青岛九域数码科技有限公司
 
管理员登陆 设为首页 English
搜索:
首页
关于九域 新闻中心 产品中心 典型案例 解决方案 招贤纳士
联系我们
热烈祝贺九域科技成立十周年!
典 型 案 例-->典 型 案 例  
网闸物理隔离案例

概述:

用户现状需求分析

某供电公司目前内部局域网主干网为千兆带宽,宽带接入为百兆。现在内外网络之间已经装了硬件防火墙防护,而且也进行了双网物理隔离,目前内网有几台服务器由互联网上的用户访问到(目前是通过端口映射的方式映射的)因此本方案主要基于此需求推荐使用网闸设备对此进行彻底的物理隔离,以达到更为安全的目的。我们推荐的产品是联想网御SIS-3000-FE11网闸产品。

产品部署拓扑如下:

 

 

网络隔离与信息交换系统技术原理

1.1 工作原理

安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。 被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。

安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。

联想网御SIS-3000系列安全隔离与信息交换系统工作原理图:

 

1.2 技术特性

安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网络之间的安全交换。整个系统具备以下技术特性:

l         多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡”。

l         被隔离网络之间任何时刻不产生物理连接。

l         /外网主机系统之间没有网络协议逻辑连接,通过隔离交换矩阵的全部是应用层数据,也就是OSI模型的七层协议全部断开。

l         数据交换方式完全私有,不具备可编程性。

1.3 硬件架构

基于安全隔离与信息交换系统要在硬件上实现接近于物理隔离的原则,就要求系统的三部分硬件必须互相独立,并且通过隔离交换硬件实现切换来确保内外网两个主机系统任何时刻不直接相连。联想网御SIS-3000系列安全隔离与信息交换系统硬件架构采用2+1模型结构设计,即内网主机系统、外网主机系统加上隔离交换矩阵。内外主机系统采用专有工控主板设计,性能稳定、质量可靠,隔离交换矩阵采用专有硬件交换电路设计的双通道隔离交换模块,隔离交换模块拥有完全的自主知识产权。隔离交换模块基于专有的Leadsec ASIC安全隔离芯片和交换芯片,是内外网主机系统唯一的连接部件,因此内外主机系统之间不存在任何网络设备连接。其中,Leadsec ASIC安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包,交换芯片的交换子系统和开关控制子系统实现对数据的临时缓存和安全交换。硬件架构如下图所示:

 

联想网御SIS-3000系列安全隔离与信息交换系统硬件架构原理图

通过交换芯片的开关控制子系统,隔离交换模块首先断开彼此之间的物理连接,分别通过ASIC芯片连接内外网主机系统,内外网主机系统通过ASIC芯片将数据块封装为自有协议格式写入交换芯片的交换子系统和/或通过ASIC芯片读出交换子系统缓存将自有协议格式数据拆封为数据块,完成一次摆渡;然后隔离交换模块通过开关控制子系统断开与内外网主机系统的连接,彼此之间建立连接,自动进行协商,实现数据交换,完成二次摆渡。通过这种双摆渡技术,内外网络永远不会直接连接,由于采用专门设计的硬件隔离交换模块进行数据交换,没有任何管理接口,因此,内外网主机系统之间无法进行基于网络协议的数据交换,从而从硬件层面保证了内外网主机系统之间的安全隔离。

隔离交换模块具有独立的硬件交换控制逻辑,无OS及任何控制,自主完成数据的交换,主机系统只负责把数据块传递到隔离交换模块,由隔离交换模块根据硬件控制逻辑自动完成自有协议的封装和数据交换,自动同步两侧控制逻辑,进行互斥的读写操作,同时还具有自动数据完成性校验,当发现数据错误时,自动重传,保证数据的完全正确,从而实现内外网主机系统真正的物理隔离交换。

1.4 软件架构

联想网御SIS-3000系列安全隔离与信息交换系统通过基本模块实现关键的数据交换功能,它是内外网主机系统进行信息交换的唯一接口,其他任何功能模块都建立在基本模块之上,通过核心层驱动程序的设计和隔离交换模块高速全双工流水线设计,使得内部数据交换达到最大的性能。

其他各功能模块建立在对通信过程七层还原的基础上,以模块化设计。对常见的网络协议以独立的功能模块完成,用户可根据不同的应用需求选用,系统还提供应用层检测二次开发功能来适应特殊的用户需求。此外,系统提供基于数字认证的多种远程管理功能,功能强大的集中管理、日志审计等多种管理手段,有效的帮助用户使用和管理安全隔离与信息交换系统。每个主机系统的软件系统架构如下图所示。

 

联想网御SIS-3000系列安全隔离与信息交换系统主机系统软件架构图

2  产品优势

2.1 高安全性

基于测试统计,普通防火墙设备对于基于网络层的攻击绝大部分可以拦截,对基于应用层的攻击基本无法拦截;联想网御SIS-3000系列安全隔离与信息交换系统对于各种基于网络层和应用层的模拟攻击实现了100%的拦截。

2.2 安全的硬件隔离体系

联想网御SIS-3000系列安全隔离与信息交换系统通过专有隔离交换模块实现基于硬件的安全隔离,Leadsec ASIC芯片将数据块转化为自有协议格式的数据包,交换芯片的开关控制系统使得两个网络之间没有任何的物理连接,没有任何的网络协议可以直接穿透,从而建立了一个安全可靠的安全隔离硬件体系。

2.3 安全的操作系统

凭借联想网御在安全设备上的长期积累建立的专有抗DDoS内核的VSPVersatile Secure Platform)通用安全平台,针对安全隔离与信息交换系统量身定制,具有极高的安全性。对于Syn floodCC攻击、HTTP Get FloodDns Query Flood等各种DDoS攻击均可彻底阻挡。同时,操作系统固化于内外网主机系统的硬件中,不能被随意修改,而日志采用专门的日志服务器管理,把操作系统和日志存储系统分开,使得系统结构更加安全。

2.4 应用协议内容安全

联想网御SIS-3000系列安全隔离与信息交换系统根据不同的应用需求,量身定制多个功能模块,满足用户的不同应用需求,主要包括:

l         文件交换模块:实现不同安全等级网络间文件的安全交换,支持NFSSmbfs等常用文件系统,支持更新传输、改名传输、传输后删除等多种方式,文件传输过程中,支持强制性的文件类型、文件内容(黑、白名单)等检查。

l         数据库传输模块:在内外网隔离环境下实现对OracleSybaseSQL serverDB2等多种数据库系统的安全访问和同步,支持TNS协议、支持授权用户安全。

l         邮件传输模块:在内外网隔离环境下实现内网用户安全访问外网邮件服务器,支持电子邮件地址控制,支持邮件主题过滤、内容过滤、附件过滤。

l         安全浏览模块:在内外网隔离环境下保证内网用户安全浏览外网资源,支持本级认证、RadiusLDAP认证,支持URL过滤、ActiveXCookieJavaApplet等恶意代码过滤。

l         FTP访问模块:在内外网隔离环境下实现安全的FTP访问,支持动态建立数据通道,支持用户控制、命令控制、文件类型控制等细粒度访问控制。

l         TCP/UDP访问模块:在内外网隔离环境下特定TCPUDP协议的数据交换。

l         其他模块:用户定制的专用应用模块。

不同的功能模块根据各自的需求特点,在应用层实现了功能强大的过滤机制,通过对应用层内容的过滤和检测,进一步保障数据的安全。这些包括:关键字检测、黑白名单过滤、文件类型检验、用户名/口令校验、数据数字签名、身份认证、控件过滤、脚本过滤、URL过滤、邮件属性过滤等等。系统还可以根据用户的安全需要进行二次开发,对用户数据进行深度安全检测。

2.5 网络层安全

主机系统支持包过滤检测技术,支持通过源地址、目的地址、流经的物理端口、协议类型等多种元素设定过滤规则。通过对安全策略的设定,使得安全隔离与信息交换系

统直接在网络层就能拒绝部分非法连接的访问。

2.6 强的抗攻击能力

联想网御不断深入分析应用协议,根据协议规范和跟踪用户使用习惯形成“访问内容白名单”嵌入到主机系统中,并且融合独创的智能算法形成“智能白名单技术”对数据报文的协议格式和数据内容进行快速严格检查,通过专有算法智能比对正确协议格式和数据内容的“白名单”,从而实现对各种畸形攻击数据报文的拦截。主机系统内置独立的联想网御自主研发的USEUniform Secure Engine)统一安全引擎,与系统紧密集成,包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采用实时入侵检测机制和自动响应技术,可选择配置不同的攻击特征码并且支持攻击特征码分类,可以根据大类进行特征码选择。攻击的特征库包括IP地址欺骗、ARP欺骗、Ping Of DeathSmurf、扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击,可以检测到网络中的绝大多数入侵行为,可以实时设置阻断规则,将入侵及时阻断。并且提供攻击特征码的升级和特征码的自定义。

2.7 IP地址盗用

为了防止IP地址被非法盗用,安全隔离与信息交换系统采用IP MAC 地址绑定技术校验主机的合法性。系统能够对指定接口所连接的网络中主机的IP MAC 地址进行绑定,防止IP 盗用,对非法IP 地址的访问系统会进行详细记录,以便管理员查看,而且系统能够通过自动探测来发现IPMAC的对应关系,使整个配置过程简单快捷。

2.8 高性能

联想网御SIS-3000系列安全隔离与信息交换系统的系统吞吐量为线性处理速度的80%以上。如此高的处理能力依赖于以下技术的成功应用。

l         ASIC并行处理技术

隔离交换模块上的Leadsec ASIC安全隔离芯片采用了多线程并行处理技术,提供了多个安全通道,解决了多网接入时数据摆渡带宽瓶颈问题。

l         ASIC协议处理技术 隔离交换模块上的Leadsec ASIC安全隔离芯片通过硬件固化处理将数据块转化为自有协议格式的数据包,实现了协议转换时的线性处理。

l         双摆渡传输技术

隔离交换模块上的交换芯片通过独特的开关控制系统实现双摆渡传输机制,从而实现同一时刻内外网交换卡之间或交换卡与主机系统之间的双向数据高效交换。

l         链路聚合技术

通过主机系统的链路聚合技术可实现将两个物理链路聚合成为一个逻辑链路,从而解决了多个外网访问单一内网时主机与内网数据传输过程中的带宽瓶颈问题。

联系我们:———————————————————————————————————

青岛九域数码科技有限公司

Tel: 86-532-80621227
Fax:86-532-80621227-8008

E-mail:Qdjoys@126.com
Web:www.qdjoys.com

Copyright © 2009 青岛九域数码科技有限公司
鲁ICP备09035111号