2.2.2 基本功能和安全性
安全隔离网闸通常具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。
? 能防止未知和已知的木马攻击
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种
6
木马无法通过安全隔离网闸进行通讯,从而可以防止未知和已知的木马攻击。
? 具有病毒防护功能
作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。
? 自身的安全性
由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其安全性不言而喻,两个处理单元都采用了经过安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,并且该系统得到国家权威部门的认证。
? 身份认证机制
安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。
? 证书验证机制
安全隔离网闸能防止内部无意信息泄漏:由于安全隔离网闸在数据交换时采用了证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。
2.3 同其他安全产品的比较与综合使用
2.3.1 安全隔离网闸与防火墙
安全隔离和信息交换系统与防火墙系统是两个不同的概念,国家已经把两者划入两个不同的产品类别,两者的不同主要体现在硬件结构不同,实现的技术路线不同,所能达到的安全强度也不同:
? 硬件体系不同:
安全隔离产品采用双主机加隔离硬件的“2+1”结构,使得两个网络之间没有任何的网络物理连接,没有任何的网络协议可以直接穿透,而防火墙属于单机结构,是基于标准的网络协议直接转发的。 ? 技术路线不同:
防火墙内部的协议栈是标准的IP协议栈,在多个接口间通过标准的协议完成路由、转发、状态包过滤等工作,对攻击的检测是基于已知的攻击行为的。安全隔离和信息交换系统则是基于应用协议还原,内部的通信是非标准的安全专用协议进行“摆渡”,天然的具备抵御标准协议自身隐含漏洞的能力,可以抵御基于协议本身的已知和未知的攻击。
? 安全强度不同:
? 安全隔离产品的转发是建立在七层数据还原后的基础上,根据过滤结果,通过隔离卡摆渡后重新建立连接发送完成的,是物理隔离。而防火墙一般是基于数据包的检查,是逻辑隔离。
? 防火墙由于是单机结构,一旦系统由于配置错误等原因被攻破后,整个内网就
7
会暴露在攻击者面前。而安全隔离和信息交换系统是多主机结构,即使最坏的情况出现,外网主机被攻破,由于内外网之间通过隔离卡隔离,通信协议非标准,编程接口具有专用性,攻击者也不可能攻击到内网。
2.3.2 安全隔离网闸和物理隔离卡
安全隔离网闸与物理隔离卡最主要的区别是:安全隔离网闸能够实现网络间的安全适度的信息交换,而物理隔离卡不提供这样的功能。
安全隔离和信息交换系统是网络边界访问控制设备,隔离的是可信网络和内部网络。物理隔离卡是在单机系统上,通过单机系统开关切换,使受保护的主机不能同时访问两个网络的。
2.3.3 综合使用多种安全产品
安全隔离和信息交换系统虽然综合了多种软硬件技术来保证本身和内部网络关键应用服务器的安全,但安全本身是多层次全方位的体系结构,寄希望于一个单一产品实现所有的防护功能,解决所有的安全问题是不现实的。比如传统的桌面防护产品,防病毒产品等所实现的功能,安全隔离和信息交换系统就基本不涉及。每个产品都有其专业化的优势,没有“全能”的产品。
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。
8
3 知名公司和产品介绍
3.1 概述
目前,国内有关网闸的知名公司和著名产品主要有:联想网御,天行网安,安盟华御,中网,伟思和利谱等。
3.2 天行网安
3.2.1 公司简介和产品资质
北京天行网安信息技术有限公司是一家专业从事网络管理与信息安全的研究开发、技术支持、产品销售的专业网络安全公司。
? 国内第一款基于GAP技术的新一代安全隔离与信息交换产品 ? 国内第一款能够实现隔离网络间异构数据库交换的产品 ? 国内第一款通过国家保密局鉴定的安全隔离与信息交换产品 ? 国内第一款拥有专利技术的安全隔离与信息交换产品 ? 国内唯一入选国家火炬计划的安全隔离与信息交换产品 ? 国内唯一能够实现基于消息传递机制的安全隔离与信息交换产品 ? 国内唯一获得公安部科技成果鉴定的安全隔离产品 ? 国内唯一获得公安部科学技术奖的安全隔离产品
3.2.2 产品介绍——Topwalk-GAP V3.0 3.2.2.1 产品技术指标及参数
Topwalk-GAP V3.0 TG-7207产品指标及技术参数
注:*,根据用户选择的软件模块型号不同而有所差异
序号 名称 公安部销售许可证书 国家保密局认证证书 公安部科技成果鉴定证书 描述 1. 资质认证 解放军测评认证中心军用信息安全产品B级认证证书 2. 3. 知识产权 硬件架构 国家知识产权局专利证书 1U机型,采用2+1架构和专用硬件隔离技术,属完全自主开发且不可从外部编程控制; 9
保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其他网络协议; 系统硬件架构采用高可靠性设计; 硬件设备内部采用特殊的认证机制HLC,保证基于硬件的可信任计算体系; 基于自主知识产权的Transfer- Isolation-Transfer专用隔离硬件采用多种安全技术保证隔离有效性以及安全性; 隔离硬件板卡的中间Isolation部分用于电路隔离,具备独立时钟电路的主机板,在主机板上设置相应内容规则控制程序,对4. 隔离硬件 摆渡的内容进行检查过滤; 隔离硬件上采用物理开关进行通道控制,可根据使用用户的具体业务需要进行数据传输通道方向开关控制; 隔离硬件内部程序固化防篡改:设计以安全性为第一原则,一旦出现任何异常,就切断传输,保证不出现在数据内容检查、完整性校验功能失效的情况下继续传输数据的情况; 采用获得软件著作权的安全操作系统TopOS; 操作系统基于Linux操作系统内核剪裁、增强、优化; 使用内核级IDS,确保系统关键进程安全,阻止非授权访问; 5. 操作系统 操作系统内核以及关键进程部分进行硬件固化; 摒弃通用的系统函数调用,私有系统调用不对外开放,仅供内部使用; 系统内部将关键隔离硬件设备进行隐藏,对外不可见; 面向应用数据,采用白名单策略,进行高度可控的数据交换,6. 数据处理方式 不接受任何未知来源的主动请求; 通过可进行扩展定义的内容检查机制为白名单策略提供保障机制 采用身份认证技术对使用隔离网闸的用户进行身份鉴别,以确7. 8. 9. 10. 11. 12. 13. *G模块 身份认证 流量管理 系统资源管理 保只有合法用户和计算机能使用网闸系统传输数据:高强度双重口令认证、CA证书认证等; 提供流量管理功能,对系统数据通信量、连接数进行管理 提供内存管理、系统资源分配管理,优化系统性能,可根据管理员设置进行调整 支持对即时通信软件的控制管理功能,如QQ、MSN、POPO支持HTTP、HTTPS协议数据的代理传输,提供脚本过滤、身份认证功能; 支持基于H.263、H.323协议族的音视频协议数据传输,支持组播 时间管理 支持时间段管理,提供分时间段的管理控制策略; 即时通信软件管理 等; HTTP 视频协议 10