在此过程中,外网处理单元与数据交换单元始终处于断开状态,见下图所示。
一旦数据完全写入网闸的存储介质,开关立即打开,中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接请求,当外网服务器收到请求后,发出“读”命令,将网闸存储介质内的数据导向内网服务器。内网服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,完成了内网到外网的信息交换。详见图3所示。
3.3 产品功能
华御网闸由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。 3.3.1 安全隔离
物理隔离:系统由内网单元、外网单元及控制单元三个物理部分组成。控制单元是内外网之间唯一且安全的数据通道。
协议隔离:内、外网单元主机均采用安全操作系统,分别独立完成网络协议的终止。内、外网单元之间只能通过采用非网式专有安全通道进行间歇性数据传递,内外网无法直接建立任何的协议会话,从而阻断以共同协议为载体的风险传递。
应用隔离:系统采用模块化的应用解码,内外网单元分别独立完成与客户会话交互、提取安全数据等待数据交换,所以内外网之间不能建立直接的应用会话。
内容隔离:内、外网单元分别将待交换传输的数据进行内容检查与病毒查杀,不符合安全规定的数据内容将被直接删除,合法的数据才允许被安全数据交换单元交换至另一端,从而保证了数据内容的安全性。
风险隔离:系统以白名单机制运行,仅许可正常的、用户许可的网络应用,防范未知的安全风险。并且系统集成防病毒并可扩展多种常规安全防护引擎,如入侵检测等,可检测60000多种病毒和4000多种网络入侵。双重安全机制最大程度上实现了风险隔离。 3.3.2 信息交换
网闸可以提供内网单元与外网单元均为服务器的角色交换信息也可以一端做为服务器另一端作为客户端的角色交换信息,也可以内网单元与外网单元同时作为客户端的角色交换信息,并且这几种交换模式可以并存,为用户提供了丰富多样的交换策略选择,适应了所有的数据交换模式。
服务交换:内、外网单元通过系统内置的文件交换、数据库交换、安全浏览、邮件交换等处理模块,将用户提交的业务数据经过内容检查后置于安全数据交换区,安全数据交换单元根据指定的周期将安全数据交换至内网单元。
自动交换:系统的内、外网单元根据设定的自动交换策略,主动请求内、外网的提供服务的计算机,提取对应的数据,经过内容检查后置于安全数据交换区,安全数据交换单元根据指定的周期将其交换至另一网端,另一网端根据设定将这些安全数据主动的提交至目的服务计算机中。 3.3.3 网络访问控制
网闸具有强大的访问控制力,管理员可通过订制访问策略,精细地控
制 谁 (网络对象)能够 (允许或禁止)访问自己。管理控制台以人性化的人机接口协助管理员轻松实现管理目标。
网络访问控制:网闸的内、外网单元完整实现链路层、网络层、传输层访问控制,通过灵活组合网络对象,制定与实际需求完全吻合的访问策略。
访问用户控制:网闸的内、外网单元可实现定制、绑定哪些用户可以访问,以何种策略访问。 3.3.4 数据内容审查
内容检查是指当网闸准备交换文件之前对文件所进行的安全检查,确保只有符合保密、安全策略的数据、文件才允许被交换至另一端。 行为动作:网闸的内、外网单元可依据管理员设定的各个应用模块的行为动作策略进行控制,拒绝非允许的动作操作:如FTP的允许下载不允许上传,数据库的允许SELECT不允许DELETE等控制并将记录非授权动作到日志告警。
关键字检查:网闸的内、外网单元可依据管理员设定的涉密或不健康的信息进行过滤,将过滤到关键字的信息摈弃并记录日志告警。 文件类型检查:网闸的内、外网单元可将指定的可能产生危险的文件类型过滤、删除并且记录日志告警。 3.4 产品特点
华御网闸产品的设计原理就是在保证内外网物理隔离的情况下实现信息交换。其形象的比喻就是,一个U盘在两台计算机中间来回的拷贝数据,其数据流转过程称之为数据摆渡。华御网闸就是采用双主机+专用物理隔离芯片的硬件结构,结合专业定制的网络安全操作系统和高强度的网络协议分析及控制的软件系统,共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。
华御网闸产品采用高性能的硬件平台和应用会话算法,可保证在很高的网络流量的压力下能正常的处理所有的信息。
首创的基于硬件的安全通道处理机制,使得单向控制极为安全。木马、病毒等有害信息更将无法反向穿过网闸破坏内网盗取内网涉密信息。 采用自行定制的网络安全操作系统SUOSV3.0和自研的安全协议栈,保障了平台的安全性,华御网闸设备本身具有极高的安全性,可抵御来自内外网的任何攻击者发起的地址欺骗、包重放、DDOS等攻击行为。 华御网闸设备支持透明部署与非透明部署两种模式,极大的适应了用户的环境要求,方便了用户的管理配置。并且当设备采用透明部署方式时设备将会全隐形。
华御网闸可支持同一网段和不同网段的数据交换。管理控制口无IP地址,只有通过专用控制软件才可找到网闸设备,并且进行进行管理员身份认证之后才可进行管理行为。 3.5 产品部署及安全策略