StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
传输、应用层解析、日志审计和报警功能,能够抵御除DoS以外的已知的网络攻击。
1.2.4 数字签名验证技术
通过综合过滤的报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的数字签名验证,才有可能可以通过隔离设备进入内网,这种数字签名采用非对称数字加密技术,可以防止非法用户假冒合法用户向内网发送文件。
1.2.5 数据加密封装技术
通过非对称加密算法对数据进行签名,保证了数据的完整性,数据来源不可抵赖,可以防止非法用户冒充。
通过非对称算法实现的数字信封,可以保证协商对称密钥过程的机密性,完整性,并可以验证远程协商伙伴的真实性。
通过对称的电力专用加密算法可以实现电力数据传输的机密性,保护敏感信息不外泄,并防止非法数据替换。
1.2.6 双字节检查技术
通过数字签名验证的报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的双字节检查,才能最终进入内网,通过双字节检查,可以保证进入内网的数据为纯文本数据,而且这种文本数据中的脚本数据也是不能运行的全角数据,可以防止病毒进入内网。
1.2.7 病毒粉碎技术
发送端软件在发送二进制文件数据时,自动在数据报的特定位置依据专门的算法插入破坏字节以破坏病毒的结构。在StoneWall-2000反向网络安全隔离设备上,通过数字签名验证的二进制数据报文,才能进入内网络。进入内网的报文将被以二进制文件格式存放,接收端的应用程序用专用的API函数读出读取二进制文件,去掉其中的破坏字节,并直接使用该数据进行运算,通过对相应字节的
北京科东电力控制系统有限责任公司 13
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
校验,可以检测出文件是否在内网侧被病毒感染过。病毒粉碎技术保证病毒进入内网时已经在结构上被破坏掉,无法发作。
1.2.8 状态检测技术
状态检测技术:基于隔离设备所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的隔离设备在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后隔离设备根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
1.2.9 高可用技术
StoneWall-2000网络安全隔离设备(反向型)内置硬件Watchdog,保证系统软件的可靠运行。支持双机热备,互为备用的两台设备中任何一台出现故障,另一台设备自动接替其工作,保证提供不间断的网络服务;支持双电源,在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间,通过采用以上技术,提高设备的持续运行能力,提供更高的可用性。
1.2.10 地址绑定技术
隔离设备具有地址绑定技术,可以通过建立起来的合法IP地址和MAC地址的对应关系识破非法用户盗用合法IP的阴谋,并拒绝该连接请求。
1.2.11 双向网络地址转换技术
为了达到可以让不同网段两个网络通过隔离设备通信的目的,在隔离设备上采用网络地址转换功能模块,当NAT代表内部网络与外部网络建立连接时,它使用自定义的IP地址。在受保护的内部网络里,当一个TCP/IP请求被送往隔离设备时,NAT模块将源IP地址替换为自定义的IP地址。当外部网络的应答返
北京科东电力控制系统有限责任公司 14
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
回到隔离设备时,NAT将应答的目标地址字段替换为最初建立TCP/IP请求的的内部网络计算机结点的IP地址。
因为外部网络的计算机结点也有可能主动发送TCP/IP连接请求给内部网络,所以外部网络的计算机必须知道内部网络的计算机的IP地址,因此,对于NAT的设计采用的是静态地址分配机制,就是说NAT为内部网络的计算机结点绑定了一个固定的IP地址(虚拟的IP地址)。
1.2.12 日志审计及实时报警
可以实时监控数据通信状况,对非法的数据包进行信息记录和浏览,方便管理员及早发现问题。支持日志集中存储和管理的SYSLOG机制。
StoneWall-2000网络安全隔离设备(反向型)提供实时的报警输出功能,用户可以通过串口,获得系统的实时报警信息,报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。
1.2.13 高强度的抗攻击能力
通过特殊的硬件结构和加固的操作系统的内核以及隔离设备本身没有IP地址,使得隔离设备本身的抗攻击能力的强度极高,黑客对设备的攻击无从下手。
设备提供完备的日志审计功能及状态监视功能,在出现设备掉电、通信中断、装置异常、非法访问等情况下自动记录,对通过装置进入内网的应用数据及未能通过装置而被丢弃的应用数据均有完整的记录,日志符合SYSLOG规范,包括时间、IP、MAC、PORT等信息,支持日志集中存储和管理,便于事后审计。同时提供通信链路的状态监视功能,可以实时监控数据通信状况,对非法的数据包进行信息记录和浏览,方便管理员及早发现问题。
1.2.14 实时报警
提供实时的报警输出功能,当出现非法访问,设备重启动,通信中断、装置异常或丢失应用数据时,设备将相应的报警信息输出到专用的RS232串口,最简单的应用办法是:用户可以通过串口线将报警信息接入到监控主机,利用超
北京科东电力控制系统有限责任公司 15
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
级终端显示,即可获得设备的实时报警信息,也可以连接综合告警平台,实现报警的综合处理。设备的报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。
1.2.15 高强度的抗攻击能力
StoneWall-2000网络安全隔离设备采用两个嵌入式计算机及安全岛装置组成。操作系统采用专门裁剪的嵌入式LINUX内核,删除了TCP/IP协议栈及其它不需要的所有系统服务,内核中只保留用户管理、进程管理、Socket编程接口模块,程序模块采用最高优先级实时调度运行,操作系统及程序模块固化在接口机内,安全岛上无指令、无操作系统、完全固化,绝对安全。此外,网络安全隔离设备本身没有任何的IP地址,使黑客无法攻击。并且,把规则设置和对数据报的细致检查都放在内网主机中,通过这样的设置保证即使网络隔离设备的外网侧被黑客攻占,也能保证非法的数据报文无法被传输到内网中去,保证网络物理隔离设备本身具有最高的抗攻击特性及系统安全性,保证了系统安全的最大化。
1.2.16 性能优化技术
隔离设备性能的优劣影响到用户的使用也同时影响了系统的安全和稳定性,我们采用了多种性能优化技术,包括裁减内核,保证程序序模块采用最高优先级实时调度运行,优化函数代码,优化编译,大大改善了隔离设备的性能,进一步保证系统安全高效运行。
1.3 用户受益 1.3.1 高安全性
物理隔离设备被誉为所有安全产品中具有最高安全性的产品。其哲学思想是不安全就断开。在保证安全的情况下,才考虑使用网络。彻底避免了来自操作系统、命令、协议的已知和未知攻击,达到了物理断开和信息交换的目的,强于手动拷贝数据的安全效果。
北京科东电力控制系统有限责任公司 16
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
1.3.2 高可用性
StoneWall-2000网络安全隔离设备支持相互备份的双路通信功能,提供高可用性。网络隔离设备本身可选支持采用双电源,确保网络关键设备稳定和可靠的运行。另外,网络隔离设备断开两个网络,对网络结构和IP地址没有特别要求,对用户完全透明,具有很高的网络适应能力。
1.3.3 为我国电力专用网络量身定做
StoneWall-2000网络安全隔离设备是国内首家取得专利的网络隔离设备,并率先取得了国家电力调度中心的检测证明,得到了电力二次系统安全专家组的好评。StoneWall-2000网络安全隔离设备是根据我国电力网络中数据通讯主要存在于特定的网络与网络之间、主机与主机之间的特性,提供的一种具有高安全性和高可用性的廉价的网络安全解决方案,处于国内领先,国际先进的地位。
1.4 型号
StoneWall-2000 网络安全隔离设备(反向型)。 StoneWall-2000G 网络安全隔离设备(千兆反向型)。
北京科东电力控制系统有限责任公司 17