数据,并根据合法数据的规则进行严格的检查,判断这些数据是否合法,若为非法数据,则删除它们。同理,B网也以同样的方式通过GAP 将数据安全地交换到A网中。从A网处理机往GAP放入数据开始,到B网处理机从GAP中取出数据并检查结束,就完成了一次数据交换。GAP就这样在A网处理机与B 网处理机之间来回往复地进行实时数据交换。在通过GAP交换数据的同时,A网和B 网依然是隔离的。 安全网闸是如何来保证在两个网络之间的安全性呢?首先,这两个网络一直是隔离的,在两个网络之间只能通过GAP来交换数据,当两个网络的处理机或GAP三者中的任何一个设备出现问题时,都无法通过GAP进入另一个网络,因为它们之间没有物理连接;第二,GAP只交换数据,不直接传输TCP/IP,这样避免了TCP/IP的漏洞;第三,任何一方接收到数据,都要对数据进行严格的内容检测和病毒扫描,严格控制非法数据的交流。GAP的安全性高低关键在于其对数据内容检测的强弱。若不做任何检测,虽然是隔离的两个网络,也能传输非法数据、病毒、木马,甚至利用应用协议漏洞通过GAP设备从一个网络直接进入另一个网络。那么GAP的作用将大打 折扣。 尽管作为物理安全设备,安全网闸提供的高安全性是显而易见的,但是由于其工作原理上的特性, 不可避免地决定了安全网闸存在一些缺陷: 1、只支持静态数据交换,不支持交互式访问 这是安全网闸最明显得一个缺陷。类似于拷盘在两台主机间交换数据,安全网闸的数据是以存储转发模式工作的,在数据链路层其网段的两边始终是中断的,在其三
网闸与防火墙的区别(原理篇)
我们先说说下一代防火墙的原理 网络拓扑: 说明:这是一个典型的防火墙组网,防火墙一般常用的功能有:ACL、VPN、IPS、防病毒、DDoS防护等等。 基本处理流程: 数据包从Internet进入防火墙,防火墙经过以下动作: (1)首先匹配ACL进行包过滤,检查是否符合ACL设置的允许规则。 (2)进行严格的状态化监测,主要是TCP/UDP/ICMP协议。 (3)利用已有的IPS规则对数据包内容进行匹配,检查数据包是否合法。 (4)其他略。 产品定位: 部署位置:网络边界 作用:可以防止一些已知威胁,不能保证绝对的安全。 我们再来看看网闸的原理 网络拓扑:
说明:这是一个典型的网闸使用拓扑,在办公网和业务网之间使用网闸进行隔离交换。 基本处理流程: 数据包在办公网和业务网之间交换,以办公网传送数据到业务网为例 (1)办公网的数据首先到达网闸的外网处理单元,被剥离了IP头部只保留原始数据。(2)通过防病毒、入侵检测模块对原始数据进行检查。 (3)通过预订设置的白名单、过滤规则(文件字、文件名等)等安全策略进行检查。(4)通过摆渡芯片(类似U盘的过程),把原始数据传输到内网,由内网处理单元重新封包发给客户端。 产品定位: 部署位置:网络边界(涉密与非涉密、高安全与低安全区域) 作用:防止泄密,按预设的规则进行摆渡数据交换。
总结: 通过以上原理说明和对比,不难发现两个产品的定位是不同的,不存在网闸和防火墙区别是什么的问题,因为两种产品本身就是不同东西,他们为解决客户不同的问题而生,不存在替代性关系,一个机构的安全既需要防火墙也需要网闸,只有系统性的设计规划网络,才能保
蓝盾信息攻防实验室技术白皮书
蓝盾信息攻防实验室 技术白皮书 蓝盾信息安全技术股份有限公司
目录 一.背景 (3) 1.1背景 (3) 1.2目的 (3) 二.信息安全攻防实验室概述 (4) 2.1概述 (4) 2.2系统组成 (4) 2.2.1系统软硬件 (4) 2.2.2系统模块构成 (5) 2.3课程设计 (5) 三.教学实验室管理平台系统功能 (7) 3.1用户管理 (7) 3.2设备管理 (8) 3.3系统管理 (8) 3.4课件管理 (9) 3.5考试管理 (9) 3.6控制台 (9) 3.7平台拓扑 (10) 3.8架构图和部署方式 (11) 四.攻防实验室平台特点 (12) 五.性能指标(默认装配设备) (13) 附录:基础课程安排 (14) 1.法律法规基础教育: (14) 2.网络攻击教学和实验: (14) 3.安全防御教学和实验: (14) 4.配套安全硬件: (15)
一.背景 1.1背景 随着信息技术不断发展,各行业用户对信息系统的依赖程度也越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。近年来,用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。 然而,种种安全措施并不能阻止来自各方各面的安全威胁,病毒、木马、黑客攻击、网络钓鱼、DDOS等妨害网络安全的行为手段层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 也正因如此,国内市场对于网络安全人才的需求日趋迫切,网络安全行业的就业需求将以年均14%的速度递增,网络安全人才的薪资水平普遍较高,走俏职场成为必然。 于是,我们开始关注对于网络安全人才的教育培训。但目前对于大部分高校来说,安全教育培训仍是薄弱环节: 1.虽设有信息安全专业,但没有建设完整的有特色的安全实验室; 2.实验设备简陋、单一,大部分实验仍然依托虚拟机来进行,实验效果大打折扣; 3.教师信息安全教学经验不足,无法切合学生实际情况进行针对性的教学; 4.实验室千篇一律,配套多媒体教案不足,可开展的实验内容过于陈旧。 在这种背景之下,在高校内建设信息攻防实验室就成为势在必行。 1.2目的 1)提高学生理论水平 2)锻炼学生实际动手能力
网闸原理
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外
网闸常见问题解答
网闸常见问题解答 问题: 网闸的工作原理是什么? 解答: 网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。 问题: 什么是网闸? 解答: 网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。注:网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。注:单主机网闸多以单向网闸来掩人耳目。 问题: 隔离网闸是什么设备? 解答: 隔离网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。 问题: 隔离网闸是硬件设备还是软件设备? 解答: 隔离网闸是由软件和硬件组成的设备。 问题: 隔离网闸硬件设备是由几部分组成? 解答: 隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 问题: 单向传输用单主机网闸可以吗? 解答: 隔离网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。 问题:
北京力控华康——安全隔离网关
北京力控华康——安全隔离网关: 为了满足“两化融合”的需要,某些工业控制网络原封闭的控制专网急需与其它相关外网或国际互联网实现实时数据交换。但网络外联可能导致工业控制网络发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故,因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。基于pSfetetyLink安全隔离网闸的网络外联安全隔离解决方案,可有效解决工业控制网络外联时面临的安全问题。 系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元,隔离交换系统基于PSL技术及相应的隔离加密电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。基于PSL的实时数据交换技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,保证数据交换延迟时间低于1ms,从而满足了用户对高性能安全隔离网闸的需求 以统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理,为工业控制系统网络间数据交换提供了“绿色通道”。 基于高效的IO调度模型,多重冗余方案,支持自身端口冗余、链路聚合、双机热备、多台安全隔离网闸负载均衡,保障了用户网络和应用的高可靠性。 安全的物理隔离“2+1”系统架构 独立的运算单元和存储单元,各自运行独立的操作系统和应用系统 安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议 私有的定制操作系统, 具备完善的身份认证管理与安全审计功能,保证了系统的机密性、完整性和不可否认性 强大的数据交换能力和多种工业通信协议支持 工业通信协议,OPC/MODBUS/IEC 60870-5-101、103、104/DLT645 断线缓存,续传 实时数据交换,数据吞吐量10,000点/秒 完整的安全策略部署 访问控制 身份认证 安全审计 数据完整性 可靠的冗余方案和故障自诊断技术
安全隔离网闸
安全隔离网闸 什么是安全隔离网闸 安全隔离网闸,又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。安全数据交换单元不同时与内外网处理单元连接,为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。 安全隔离网闸的产生 网闸的产生,最早是出现在美国、以色列等国的军方,用以解决涉密网络与公共网络连接时的安全问题。 随着电子政务在我国的蓬勃发展,政府部门的高安全网络和其他低安全网络之间进行数据交换的需求日益明显,处于国家安全考虑,政府部门一般倾向于使用国内安全厂商的安全产品,种种因素促使了网闸在我国的产生。 我国第一款安全隔离网闸产生于2000年,现在已经广泛应用于政府、金融、交通、能源等行业。 安全隔离网闸的实现原理 安全隔离网闸的组成: 安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分: a. 内网处理单元 b. 外网处理单元 c. 隔离与交换控制单元(隔离硬件) 其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。 下面分别介绍三个基本部分的功能: 内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。 外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。 安全隔离网闸的两类模型: 在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。
神州数码安全 DC-FW 高性能防火墙 技术白皮书
神州数码 DC-FW v3.1高性能防火墙 技术白皮书 北京神州数码有限公司 2007年8月
目录 一、序言 (2) 二、神码安全DC-FW v3.1高性能防火墙概述 (3) 三、神码安全DC-FW v3.1高性能防火墙技术特色 (3) 3.1 专用安全操作系统 (3) 3.2 纯硬件架构 (3) 3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3) 3.4 深度的内容检测、强大的P2P拦截功能 (3) 3.5 严格的访问控制策略 (4) 3.6 危险网站阻隔 (4) 3.7 敏感数据拦截 (5) 3.8 强大的QOS、丰富的日志报表功能 (5) 3.9 访问跟踪、审计 (5) 3.10 防止DOS攻击 (5) 3.11 强大的VPN功能 (6) 3.12 支持VOIP (6) 3.13 桥式防火墙 (7) 3.14 强大的审计功能 (7) 四、DC-FW v3.1 技术参数指标 (7)
一、序言 随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。据统计,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。 此时,传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如MSN、QQ、BT等)给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。 防火墙设备包括防火墙,VPN,IPS等多种功能。已经成为网络安全产品的一个发展方向。 面对着这些日益严重的复合型安全威胁时,企业往往为了完整的保护内部IT资源,需要投资购买大量的设备,包括VPN,防火墙,IDS,网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身,一台设备就能提供完整的安全解决方案,省去了购买众多冗余设备的成本与维护成本。 神码安全高性能防火墙内置神码安全的领先VPN技术,拥有神码安全高性能防火墙VPN的所有强大功能。除此之外,神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能,能有效识别和抵御多种攻击,更大范围的保护了企业连接到Internet的安全。 为保证企业合理使用Internet资源,防止企业信息资产泄漏,神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限,杜绝了对不良网站和危险资源的访问,防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。
邮件安全网关产品白皮书
邮件安全网关产品白皮书 中企动力科技集团股份有限公司协同通讯事业部 2013年4月
目录 1.概述 (3) 2.产品特点 (3) 2.1.部署灵活 (3) 2.1.1.转发部署 (4) 2.1.2.透明部署 (4) 2.1.3.邮件服务器前端 (5) 2.1.4.网络出口部署 (5) 2.2.分布式结构,性能卓越 (6) 3.流处理技术 (7) 4.独特的存储技术 (7) 5.功能介绍 (8) 5.1.反垃圾引擎 (8) 5.2.反病毒引擎 (10) 5.3.防攻击 (11) 5.4.支持子策略的多级过滤 (12) 5.5.投递控制 (13) 5.6.黑名单和白名单 (14) 5.7.垃圾邮件摘要 (14) 5.8.高效的邮件备份审计功能 (15) 5.9.完备的报表统计功能 (16) 5.10.TOP排名统计 (16) 6.产品报价 (17)
1.概述 邮件安全网关产品是一款集成了反垃圾邮件、反病毒邮件、智能灵活的邮件过滤、高效的邮件备份等功能与一体的安全网关产品,为用户供强大的邮件安全保护和过滤功能。 部署邮件安全网关有以下重要意义: ?杜绝邮件服务器的非自身原因宕机,保证邮件服务的连续性 ?可以基本斩断病毒的邮件入侵渠道,保证内网安全 ?可以最大限度的减少垃圾邮件的干扰,提高邮件服务满意率 ?可以避免重要信息通过邮件违规外泄,避免潜在法律风险 ?可以提高邮件应用效率,提高邮件传递速度 ?部署在网络出口,可以过滤进出网络所有的SMTP/POP3邮件 2.产品特点 ?采用优化的LINUX平台,性能优异,稳定安全 ?灵活的部署,支持转发和透明模式,可部署在不同的网络位置 ?采用流处理技术,确保没有邮件队列积压,收发没有延迟 ?高达99%的垃圾抓获率,低于0.001%的误判率,特有的反钓鱼数据库 ?集群统一管理和输出的统计分析功能 ?管理员权限的多级控制 ?可集成的网页过滤功能,体现完整的内容安全管理方案 2.1.部署灵活 邮件安全网关支持通常的转发方式部署以及透明方式部署,可以根据客户的实际情况进行不同的部署。
网闸和防火墙比较
意源IB-NPS3000和防火墙的区别 1、几种产品概念 防火墙是访问控制类产品,会在不破坏网络连通的情况下进行访问控制,要尽可能地保证连通。看看今天的防火墙功能就知道,要支持FTP、QQ、H.323、组播、VLAN、透明桥接等内容,如果网络不通就要遭受被拿下的命运。防火墙并不保证放行数据的安全性,用户必须开放80端口来提供Web服务,基于80端口的DDoS拒绝服务攻击就很难避免了。 VPN是保证数据传输的保密性产品,能保证加密的数据在经过公网时,即便被窃听也不会泄密和破坏完整性,但并不会让用户免受攻击和入侵的威胁。我们可以想像一下,如果电信公司在中国和美国的国际出口处使用VPN,中国的黑客照样攻击美国的网站,美国的黑客也照样攻击中国的网站。VPN只是一种强度较高的加密,强度不当的VPN本身照样被解密或破解,照样可以被攻击。 VPN是侧重于通讯过程中的数据保密功能。 物理隔离技术,不是要替代防火墙,入侵检测和防病毒系统,相反,它是用户“深度防御”的安全策略的另外一块基石,一般用来保护用户的“核心”。物理隔离技术,是绝对要解决互联网的安全问题。 隔离网闸则在网络断开的情况下,以非网络方式进行文件交换,实现信息的共享。隔离网闸的原则是不安全则断开,保证断开,而不是交换数据。网闸的核心技术是如何实现断开,如何以非网络方式安全地交换数据,如何满足用户的应用要求。 隔离网闸的定位清晰,就是网络断开。网络断开就是不通,不支持任何应用,没有功能;不通是正常的,什么都通是不正常的。即在网闸发生故障的时候,隔离装置始终是断开的,只与其中一边相连, 隔离网闸解决目前防火墙存在的根本问题: ●防火墙对操作系统的依赖,因为操作系统也有漏洞 ●TCP/IP的协议漏洞 ●防火墙、内网和DMZ同时直接连接 ●应用协议的漏洞 ●文件带有病毒和恶意代码 物理隔离的指导思想与防火墙有最大的不同:(1)防火墙的思路是在保障互