伟思信安ViGap安全隔离与信息交换系统V6.5 技术白皮书
经过如上的处理,ViGap事实上已经将原来直接连通内外网络的TCP连接,从逻辑上分解为外网到网闸不可信端的TCP连接、不可信端到可信端的专有封装协议连接、可信端到内网的TCP连接的组合。因此,在添加ViGap之后,可以阻断内外网络之间的TCP对话,其结构如图所示:
值得提出的是,ViGap不但在逻辑上终止了TCP对话,还从物理上断开了内外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。
GAP技术的关键技术要点是:
要点 描述 ASIC芯片物理隔可信网和不可信网物理隔断,可信网络上的计算机不能访问不断 可选择数据交换 数据是静态的 独立决策 支持文件和命令 高性能 可信网络 两个网络能够有选择的交换数据,好像它们直接相连一样 在交换数据过程中,数据是静态的(被动的),不能被执行 所有决策在一个安全的环境中处理,与不可信网络隔断 交换数据可以包含文件和命令 上述所有工作实时进行,实现最大吞吐量和最小延时 11
伟思信安ViGap安全隔离与信息交换系统V6.5 技术白皮书
二、ViGap介绍 2.1、ViGap产品简介
伟思信安ViGap安全隔离与信息交换系统V6.5(以下简称ViGap6.5)是珠
海伟思有限公司采用先进GAP技术独立研制生产的新一代网络安全产品。它放置在可信网络和不可信网络之间,连接两个网络并控制网络间的信息交换。ViGap通过专用硬件在可信网络与不可信网络间实现物理隔断,可以防止各种基于网络层和操作系统层的攻击,并通过基于硬件设计的反射GAP系统,实现在线高速实时的数据传输。
伟思ViGap6.5系列安全隔离与信息交换系统具有强大的安全特性,能够满足高度可控环境下的安全数据交换需求,主要特点包括:
? 采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔
离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。
? 采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架
构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。
? 充分考虑关键应用对可靠性、可用性的要求,采用负载均衡技术以及基于
应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。
? 采用无协议的“GAP Reflective”,GAP隔离反射技术实现开放网络通讯协
议的剥离与重组,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。
? 广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL等),包括支持
视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。
12
伟思信安ViGap安全隔离与信息交换系统V6.5 技术白皮书
? 采用专利技术的应用层安全防御系统,ViGap系列产品特别针对广泛应用的
WEB、EMAIL和FTP等服务采用专利技术WebApplication保护技术?,实现了全面应用层安全防护,可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JaveScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。
? 智能化攻击识别与过滤,ViGap6.5-300采用先进的应用层协议分析技术智
能识别并过滤大量基于应用层协议的攻击行为,ViGap6.5-300提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。
ViGap6.5系列产品可以部署在任何需要保障内部网络信息安全免受外部黑客攻击的网络出口连接处。适用于政府机构、金融保险、军队警察、电力电讯及企业网络。
2.2、ViGap产品原理
ViGap系统由两套独立工作的计算机系统和一套反射GAP系统组成,两套计算机系统分别是连接不可信网络的不可信网络端计算机和连接可信网络的可信网络端计算机,两套计算机系统通过反射GAP系统相连,处理两个网络交换数据事务。与其他GAP产品相比,ViGap使用了LVDS总线和高速双开关体系结构,在性能方面有显著的增强。
ViGap是运用GAP技术研制的具有当前国际先进水平的网络安全产品。ViGap采用了先进的新一代的反射GAP技术和协议终止技术,成功地实现了既保证可信网络与不可信网络的物理隔断,又保证两个网络间的数据实时访问,能防止针对网络层和OS层的已知的和未知的攻击。
◣ViGap采用先进的ASIC隔离部件通断技术
为保证可信网络与不可信网络在ViGap设备上的物理隔断,ViGap中包含了精心设计的硬件ASIC隔离部件动作系统,使得连接可信网络端和不可信网络端的两组高速ASIC隔离部件配合系统数据流分时地“接
13
伟思信安ViGap安全隔离与信息交换系统V6.5 技术白皮书
通”、“断开”。
◣ViGap采用先进的反射GAP技术
ViGap的内部反射GAP系统完全基于硬件体系,目的是将不可信网络端计算机存储系统和可信网络端计算机存储系统中的数据进行快速交换。反射GAP系统不依赖于任何通信协议和操作系统服务,它具有独立的硬件逻辑电路,通过独立的总线交换数据,实现了网络间数据的高速交换。
◣ViGap采用先进的协议终止及分析技术
当网络数据流经ViGap时,数据在ViGap设备计算机系统上被处理,经过协议终止、协议检查并剥离数据包装,然后剥离出的裸数据被反射GAP系统传送到另一方,并重新生成协议后送达目的地。彻底杜绝黑客利用协议对可信网络进行攻击。
2.3、产品系列功能特点
伟思公司是国内最早专业从事安全隔离与信息交换系统研发的信息安全企业,已经形成ViGap6.5全系列产品,包括ViGap6.5-300、ViGap6.5-500和ViGap6.5-1000系列产品。产品线能够满足不同用户对价格、性能、安全性、可靠性等多方面的要求,提供适合不同应用环境的产品,如下图所示:
14
伟思信安ViGap安全隔离与信息交换系统V6.5 技术白皮书
2.3.1、伟思ViGap6.5-300功能特点
是为政府部门级中心节点设计的高安全性隔离网闸系统,考虑到部门用户注重数据交换的高安全性需求, ViGap6.5-300设计了一系列部门数据、文件交换的高安全性功能,主要特点包括:
? 采用底层ASIC芯片设计,实现硬件安全过滤,实现底层数据摆渡,避免任
何协议安全隐患透过隔离设备进入内部网络;
? 作为部门数据交换的核心隔离网关设备,其自身的安全性尤为重要,注重
内网管理配置,策略存储均在内网进行,避免外部任何威胁对设备自身的破坏,避免隔离网关被突破;
? 采用协议剥离与重组技术,RFC应用层协议分析技术,实现应用协议底层安
全控制,防止系统层和网络层的安全威胁,提高用户网络的安全级别; ? 采用底层硬件架构安全设计,设备可直观反映底层安全威胁,硬件故障及
硬件安全特征,提供高级直观管理和故障报警;
15