XXX医院内外网隔离安全方案
隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。
? 采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离
架构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。 ? 充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以
及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。
? 采用无协议的“GAP Reflective”,GAP隔离反射技术实现开放网络通讯
协议的剥离与重组,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。
? 广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL等),包括支
持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。
? 采用专利技术的应用层安全防御系统,ViGap500特别针对广泛应用的
WEB、EMAIL和FTP等服务采用专利技术Web Application?,实现了全面应用层安全防护,可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JavaScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。
? 智能化攻击识别与过滤,ViGap500采用先进的应用层协议分析技术智能
识别并过滤大量基于应用层协议的攻击行为,ViGap500提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。
第 11 页 共 15 页
XXX医院内外网隔离安全方案
4.4 网闸功能
4.4.1 系统可靠性
? 双机热备功能模块
网闸产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台网闸产品可以建立双机热备机制,并通过虚拟IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。
? 系统工作状态检测与报警
网闸产品采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。
同时,网闸产品系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。
4.4.2 系统可用性
网闸产品系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外,网闸产品还可以最大支持32台设备的负载平衡系统来实现高可用性。
网闸产品的负载平衡系统通过仲裁网络流量方式实现流量在网闸产品集群中的平均分配,从而将处理性能大幅提升。
4.4.3 安全功能
? 网络隔离功能
网闸产品具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。
? 数据静态化
第 12 页 共 15 页
XXX医院内外网隔离安全方案
采用“裸数据”机制,运用协议剥离和重组技术,在网闸内部实现“裸数据”和数据静态化,有效的防止网络上未知攻击。
? IDS入侵检测功能
网闸产品在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与ViGAP500隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。
? SAT(服务器地址映射)功能
网闸产品具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap500系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。
? 身份认证功能
不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。网闸产品除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。
? 安全代理服务功能
网闸产品允许可信端用户以应用代理方式访问不可信网络,网闸产品作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。
? AI安全过滤功能
应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。网闸产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。网闸产品在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。
第 13 页 共 15 页
XXX医院内外网隔离安全方案
? 防病毒功能
系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。
? 内容及格式检测功能
网闸产品具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。
? VPN通讯安全
网闸产品对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。
? WEB站点保护功能
目前大量应用基于B/S架构开发,WEB服务成为了越来越通用的服务,然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。网闸产品全面分析了来自WEB服务的漏洞,建立了WEB站点保护系统Web Application?,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Web service函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。
? 规则库后置
网闸产品将规则库后置在网闸的内网可信端一侧,通过芯片级的隔离部件和“裸数据”摆渡机制的保护,使得放置于GAP产品的受保护网络端(即后端)的规则库具有严格的在外部网络端不可修改特性,保护规则库的安全。
4.4.4 应用支持
? 安全上网
网闸产品支持用户安全上网应用,可根据身份认证、IP+MAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。
第 14 页 共 15 页
XXX医院内外网隔离安全方案
? 数据库应用模块
网闸产品全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、Sybase等主流的数据库的SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。
? 文件交换和消息应用模块
网闸产品全面支持各种类型的文件同步,包括SAMBA、NFS等协议应用的文件同步,支持基于消息中间件的网络同步应用,提供消息模式数据转发和同步。
? 网络应用
网闸产品支持各类TCP/IP以上的网络应用协议,无需二次开发。包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议。支持网闸访问的单向、双向自定义。同时,针对用户特殊需求ViGap500系列提供API应用开发接口。
? 即插即用
网闸设备的应用,不会改变现有网络拓扑结构,不改变原有网络和业务系统,网闸的应用,对原有网络无需做大的改动。
第 15 页 共 15 页