產品概述

網御SIS-3000系列是網御依靠多年信息安全產品研發的積累，嚴格遵照國家有關主管部門的設計規范要求，具有完全自主知識產權的安全隔離與信息交換系統。該產品是利用網絡隔離技術的訪問控制產品，處于網絡邊界，連接兩個或多個安全等級不同的網絡，主要應用于政府部門網絡建設中，對重點數據提供高安全隔離的保護。

安全隔離技術的工作原理是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立的主機系統，模擬人工在兩個隔離網絡之間的信息交換。其本質在于：兩個獨立主機系統之間，不存在通信的物理連接和邏輯連接，不存在依據TCP/IP協議的信息包轉發，只有格式化數據塊的無協議“擺渡”。被隔離網絡之間的數據傳遞方式采用完全的私有方式，不具備任何通用性。

安全隔離與信息交換系統兩側網絡之間所有的TCP/IP連接在其主機系統上都要進行完全的應用協議還原，還原后的應用層信息根據用戶的策略進行強制檢查后，以格式化數據塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統上通過自身建立的安全會話進行最終的數據通信，即實現“協議落地、內容檢測”。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，從而實現最高級別的安全。

技術優勢

安全的隔離硬件

網御SIS-3000系列安全隔離與信息交換系統通過專有隔離交換模塊實現基于硬件的安全隔離，Leadsec芯片將數據塊轉化為自有協議格式的數據包，交換芯片的開關控制系統使得兩個網絡之間沒有任何的物理連接，沒有任何的網絡協議可以直接穿透，從而建立了一個安全可靠的安全隔離硬件體系及安全隔離區域。

安全的操作系統

憑借網御在安全設備上的長期積累建立的專有抗DDoS內核的VSP（Versatile Secure Platform）通用安全平臺，針對安全隔離與信息交換系統量身定制，具有極高的安全性。對于Syn flood、CC攻擊、HTTP Get Flood、Dns Query Flood等各種DDoS攻擊均可徹底阻擋。同時，操作系統固化于內外網主機系統的硬件中，不能被隨意修改，而日志采用專門的日志服務器管理，把操作系統和日志存儲系統分開，使得系統結構更加安全。

應用協議內容安全

網御SIS-3000系列安全隔離與信息交換系統根據不同的應用需求，量身定制多個功能模塊，滿足用戶的不同應用需求，主要包括：

?  文件交換模塊：實現不同安全等級網絡間文件的安全交換，支持NFS，Smbfs、FTP、SAMBA等常用文件系統，支持更新傳輸、改名傳輸、傳輸后刪除等多種方式，文件傳輸過程中，支持強制性的文件類型、文件內容（黑、白名單）等檢查。

?  數據庫傳輸模塊（訪問）：在內外網隔離環境下實現對Oracle、Sybase、SQL server、DB2、Mysql、達夢、人大金倉、Gbase、神通數據庫、博陽、MongDB等多種數據庫系統的安全訪問和同步。

?  郵件傳輸模塊：在內外網隔離環境下實現內網用戶安全訪問外網郵件服務器，支持電子郵件地址控制，支持郵件主題過濾、內容過濾、附件過濾。

?  安全瀏覽模塊：在內外網隔離環境下保證內網用戶安全瀏覽外網資源，支持本級認證，支持URL過濾、ActiveX、Cookie、JavaApplet等惡意代碼過濾。

?  FTP訪問模塊：在內外網隔離環境下實現安全的FTP訪問，支持動態建立數據通道，支持用戶控制、命令控制、文件類型控制等細粒度訪問控制。

?  TCP/UDP訪問模塊：在內外網隔離環境下特定TCP、UDP協議的數據交換。

?  其他模塊：用戶定制的專用應用模塊。

其它功能說明：

?  支持的應用協議有HTTPS、HTTP、FTP、SMTP、POP3、TNS、DNS、Telnet、SAMBA、NFS、IMAP、定制TCP和UDP、SNMP、SSH、RTSP、MMS、H.323、LDAP協議、IRC等協議；

?  支持登錄防爆破，登錄密碼超出設定次數，系統自動鎖定。

?  支持用戶訪問控制，管理主機與網閘間通過證書認證和用戶密碼才可登錄，其它應用中支持用戶統一身份認證，保證登錄系統的用戶是合法的。

?  支持IP/MAC綁定功能，防止非授權管理及其登錄系統。

?  完善的日志審計功能。日志支持遠程和本地管理，支持標準的Syslog的接入；

不同的功能模塊根據各自的需求特點，在應用層實現了功能強大的過濾機制，通過對應用層內容的過濾和檢測，進一步保障數據的安全。這些包括：關鍵字檢測、黑白名單過濾、文件類型檢驗、用戶名/口令校驗、數據數字簽名、身份認證、控件過濾、腳本過濾、URL過濾、郵件屬性過濾等等。系統還可以根據用戶的安全需要進行二次開發，對用戶數據進行深度安全檢測。

網絡層安全

主機系統支持包過濾檢測技術，支持通過源地址、目的地址、流經的物理端口、協議類型等多種元素設定過濾規則。通過對安全策略的設定，使得安全隔離與信息交換系統直接在網絡層就能拒絕部分非法連接的訪問。

強的抗攻擊能力

網御不斷深入分析應用協議，根據協議規范和跟蹤用戶使用習慣形成“訪問內容白名單”嵌入到主機系統中，并且融合獨創的智能算法形成“智能白名單技術”對數據報文的協議格式和數據內容進行快速嚴格檢查，通過專有算法智能比對正確協議格式和數據內容的“白名單”，從而實現對各種畸形攻擊數據報文的攔截。

主機系統內置獨立的網御自主研發的USE（Uniform Secure Engine）統一安全引擎，與系統緊密集成，包括包解碼、規則解析及檢測引擎、日志記錄及報警等子模塊。采用實時入侵檢測機制和自動響應技術，可選擇配置不同的攻擊特征碼并且支持攻擊特征碼分類，可以根據大類進行特征碼選擇。

防IP地址盜用

為了防止IP地址被非法盜用，安全隔離與信息交換系統采用IP 與MAC 地址綁定技術校驗主機的合法性。系統能夠對指定接口所連接的網絡中主機的IP 和MAC 地址進行綁定，防止IP 盜用，對非法IP 地址的訪問系統會進行詳細記錄，以便管理員查看，而且系統能夠通過自動探測來發現IP和MAC的對應關系，使整個配置過程簡單快捷。

基本功能

文件交換

支持IPv4/IPv6雙協議棧接入，實現文件的安全交換，支持NFS、SMBFS、SAMBA等文件系統，支持跨系統平臺文件同步；支持有客戶端和無客戶端方式；可實現單向和雙向同步；支持多種文件同步控制，支持內容過濾、身份認證以及加密傳輸；支持文件傳輸長度及MD5校驗，并支持校驗失敗自動重傳；同時提供“覆蓋”、“丟棄”、“重命名”等重名策略；

數據庫同步

支持IPv4/IPv6雙協議棧接入，支持Oracle、SQL Server、Sybase、Db2等主流數據庫間單向和雙向同步；支持同構、異構同步；支持一對多，多對一同步；支持字段級的同步，具有條件同步等多種同步策略；支持詳細的日志審計和報警功能；同時支持身份認證、數據沖突及容錯處理、同步數據的查詢與統計功能，支持病毒檢測，支持同步客戶端的雙機熱備功能；

安全瀏覽

實現內網用戶安全瀏覽外網資源，有效保證內網數據的安全；支持透明訪問和普通訪問方式；支持多種用戶認證方式；支持對各種命令過濾功能等多種功能；支持用戶身份認證；支持URL、關鍵字過濾；

安全通道

高速代理訪問，支持普通訪問和透明訪問，可以對源地址和端口、目的地址和端口的訪問控制；支持多種應用服務類型，如H323、H323_GK、SNMP、DNS等協議；

攻擊防御/病毒檢測

具有抗DoS、DDoS攻擊功能，當拒絕服務攻擊發生時能保障對正常應用請求的應答；支持實時入侵檢測功能，并可設置自動阻斷響應；

全模塊支持文件掃描和流式病毒掃描兩種檢測技術，采用自有知識產權的病毒防護引擎；采用國內知名病毒廠商特征庫；

典型應用

數據同步

?  數據庫同步

網御數據庫同步功能，支持Oracle、SQLServer 、DB2、Sybase等主流數據間的同種或異種數據庫增量、全表同步，具體部署結構如下：

網御網閘數據庫同步功能示意圖

網御網閘部署于信任網絡業務系統數據庫與非信任網絡業務系統數據庫之間，網御專用DB Client根據策略主動到源DB中抓取變化數據，然后通過加密協議將數據發送至網御網閘設備，網御網閘設備將數據擺渡至接收端專用DB Client，接收端專用DB Client將數據最終推送到目標DB。

網御數據庫同步功能采用事前防范、事中報警、事后追蹤的技術理念，確保數據在同步過程中的數據類型匹配、數據沖突檢測以及數據容錯控制，確保用戶數據在傳輸過程中，在斷電、網絡中斷、業務中斷等多種繁雜情況下，用戶數據不丟失。數據在整個傳輸過程中可審、可查、可追溯。

?  文件同步

網御文件同步功能采用格式檢查、內容過濾、病毒檢測、時間控制等多種安全策略實現安全、可控的數據交換。支持有客戶端和無客戶端兩種部署方式，支持Windows、Lniux等多種系統平臺，支持一源多目的、多源一目的、多源多目的等多種應用環境，文件同步應用部署如下：

網御網閘文件同步功能示意圖

網御文件同步功能采用系統監控方式，可實時監控文件的OPEN、CLOSE狀態，第一時間捕獲變化的文件。系統采用多線程、異步工作方式，極大提高文件同步的性能。

網御網閘文件同步應用時，部署于信任網絡與非信任網絡文件服務器之間，使用專用客戶端時，專用基金客戶端部署于文件服務器，實時監控文件的增量變化，獲取數據后將數據加密傳輸至網御網閘設備，網閘將數據擺渡至接收端專用File Clent，FileClent將數據寫入目標File Server。

代理訪問

網御網閘根據用戶應用的特點，提供專用代理服務模塊，除支持FTP、HTTP/HTTPS、SMTP、POP3等多種常規應用協議外，還可根據用戶需求提供私有協議代理功能開發。網御網閘代理功能應用部署如下：

網御網閘代理訪問功能示意圖

當用戶使用代理訪問模塊時，如啟用FTP傳輸模塊，網閘立刻開啟FTP代理服務功能。下面以用戶的FTP訪問流程為例進行說明：

?  建立連接

用戶在客戶端輸入網閘內網口IP地址（普通代理）和用戶名密碼，網閘接到數據包后根據配置策略進行訪問控制，網閘內網主機首先在網絡層和傳輸層對用戶的源IP及目標IP和端口進行合規性檢查，合規則進行數據還原，非合規則丟棄該包并向用戶返回提示信息；然后數據還原至應用層，網閘內網主機按照FTP協議格式進行協議解析，對訪問的用戶名進行合規檢查，合規則進行下一步操作，非合規則丟棄該包并向用戶返回提示信息；最后網閘內網主機將數據按照網御私有協議進行數據封裝，通過隔離交換部件擺渡到外網主機，外網主機按FTP協議進行還原，將請求發送到服務器，根據TCP/IP協議三次握手建立連接；

?  請求數據

用戶從服務器下載數據，如輸入mget a.doc，網閘內網主機收到數據包后進行協議解析，根據用戶策略進行操作行為（命令）控制，檢查用戶是否具有下載（上傳）的權限，如是否禁止了GET命令，如果合規，則將數據進行私有協議封裝，安全擺渡至外網主機，外網主機進協議還原，將請求轉發至目標服務器；否則丟棄該數據包并向用戶返回提示信息；

?  返回數據

目標服務器返回數據，網閘外網主機接收到數據包，進行協議解析，內容過濾等操作，如進行文件格式檢查、文件大小控制等，合規則進行下一步操作，否則向用戶返回提示信息；最后將合規數據按照私有協議進行封裝，通過隔離交換部件將私有協議數據包安全擺渡至內網主機；內網主機對合規數據進行FTP協議還原，將數據返回至客戶端；

網御網閘通過接入訪問控制、操作行為（協議命令）控制、內容過濾等三層“過濾網”，實現合法的終端、合法的用戶訪問指定的服務，通過指定的規則傳輸合規的內容，配合網御網閘的隔離交換部件，實現內外網安全隔離的同時，保證數據的安全擺渡。