网神SecSIS 3600安全隔离与信息交换系统产品白皮书
产品白皮书
网神SIS 3600安全隔离与信息
交换系统
本文档解释权归网神信息技术(北京)股份有限公司安全网关中心产品部所有
网神信息技术(北京)股份有限公司 1
http://www.legendsec.com
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
? 版权声明
Copyright ? 2006-2013 网神信息技术(北京)股份有限公司(“网神”) 版权所有,侵权必究。 未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
? 文档信息
文档名称 扩散范围 作者 初审人 ?
网神SecSIS 3600安全隔离与信息交换系统产品白皮书 销售/售前/客服/渠道商/用户 黄熙 文档版本号 日期 复审人 V7.0.13.1 2013/09 版本变更记录
版本 V6.0.12.1 V6.0.12.2 V7.0.13.1 说明 增加G1500-E026M、G9000-E046M、G9000-E246M三个新型号 新增SSL通道、socks代理等功能 新增IPV6功能 作者 王起立 时间 2012.11 2013.03 2013.09
黄熙 黄熙 2
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
目录
1产品概述 .................................................................................................................. 4 2产品特点 .................................................................................................................. 4 3主要功能 .................................................................................................................. 7 4 产品型号与指标 ................................................................................................... 14 5 产品资质 ............................................................................................................... 16 5.1 产品资质 ................................................... 16 5.2 产品荣誉 ................................................... 16
3
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
1产品概述
网神SecSIS 3600 安全隔离与信息交换系统能够有效实现内外网络的安全隔离,数据只能以专有数据块方式静态地在内外网络间进行“摆渡”,从而切断了内外网络之间的所有直接连接,保证内外网数据能够安全、可靠地交换。该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。
2产品特点
? 安全高效的体系架构:网神SecSIS 3600安全隔离与信息交换系统采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
? 专用的隔离交换模块:网闸产品核心部件为隔离交换模块,网神SecSIS 3600安全隔离与信息交换系统隔离交换模块基于专用安全芯片设计,全硬件交换;网神隔离交换模块是业界首家研发并使用高效PCI-E接口的交
4
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
换模块,此交换模块采用PCI-E x4通道设计,单向最高带宽大约是10Gbps,消除性能瓶颈;网神隔离交换模块采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。
? 操作系统安全可靠:内外网主机模块采用专用的网神自主研发的多核并行安全加固操作系统SecOS2,此系统具备强大的抗攻击能力,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。 ? IPV4/IPV6双协议支持技术:网神网闸全面支持IPV4和IPV6双栈接入各类网络环境,支持通过IPV4和IPV6协议管理网闸,无需改变现有网络设备和结构,即可实现IPV4和IPV6网络间的相互通信。
? 业界唯一安全高效的数据库同步技术:网神数据库同步模块,采用业界唯一内嵌数据库同步模块设计,数据库同步由网闸主动发起并完成,不需要第三方软件支持。优势一:数据库同步请求完全由网闸主动发起,网闸无需开发任何端口,更具安全性;优势二:无需在内外端机数据库服务器上安装任何软件,对数据库服务器性能无任何影响,对数据库服务器本身运行的应用程序不存在任何兼容性问题。
? 业界唯一融合加密、认证、授权多安全技术于一身的网闸产品:网神网闸通过专用SSL通道客户端拨入,拨入链路通过SSL协议进行加密,认证通过后,结合拨入终端应有的权限,对拨入用户进行授权,即为此终端用户应具有的访问权限,通过授权防止方法用户的非法访问。认证保证终端用户访问身份的合法性、加密保证数据传输的私密性、授权保证终端用户访问业务系统的合法性、加之网闸固有的协议转换、双通道结构等众多安
5
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
全特性,最大程度保证高安全域网络的安全性。
? 强大的网络适应能力:网神网闸针对不同的软件模块具有多种部署方式,支持代理方式、透明方式等多种部署方式,可以根据用户网络的特殊性采用不同的实现方式进行灵活部署。
? 深度应用层解析过滤能力:网神网闸针对HTTP协议、FTP协议、POP3协议、SMTP协议、TNS协议等多种应用层协议进行深度解析及过滤,满足用户安全性需求。
? 深度应用层攻击防御能力:网神网闸具有防病毒功能模块,针对文件交换模块、FTP访问模块、安全浏览模块、邮件访问模块具有防病毒功能,支持本地升级及远程升级。网神网闸具有入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。
? 强大的网络适应能力:网神网闸具有多种功能模块,用户可以根据网络需求选用相应的功能模块;网神网闸每种功能模块具有多种实现方式,用户可以根据网络需求选用相应的实现方式。如:文件交换模块支持FTP、SMB、NFS等多种文件传输协议,支持无客户端方式及有客户端方式等;网神网闸双机热备、负载均行功能通讯接口可以设置为HA接口、网络接口等,支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,可以适应各种复杂的双机及负载网络环境需求;
? 丰富的应用模块:网神SecSIS 3600安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求。
6
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
3主要功能
项目 技术要求 系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块 自主研发的基于安全芯片的专用隔离部件,无操作系统,外部无法编程控制,全硬件交换 内外端机为网络协议终点,彻底阻断各种网络协议, 保证信任网络和非信任网络之间链硬 件 架 构 路层的断开,彻底阻断TCP/IP协议以及其他网络协议 内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接,消除性能瓶颈 内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理 内、外网分别具有独立的HA口,实现双机热备及负载均衡 面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006P/G9000-E046M/G10000-E246M) 采用基于linux内核的多核并行安全操作系统SecOS2 提供基于https的图形化安全管理,支持IPV4和IPV6双栈管理,支持用户名/口令、数字证书等多种认证管理方式 支持跨网段管理,实现管理终端IP地址和端口的访问控制 主模块 7
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
全面支持IPV4和IPV6双栈接入各类网络环境,支持通过IPV4和IPV6协议管理网闸,无需改变现有网络设备和结构,即可实现IPV4和IPV6网络间的相互通信。 管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限 支持管理员登录失败锁定次数、锁定时间和超时时间的设定 支持对网络接口模式进行设定、MTU修改,进行灵活部署 支持基于IPV4和IPV6协议的默认路由、静态路由及基于源地址的策略路由功能 具有状态日志审计功能,能够对CPU、内存、设备信息、许可证信息、运行时间、交换卡状态、网络接口状态、功能模块运行状态等进行阀值设定并基于阀值进行日志审计。 具有独立审计用户,支持标准Syslog日志审计方式,支持Syslog端口自定义,支持内外端机主机名更改,强化日志审计及集中管理功能,能够对功能访问模块拒绝访问进行日志记录。 支持标准的SNMP协议安全管理 支持通过SecFOX安全管理系统实现的集中安全管理 支持配置管理,能够对单独模块及全部模块配置进行配置导入导出 具有系统补丁管理功能 支持设备诊断信息导出 支持许可证下载,方便维护管理 支持状态日志配置,通过设置硬件信息使用率进行日志记录及暂停使用 支持IP/MAC地址绑定和自动探测 通过WEB管理界面进行设备的远程关闭及重启功能 8
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
支持NTP网络时间同步;支持内外端机系统时间同步 提供调制工具,其中包括:trace、connect、tcpdump、ping、arp等 支持软硬件多核技术;通过界面能够查看到多核CPU使用率(针对G1500-E026M/G1500-E026P/G5000-E006M/G5000-E006P/G9000-E006M/G9000-E006/G9000-E046M/G10000-E246M型号) 提供设备运行状态检测、系统资源监控。 支持文件传输方向控制:单向传输和双向同步 支持NFS、SMB、FTP等文件传输协议实现文件同步。支持不同文件传输协议之间的文件同步,如:NFS与SMB之间的文件同步 文件交换模块支持病毒检测功能,支持通过文件大小控制病毒查杀; 支持多种同步模式: 完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式。 文件交换支持传送优先级,可根据文件大小、后缀名等多种方式进行优先级排序传输 支持断点续传 支持无客户端传输方式,不需要安装任何客户端软件。 支持专用文件交换客户端,通过与网闸之间数据加密后实现文件交换。 支持被动传输方式,设备提供共享空间被动接受用户提交的文件。 支持子目录同步控制和二进制文件同步控制。 支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制。 可以设定同步任务的循环周期和开始时间。 支持暂缓传输文件控制。 文件交换模块 9
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。 既支持文件名及后缀名过滤,同时支持文件类型识别过滤,即不基于后缀名的过滤。 支持任务运行标记。 邮件模块支持病毒检测功能;支持通过文件大小控制病毒查杀;支持超长邮件限定是否接受; 支持SMTP、POP3通用协议,支持SMTP认证 支持垃圾邮件过滤,支持对邮件内容和附件的过滤 支持SMTP、POP3用户名过滤 支持对邮件的数字签名 支持邮件地址、主题、内容及附件关键字过滤 支持对附件及其附件的大小和类型进行过滤控制 能够对邮件访问的源/目的地址、端口进行访问控制 支持任务运行标记 支持任务运行时间控制 邮件模块 数据库同步模支持Oracle、SQL Server等多种主流数据库同步 不需要更改数据库结构和添加数据表,不影响数据库服务器性能 同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安全任何第三方软件),支持windows、linux、unix等多种数据库操作系统类型。 网闸不需要开放任何服务端口,避免造成漏洞 支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化
10
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
支持一对一、一对多、多对一数据库同步 支持周期复制、实时复制、增量更新等多种同步方式。 支持设定同步时间和同步周期 支持大字段和二进制字段的数据同步 支持字段级同步 支持双向同步 支持具有复杂关联关系的数据库表的同步 块 数据库访问 支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问 支持访问用户名过滤 支持源地址、源端口、目的地址、目的端口黑白名单控制; 支持任务运行标记 支持任务运行时间控制 支持透明模式、代理模式及混合模式 FTP访问模块支持病毒检测功能,支持通过文件大小控制病毒查杀; F T P 模块 支持FTP主动、被动工作模块转换 支持禁止文件断点续传功能。 采用端到端的安全通道式访问 支持对访问用户的限制 不仅支持传输文件扩展名过滤,而且可以根据文件内容识别进行文件类型过滤。 支持PORT命令端口范围控制 支持传输文件中文件名控制 11
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
支持FTP访问命令过滤 支持访问时间控制 支持对访问的FTP服务器地址的重定向 支持源地址和目的地址控制 支持最大连接数控制 支持单个IP最大连接数限制 支持任务运行标记 支持代理模式、透明模式 安全浏览模块支持病毒检测功能,支持通过内容长度控制病毒查杀;支持图片文件、媒体文件等文件类型病毒检查;可设定病毒扫描内容最大长度。 支持对代理上网端口的进行控制 安全浏览模块 支持URL后缀黑白名单控制 支持MIME类型细粒度控制,如网页中的应用程序、视频、音频、图像、文本等进行细粒度控制 支持对HTML细粒度控制,如网页中的Script脚本、ActiveX脚本、java applet、cookie等 支持HTTP方法控制,如POST、GET、HEAD、CONNECT等。 支持断点续传控制 支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式 支持用户上网的IP控制 支持用户上网时段限制
12
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
支持用户连接数限制 支持TCP定制服务;支持源地址绑定、网络接口地址绑定功能; 支持基于IPV4和IPV6协议的源地址、源端口、目的地址、目的端口过滤功能; 可实现基于IPV6的访问功能;支持代理、地址透明、端口透明方式; 定制服务 可实现网闸内外网使用不同协议栈互访:比如内网使用IPV4,外网使用IPV6; 支持UDP定制服务;支持网络接口地址绑定功能; 支持基于IPV4和IPV6协议的源地址、源端口、目的地址、目的端口过滤功能; 支持组播的定制服务 支持广泛的基于TCP/UDP视频应用 支持任务运行标记 支持任务运行时间控制 S S L 通道 Socks代理 高支持SSL隧道访问模式; 针对FTP访问模块、数据库访问模块、邮件访问、定制模块等模块,通过网闸实现访问客户端认证、授权及访问链路加密,保证客户端访问合法性及访问链路的安全性。认证方式支持用户名口令认证及证书认证。 支持Socks4、Socks5版本代理功能 支持本地用户认证、radius等认证方式 能够实现基于源地址、目的地址、源端口、目的端口的访问控制 支持双机热备及超过双机的多机热备功能 13
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
热备检测通讯接口可以设置为HA接口、网络接口等(非第三方软件实现),支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,发现异常便实现主备切换,支持HA状态实时查看,双机故障邮件报警,支持双机负载检测间隔设置,支持设备优先级设置和自动抢占功能 支持多机(最多32台)负载均衡,支持负载分担、负载信息查看、自动切换、自动恢复等。 支持端口和链路的冗余:无需其他设备支持和配合,实现了在一条链路故障时,业务能够切换到另一条链路上。 支持入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒可用性支持 防护设置 绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。 具有防病毒模块,支持在线升级、离线升级等病毒库升级方式。可针对文件交换、安全浏览、FTP访问、邮件访问等多种模块进行病毒防护。 抗Dos攻击功能设置 允许/禁止ICMP应答功能设置 告警中心
提供告警,支持声音告警、邮件告警等告警方式 4 产品型号与指标
14
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
产品型号 G1500-E026P 产品性能 系统吞吐量 内部交换带宽 延时 MTBF(小时) 420Mbps 5Gbps <2ms 50,000 接口说明 网闸内/外端机各包含6个10/100/1000Base-T(RJ45)以太网接口,2个SFP接口,分别是: 网络口 -6个网络口:用于连接内部/外部网络 -管理口:用于管理配置 -HA口:用于支持HA监测 CONSOLE口 USB口 硬件特性 机箱 液晶面板 电源
2 4 标准2U机箱 有 单电源 15
网神SecSIS 3600安全隔离与信息交换系统产品白皮书
5 产品资质
5.1 产品资质
? 公安部计算机信息系统安全专用产品销售许可证(三级) ? 国家保密局涉密信息系统产品检测证书
? 国家信息安全测评信息技术产品安全测评证书(EAL3千兆) ? 军用信息安全产品认证证书(军B级) ? 中国国家信息安全产品认证证书(二级) ? 涉密系统集成甲级资质证书 ? 微软MAPP资质
? 参与《军用网络安全隔离交换产品通用要求》标准编制,具有证明文件 ? 国家版权局计算机软件著作权登记证书 ? 国家应用安全联盟会员
5.2 产品荣誉
? 北京市自主创新产品证书 ? 军用隔离产品标准编制成员 ? 计算机世界2010年网闸优秀产品奖
16